Lang hat’s gedauert, aber hier ist er der versprochene 2. Teil zum Thema VPN – Virtual Private Network.

Wie schon im ersten Teil Unterwegs sicher arbeiten – VPN Teil 1 erwähnt wollen wir einen Tunnel im Internet aufbauen, der unsere privaten Daten vor neugierigen Blicken abschirmt. Dazu brauchen wir einen VPN Server auf der einen und einen VPN Client auf der anderen Seite.

Was kann ich eigentlich mit einem VPN anfangen? Viele Firmen nutzen VPN, damit interne oder externe Mitarbeiter auf Anwendungen und Daten des Unternehmens sicher von ausserhalb zugreifen können. Private Nutzer oder Freelancer greifen auf Daten – zum Beispiel Fotos – zu, die auf einem Server zuhause oder im Büro gespeichert sind. Für die Zusammenarbeit im kleinen Team nutzen es ebenso einige Selbständige.

Firmen VPN – kurzer Einblick

Zunehmend stellen Firmen ihre Infrastruktur für VPN-Zugriffe zur Verfügung. Dazu versorgen sie ihre Angestellten in der Regel mit einem Token-Generator in der Größe eines Schlüsselanhängers und einem VPN Client für den Laptop. Dieser wird speziell eingerichtet (z.B. mit Zertifikaten oder IP Adress-Listen der Firma).

Alles was dann noch zu tun bleibt, ist sich mit Hilfe des Client zur Firma zu verbinden, Username und Passwort einzugeben und mit dem Token (6-8-stelliger Code) aus dem Generator zu verifizieren. Simsalabim, schon öffnet sich das Firmennetzwerk und die Daten sind vollkommen abgeschirmt von der Außenwelt; deshalb ja auch der Namensteil Private Network. Als Benutzer habe ich fast keinen Aufwand und kann es einfach verwenden.

So weit, so gut, aber kann man das auch für die eigene Sicherheit, also außerhalb eines Firmen-VPN nutzen? Wer nur mit einer externen Festplatte arbeitet und nichts auf Servern gespeichert hat, der kann nun mit dem Lesen aufhören. Ein VPN ist überflüssig, da die Datenübertragung ja nur lokal erfolgt.

Private Nutzung von VPN

Wenn aber die Daten auf dem eigenen Computer im Büro oder zu Hause liegen und ich gelegentlich aus der Ferne darauf zugreifen will? Kein Problem, dazu richtest Du Dir Dein eigenes VPN-Setup ein.

Gehen wir mal davon aus, dass zu Hause ein Internet-Router steht, der einen quasi permanenten Internet-Zugang bereit stellt; z.B. eine AVM Fritzbox, ein Speedport von der Telekom oder ein anderes Zauberkästchen meines Anbieters. Ich schreibe bewusst „quasi permanent“, weil die Service-Anbieter uns normalerweise einmal alle 24 Stunden kurz vom Netz trennen. Dann muss die Verbindung neu aufgebaut werden, was der Router dann auch sofort macht.

Dieser dauerhafte Zugang ist auch eine Grundvoraussetzung für unser Vorhaben. Denn wenn mein Server zu Hause nicht mit dem Internet verbunden ist, kann er vielleicht nicht ausspioniert werden, ich komme aber auch nicht an die gespeicherten Daten ran. Ebenso ist diese Verbindung mein Flaschenhals: Rufe ich nämlich meine Daten von unterwegs ab, dann werden diese Daten von meinem Server zuhause HOCH-geladen, d.h. die maximale UP-load-Geschwindigkeit meines Anbieters ist hier die Grenze. Im privaten Bereich werden standardmässig asymmetrische Datenverbindungen gebucht, bei denen der Download sehr zügig, der Upload dagegen recht langsam vonstatten geht.

Bordmittel (D)eines Internet-Routers

Viele Standard-Router, z.B. die Fritzbox mit „MyFritz“ oder externe Festplatten wie Western Digital MyCloud, bieten inzwischen die Möglichkeit auf die Daten einer direkt daran angeschlossenen Festplatte über einen Webbrowser zuzugreifen. Dabei wird SSL als Verschlüsselungsmechanismus benutzt; erkennbar am https:// in der URL. Oder auch mit mobilen Apps für iOS, Android und Windows. Der Router ist dann der VPN Server und der Browser mein Client.

Das ist streng genommen schon ein VPN, und auch ein recht sicherer Weg der Datenübertragung, wenn man alle Sicherheits-Patches eingespielt hat; ich erinnere hier nur an die Heartbleed Problematik mit OpenSSL vom Anfang diesen Jahres.

Alle 24 Stunden eine neue Telefonnummer – und jetzt?

Das praktische an diesen Diensten ist auch, dass ein Problem, das aus der oben beschriebenen Zwangstrennung alle 24 Stunden entsteht, gleich mit gelöst wird. Mit einer neuen Verbindung zu meinem Provider bekomme ich auch eine neue Internet/IP-Adresse – das ist so, als wenn ich eine neue Telefonnummer bekomme, unter der ich dann die nächsten 24 Stunden angerufen werden kann. Die IP-Adresse brauche ich, wenn ich mich mit meinem Server verbinden will.

„Ja, aber was mache ich denn, wenn ich länger als 1 Tag unterwegs bin?“ höre ich Dich fragen, „Ich kann ja schlecht zu Hause anrufen und nach der IP fragen, oder?“ Streng genommen geht das schon, ist aber sehr unpraktisch. Dafür gibt es aber natürlich auch Dienste im Netz, die das erledigen: „myFritz“ und „MyCloud“ stellen einen solchen schon automatisch mit zur Verfügung.

Bei beiden Diensten bekomme ich einen festen Servernamen, den ich für die Verbindung benutze. Sobald sich meine IP Adresse geändert hat, melden die Router das an den zentralen Server von AVM oder Western Digital. Meinen Router zu Hause erreiche ich dann über eine URL wie z.B. http://ich-so.myfritz.net oder http://wir-so.wdMyCloud.com – der Name wird allerdings zufällig vergeben und kann nicht selber ausgesucht werden. Die Zuordnung von IP und Servernamen wird dann vom jeweiligen Dienst verwaltet.

Mein eigener VPN Server

Die Bordmittel sind schon mal ein guter Anfang, aber es gibt immer die Einschränkung, dass ich nur das machen kann, was der Hersteller vorgesehen hat. Zum Beispiel bin ich im Falle eines Sicherheitsproblems darauf angewiesen, dass der Hersteller schnell reagiert. Ebenso kennen sie meinen Servernamen und selbst wenn sie den Inhalt nicht sehen können, gibt es doch hier wieder Spuren, die korreliert werden können da ich mich für den Dienst ja anmelden muss.

Setze ich meinen eigenen VPN Server auf, habe ich hier mehr Kontrolle. Im Gegenzug muss ich jedoch tiefer in die Thematik einsteigen und mich um mein Setup kümmern. Moderne Router bieten inzwischen integrierte VPN Server an, die Nutzer aktivieren können – wenn sie wissen, wo sich diese Option in den Einstellungen befindet. Da es zahlreiche Router-Modelle gibt, verweise ich an dieser Stelle auf die Recherche per Google oder DuckDuckGo als Suchmaschinen meiner Wahl.

Um den Server erfolgreich einzurichten, brauchen wir 2 Dinge:

• VPN Server – also Software
• Service für die dynamische IP Adresse – DDNS

Hier liest Du eine sehr gute Anleitung zur Einrichtung eines VPN zwischen einem Mac und einer Fritzbox mit DynDNS. DynDNS ist ein freier Dienst, der meine dynamische IP Adresse mit einem festen Namen verbindet ähnlich wie myFritz. Wir selbst haben zu Hause ein NAS (Network Attached Storage) von Synology, welches ebenfalls erlaubt einen eigenen VPN Server einzurichten.

Den Service für die dynamische Zuweisung eines fixen Servernamens zu einer wechselnden IP Adresse gibt es entweder kostenlos dann mit ein paar Einschränkungen oder als relativ günstigen Dienst bei einer Vielzahl von Anbietern.
Die unterschiedlichen VPN Server unterstützen ein paar dieser Dienste direkt; hier empfiehlt es sich, einen Blick in die Liste des jeweiligen Anbieters des VPN Servers zu werfen und dann auszuwählen. Eine direkt Unterstützung ist immer stressfreier als eine nachträglich eingebastelte Lösung.

Hurra, mein Server läuft … wie komme ich jetzt da ran?

Jetzt kann ich auf meinem PC oder Mac den VPN Client anwerfen und mich dann mit meinen VPN Server verbinden.

Es gibt auch diverse andere Clients, die aber im Prinzip alle gleich funktionieren. Die wichtigste Einstellung ist das Übertragungsprotokoll. Keine Angst, hier gibt es nur 3 Möglichkeiten und da ich ja den Server selber aufgesetzt habe, weiss ich auch, ob ich PPTP, L2TP über IPSec oder CISCO IPSec eingestellt habe.

Bei der Authentifizierung habe ich mehrere Möglichkeiten und Sicherheitsstufen. Mit Username und Passwort kann ich mich von überall einloggen, allerdings ist das auch die schwächste Methode. Definitiv sicherer ist die Verwendung eines Zertifikates. Hierzu muss ich aber wissen, dass dieses Zertifikat dann auch auf dem jeweiligen Client, mit dem ich mich verbinden will, vorhanden sein muss. Ich kann mich also nicht mal so eben vom Rechner eines Kollegen oder einer Bekannten in mein VPN einwählen. Ebenso muss ich das Gegenstück meines Zertifikates auf dem VPN Server hinterlegen. Nur wenn ich das Client Zertifikat und das dazugehörige Passwort habe und der Server es auch kennt, kann ich mich verbinden. Das ist definitiv sicher aber eben auch aufwändiger.

VPN und externe Kollaborationsdienste

Nächste Stufe ist dann die Zusammenarbeit im Projektteam, evtl. alles Selbstständige oder Freelancer, mit denen Daten ausgetauscht werden. Auch hier ist auf die Sicherheit zu achten (Vorgaben des Auftraggebers, etc.). Cloud-Dienste wie Google Drive, Dropbox u.a. haben den uncharmanten Nachteil, dass die Daten bei den jeweiligen Anbietern liegen und der entsprechenden Landesgesetzgebung (meist der USA) unterliegen. Das VPN hilft hier erstmal nicht, da die Verschlüsselung nur den Übertragungsweg betrifft, aber die Dokumente selbst standardmässig unverschlüsselt gespeichert sind.

Eine Grundverschlüsselung der Daten hilft hier, ist aber umständlich. Damit meine ich eine lokale Verschlüsselung der Dokumente mit denen gearbeitet wird; hier muss man sich im Team auf einen Standard einigen und diesen auch konsequent benutzen. Das heisst in der Regel beim Öffnen ein Passwort eingeben, ebenso beim Speichern. Das ist nicht unbedingt bequem, vor allem macht es die Synchronisierung von gemeinschaftlich bearbeiteten Dokumenten fast unmöglich. Die entsprechenden Tools müssen dann ebenfalls die Verschlüsselung verstehen und entschlüsseln können.

Hier erweist sich ein lokaler Speicher bei einem Teammitglied als sehr nützlich, der über ein VPN zugänglich gemacht wird. Hier kannst Du auch mit unverschlüsselten Dateien arbeiten, da die Übertragung abgesichert ist.

Fazit

Es ist gar nicht so schwer eine gesicherte, verschlüsselte Datenübertragung im Team oder nur für den gelegentlichen Remote-Einsatz aufzubauen. Ich kann damit Anforderungen meiner Auftraggeber erfüllen und trotzdem mobil arbeiten. Es muss ja nicht gleich der Langzeiturlaub auf Hawaii sein – ein langes Wochenende auf Mallorca ist auch was Feines.
Service für Dich: Beispiele und Links zu Konfigurationen für Dein eigenes VPN

• OpenVPN
• Tunnelblick
• AVM – Fritzbox
• Network Lab – VPN Übersicht (von 2012)

Screenshots Synology-Software / Mac-Netzwerkeinstellungen: Rainer Schuppe; Fotos: DoSchu / 2go2-mallorca.eu