Netzwerksicherheit: Ein VPN löst viele Sicherheitsprobleme

Virtuelle Private Netzwerke sind so etwas, wie moderne Schützengräben. Sie bieten Verbindungen, die quer über öffentliche Internet-Kanäle laufen und trotzdem Datenaustausch ermöglichen, der sicher gegen Abhören und Manipulation ist. Und das bietet Windows ganz ohne Zusatzprogramme

Der Wunsch nach Virtuelle Private Netzwerken oder kurz VPNs kam zuerst bei großen Firmen auf. Dort wollte man die Kommunikation zu externen Mitarbeitern und Filialen nicht mehr über teure direkte Wählleitungen realisieren, sondern das Internet dazu verwenden.

Damit die dabei quasi über öffentliche Wege übertragenen Daten nicht Opfer von Spähern und Datenmanipulatoren werden, ist ein wichtiger Teilaspekt von VPNs die sichere Verschlüsselung der Daten. Dies gewährleistet das dabei eingesetzte Protokoll PPTP (Point-To-Point-Tunneling Protocol). Hinzu kommt das, was durch das "Virtual" im Namen bezeichnet wird: Zwei über ein VPN kommunizierende PCs sprechen sich gegenseitig mit einer IP-Adresse an, die es im öffentlichen Raum, also im Internet nicht gibt. Stattdessen werden sogenannte "Private IP-Adressen" verwendet, die die Rechner beim Verbindungsaufbau untereinander aushandeln.

Bei aktivem VPN hat damit ein PC in der Regel zwei Adressen, unter denen er erreichbar ist: Einerseits die an seine Netzwerkkarte gebundene "normale IP-Adresse", also in der Regel die im lokalen Netzwerk oder bei der direkten Einwahl ins Internet vergebene öffentliche Adresse und andererseits die spezielle private Adresse für das VPN, die an einen abstrakten, weil nicht physikalisch existierenden "VPN-Netzwerkadapter"gebunden ist. Am besten verwendet man dafür eine noch nicht verwendete Adresse in dem Netzwerk, in das man sich per VPN einklinkt.

Das Konzept des virtuellen Netzwerks, das auf das bestehende Netzwerk obendrauf gesetzt wird, bietet einen riesigen Vorteil: Steht die Verbindung, dann ist dieser sichere Kommunikationskanal für alles nutzbar, was in einem herkömmlichen Netz funktioniert also etwa Laufwerksfreigaben, Datenbank-Zugriffe oder Mailsysteme. Im Gegensatz dazu stehen sichere Verbindungen über spezialisierte Software, die nur einen Dienst bieten, wie etwa Secure FTP.

Das bietet Ihnen ein VPN

Aber VPNs, die den großen Firmen so viel bieten, haben auch im kleinen Rahmen ihren Sinn. Haben Sie etwa daheim einen DSL-Anschluss mit Flatrate, dann ist es doch verführerisch von der Arbeit oder von unterwegs aus "nach Hause telefonieren" zu können, egal ob man Dateien von daheim abholen, per Webcam nach dem rechten sehen oder die Heizungsanlage überwachen will. Mit den normalen Mitteln des Internet ist das zwar genauso möglich, aber es kann eben wahrscheinlich auch jeder andere hinein. Zwar lässt sich vieles über Kennwörter absichern, aber was hilft das, wenn - wie etwa beim Dateitransfer per FTP die Passwörter unverschlüsselt übertragen werden?

Auch sinnvoll ist der spontane Aufbau einer Verbindung zwischen zwei normalen Computern, wenn zwei Personen besonders sensible Dokumente austauschen möchten, die einem zufällig mithörenden Datenspion nicht in die Hände fallen sollen.

Ein VPN löst dieses Problem und das ohne großen Aufwand. Denn in Windows 2000 und Windows XP steckt schon ein VPN-Server, der die "Einwahl" eines VPN-Client erlaubt. Diesen Client-Teil der VPN-Software enthalten bereits Windows-Versionen ab Win 98, so dass man die Vorteile eines sicheren Verbindungskanals auch mit älteren Computern nutzen kann.

Soll das Heimnetz immer erreichbar ist, müssen Sie zwei Massnahmen treffen. Der erste Punkt betrifft die Adressvergabe. Denn bei jeder Einwahl erhalten Sie von Ihrem Provider eine neue IP-Adresse. Der PC, der mit Ihrem Netzwerk Verbindung aufbauen will, weiß also nicht, wo er "anklopfen" soll. Dagegen hilft das Verfahren DynDNS, das viele Dienstanbieter kostenlos zur Verfügung stellen. Dabei können Sie sich kostenlos einen eigenen Subdomain-Namen – wie beispielsweise "meinnetz.dyndns.org" – reservieren lassen. Bei jeder Einwahl teilt dann ein Tool dem Registrierungsserver mit, wie die aktuelle IP lautet. Ein bewährtes Programm für diesen Zweck ist beispielsweise DeeEnEs (http://palacio-cristal.com/products/DeeEnEs/). Bei jeder Einwahl teilt dieses Programm dem DynDNS-Dienst mit, wie die aktuelle IP lautet, so dass Ihr Netz immer unter demselben Namen ansprechbar ist, auch wenn die IP sich ändert.

DynDNS-Server finden Sie beispielsweise wie im Beispiel unter http://www.dyndns.org oder bei http://www.no-ip.com.

Der zweite Punkt ist dann wichtig, wenn eine ständige Bereitschaft zum Verbindungsaufbau von außen ermöglicht werden soll, was aus Kostengründen nur bei einer Flatrate sinnvoll ist. Dann muss man durch ständig stattfindende Kommunikation diesen Dauerzustand erzwingen. Dazu genügt es zum Beispiel, auf einem der Computer im Netz ständig einen Mailclient aktiv zu halten und dessen Abrufzyklen so kurz zu halten, dass die automatische Trennung nach Leerlauf nie greift.

VPN-Software einrichten

Server einrichten

Der VPN-Zugang in XP oder Windows 2000 wird über den "Assistent für neue Verbindungen" eingerichtet. Den finden Sie, indem Sie in der Netzwerkumgebung auf "Netzwerkverbindungen anzeigen" klicken und den Punkt "Eine neue Verbindung erstellen" aktivieren. In der Auswahl der Verbindungstypen wählen Sie dann "Eine erweiterte Verbindung einrichten" und im nächsten Fenster "Eingehende Verbindungen zulassen". Bei der darauf folgenden Geräteauswahl sollten Sie alle angezeigten Geräte wegklicken. Im nächsten Assistentenfenster aktivieren Sie die Option "VPN-Verbindungen zulassen". Der nächsten Screen zeigt alle registrierten Benutzer. Geben Sie dort allen ein Häkchen, die sich per VPN einloggen können sollen.

Nun kommt endlich das letzte Eingabefenster des Assistenten, das der Konfiguration einer Netzwerkkarte gleicht – was die VPN-Verbindung in abstrakter Sicht der Dinge ja auch ist.

Soll der Anrufer auch Freigaben oder Drucker im Netz nutzen können, muss die Option "Datei- und Druckerfreigaben…" aktiviert sein.

In den "Eigenschaften" von "Internetprotokoll" auf derselben Seite können Sie festlegen, welche IP-Adresse aus dem Netz des Servers der "anrufende"PC erhalten soll. Wenn Sie in Ihrem Netz die Vergabe von Adressen generell einem DHCP-Server überlassen, dann müssen Sie an den dort eingetragenen Vorgaben nichts ändern. Ansonsten legen Sie hier einen IP-Adressbereich fest, den der Anrufer erhalten soll. Deaktivieren Sie die Option "Anrufern den Zugriff auf das lokale Netzwerk gestatten" nur dann, wenn der per VPN angebundene PC nur mit dem Server kommunizieren können soll, nicht aber mit den anderen Computern des Netzwerks.

VPN-Client einrichten

Auch auf der Gegenseite kommt der Assistent für Netzwerkverbindungen zum Einsatz. Hier müssen Sie allerdings beim Typ die Option "Verbindung mit dem Netzwerk am Arbeitsplatz herstellen" aktivieren und auf der nächsten Seite "VPN-Verbindung" auswählen. Beim Hostnamen geben Sie entweder die per Telefon übertragene aktuelle öffentliche Internet-Adresse des Server-Netzwerks ein oder bei der Verwendung von DynDNS den DNS-Namen, den Sie bei der Registrierung Ihrer Subdomain verwendet haben.

Aktivieren Sie nun auf dem anrufenden Computer die gerade angelegte VPN-Verbindung und geben die Zugangsdaten eines der zugelassenen Benutzer an. Nach erfolgreicher Einwahl testen Sie die Verbindung durch einen Ping auf die interne IP-Adresse des Servers, wie etwa mit

ping 192.168.0.1

Funktioniert das problemlos, können Sie noch eine Ihnen bekannte IP eines anderen Netzwerk-Computers testen. Dies sollte auch klappen, wenn Sie die entsprechende Option am Server aktiviert haben.

Klappt die Kommunikation generell nicht, könnte eine Firewall-Software Schuld sein, die das Begehren abblockt. Meldet sich beim versuchten Verbindungsaufbau das entsprechende Programm, deklarieren Sie diese Kommunikation generell als erlaubt. Hat die Software dagegen keine solche interaktive Funktionsweise, erlauben Sie manuell die Nutzung des Ports 1723, der für das bei VPNs verwendete Protokoll PPTP steht.

Auf dem Server sieht man eine aktive Verbindung von außen in der Netzwerkumgebung unter "Eingehend". Dort ist dann neben der grundsätzlich eingerichteten eingehenden Verbindung ein weiteres Symbol zu sehen, das einerseits den aktuellen User zeigt und andererseits mit Pfeilen den eingehenden Charakter der aktiven Verbindung darstellt.

So erleichtern Router den Einsatz von VPNs

Ein DSL-Router mit aktueller Firmware behebt zwei Probleme, die man bei Dial-Up-Verbindungen hat. Die bei jeder Einwahl vom Provider neu vergebene IP-Adresse bekommt fast jeder Router durch sein integriertes DynDNS-Modul in den Griff. Dazu meldet er sich bei jeder Einwahl mit der aktuellen Adresse beim eingetragenen Dienst an, so dass die Namensauflösung aktualisiert wird und das Netzwerk erreichbar bleibt.

Auch können viele Router eine Quasi-Standleitung zum Internet einrichten. Mit einer Option, die meistens "Always on" heißt, baut das Gerät von sich aus die Verbindung nicht mehr ab, so dass man von außen immer erreichbar bleibt. Falls Sie nicht fündig werden, ist eventuell ein Update der Firmware notwendig, der diese Funktionen nachrüstet.

Allerdings wirft ein Router auch neue Probleme auf. Das eine ist prinzipbedingt: Der Router ermöglicht ja mehreren Geräten den Zugang zum Internet. Kommt nun ein neuer Verbindungswunsch von außen, kann er nicht wissen, welcher der internen Computer damit angesprochen werden soll, was sich im Übrigen als eine Art Mini-Firewall wirkt, denn so werden nur vom eigenen Netzwerk aus eingeleitete Verbindungen aufgebaut, aber nicht von außen aus initiierte Verbindungen.

Um dennoch gezielt einen PC im LAN vom Internet aus ansprechen zu können, kennt jeder Router einen Modus, der zum Beispiel "Port Redirection" oder "Port Forwarding" heißt. Dort gibt man sinngemäß an: "Wenn von außen jemand Port x ansprechen will, dann vermittle an den internen Rechner mit Adresse y und verwende dabei Port z".

Für das VPN-Protokoll legt man dazu einen solchen Eintrag an, der die IP-Adresse des VPN-Servers beinhaltet und bei dem beide Port-Adressen auf 1723 eingestellt sind.

Bei manchen Routern wird es allerdings auch damit nicht klappen. Denn das beim VPN zum Einsatz kommende Protokoll ist weder TCP noch UDP, sondern das "Generic Routing Encapsulation Protocol" (GRE), das manche Router schlichtweg nicht behandeln können. Lässt der Router statt des Protokollnamens die Angabe der Protokollnummer zu, dann kann man mit der Nummer 47 probieren, die für das GRE-Protokoll steht.

Hilft auch das nichts, kann man es nur noch mit einer eventuell vorhandene Router-Option nutzen, die einen bestimmten Computer im lokalen Netzwerk völlig exponiert. Dabei werden also alle Anfragen von außen an ihn weiterleitet, egal welcher Port dabei zum Einsatz kommt. Dies ist allerdings ohne aktivierte Software-Firewall auf diesem PC nicht zu empfehlen.

Ganz aus dem Schneider ist man mit Routern, die selbst als VPN-Server auftreten können, wie etwa die Vigor-Router von Draytek. Damit agiert der Router selbst als VPN-Server, so dass alle Computer des Netzwerks erreichbar ohne weitere Konfiguration auskommen.