VPN und Cloud-Dienste

Auf der MSXFAQ gibt es mehrere Seiten zum Thema VPN aber diese widmet sich explizit dem Zusammenspiel eines VPN zur Firma und der Nutzung von Cloud Diensten.

Zusammenhänge

In der "Vor Cloud Ära" standen alle Server im Rechenzentrum oder Serverraum einer Firma und die meisten Anwender hatten ihren Arbeitsplatz auf dem gleichen Firmengelände. Die Verbindung ist ein klassischen LAN, was von Anfange wenigen Megabit über 100 Megabit mittlerweile bei Gigabit oder WLAN angekommen ist. Mit der Verfügbarkeit von mobilen Computern haben immer Mitarbeiter auch unterwegs oder gleich stationär im Homeoffice gearbeitet. Damit auch hier eine sichere Verbindung über das nicht abhörsichere Internet und schwache intern genutzte Protokolle möglich ist, werden Client-VPNs eingesetzt. Hier gibt es aber nicht nur eine Konfiguration, sondern verschiedene Konstellationen, in denen zwei Punkte relevant sind:

  • Namensauflösung
    Die meisten Dienste sprechen andere Server mit einen Namen an und entsprechend muss der IP-Stack natürlich eine DNS-Anfrage durchführen. Damit mit einer VPN-Verbindung die internen Namen im Firmennetzwerk und z.B. auch Domain Controller u.a. aufgelöst werden können, muss mit einem VPN auch die Namensauflösung umgestellt werden. Je nach Konfiguration werden hier alle Namen oder nur die Firmendomain zum Firmen-DNS-Server geroutet. Entsprechend sind die Antworten für Cloud-Dienste unterschiedlich.
  • IP-Routing/Tunnelmode
    Man spricht von einem "Tunnel-VPN" wenn sie alle Pakete durch den Tunnel schicken. Für interne Server ist das OK aber der Weg zu Cloud-Diensten ist dann länger und belastet die Firmenanbindung. Beim SplitVPN alle nicht internen Ziele nicht durch das VPN angesprochen. Das ist schneller aber auch unsicherer, wenn der Client Dienste im Internet ohne die Schutzmechanismen der Firmenfirewall/Proxy-Kette ansprechen kann. Es gibt Mischformen, bei denen nur bestimmte vertrauenswürdige Ziele am VPN vorbei erreicht werden dürfen. Eine besonders strenge aber sichere Form blockiert sogar den Zugriff auf Netzwerkgeräte wie Drucker im gleichen Subnetz. Das ist bei öffentlichen WLAN-Accesspoints gewünscht aber im Homeoffice natürlich kontraproduktiv.
    Denken Sie daran, dass der Tunnel für IPv4 und IPv6 unterschiedlich sein kann. Siehe auch TunnelVPN und IPv6
  • TCP/UDP
    Es gibt nur ein ein VPN sondern verschiedene Hersteller und genutzte Protokolle. Einige VPNs bauen einen gesicherten TCP-Kanale auf während andere auf UDP setzen. Es gibt sogar VPN-Lösungen, die alle Daten in HTTPS-Verbindungen einpacken und damit allzu strenge Beschränkungen, z.B. in Hotels, umgehen. Speziell TCP und darauf aufgesetztes HTTPS ist nachteilig für Audio/Video, da bei Packetverlusten die Übertragung stoppt und Pakete unnötigerweise nachgesendet werden.

Auf die Unterschieden von UDP, TCP oder HTTPS-basierten VPNs und die verwendeten Protokolle wie PPTP, L2TP, IPSec etc. möchte ich hier nicht weiter eingehen.

Gegenüberstellung

Interessanter ist hier der Vergleich verschiedener Umsetzungen. Wie so oft gibt es nicht eine richtig oder falsche Konfiguration:

Modell/Bild Beschreibung Sicher Cloud

FullTunnelVPN

Sowohl die Namensauflösung als auch alle Pakete werden zwingend zur Firma gesendet. Das ist die sehr sichere Variante, die aber nicht nur ein "lokales Drucken" verhindert sondern sich auch auf den Zugriff zur Cloud nachteilig auswirkt. Anhand der DNS-Auflösung liefert der Cloud-Anbieter natürlich die zum Firmenausgang passende Eingangstür und das IP-Routing sorgt auch dafür, dass dieser Weg genutzt wird. Allerdings müssen alle Daten im schlimmsten Fall vom PC über den eigenen Provider und ein Peering zum Provider der Firma, um dann einmal über den VPN-Server wieder ins Internet zu laufen. Bei der Firma liegen also die doppelten Datenmengen an und die Latzenzeit ist deutlich erhöht.

Hoch

Schlecht

TunnelVPN

Eine Abwandlung des "Full TunnelVPN" ist die Erlaubnis zur lokalen Kommunikation. Das VPN ändert also nur das Default Gateway aber erlaubt eine Kommunikation mit Systemen im gleichen Subnetz. Dies ist im Homeoffice wichtig, wenn ein Drucker oder anderes Gerät per IP-Adresse angesprochen werden muss. Allerdings erfolgt die Namensauflösung weiter über die Firma und nicht über einen lokalen DNS-Router, so dass das Auffinden eventuell erschwert ist. Unterwegs an öffentlichen Accesspoints ist diese schwache Konfiguration nicht ratsam.

Mittel

Schlecht

TunnelVPN und DNS-Fehler

Wer nun die DNS-Auflösung nicht mehr durch den Tunnel zur Firma leitet, sondern den lokalen DNS-Service des Router o.ä. nutzt. kann zwar schneller seine Drucker finden und sogar Namen im Internet auflösen, aber die Antwort passt nicht zwingend zur optimalen Zieladresse. Der Client bekommt zwar die optimale IP-Adresse für seinen Anschluss aber die IP-Adressen laufen dennoch durch den Tunnel und kommen ganz woanders heraus. Zudem kann ein Angreifer den DNS als Command&Control-Kanal missbrauchen.

Unsicher

Schlecht

SplitTunnelVPN

Wenn man schon eine lokale DNS-Auflösung für alle Namen erlaubt die nicht zum internen Netzwerk der Firmen gehören, dann sollten Sie auch das IP-Routing so anpassen, dass nur Verbindungen zu den Firmenservern über das VPN geroutet werden. Damit haben Sie hinsichtlich der Geschwindigkeit das optimale Konzept, bei dem aber die Sicherheit zurückbleibt.

Niedrig

Sehr gut

TunnelVPN+Cloud

Die Unsicherheit des "SplitTunnelVPN" lässt sich aber verbessern, indem die Daten ins Internet entweder anhand der Zieladressen durchgelassen oder doch über eine Firewall/Proxy-Kette laufen. Dies muss ja nicht zwingend der eigene Firmenstandort sein. Es gibt auch hier Cloudanbieter (z.B. Zscaler), die als Filter-Instanz agieren ohne die Daten durch den Firmenstandrot zu routen.

 

 

Letztlich müssen Sie sich Gedanken machen, welche IP-Adressen sie einen Vertrauensvorschuss geben, weil Sie die Systeme dahinter als ausreichend sicher ansehen (Siehe auch IP-Adressen vertrauen)

FAQ

Es gibt viele Hersteller und Einstellmöglichkeiten. Ich möchte hier ein paar Links und Hinweise geben, was mit Windows Bordmitteln möglich ist

  • Windows VPN
    Windows ist relativ flexibel unter neben dem unsicheren PPTP-Protokoll können Sie gleich mehrere Typen wählen. Sie brauchen nur die passende Gegnstelle:
  • TunnelVPN oder SplitVPN
    Ob ihr Client nun alle Pakete in die Cloud sendet oder nur die mit einer Route hängt zum einen davon ab, welche Vorgaben ihnen der VPN-Server macht und ob Sie mit der Verbindung das "Default Route" umbiegen. Die Einstellungen finden Sie bei beim VPN-Adapter unter "Internetprotokoll, Version4" über Eigenschaften - Erweitert - IP-Einstellungen

    Wenn Sie das Default Gateway nicht generell zum VPN-Server umstellen, können Sie auf dem VPN-Server entsprechende Routen zu internen Subnetzen pflegen. Das müssen Sie immer dann tun, wenn Sie mehrere internen Subnetze haben.

    Das "Default Gateway" des VPN-Servers ist ja das Internet und auch der Server muss erst einen Weg zu weiteren internen Servern finden. Leider gibt es hier keine negativen Einträge. Ich kann also nicht sagen, dass alles über den VPN-Router geht und nur bestimmte Subnetze davon ausgeschossen werden sollen.

Sonderfall Audio/Video

Wenn Sie nicht gerade sehr große Datenmengen bearbeiten, können Sich auch Cloud-Dienste über ein TunnelVPN und die Firma betreiben. Ihr besonderes Augenmerk sollten Sie aber auf Audio/Video-Konferenzen legen, denn dies sind nicht nur schnell große Datenmengen sondern hier ist Latenzzeit wichtig. Der Umweg durch ein TCP-basiertes VPN über den VPN-Server der Firma zurück zur Cloud ist keine sinnvolle Option. Leider kann ich bei einem Windows VPN nun nicht einfach sagen, dass er alles über die Firma routet aber die drei Subnetze der Team Mediarelay-Server direkt routet. Einen statischen Leitweg kann ich nicht setzen, da ich die IP-Adresse des Routers beim Anwender vor Ort nicht kenne. Bei einer Fritz!Box ist das meist die 192.168.178.1 aber Telekom Speedport-Router nutzen lieber die 192.168.2.1 oder 192.168.1.1.Wünschenswert wäre es aber schon für alle, dass ein Homeoffice-User bei Konferenzen mit Teams, Zoom, WebEx u.a. diese Daten auf dem kürzesten Weg senden ohne das die Firma gleich ein "offenes" Split-VPN konfigurieren muss.

Kennen Sie einen Weg, wie ein VPN-Client eine Ausschlussliste in den Routen bekommen kann? Ich könnte mir vorstellem, dass nach dem Aufbau des VPN z.B. eine Route per Skript addiert werden kann oder dass die Netzwerke "drum herum" ins VPN geroutet werden. Die Pflege erscheint mir aber komplex und

Endpoint Manager (Intune)

Etwas anders sieht es aus, wenn Sie eine 3rd Party VPN-Software oder Intune/Endpoint-Manager nutzen. Hier gibt es deutlich mehr Einstellmöglichkeiten zur Steuerung des VPN-Verhaltens. Teilweise kann die Kontrolle bis auf einzelne Apps herunter erfolgen. Ich habe hier exemplarisch für Teams/UDP die drei IPv4-Subnetze mit den Sourceports 50.000-50.059 und den Zielports 3478-3481 als Split-Tunnel definiert.

Die Konfiguration ist hier aber noch nicht zu Ende und das Bild soll nur den Einstellungsdialog verdeutlichen.

Auch die Namensauflösung kann ich per Intune steuern, indem ich direkt Einfluss auf die "Name Resolution Policy Table" (NRPT) nehme. Diese Einstellung sollten die Administratoren mit "Direct Access"-Erfahrung kennen und habe ich auf der Seite Direct Access Namensauflösung - NRPT beschrieben.

Hier kann ich bestimmte DNS-Domains zu speziellen DNS-Servern weiterleiten. Dies hilft beim Split-VPN ,wenn die Standardauflösung am VPN vorbei den DSL-Router nutzt während die "internen" Namen der Firma durch den Tunnel zu den DNS-Servern der Firma geleitet werden. Ich kann hier aber auch invertieren, indem ich alle Anfragen zum Firmen-DNS-Server lenke aber ausgesuchte Domains davon ausnehme.

Empfehlung

Wenn ich ganz sicher gehen möchte, dann müsste ein VPN immer ein "Full Tunnel" und "Always On" VPN sein, damit der Client außerhalb der Firma gar nicht von anderen "Nachbarn" erreichbar ist. Da dies im Homeoffice und anderswo die Verbindung zu Druckern u.a. behindert, werden Sie aber hier den ersten Kompromiss suchen müssen. Dann laufen aber immer noch Audio/Video-Daten und größere Datenmenge bei OneDrive/SharePoint durch den Tunnel und das Firmennetzwerk. Die Anwender könnten Qualitätseinschränkungen merken und die Anbindung der Firma muss deutlich stärker und verfügbarer (Kapazität, Firewall etc.) ausgelegt werden. Sie werden wohl oder übel eine Lösung suchen, bei der die Zugriffe auf gewisse Ziele im Internet nicht durch das VPN gehen.

Die Nutzung von "gekauften" Clouddiensten ist Datenschutztechnisch nicht anders einzuschätzen wie ein eigener Server. Die Daten liegen bei einem "Datenverarbeiter" mit entsprechendem Vertragswerk und die Verbindung sind danke HTTPS und SRTP natürlich auch verschlüsselt. Es macht kaum einen Unterschied, ob ich nun per VPN auf einem Server in der Firma oder einen Service in der Cloud, auf der auch nur meine Daten liegen, zugreife.

Ich muss aber sicherstellen, das Zugriffe auf "sonstige Dienste" im Internet oder der Zugriffe anderer Dienste auf den jeweiligen Client entweder unterbunden wird oder nur geschützt erfolgen kann. Dazu zählt zuallererst die Windows Firewall, welches außerhalb der Firma niemals das "Domainprofil" anwenden sollte, damit eingehende Verbindungen schon einmal von Hause aus unterbunden sind. Das schützt alleine aber nicht, dass eine ausgehende Verbindung zweckentfremdet wird. Das ist aber nicht nur eine Aufgabe für eine Firewall sondern vielmehr auch für die Endpoint-Management-Lösung. Wenn es eine Malware auf den Client schafft oder der Anwender wissentlich oder unwissentlich z.B. eine Webseite startet, die weitere Aktionen auslöst, dann kann das nicht durch ein VPN gelöst werden.

Bei all der Fokussierung auf IPv4 Routing und DNS dürfen Sie nicht vergessen, dass immer mehr Cloud-Dienste auch per IPv6 erreichbar sind und nicht jedes VPNs sauber IPv6 blockt oder routet. Verlassen Sie sich insbesondere bei VoIP nicht darauf, dass eine DNS-Abfrage ohne IPv6-Antwort eine IPv6-Verbindung unmöglich macht. ICE und TURN brauchen kein DNS.

Weitere Links