VPN - Segen und Fluch

Wenn Sie im Ausland per Streaming auf Medien zugreifen wollen, dann kommt ihnen das Geoblocking in die Quere. Serien und Filme werden nämlich pro Region oder Land lizenziert und so versuchen die Anbieter zu unterbinden, dass jemand aus einem anderen Land die Medien abruft. Als Gegenmaßnahme können Sie einen VPN-Anbieter nutzen, der ihnen eine IP-Adresse aus dem Land anbietet. Klingt gut aber hat, je nach Anbieter, unschöne Seiteneffekte.

Funktionsweise

Beim klassischen Internet nutzt ein Anwender seinen PC, um über seinen Provider und das Internet auf einen Service zuzugreifen. Der Serviceanbieter sieht die IP-Adresse des Clients, in der Regel ihr DSL-Router, und kann damit den Standort ermitteln.

Damit kann der Anbieter des Webservers sie aussperren, wenn sie in der falschen "Region" sind. Um diese Sperre zu umgehen, können Sie natürlich ihren Verkehr nun zu einem Server in den USA leiten, der dann die Anfrage weitergibt.

Neben dem Zugriff auf per Geoblocking gesperrte Inhalte hat ein VPN auch noch den Vorteil, dass ihre Verbindung vom Client zum VPN-Anbieter verschlüsselt ist und damit der Firmen-Administrator, der Provider und die Ermittlungsbehörden im Land quasi blind sind. Für gewisse Länder und Staaten ist dies, neben dem Tor-Netzwerk, eine wichtige Grundlagen für die Nutzung bestimmter Dienste, sofern VPNs nicht technisch unterbunden werden.

Die dunkle Seite -Verbindungsdaten

Natürlich kostet ein VPN Geld, da der Anbieter sowohl die Infrastruktur bereithalten muss als auch die Bandbreite bezahlt werden muss. Daher gibt es quasi keine "kostenfreie" VPN-Dienste. Allerdings gibt es schon größere Preisunterschiede und die Betreiber streben eine Gewinnmaximierung an. Dabei können Sie nicht nur an der Preis-Schraube drehen, sondern auch mit Daten handeln. Durch den Einsatz eines VPN bekommt der Betreiber nämlich sehr gut folgende Informationen:

  • Wer sind sie?
    Sie müssen sich für die Nutzung der VPN-Dienste ja beim Anbieter zumindest mit einem Benutzernamen und Kennwort registrieren und Zahlungsinformationen sind auch erforderlich. Meist erfolgt noch eine Verifikation über eine Mailadresse. Das sind schon sehr viele persönliche Daten, die Sie dem VPN-Anbieter dabei überlassen.
  • Wo sind Sie
    Die Verbindung von ihrem Client zum VPN-Server selbst ist zwar zusätzlich verschlüsselt, aber der VPN-Anbieter kennt natürlich ihre IP-Adresse und damit auch recht genau ihren Standort. Wenn Sie häufiger unterwegs sind und z.B.: ein VPN als Schutz über WLANs einsetzen, dann kann der VPN-Anbieter quasi auch ihren Weg durch die Welt nachverfolgen.
  • Wohin surfen sie
    Die durch das VPN übertragenen Daten werden vom VPN-Server entschlüsselt und dann weiter gesendet. Wenn das darunterliegende Protokoll (z.B. HTTPS) selbst noch verschlüsselt, kann der VPN-Anbieter nicht die Nutzdaten sehen. Er sieht aber sehr wohl alle unverschlüsselten Kommunikationen wie z.B. DNS-Abfragen und kann diese zu ihrem Konto zuordnen. Er kann auch den TLS-Handshake mitschneiden und damit zumindest den Hostname erkenne, den sie ansprechen.
  • SSL Verbindung decodieren
    SSL-Aufbrechen kann der VPN-Provider eigentlich nicht. Wenn aber auf ihrem Client nicht direkt die VPN-Funktion des Betriebssystems zum Einsatz kommt, sondern der Anbieter einen "Benutzerfreundlichen Client" vorschreibt, dann kann diese Software sehr wohl z.B. als Browser-Plugin ihre Surf-Historie mitschneiden oder sogar eine eigene RootCA einbinden, um auf dem VPN-Server dann die Verbindung zu öffnen. Gegen fremde Root-Zertifikate hilft nur "Certificate Pinning" und aufmerksame Anwender.

Auch wenn alle verschlüsselt ist und bleibt, ist es dennoch für Anbieter interessant, solche Daten zu protokollieren um dieses Wissen weiter zu verkaufen oder lokale Gesetze zu befolgen. Wenn ein VPN-Anbieter z.B. eine IP-Adresse in den USA anbietet, dann steht der Server wohl auch dort und ich würde davon ausgehen, dass Ermittlungsbehörden schon diese Daten abfordern können.

Die dunkle Seite - Mesh-Netzwerk

Eine eigene Client-Software durch den VPN-Anbieter kann dem Anwender viel Arbeit abnehmen. Sie starten quasi den Download, installieren die Software (als Admin) und nach Eingabe der Zugangsdaten konfiguriert der Client die VPN-Funktion und Netzwerkschnittstellen, damit der Tunnel aufgebaut wird. Viele Clients haben noch Zusatzfunktionen wie Zeit- und Volumenzähler, Statusanzeigen (Durchsatz etc.) und vielleicht auch noch ein Platz für Werbung. Vielleicht installiert er noch ein Stamm-Zertifikat, wenn er ihnen einen "sicheren Proxy mit Virenschutz" anbietet oder ein Browser-Plugin. Eine weiter Funktion ist aber viel kritischer.

Webseiten bekommen viele Anfragen von Benutzern, die man gerne zählen und Werbung anzeigen möchte. Es gibt aber auch viele "gutes" Bots, die Webserver anfragen, z.B. Suchmaschinen. genauso gibt es aber auch böse Bots, die nach Schwachstellen suchen (z.B. veraltete Wordpress-Installationen etc.) oder Bandbreite aufbrauchen. Viele diese Bad Bots laufen übrigens als virtuelle Systeme in Rechenzentren, weswegen Webanbieter solche "Source IP-Adressen auch mal ausschließen oder blocken. Nicht jeder hat aber eine Horde Clients als BOT-Netzwerk zur Verfügung.

Aber ein VPN-Anbieter hat ja seine mehr oder weniger gut zahlenden Clients. Stellen Sie sich vor, dass eine Firma "Bandbreite" bei einem VPN-Anbieter in der Art kauft, dass der VPN-Anbieter die Pakete über ihren Client ins Internet schleust.

Technisch ist das gar kein Problem so einen Leitweg einzubauen, insbesondere, wenn Sie eh schon den "Client" des VPN-Anbieters auf ihrem PC installiert haben. Mit eine Flat-Rate und entsprechend gedrosselt, sollte ihnen das als Anwender gar nicht mal auffallen und könnte ihnen auch fast egal sein. Es gibt aber zwei Aspekte

  • Strafbare Handlungen
    Stellen sie sich vor, dass jemand über diesen Weg Copyright-geschützte Inhalte herunterlädt oder veröffentlicht oder andere strafbare Vorgänge ihrem IP-Anschluss zugeordnet werden. Das wird sehr schwer sein, dies zu beweisen.
  • Interne Service
    Viel schlimmer finde ich aber noch, dass die Verbindung von ihrem PC hinter ihrem DSL-Router aufgebaut werden. Es ist leichtes für den VPN-Client zu erkennen, in welchem Haus-Netzwerk er ist und mal rumzuschauen, welche IoT-Geräte es noch gibt oder ob ihr Internet-Router von intern schlecht geschützt ist
    Noch schlimmer ist es, wenn ein Firmenmitarbeiter in der Firma mit seinem PC einen solchen "Helfer" betreibt. Dann nämlich hat man den ungeliebten Gast schon im Firmennetzwerk hinter der Firewall und nicht mal 802.1x hilft hier.

Vielleicht denken Sie nun, dass dies weiter hergeholt ist. Sie sollten aber dennoch genau die "Terms and Conditions" lesen, denn nichts ist kostenfrei und ihre dynamische ist für die Bots von Firmen, die z.B. automatisiert Werbebanner klicken und damit an den "Clicks" verdienen, sprichwörtlich "Gold" wert.

Empfehlung für Firmen

Der Einsatz eines VPNs ist in vielem Firmen gebräuchlich, damit Mitarbeiter im Home Office oder im Außendienst eine Verbindung zur Firma herstellen können. Dies ist auch in Zeiten der Cloud immer noch ein häufig genutzter und legitimer Weg. Die Verbindung kann sehr einfach mit Computer-Zertifikaten zusätzlich abgesichert werden.

In der umgekehrten Richtung aus dem Firmen-Netzwerk raus über das Internet zu einem externen VPN-Server kann ich das nicht behaupten. Dieses Szenario ist aus meiner Sicht in fast allen Fällen kritisch bis gefährlich. Es mag ausgewählte Situationen geben, z.B. wenn sich ein Supporter auf ein Kunden-System aufschaltet. Aber dann müssen beide Parteien sicher sein, dass es dabei zu keine "Netzkopplung" kommt, d.h. dass der Client über das VPN das Netzwerk auf der entfernten Seite erreichen kann und weiterhin auch im lokalen LAN mit Systemen sprechen kann. Im Zeichen von VoIP und Ticket-Systemen ist das aber eher Wunschdenken. Das ist sicher ein Grund, dass klassische Fernwartungsprodukte wie Teamviewer, PCVisit, etc. hier ihren Markt gefunden haben.

VPN blocken

Für Firmen empfehle ich ausgehende VPN-Verbindungen zu unterbinden. Solange die VPN-Software sich dabei auf die klassischen Protokolle IPSEC, L2TP, PPTP stützt, ist das per Firewall-Regel recht einfach möglich. Allerdings gibt es auch immer mehr VPNs, die dann eine Verbindung über HTTPS aufbauen und damit die klassischen Filter umgehen. Ein VPN könnte sich ja auch wie ein VoIP-Client arbeiten und per ICE, Kandidaten, STUN und TURN einen TCP-Kanal zur Übertragung öffnen.

Der zentrale Weg ist die Konfiguration auf ihrer Firewall. Hier ist zu prüfen, inwieweit der Hersteller ihrer Schutzlösung schon vordefinierte Klassifikationen, Service-Listen und Filter bereithält. Hier ein Beispiel einer Sophos UTM 9:

Es ist kaum möglich, alle VPN-Anbieter und Tunnelprotokolle sicher zu verhindern. Sie sollten aber auf jeden Fall über eine Betriebsvereinbarung die Nutzung regeln und wenn ein Anwender den die Notwendigkeit erklären kann und es keine Alternativen gibt, kann der Zugang selektiv ja erlaubt werden. Der zweite Baustein ist dann natürlich die Überwachung von Netzwerkverkehr und installierter Client Software und Optionen wie Applocker und SmartScreen, um unerlaubte Programme zu unterbinden.

VPN-Nutzung ermitteln

Ehe Sie gleich blocken sollten Sie zuerst prüfen, welche Verbindungen und Dienste dann damit gestört werden. Es kann ja durchaus eine legitime Nutzung von bestimmten Clients oder Anwendern geben, die ein VPN benötigen. Ich sehe mehrere Anlaufstellen:

  • Firewall / NetFlow
    Wenn der Client intern ist und ein VPN aufbaut, muss er durch die Firewall. Eine gute Firewall kennt die entsprechenden Protokolle und Zieladressen, um diese Verbindungen dann zu berichten. Hier mal ein Bericht über die ebenfalls in Firmen mit Office 365/OneDrive ungern gesehene Nutzung von DropBox oder anderen Dateiplattformen

    Sofern Sie Verkehrsflüsse erfassen, könnten Sie natürlich auch hier nach den verdächtigen Zielen suchen.
  • Client Inventory
    Wenn der Anwender nicht per Browser zugreift, sondern sogar die "App" oder den Client installiert hat, dann kann eine Inventory-Funktion des Clients dies ermitteln. Selbst wenn der VPN-Client z.B. von einem USB-Stick gestartet wird, könnte eine Inventarfunktion auch die Prozessliste oder den Start von Prozessen prüfen.
    Auch Defender ATP kann hier auf Clients schon die Nutzung von Programmen und Protokollen ermitteln.
  • Applocker und SmartScreen und AV-Scanner
    Viren- und Malware-Scanner können auch Firewalls sein und sogar "unerwünschte Programme" erkennen. Sofern sei eigene Listen pflegen können, können Sie damit VPN-Clients direkt unterbinden.
  • Office 365 Audit Logging
    Auch die Überwachung von Office 365 Anmeldungen hilft bei der Erkennung von VPNs, weil der Anwender mit dem Aufbau ja eine neue IP-Adresse bekommt. Wenn aber Outlook und Browser weiter auf Office 365 zugreifen, erkennt die Cloud diesen Wechsel und warnt den Administrator indirekt über eine "Impossible travel activity"

    Allerdings gibt es schon VPN-Clients, die bei einem Abbau der VPN-Verbindung jegliche andere Verbindung aus "Sicherheitsgründen" unterbindet. Das fällt aber dann anderweitig auf, wenn in interner Client gar nicht direkt mit ihrem Domaincontroller oder Drucker mehr spricht.

Wenn es sich erst einmal herum spricht, dass ausgehende VPN-Verbindungen überwacht und auch sanktioniert werden, sollte sich das Problem alleine lösen.

Weitere Links