Know How

VPN

Links

Text

Noch nichts hier.

Ich stehe vor dem Problem, ein VPN zu errichten. Auf die einfachste aller Weisen. Leicht verständlich. Und sicher. Die Server sind Linux (klar), aber das VPN soll nutzbar sein für Clients unter Linux wie Windows, und wohlmöglich sogar MAC.

Ziel ist ebenfalls, wie man aus dem Urlaub von einem unsicheren Internet-Cafe aus auf das VPN zugreifen kann, ohne eine Kompromittierung befürchten zu müssen.

Noch habe ich keine Lösung dafür. Insbesondere keine, die möglichst nur mit dem auskommt, was sowieso dabei ist.

Mal sehen.

Ideen

  • OpenVPN.org: erscheint mir ein guter Anfang zu sein. Problem: Zeit, ich habe bisher keine das zu testen

Hinweise

GRC.COM hat ein interessanten Podcast zum Thema VPN unter www.grc.com/securitynow.htm. Er ist vor allem interessant, weil er zeigt, wie leicht unbedarfte Menschen (wie die von grc.com) auf Fallstricke zu diesem Thema hereinfallen, hier z. B. die Punkte:

  • Ein verschlüsselter Tunnel verhindert, dass jemand herausfindet, was man tut: Diese Aussage ist grundfalsch. Man bekommt z. B. heraus ob man surft oder TTY-Traffic hat. Das liegt daran, dass Security-Protokolle kein Block-Padding vornehmen und man somit anhand des Traffic-Patterns herausfinden kann, was jemand tut. Z. B. wurde bei SSH gerade eine Schwachstelle bei der interaktiven Passworteingabe festgestellt, da man aus dem Timing der Tastatureingabe (Zeit zwischen den Tastendrücken) leichter auf das Passwort schließen kann.
  • GRC hat nun einen sicheren Passwort-Generator für WPA: Auch dies ist eine Lüge. Zwar kann dank SSL ein Dritter nicht herausfinden, welches Passwort verschickt wurde, aber GRC.COM könnte dieses Speichern. Grundsätzlich sind auch HTTP-basierte Passwort-Generatoren sicher, und zwar die, die per JavaScript auf der Seite des Clients das Passwort generieren. Aber daran hat natürlich niemand bei GRC.COM gedacht!
Merke: GRC.COM ist auf dem Level von effektheischendem Boulevard-Journalismus, bei dem die Wahrheit schon mal vor der Sensation zurückstehen muss. Wer blind vertraut, was GRC.COM zu einem Thema sagt, der kann zum Thema Security nicht mitreden. GRC.COM ist in sofern ein schlechter Anfang, dass sie ein falsches Gefühl von Sicherheit zu bestimmten Themen erwecken, und so etwas ist kontraproduktiv. Lieber unverschlüsselt mit schlechtem Gewissen surfen, als verschlüsselt meinen, man sei sicher, obwohl man es nicht ist. Denn bei letzterem ist man dann unvorbereitet, wenn die Leute, die es können, einem die Verschlüsselung aushebeln.

Ich behaupte beispielsweise, dass ich in Sachen Sicherheit nicht besonders erfahren bin, was wohl hauptsächlich darauf zurückzuführen ist, dass ich ziemlich genau weiß, wie unendlich groß mein Nichtwissen bei diesem Thema ist, und wie schwer es ist, sich im Fall einer Lücke das notwendige Hintergrundswissen anzueignen (weil man es sich nicht einfach so anlesen kann). Ich versuche also nur, auf dem Gebiet der Sicherheit gerade mal so ansatzweise Bescheid zu wissen um nicht die allergröbsten Schnitzer zu machen. Denn richtig tief einsteigen, das schaffe ich aus Zeitgründen nicht, ich muss mich leider auf so vieles anderes konzentrieren.

Aber wenn ich mir GRC.COM ansehe, sehe ich dort wie viele Unstimmigkeiten und gefährliche Inkorrektheiten dort verbreitet werden. Und dabei stehe ich noch nicht einmal am Fuße des eigentlichen Gebirges, sondern kann dessen Existenz nur in weiter Ferne am Horizont erahnen. Und leider ist es eben so, je weiter ich mich dem Gebirge nähere, desto deutlicher kann ich erkennen, dass die vor mir liegende Strecke noch viel weiter ist als bisher angenommen.

Security ist ein derart weites und komplexes Thema, dass man es schlicht nicht derart vereinfachen und simplizieren darf wie GRC.COM es tut. "Schalte WPA ein und alles ist gut" ist als in etwa so brauchbar we der Rat "hör auf zu atmen, damit Du kein Gift schluckst". Beides wirkt nämlich nur eine kurze Zeit lang.