Sicherheit zwischen 0 und 1: VPN - Was es kann und was nicht

class: center, middle

![img33r](vpntux1.webp)
## Sicherheit zwischen</br>0 und 1
# VPN
### Was es kann und was nicht
### Hauke Goos-Habermann
#### https://weisheit.goos-habermann.de
---

### Über mich

- Entwickler des <a href="https://m23.sourceforge.io">Softwareverteilungssystems m23</a>

- Organisator der <a href="https://kielux.de">Kieler Open Source und Linux Tage</a>

- <a href="https://goos-habermann.de/">Dienstleister zu m23, Linux und Freier Software</a>

- Softwareentwicklung (PHP, BASH, C/C++, JS, Python und was sonst so gebraucht wird...)
  - Administration
  - Schulungen
  - Support
  - Beratung
  - quasi **alles**, *was mit Linux zu tun hat*

- Wöchentlicher Livestream *"Jean und Hauke Show"* auf https://www.youtube.com/c/LinuxGuides

- *"Nicht der Weisheit letzter Schluß"* mit **beruflichen** oder **privaten Projekten** auf <a href="https://tube.tchncs.de/c/ndwls">tube.tchncs.de/c/ndwls</a> und <a href="https://youtube.com/@nichtderweisheit">youtube.com/@nichtderweisheit</a>

- Verwendet auch VPNs
---

### Was macht ein VPN?
![img33r](vpntux2.webp)

Ein VPN soll den gesamten Datenverkehr **verschlüsseln**, damit Inhalte, die über öffentliche WLANs oder das Internet übertragen werden, vor dem Mitgelesen geschützt sind.

So kann per **Fernzugriff** auf interne (Unternehmens-)Ressourcen aus Homeoffice, Außendienst, Filialen etc. zugegriffen werden.

Hierbei muß durch **Authentifizierung** sichergestellt werden, daß **nur berechtigte Nutzer** das VPN verwenden.

**Webseiten**(-betreiber) sehen die **IP Eures VPN-Servers**, wenn Ihr über ein VPN im Internet surfen.

***Zusätzlich*** kann die **IP** bzw. der **Standort** des Nutzers **verschleiert** werden.
---

### Drei Angriffspunkte
![img33r](vpntux3.webp)

Wie bei allen sicherheitskritischen Komponenten sollte man überlegen, was man vorhat und 
was dabei schiefgehen kann. Ein paar Fragen für Euch:

* **Grundlegende Idee richtig?**
	* Was soll vor wem geschützt werden?
	* Wer darf wie zugreifen?
	* (Wurde alles berücksichtigt?)

* **Aufbau**
	* Welche Server- und Zugriffsprogramme werden verwendet?
	* Wie sind diese vernetzt?
	* Wer hat Zugriff auf welche Daten?

* Gibt es evtl. **Sicherheitslücken**, Bugs oder **fehlerhafte Hardware** auf der die Komponenten ausgeführt werden?
---

### Sicheres Verbinden von Standorten

![img33r](vpntux4.webp)

Wenn Ihr Euch sicher mit Eurer Firma oder Eurem zuhause verbinden möchtet, so könnt Ihr sowohl **<a href="https://de.wikipedia.org/wiki/WireGuard">WireGuard</a>** als auch **<a href="https://de.wikipedia.org/wiki/OpenVPN">OpenVPN</a>** verwenden, welche beiden unter freien Lizenzen stehen und auf **eigener Hardware** installiert werden können.

So sollen Außenstehende **nicht** den Inhalt der ausgetauschten **Daten lesen** können und **firmeninterne Dienste** (z.B. LDAP, Kerberos oder Samba) auch von zuhause aus oder auf Reisen verfügbar sein.

**Router**, **Provider**, **DNS-Server** oder **AccessPoints** können prinzipiell **sehen/protokollieren**, daß Ihr eine **VPN-Verbindung** öffnet und welchen **VPN-Server** Ihr verwendet.

Mehr zu VPNs auf Basis von SSH im Video</br> *"<a href="https://goos-habermann.de/weisheit-10042-Spass-mit-Tunneln---Port-Weiterleitung-und-VPN">Spaß mit Tunneln - Port-Weiterleitung und VPN</a>"*
---

### Verschleiern der IP

![img33r](vpntux4.webp)

Auch wenn **VPN-Betreiber** oft beteuern, daß sie **keine Protokolle** anlegen, können sie dazu <a href="https://www.pcwelt.de/article/2370893/vpns-straftverfolgungsbehoerden-vpn-protokolle-anfordern.html">gezwungen werden</a>, (einzelne) Nutzer zu verfolgen. Prinzipiell können sie nachvollziehen, wann Ihr von wo auf was zugegriffen habt. Durch (staatlich auferlegte) **Hintertüren**, <a href="https://de.wikipedia.org/wiki/Telekommunikations%C3%BCberwachung#Quellen-Telekommunikations%C3%BCberwachung">Quellen-Telekommunikationsüberwachung</a> (TKÜ) oder sonstiges können auch **Daten ausgelesen** werden.

Durch **Zahlungsdaten** oder **Telefonnummer** des Kunden kann dieser evtl. noch einfacher identifiziert werden.

**Anbieter**, die VPNs anbieten, gibt es **wie Sand am Meer**. <a href="https://proton.me/">ProtonVPN</a> hat ein z.B. **kostenloses Paket** mit **gedrosseltem** VPN: Die Registrierung benötigt einmalig eine eMail-Adresse und auf die Webseite kann auch über **<a href="https://proton.me/de/tor">Tor</a>** zugegeriffen werden. Bezahlt werden kann auch mit Geschenkgutscheinen, Bargeld oder Bitcoins. Mehr zu **<a href="https://www.heise.de/news/Ueberwachung-Proton-verlagert-Teile-seiner-Infrastruktur-aus-der-Schweiz-10538647.html">Schweiz und Datenschutz</a>**.
---

### Anonymisierung
![img33r](vpntux5.webp)

Ist hingegen Anonymisierung gefragt, so hilft das **<a href="https://de.wikipedia.org/wiki/Tor_(Netzwerk)">Tor-Netzwerk</a>**, das Anfragen immer über drei Server (Eintritts-, Tor- und Austrittsknoten) leitet. Die Server werden von Einzelpersonen, Organisationen und **wahrscheinlich Geheimdiensten** betrieben. Gelingt es einem großen / staatsübergreifendem Angreifer viele Tor-Knoten zu infiltrieren oder das komplette Netz zu überwachen, so können <a href="https://www.heise.de/thema/Tor">Nutzer deanonymisiert</a> werden.

Viele Seiten blockieren Anfragen aus dem Tor-Netz, denn die **IPs** der <a href="https://www.dan.me.uk/tornodes">(Exit-)Nodes</a> sind **bekannt**.

Tor kann einfach über den **<a href="https://www.torproject.org/download/">Tor Browser</a>**, die **Live-Distribution <a href="https://de.wikipedia.org/wiki/Tails">Tails</a>** oder als <a href="https://de.wikipedia.org/wiki/SOCKS">Socks5-Proxy</a> (direkt im jeweiligen Programm oder per <a href="https://gitlab.torproject.org/tpo/core/torsocks">torsocks</a>) verwendet werden, um so <a href="https://www.youtube.com/watch?v=wHQd76DuXDQ">Datenpakete</a> durch das Tor-Netzwerk zu schleusen.
---

class: center, middle
### Informationen zu mir und meinen Dienstleistungen, m23, ...
### https://goos-habermann.de