VPN - Soll ich wieder eines aufbauen?

Corona Covid-19 machts möglich: Wir arbeiten von zu Hause!

Und wie? Natürlich per VPN. Dann sieht es zu Hause so aus, als stünde unser Laptop mitten in der Firma und “sieht” alle dortigen Resourcen.

Hmm … eigentlich könnte ich das mit “meinem” Netzwerk auch wieder mal machen …


Damals …

VPNs sind für mich eigentlich ein alter Hut.
Als ich so um 2005 mit Windows Server 2003 meine eigene AD-Domäne erstellt hatte, war ein VPN-Zugang ebenso Pflicht.

Was heute vermutlich als “Wahnsinn” abgestempelt wird, war damals für mich ganz normal:

  • Der Windows Server hing direkt (also ohne Hardware Firewall) am Internet
  • PPTP wurde als VPN Protokoll gewählt
  • Authentifiziert wurde direkt über das Active Directory … also mit meinem regulären Benutzerkonto.

Und warum war das ein “Wahnsinn”?

  • Die Windows-Server Firewall gilt heute als unzureichend … gut darüber kann man streiten, denn bei mir hat sie “funktioniert”, allerdings wäre es mir auch kaum aufgefallen, wenn sie jemand durchbrochen hätte.
  • Nach 2010 wurden einige Bugs im PPTP Protokoll publik, die aber schon Jahre zuvor diskutiert wurden. Es ging darum, dass es einfach möglich sei, die Verschlüsselung im VPN zu brechen in dem man nur eine Weile den Datenstrom mitschneiden und analysieren musste.
  • Dass die Authentifizierung mit AD Accounts stattfand war der Einfachheit geschuldet. Natürlich nutzte ich eigene VPN-Accounts und nicht mein Arbeitskonto, doch ein Seiteneffekt vom Windows VPN war, dass mit einem akzeptierten Login der verbundene PC bereits “Domain-User” Rechte hatte. Man konnte bereits auf nicht eigens geschützte Ressourcen zugreifen, ohne ein weiteres Passwort zu kennen.

Unternehmenszugänge

In den Firmen, in den ich bereits gearbeitet habe, gehörten VPNs meist zum Standard. Die größeren nutzten Kombinationen aus Hard- bzw. Softtoken Lösungen für die Authentifizierung, während die kleineren bei Standard Windows VPNs via PPTP und L2TP verblieben.

Die Unternehmenslösungen, die meist mit Cisco zu tun hatten, sind deshalb erwähnenswert, weil sie ein für die Firmen wichtiges Feature forcieren, nämlich das Sperren von lokalen Verbindungen während der VPN Sitzung.

Man ist also quasi “wirklich” nur noch im Firmennetzwerk und kann weder lokale Rechner noch das Internet von zu Hause aus kontaktieren.
Das führt natürlich wieder zu Problemen, wenn man den eigenen Netwerkdrucker nicht mehr zum Drucken nutzen kann, oder aber die Web Anfragen von privaten Apps plötzlichen über den Firmen-Proxy laufen, der alles fleißig mitloggt.

Als Administrator verstehe ich diese Vorgehensweise jedoch, schließlich möchte man sich ja nicht mit jeder neuen VPN Verbindung eine Brücke von außen ins Unternehmen hinein bauen.

Und was nun?

Auch wenn ich mich vor gezielten Hackerangriffen nicht zu fürchten brauche weil ich nichts Relevantes auf meinen Maschinen horte, werde ich vermutlich keinen Windows Server mehr direkt mit VPN Aufgaben betrauen.
Zwar vertraue ich auf Microsoft grundsätzlich, dennoch werden genau wegen seiner Verbreitung viele automatisierte Attacken gegen dessen Protokolle und Funktionen gefahren … und es wäre doch peinlich, wenn gerade ich so zum Opfer werden würde.

OpenVPN am Raspberry PI

Das wäre also meine Vorstellung: eine Netzwerkbrücke über OpenVPN, die einer meiner älteren Raspberry PIs für wenig Strom bereitstellt.
Bisher hatte ich immer nur mit Passwörtern bzw. Pre-Shared Keys zu tun, aber wenn ich hier neu starte, sollten es Zertifikate werden.
Mal sehen, wie gut bzw. schlecht sich das einrichten lässt.

Wenn endlich mal Zeit bleibt so etwas aufzubauen und alles auch gut funktioniert, gibt es sicher einen weiteren Beitrag dazu …


Fun-Fact am Rande: VPN-Routing ins Firmennetzwerk.

Als ich die Firmen-IT-Administration unterstützt prüfte ich gelegentlich auch die Firewall Logs im Unternehmen. Eines Tages fiel mir dort eine Häufung von Aufrufen einer Pornoseite auf. Ich kann mir nicht vorstellen, dass jemand in der Firma solche Inhalte aufruft, doch es passiert leicht, dass jemand per VPN “noch schnell was erledigen will” und danach den VPN-Disconnect vergisst.
Tja und dann laufen ALLE Anfragen eben über die Infrastruktur der Firma.

Also aufpassen, wer mit VPN arbeitet. Immer schön zwischen beruflichen und privaten Surfen trennen … oder der Admin erfährt brisante “Details”.


Wenn sich eine triviale Erkenntnis mit Dummheit in der Interpretation paart, dann gibt es in der Regel Kollateralschäden in der Anwendung.
frei zitiert nach A. Van der Bellen
... also dann paaren wir mal eine komplexe Erkenntnis mit Klugheit in der Interpretation!