Ansichten eines Informatikers

„Ist das VPN obsolet?“

Hadmut
28.9.2021 13:08

Mal wieder was Technisches aus dem großen Reich der IT.

Ein Leser fragt an:

Ist VPN obsolet?

Moin Hadmut,

mich würde interessieren, was Du als Sicherheitsexperte über VPN denkst. Ich arbeite in einem universitären und akademischen Umfeld und die fraglichen Unirechenzentren setzen auf VPN als wichtigster Sicherung ihrer Infrastruktur, insbesondere zum Absichern von Servern und Netzlaufwerken. In der Wirtschaft dagegen komme ich überhaupt nicht mehr mit VPN in Berührung.

Ich selbst finde VPNs subjektiv erstmal anstrengend, insbesondere dann, wenn ich gleichzeitig Ressourcen benötige, die in verschiedenen VPNs liegen. Mit esoterischen Einstellungen kann man wohl in zwei VPNs gleichzeitig sein, aber das führt die Sicherheitsidee dahinter ad absurdum. Überhaupt erscheint ja die Vorstellung eines sicheren inneren Netzwerkes gegenüber der schmutzigen Außenwelt veraltet, wenn sich Nutzer mit ihren unkontrolliert selbstverwalteten Geräten ins Uni-VPN einwählen und dann darin weitgehende Berechtigungen erhalten. (Einfaches Beispiel: der SSH-Port von Servern ist nur über das Uninetz zu erreichen, in das man sich über VPN einwählen muss.)

Ich versuche gerade, dass besser zu verstehen und schreibe nur aus einer Laienperspektive. Momentan arbeite ich mich in Amazon AWS ein, wo es IAM roles gibt, mit denen man fein granuliert festlegen kann, wer was darf. Nach dem ganzen VPN-Latenz-Gewürge ist das eine Wohltat. Ist natürlich eine ganz andere Technik, die aber, wie mir scheint, den gleichen Zweck verfolgt, nämlich festzulegen, wer was darf.

Naja, eigentlich wollte ich nur fragen, ob Du Lust hättest, mal Deine Gedanken darüber zu schreiben, weil ich Deine technische Beiträge immer am liebsten lese.

Herzliche Grüße

(VPN = Virtual Private Network, also das Prinzip, den Zugang zu einem abgetrenten Netzwerk durch eine wie auch immer geartete Authentifikation und Verschlüsselung auf Netzwerk- und nicht erst auf Anwendungsebene zu sichern.)

Ich habe den Eindruck, dem Leser geht das Uni-VPN auf die Nerven und er erhofft sich von mir eine Verurteilung des Uni-VPN als gestrig und überflüssig.

Sorry, da muss ich den Leser enttäuschen. Soweit ich das aus der Entfernung und ohne den Fall konkret zu kennen überhaupt beurteilen kann, macht die Uni jedenfalls mit der Entscheidung, ein VPN einzusetzen das einzig Richtige. Alles andere würde ich – im Allgemeinen, es mag spezifische Ausnahmen geben – für grob fahrlässig halten.

Und es stimmt auch nicht, dass in der Wirtschaft kein VPN eingesetzt würde. Nur nicht (mehr) überall. Ich kenne genug Firmen, die das einsetzen, und schließlich gibt es ja auch genug VPN-Lösungen. Würde man ja nicht anbieten, wenn es keiner einsetzte.

Zunächst mal ist zu sagen, dass es jenseits reiner Client-Server-Anfrage-Kommunikationsschemen Problemstellungen gibt, die gar nicht anders (oder nicht anders gut) als durch VPN zu lösen sind, beispielsweise wenn der Client selbst per TCP/IP erreichbar sein muss, aber hinter einer Firewall oder irgendeinem NAT sitzt, auf die er keinen Einfluss hat. Beispielsweise im Hotelzimmer. Oder zuhause hinter dem Billig-Router. Oder wenn der Rechner auf Switching-Ebene im selben Netzwerksegment liegen muss, weil irgendeine Anwendung das so braucht und dann nicht das übliche Layer-3-VPN (IP-Pakete) sondern ein Layer-2-VPN zum Einsatz kommt (Ethernet-Pakete auf Netzwerksegment-Ebene).

Dazu kommt bei IPv4 die Adressknappheit. Viele Firmen bekommen heute nicht mehr genug IPv4-Adressen (oder nicht mehr zu vernünftigem Preis), um alle ihre Dienste ohne VPN zu exponieren. Technisch gesprochen, braucht man VPN als NAT-Traversal.

Im Falle einer Universität ist zu sagen, dass die zu sichern schwieriger ist als einen Sack Flöhe zu hüten, weil es an Universitäten so viele Idioten gibt, die sich nicht Anweisungen halten, und noch mehr, die das nicht können und nicht verstehen, was sie da tun. Und dann die ganzen spinnerten Profs mit ihrer Überzeugung, dass die Freiheit von Forschung und Lehre ihnen gestatte, zu tun und zu lassen, was ihnen gerade gefällt. Dazu noch die ständig wechselnden Posten und der Glaube, dass heute ohnehin jeder Admin sein kann, der den Stecker in die Dose kriegt. Das Rechenzentrum und/oder die Netzwerkadministration einer Universität hat überhaupt keine Chance, das flächendeckend abzusichern, vor allem dann, wenn da jedes Institut irgendwas im Netz rumstehen hat und dann durch die Mitarbeiterfluktuation der zuständige Mitarbeiter weg ist. Erfahrungsgemäß verwenden Leute an Universitäten in den Instituten auch so gut wie nie ein zentrales Login, sondern richten irgendwelche lokalen Passwortlisten ein, die dann nie wieder gepflegt werden. Verlässt ein Mitarbeiter die Uni, weiß kein Mensch, wo man den überall austragen muss.

Die Absicherung eines Firmen- oder gar Universitätsnetzes durch VPN allein ist keinesfalls ausreichend, aber gerade bei Netzwerken dieser Größenordnung ist eine Absicherung ohne VPN auch keinesfalls ausreichend. Man hat auf die Art und Weise erst mal einen generellen Weg, den Zugang auf die befugten zu reduzieren und Authentifikation und Autorisation zentral zu verwalten.

Und dann wären wir schon bei einem anderen Punkt.

Man sollte niemals den Fehler begehen, die Sicherheitsmaßnahmen irgendwie in die Guten und die Schlechten teilen zu wollen, sich dann eine aus den Guten zu nehmen und zu denken, das war es dann. Sicherheitsmaßnahmen haben unterschiedliche Eigenschaften, die sind nicht einfach gut oder schlecht. Man muss erst mal das Problem und die Bedrohung untersuchen und verstehen und dann aus dem Werkzeugkasten der zur Verfügung stehenden Maßnahmen die entsprechende auswählen. (War übrigens ursprünglich Thema meiner Dissertation. Es war mal so gedacht, dass die Leute am E.I.S.S. insgesamt sieben Dissertationen schreiben, die zusammenpassen und ein großes Werk ergeben. Sechs davon sollten verschiedene Sicherheitsmaßnahmen beschreiben, wie Kryptographieanwendung, Kryptographietheorie, Firewall, Schlüsselverwaltung, Chipkarten, Sichere Betriebssysteme, und meine Band 1 dazu, nämlich die Problemanalyse und die Auswahl der passenden Sicherheitsmaßnahme. Hätte auch geklappt, wenn nur der Professor nicht gewesen wäre.)

Es gibt da eigentlich nicht „sicher“ und „unsicher“, sondern Maßnahmen, die bestimmte Eigenschaften haben, und Probleme, die man hat. Die Kunst liegt darin, die Maßnahmen so auszuwählen, zu kombinieren und umzusetzen, dass sie das Problem lösen. (Genauer gesagt: so lange transformieren, bis man sie selbst lösen kann, weil Sicherheitsmaßnahmen, inbesbesondere kryptographische, eigentlich nie Problemlösungen, sondern immer nur Problemtransformationen sind, wenn man es richtig macht, das Problem aber nach jeder Transformation kleiner und leichter zu lösen ist.)

Deshalb lässt sich die Frage, ob VPNs obsolet sind, in dieser Allgemeinheit auch nicht beantworten, weil es auf das Problem ankommt. Kategorisch ist die Frage aber mit einem klaren Nein zu beantworten.

Dazu gehört, dass man niemals nur eine Sicherheitsmaßnahme haben sollte, weil die halt auch inzwischen alle kompliziert und fehleranfällig sind. Man kann auch einen SSH-Zugang schlecht konfigurieren oder ein Betriebssystem installieren, das erst mal mit einem default-root-Passwort daherkommt und vergessen, es zu ändern. Es kann immer irgendwas schief gehen. Deshalb sollte man immer redundante, auch technologisch und gerätemäßig redundante Maßnahmen haben. Wer schon mal einen Server direkt ins Internet gehängt und dann in die Logs geguckt hat, wird gemerkt haben, dass – je nach Netzwerkbereich – schon innerhalb von Sekunden die ersten Versuche anfangen, den SSH-Zugang zu brechen, indem die üblichen Standardpasswörter ausprobiert werden. Das ist aber auch nicht jedem „Admin“ so klar und kann eben auch mal schief gehen oder zwischen Installation und Konfiguration einer Maschine für kurze Zeit offenstehen.

Ein anderes Beispiel sind Fehler lokaler Firewalls. Ich kenne Serverprogramme, bei denen man bestimme, sicherheitsrelevante Ports nicht abschalten kann, die man dann durch lokale Firewalls wie iptables unter Linux schützen muss. Auch da kann man leicht Fehler machen.

Wieviele Leute wissen zum Beispiel, dass die heute so beliebten Docker-Container in manchen Implementierungen den exponierten Port nicht nur per Proxy-Dämon aufmachen, sondern zur Effizienzsteigerung zusätzlich per NAT-Regel in den nat-Tabellen von iptables eintragen, die vor den Zugangsregeln der normalen Tabelle ausgeführt werden, und ein per Docker angebotener Port auch dann offen stehen kann, wenn ihn die iptables-Regeln eigentlich verbieten, weil die NAT-Regel vor der Zugriffsregel ausgeführt wird? Sowas kann höllisch enden, wenn man sich allein auf eine Sicherheitsmaßnahme, hier die iptables-Firewall, verlässt.

Wieviele Leute haben überhaupt noch verstanden, was sie tun, und nicht nur irgendwelche ergoogelten Forenweisheiten, HowTos und Getting-Starteds blind nachklöppeln?

Deshalb ist es dringend angeraten, immer noch einen Schutzmechanismus auf Netzwerkebene, eben nochmal eine Netzwerkfirewall mit NAT und VPN, drumzupacken.

Und da empfiehlt sich dann manchmal nicht nur die technologische, sondern auch die personelle Redundanz, damit ein einzelner Inkompetenter oder Idiot nicht alle Sicherheitsmaßnahmen zusammen aufmachen kann.

In der Wirtschaft dagegen komme ich überhaupt nicht mehr mit VPN in Berührung.

Das stimmt zwar so nur teilweise oder fast gar nicht, hat aber auch Kosten- und andere Gründe.

Ein Grund ist, dass in der Wirtschaft heute auch viel Murks passiert. Nur weil es „Wirtschaft“ ist, ist es schon lange nicht mehr zwangsläufig auch gut und richtig.

Ein zweiter Grund ist, dass in der Wirtschaft – im Gegensatz zur Uni – die Möglichkeit zumindest bei kleineren Firmen noch besteht, dass ein Admin alles, was exponiert ist, noch kennt, versteht, unter seiner Fuchtel hat und damit beurteilen kann, welche Maßnahmen geeignet sind, und sie auch durchsetzen und testen kann. Das kann durchaus sein, dass der Admin das eben im Griff hat. Sowas gibt’s noch.

Es hat aber auch damit zu tun, dass Firmen ganz andere Kostenstrukturen als Unis haben, freier entscheiden können, manchmal mehr Geld zur Verfügung haben. Man kauft sich eher Produkte und Dienstleistungen ein. Viele Firmen etwa lassen heute ihren Zugang über die Microsoft-Cloud, Office 365, Azure laufen und drücken damit die Verantwortung gegen Geld einfach ab.

Ein anderer Aspekt ist, dass der Begriff „VPN“ letztlich weiter geht, als es dem Laien ersichtlich ist, und der Laie dann in der Industrie gerne mal VPN macht, ohne selbst zu merken, dass er gerade VPN macht, weil es sich nicht so anfühlt.

So wird dann gerne ssh als Alternative zum VPN hingestellt, aber übersehen, dass auch viele Funktionen der SSH eigentlich unter den Begriff VPN fallen, sich nur nicht so anfühlen, weil leichter zu bedienen.

Ein anderer Aspekt ist, dass gerade in der Industrie heute viele Anwendungen auf Webschnittstellen beruhen. Schon seit weit über 10 Jahren bieten die Hersteller von Firewalls und so weiter sogenannte „SSL-VPNs“ (oder ähnliche Bezeichnungen) an, also quasi VPNs auf Schicht 4 aufwärts. Fühlt sich nur nicht so an. Es gab ja mal eine Zeitlang das Schlagwort von „HTTPS ist das neue TCP“. Vor allem, seit man noch so Dinge wie Ajax und Websockets erfunden hat. Heute hat sich das technisch und begrifflich etwas verschoben, weil eine Webschnittstelle heute eher selbstverständlich als ein Zusatzfeature ist, und heute nennt man sowas dann „Reverse Proxy“ und „Single Sign On“, strukturell gesehen ist das dann aber auch ein VPN, nur eben auf oder oberhalb von Schicht 4 und nicht wie üblich auf Schicht 3.

Ein weitere Punkt dabei ist, dass ja heute vieles auch mit dem Handy gehen soll. Nun können Handys zwar auch VPN, es ist für viele aber zu kompliziert. Browser-VPN ist da einfacher, zumal Funktionen wie u2f heute in die gängigsten Browser schon integriert sind.

Ich selbst finde VPNs subjektiv erstmal anstrengend, insbesondere dann, wenn ich gleichzeitig Ressourcen benötige, die in verschiedenen VPNs liegen.

Was ja – mit gutem Grund – auch oft verboten oder unterbunden wird.

Das kann man aus der Ferne nicht beurteilen, aber sowas sollte eigentlich auch nicht vorkommen.

Mit esoterischen Einstellungen kann man wohl in zwei VPNs gleichzeitig sein, aber das führt die Sicherheitsidee dahinter ad absurdum.

Die Aussage ist so auch nicht richtig. Grundsätzlich kann man beliebig viele VPNs gleichzeitig betreiben, und ich sehe nicht, was daran „esoterisch“ sein soll, je nach verwendeter Technik. Murksprogramme gibt es halt auch.

Soweit damit Adresskollisionen gemeint sind, ja, die kommen unter IPv4 vor, sollten aber mit IPv6 der Vergangenheit angehören. Und der Client kann dies immer noch umschiffen, indem er verschiedene virtuelle Maschinen laufen lässt, was da sowieso ratsam ist. Eben auch aus Gründen besagter Sicherheit. Wenn sich jemand gleichzeitig in verschiedene VPNs einloggt und sagt, er brauche das, ist entweder dort oder beim Benutzer irgendwas nicht in Ordnung. Sowas sollte eigentlich nicht vorkommen.

Überhaupt erscheint ja die Vorstellung eines sicheren inneren Netzwerkes gegenüber der schmutzigen Außenwelt veraltet, wenn sich Nutzer mit ihren unkontrolliert selbstverwalteten Geräten ins Uni-VPN einwählen und dann darin weitgehende Berechtigungen erhalten.

Stimmt, die ist auch veraltet, aber daraus folgt nicht, dass das VPN veraltet ist, weil das VPN nicht auf dieser Vorstellung beruht.

Es ist richtig, dass man heute – im Allgemeinen – nicht mehr von einem „sicheren inneren Netzwerk“ ausgehen kann. Daraus folgt aber nicht, dass man auf VPNs verzichten kann, denn dieser Gedanke beruht auf der laienhaften Vorstellung, dass es sichere und unsichere Maßnahmen gibt, man die unsicheren bleiben lassen kann und sich einfach eine aus den sicheren aussucht. Das ist Unfug.

Nur weil das innere Netzwerk nicht mehr völlig sicher zu kriegen ist, heißt das noch lange nicht, dass man es gleich offenstehen lässt wie ein Scheunentor. Es ist immer noch ein Unterschied, ob der chinesische oder russische Hacker einen Mitarbeiterrechner oder Server infiltrieren muss, um ins Netz zu gelangen, oder gleich direkt aus dem Internet reinkommt.

Man lässt ja auch nicht seine Wohnungstür offenstehen, nur weil man die Fenster leicht einschlagen kann.

Und wegen der „unktrolliert selbstverwalteten Geräte“:

Es ist eigentlich Stand der Technik (und das eigentlich auch schon seit mindestens 15 Jahren), dass man gerade deshalb nicht mehr alles auf dem – unsicheren – Endgerät macht, sondern das nur als Terminal verwendet, um sich auf einer virtuellen Maschine einzuloggen, statt einen Firmenrechner zu verwenden. Haarspalter werden sagen, dass das sicherheitstechnisch kein Vorteil ist, weil der kompromitierte Client auch immer die Maschine kompromittieren kann, aber das stimmt so auch nicht ganz. Zum einen kann man viele virtuelle Maschinen eben so abdichten, dass man keine Dateien rauf und runterladen kann, sondern nur Tastatur und Maus durchgegeben, und zum zweiten steht die virtuelle Maschine dem Admin ständig für Updates zur Verfügung und nicht nur dann, wenn sie eingeschaltet und gerade im Firmennetz eingestöpselt ist.

Auch da ist es praktikabel und ratsam, oft auch kostengünstiger, nicht mehr jedem sein Mitarbeiternotebook zu geben, sondern – gerade zu Zeiten von Corona und Home-Office – zu sagen, er kann seinen unter Auflagen sauber gehaltenen Privatrechner oder irgendwas Preisgünstiges verwenden, indem er es nur als Terminal zum Zugang auf eine virtuelle Maschine verwendet. Auch das ist im Prinzip nahe am VPN, auch wenn es sich für den Laien nicht so anfühlt.

Es gibt auch die Technik, dem Mitarbeiter einen Firmenrechner zu geben, nur eben nicht physisch, sondern als virtuelle Maschine, die er auf einem – unter Auflagen – vertretbar sicheren Privatrechner laufen lassen kann. So mittelprächtig.

Oder, um es kurz zu sagen:

Nein, VPNs sind überhaupt nicht obsolet. Sie sind nur in ihrer herkömmlichen Form nicht mehr überall unbedingt erforderlich, sondern können je nach Anwendungsfall auch durch Alternativen wie virtuelle Maschinen, auf denen man sich einloggt, oder Webschnittstellen mit Single-Sign-On und Reverse-Proxy substituiert werden, was sogar Sicherheitsvorteile bringen kann. Strukturell fällt auch das unter VPN, fühlt sich für den Laien nur nicht so an.

Keinesfalls aber sollte man auf VPNs verzichten, ohne einen triftigen Grund und passenden Ersatz zu haben, etwa weil man sie – aus Laiensicht – für „obsolet“ hält. Sie sind im Gegenteil bei der heutigen Angriffsdichte wichtiger denn je. Zumal man damit auch den ganzen DNS-Kram und die Zahl der Server vor der Außenwelt verbergen kann.

Dazu kommt natürlich, dass man sich um eine starke Authentifikation kümmern muss, die nicht nur auf lumpigen Passworten beruhen darf. Irgendwas mit 2nd Factor, Kryptoschlüssel im Token oder sowas müsst’s dann heute schon sein (wenn das Geld reicht). Und eine Benutzerverwaltung, die frei von Karteileichen ist.

Eine ganze Menge von Dingen würden nicht unsicher und frei im Internet herumstehen, wenn man konsequent VPNs einsetzen würde. Man hat es nur leider nicht geschafft, eine VPN-Technik zu erfinden, die einheitlich, robust und leicht zu bedienen ist. Aber sehr wichtig sind und bleiben die schon.