Was bringt mir die Verschlüsselung der VPN-Leitung?

Aus UniDSL Wiki

Die VPN-Verbindung zum Rechenzentrum wird mittels IPSec verschlüsselt. Es dient hier vor allem, um Traffic über die Uni-Leitungen fließen zu lassen und nicht über Westend.

Mögliche Angriffs-Szenarien

Natürlich könnte man aus dem Westend-Netz heraus die Verschlüsselung angreifen. Unabhängig von der Sinnhaftigkeit dieser Frage (schließlich können alle anderen Netzbetreiber, durch deren Knoten die Daten hinter dem Rechenzentrum laufen, alles unverschlüsselt mitlesen), scheint es auf den ersten Blick unmöglich -- schließlich sind mit IPSec verschlüsselte Daten für nicht autorisierte Empfänger praktisch nicht zu entschlüsseln. Leider lautet die Antwort aber: Nein.

Der Grund liegt darin, dass sich bei dem von der RWTH eingesetzten Protokoll XAUTH zur Authentifizierung nur der Client gegenüber dem Server, aber nicht umgekehrt, authentifizieren muss (als einziger Beleg dafür, dass der Server der ist, für den er sich ausgibt, gilt das Gruppenpasswort, das jedoch allen Mitgliedern der Gruppe bekannt und damit öffentlich ist). Anders gesagt: Die Clients haben keine Möglichkeit, sicher festzustellen, ob der VPN-Server wirklich der ist, der er vorgibt zu sein.

Wollte Westend also den Verkehr unverschlüsselt mitlesen, müssten sie nur einen eigenen VPN-Server mit den gleichen Einstellungen aufsetzen und unter der Adresse erscheinen lassen, unter der normalerweise der RWTH-Server zu finden ist. Die Clients melden sich dann an diesem Server an und offenbaren dabei dem Server ihre Login-Daten. Mit diesen kann Westend sich wiederum am echten VPN-Server des Rechenzentrums anmelden und anschließend alle Daten dorthin umlenken, so dass das Opfer nichts bemerkt. Das einzige, was man dafür wissen muss, ist das Gruppenpasswort. Das Ganze nennt man Man-in-the-Middle-Attack, und möglich ist diese Form des Angriffs immer, wenn nur eine einseitige sichere Authentifizierung stattfindet.

Für leitungsgebundene Nutzer ist dies aber nur eine theoretische Gefahr: Es gibt überhaupt keinen Grund, Westend zu misstrauen, zumal sowieso jeder Netzknoten hinter dem VPN alles unverschlüsselt mitlesen kann. Für drahtlose Netzwerke (WLANs) sieht es schon anders aus. Denn hier könnte theoretisch jeder mit einem entsprechend ausgerüsteten Notebook auf dem Campus einen VPN-Server aufmachen und mit genügend Sendeleistung den Access-Point der Uni überstrahlen. Damit ließen sich in kurzer Zeit zahlreiche Einwahlkennungen abfischen. Software, die in der Lage ist, als VPN-Server mit XAUTH-Unterstützung zu fungieren, gibt es nicht nur für teures Geld von Cisco: Die Open-Source-VPN-Implementation Openswan beherrscht dies ebenfalls. Natürlich wäre ein solches Vorgehen illegal und strafbar, aber das heißt nicht, dass nicht doch irgendjemand auf die Idee kommen könnte, das zu tun. Also: Augen auf beim WLAN-Surfen auf dem Campus!

Warum überhaupt VPN?

Warum setzt die RWTH dann überhaupt IPSec ein? Weil es für WLANs prinzipiell durchaus ein sehr großes Maß an Sicherheit bietet, insbesondere verglichen mit dem unsicheren Verschlüsselungsstandard WEP. Zumindest wäre es das, wenn diese Sicherheit nicht durch XAUTH kompromittiert werden würde. Allerdings will Cisco demnächst auf das sicherere Nachfolgeverfahren RADIUS umsteigen, und die RWTH wird dementsprechend auch darauf umstellen, so dass dieses Sicherheitsloch nicht ewig bestehen bleiben dürfte. Die einzige derzeit einsatzbereite Alternative zu XAUTH wäre die Verwendung von Zertifikaten, welche jedoch mit großem Aufwand zur Verwaltung verbunden ist.

Warum VPN für UniDSL?

Was hat das Ganze nun eigentlich mit Uni-DSL zu tun? Nun, das RZ legt aus verschiedenen Gründen (Sicherheit, Verwaltungsaufwand..) Wert darauf, eine einheitliche Anbindung für Externe (Studenten etc.) zu schaffen. Deshalb soll für die Einbuchung per WLAN ins RWTH-Netz die gleiche Technik eingesetzt werden wie bei Uni-DSL-Nutzern. Und deshalb müssen sich auch Uni-DSLer über ein VPN mit IPSec einwählen. Zur Not ist aber auch die unverschlüsselte Einwahl über PPTP möglich, die ohne zusätzliche Software mit Windows-Bordmitteln funktioniert (siehe hierzu die Anleitung des Rechenzentrums). Verbindungen darüber sind jedoch auf zwei Stunden limitiert.

Sicher ist die Übertragung über IPsec, wie sie bei Uni-DSL realisiert ist, also -- wenn überhaupt -- nur bis zum VPN-Concentrator des Rechenzentrum zu nennen. Jeder Nutzer sollte deshalb selbst Sorge tragen, dass vertrauliche Daten sinnvoll vor Fremdzugriff geschützt werden.