Wie sicher sind VPNs?

(Di Alessandro Rugolo)
27/06/22

Mit diesem kurzen Artikel werde ich versuchen, die Frage zu beantworten, die mir vor einigen Tagen gestellt wurde: "Wie sicher ist ein VPN?" Bei dieser Gelegenheit werde ich auch zwei vorläufige Themen ansprechen, ohne deren Kenntnis es nicht möglich ist, zu verstehen, wovon wir sprechen: was VPN bedeutet e kommen funziona. Die Antworten sollten relativ einfach sein, aber wir nehmen nichts als selbstverständlich hin und versuchen wie immer zu verstehen, wovon wir sprechen.

Um sicherzugehen, dass wir uns nicht irren, sehen wir, dass einer der größten Netzwerkdienstanbieter der Welt, CISCO, uns davon erzählt: „Ein virtuelles privates Netzwerk oder VPN ist eine verschlüsselte Verbindung über das Internet von einem Gerät zu einem Netzwerk. Die verschlüsselte Verbindung trägt dazu bei, dass sensible Daten sicher übertragen werden. Sie verhindert, dass unbefugte Personen den Datenverkehr belauschen, und ermöglicht es dem Benutzer, zu leiten Arbeiten Sie aus der Ferne. Die VPN-Technologie ist in Unternehmensumgebungen weit verbreitet. "

Wir haben bereits herausgefunden, dass sich das Akronym VPN auf einen bezieht "Virtuelles privates Netzwerk" als verschlüsselte Verbindung zwischen einem Gerät (PC, Tablet, Smartphone ...) und einem Netzwerk (in der Regel ein Firmennetzwerk), alles auf Basis des Internets. Die verschlüsselte Verbindung trägt dazu bei, dass Daten sicher übertragen werden. 
Das VPN verhindert das Abhören des Datenverkehrs durch Unbefugte und ermöglicht seinen Nutzern das Arbeiten aus der Ferne.

Was ich hervorgehoben habe, sind die Hauptmerkmale eines VPN. Bevor wir fortfahren, machen wir ein Beispiel für VPN vor dem Internet. Wir alle erinnern uns, dass es als Kinder in der Schule oft vorkam, dass wir dem Klassenkameraden, der zwei Reihen voraus war, etwas mitteilen mussten. Nachdem versucht wurde, sich zu verständigen, ihn vielleicht mit leiser Stimme anzurufen, dadurch die Aufmerksamkeit des Lehrers auf sich zu ziehen und deshalb gefilmt zu werden, wurden weniger laute Methoden erfunden.

Die erste Methode, die ich selbst verwendet habe, war, die Nachricht in ein Blatt Papier zu schreiben, es in vier Teile zu falten und den Namen des Empfängers der Nachricht auf das gefaltete Papier zu schreiben und dann die Schulter des ersten Partners zu berühren, der in der Richtung war des Empfängers und bitten Sie mit einem Nicken, die Nachricht weiterzuleiten. 
Ich möchte darauf hinweisen, dass in diesem Beispiel die Klasse als Internet-Netzwerk fungierte, jeder Klassenkamerad tatsächlich ein Knoten im Netzwerk war. Das Faltblatt war die Unterstützung wichtiger Daten (nach der Schule gehen wir im Fluss baden?). Das vierfache Falten des Blattes garantierte ein Minimum an Sicherheit (sehr wenig, gebe ich zu!). Der oben geschriebene Name des Empfängers war die Information, die benötigt wurde, um die Nachricht an ihr Ziel zu bringen.

System, das mit einer Annahme arbeitet, Alle Kameraden sind miteinander befreundet und niemand ist neugierig.

Wie ich mir vorstellen kann, haben Sie es auch bei ähnlichen Gelegenheiten erlebt, zu denken, dass alle Freunde sind und dass niemand neugierig ist, ist aus menschlicher Sicht schön, aber absolut unwirklich. 
Was in diesem Ur-Internet oft passierte, war, dass einer der Knoten (ein neugieriger Begleiter) die Nachricht, anstatt sie an den nächsten Begleiter zu übermitteln, öffnete und las, und erst dann bestenfalls schloss und an den wahren Empfänger weiterleitete .

Die Lösung, die ich angenommen habe, und ich kann mir vorstellen, dass viele von Ihnen dies lesen, war einfach, es war ein VPN. Sicher, analog, aber es ist immer noch ein VPN. Das VPN funktionierte so. 
Da der Empfänger meiner Nachrichten mein Partner war, mit dem wir jeden Tag Fußball spielten, haben wir uns darauf geeinigt, verschlüsselte Nachrichten zu verwenden. Unsere Chiffre war ganz einfach, es ging nur darum, einen Buchstaben nach einem Muster, auf das wir uns geeinigt hatten, durch einen anderen zu ersetzen.

Heute weiß ich, dass es das war Chiffre von Cäsar aber egal, Hauptsache es funktionierte. Und es hat geklappt ... es gab immer wieder Leute, die aus Neugier den Flyer aufgeschlagen haben, aber meist nicht verstehen konnten, was drauf stand. In der Praxis hatten wir mit der Verschlüsselung ein echtes VPN geschaffen, ohne es zu wissen!

Heute werden VPNs verwendet, um einen über das Internet verbundenen PC sicher mit einem Unternehmensnetzwerk zu verbinden. Der PC außerhalb des Netzwerks, der mit dem Internet verbunden ist, baut eine sichere Verbindung mit einem VPN-Dienstserver unter Verwendung eines sicheren Protokolls (normalerweise wird TLS verwendet) auf.

Nun möchten wir folgende Frage beantworten: Wie sicher ist ein VPN?

Nachdem wir verstanden haben, was es ist und wie es funktioniert, wollen wir etwas mehr über die Sicherheit eines VPN verstehen.
Es ist leicht zu verstehen, dass bei der Bewertung des Sicherheitsniveaus des VPN viele Faktoren eine Rolle spielen. Lassen Sie uns gemeinsam versuchen, die Schwachstellen zu verstehen.

Die Verschlüsselung

Einer der wichtigen Faktoren ist die Art der Verschlüsselung, die Sie verwenden. Wie ich bereits erwähnt habe, habe ich die verwendet Chiffre von Cäsar, ein kryptografischer Algorithmus, der zu den einfachsten gehört und darin besteht, einen Buchstaben durch einen anderen Buchstaben desselben Alphabets zu ersetzen, wie Sie der Abbildung entnehmen können.

Es funktionierte ganz gut, aber es war nicht schwer, die Nachricht zu entziffern, und es bestand immer die Möglichkeit, dass ein besonders schelmischer Begleiter das Stück Papier nahm und es für sich behalten würde.

In ähnlicher Weise ist eines der Merkmale von VPNs der Verschlüsselungsalgorithmus, der zum Verschlüsseln der Daten und zum Festlegen des besten Pfads zum Erreichen des Empfängers verwendet wird. Da die von VPNs verwendeten Algorithmen unterschiedlich sind, ist klar, dass auch die Sicherheit von VPNs unterschiedlich ist.

Im Allgemeinen können wir sagen, dass ein VPN die Verwendung von a erfordert Verschlüsselungsalgorithmus (um Daten zu verschlüsseln und zu entschlüsseln) und a sicheres Protokoll um den Kommunikationskanal aufzubauen und aufrechtzuerhalten (Handshake-Verschlüsselungsprotokoll).

Einer der am häufigsten verwendeten Verschlüsselungsalgorithmen in der VPN-Geschichte zum Aufbau des verschlüsselten Kanals heißt RSA-1024 (Rivest-Shamir-Adleman). Es gibt immer noch VPNs, die es verwenden, obwohl der Algorithmus seit 2014 von der amerikanischen NSA geknackt wurde (so heißt es zumindest). Heutzutage verwenden viele Algorithmen RSA-2048, wobei die Zahl die Länge des Verschlüsselungsschlüssels in Bits angibt. Theoretisch ist die von RSA-2048 bereitgestellte Verschlüsselung resistent gegen "Brute Force"-Angriffe, da die Ausführung zu lange dauern würde, aber ich erinnere mich auch, dass diese Art von Angriff nicht der einzig mögliche ist, die Geburt und ständige Verbreitung von das Quantencomputer stellt die tatsächliche Gültigkeit von Verschlüsselungsalgorithmen in Frage, die auf dem Austausch von Schlüsseln basieren.

In den letzten Jahren gab es einen wahren Ansturm auf die Erforschung sogenannter „Post-Quanten“-Algorithmen, die Brute-Force-Angriffen von Quantencomputern widerstehen können. Wenn wir zum Beispiel OpenSSH nehmen, wurde entschieden, Version 9 basierend auf einem Algorithmus einzuführen Post-Quantum.

Etwas weiter oben sagte ich, dass RSA-1024 wahrscheinlich geknackt wurde, ich greife das Konzept nur für einen Moment auf, weil es eine notwendige Klarstellung einführt: Wenn wir darüber sprechen, wie sicher ein VPN ist, gibt es keine einheitliche Antwort, da es davon abhängt, wer die Frage stellt. Als Prämisse jeder halbwegs ernsthaften Antwort auf die Frage müssen wir uns an die Notwendigkeit von a erinnern Risk Assessment das heißt, die Bewertung des Risikos, das mit dem Unternehmen verbunden ist, von dem wir sprechen.

Ich möchte nicht auf technische Details eingehen, aber ich werde ein einfaches Beispiel geben, um zu verstehen, worum es geht. Wenn unser Unternehmen Teile von Industriemaschinen für ein bestimmtes Gebiet der Welt herstellt, nehmen wir an, für Italien, und es ein VPN für seine Kommunikation verwenden muss, wäre dies eine gute Sache. Vermeiden Sie es, das VPN eines Unternehmens in irgendeiner Weise mit seinen direkten Wettbewerbern auf dem Markt in Verbindung zu bringen. Leider ist es nicht immer einfach zu verstehen, wem man vertrauen kann und wem nicht. Meine Regel ist das Ich vertraue niemandem, aber das ist eine andere Geschichte.

Um auf VPNs zurückzukommen, eines der heutzutage am häufigsten verwendeten Standardprotokolle ist OpenVPN. Es ist ein Protokoll Open-Source- die daher von jedem studiert und öffentlich analysiert werden können, der die Fähigkeiten, das Interesse und den Wunsch dazu hat.

Wie immer müssen zusätzliche Faktoren im Zusammenhang mit der digitalen Welt berücksichtigt werden. Alle denkbaren Systeme, Software, Hardware oder Mischungen aus beidem unterliegen:
- Schwachstellen aufgrund schlechter Produktion;
- Fehler von Menschen, Benutzern oder Technikern bei der Konfiguration und Verwendung (dies ist der häufigste Fall, da die Verwendung eines VPN das Risiko des Diebstahls von Zugangsdaten nicht beseitigt, im Gegenteil, es wahrscheinlich erhöht, indem es einen Benutzer erstellt falsche Sicherheitserwartung).

Wenn Sie sich ein Bild von den Schwachstellen von machen möchten OpenVPN, nur als Beispiel, können Sie diese Liste konsultieren: Openvpn - Sicherheitslücken (cvedetails.com).

Nachdem ich versucht habe, auf möglichst einfache Weise zu erklären, was ein VPN ist, und nachdem ich einige grundlegende Fragen angesprochen habe, werde ich abschließend versuchen, die Frage zu beantworten, von der wir ausgegangen sind: Wie sicher sind VPNs?

Die einfachste Antwort lautet: besser als Klartext.

Die ernstere Antwort lautet: es kommt auf den Kontext an.

Die vollständigere Antwort lautet: Um etwas Sinnvolles sagen zu können, müssen wir eine Risikobewertung durchführen und dann ein VPN auswählen, das für den strategischen, technologischen und organisatorischen Kontext geeignet ist, in dem wir uns befinden!

Das VPN erhöht die Sicherheit, erhöht aber auch den Sicherheitsperimeter und damit die Risiken. Das dürfen wir nie vergessen Sicherheit hängt vom schwächsten Glied in der Kette ab und das ist meistens der Mensch!

Wie immer danke ich den Freunden von SICYNT für ihre Hilfe und Anregungen. In meiner Präsentation habe ich mich für eine Vereinfachung entschieden, also habe ich es absichtlich aufgegeben, über Authentifizierung und Integrität zu sprechen, wichtige Konzepte, die den Artikel jedoch weniger klar gemacht hätten. Dazu werden wir andere Gelegenheiten haben.

Um mehr zu erfahren:

rheinmetal defensive