Open Source im professionellen Einsatz

Open Source Software hebelt Chinas "Great Firewall" aus

04.08.2008

Journalisten bei den Olympischen Spielen 2008 in Peking haben keinen vollen
Internetzugang. Mit der GPL-Software Openvpn lassen sich solche Zensurmechanismen leicht umgehen.

1232

IOC-Präsident Jacques Rogge musste kürzlich unter heftiger Kritik zurückrudern, als bekannt wurde, daß von dem versprochenen "uneingeschränkten" Internetzugriff für Pessemitarbeiter wenig übrig blieb. Die Anwender Freier Software können sich über den Trubel nur wundern, denn Software wie Openvpn tunnelt Firewalls wie die Chinas (Kasten "Die Funktionsweise der Great Firewall") ohne Probleme.

Die Funktionsweise der Great Firewall

Chinas Internetzensur scheint laut einer Studie der Universität Cambridge im wesentlichen aus 5 Vorkehrungen zu bestehen:

  • IP Blocking unterbindet den Zugriff auf gelistete IPs.
  • DNS Filter verbieten die Namensauflösung unliebsamer Server.
  • URL Filter untersuchen Anfragen ins WWW auf Stichworte und verhindern unerwünschte
    Antworten
  • Paket Filter durchleuchten den gesamten Traffic und eliminieren Verbindungen mit
    unerwünschten Inhalten.
  • Connection Reset: Verbindungen, die in eine der genannten Kategorien fallen, beendet
    die Firewall, indem sie TCP-Reset-Pakete sendet.

Als Probate Mittel zur Umgehung der Firewall gelten dagegen:

  • Proxies im Ausland,
  • Anonymisierungsdienste wie Tor,
  • Webseiten, die HTML in Bilder umwandeln, zum Beispiel Picidae

Alle diese Möglichkeiten haben allerdings den Nachteil, dass die chinesische Regierung
relativ leicht reagieren kann und das auch häufig tut. der Zugriff auf bekannte Proxy-Server oder speziell angepasste Dienste wie Picidae, die unerlaubte Inhalte in Bilder umsetzen, ist meist nicht mehr möglich, da deren IPs in der Liste der
blockierten Server auftaucht.

Nach Meinung zahlreicher Experten sind aber verschlüsselte Verbindungen auf Basis von HTTPS nicht von der Zensur betroffen, wohl auch, weil viele ausländische Unternehmen in China darauf angewiesen sind. Studien, die den "Goldenen Schild" untersuchen
haben, legen deshalb nahe, dass sich über HTTPS freies, uneingeschränkter Internetzugang
herstellen lässt. Wie überall, wo es gilt, restriktive Einschränkungen der WWW-Nutzung
zu umgehen, bietet sich die ausgereifte GPL-Software Openvpn mit ihren umfangreichen
Optionen als Lösung an.

Openvpn als Lösung

Normalerweise ermöglichen Virtuelle Private Netzwerke (VPNs) Aussendienstmitarbeitern
einen abhörsicheren Zugang zum Firmennetz oder stellen über das Internet eine Verbindung
zwischen mehreren Niederlassungen eines Unternehmens her. Die verbundenen Rechner sind
dann Teil eines gemeinsamen, virtuellen Netzwerkes, die Mitarbeiter können
darüber miteinander arbeiten, als wären sie am selben Firmenstandort. Klassische
Beispiele eines VPNs sind alle Varianten von IPSEC oder das bei Microsoft häufig
eingesetzte PPTP. Weil diese Lösungen aber entweder unsicher (PPTP) oder komplex sind
(IPSEC), erfüllen sie nicht immer ihren Zweck. James Yonan, der Initiator von Openvpn,
erfuhr das am eigenen Leib, als er um die Jahrtausendwende in den Ländern der
ehemaligen Sowjetunion unterwegs war und mit seiner Firma Datenaustausch betreiben
sollte.

Aus der Not heraus gab er den Anstoss für Openvpn, eine Software, die sowohl flexibel und
einfach sein sollte als auch höchste Sicherheitsanforderungen genügen musste. Das Projekt
entwickelte sich rasant und Openvpn gilt heute als die spannendste VPN-Software
schlechthin und als VPN der dritten Generation. Dank der zahlreichen mitgelieferten
Verschlüsselungsverfahren und den umfangreichen Optionen können Benutzer fast
überall schnelle und abhörsichere, mit militärischer Sicherheitsstufe verschlüsselte
Verbindungen benutzen.

Weil das Werkzeug die auch bei HTTPS-Verbindungen gängigen Mechanismen verwendet,
ist der Zugriff auf das private Netzwerk überall dort möglich, wo der Client freien
Zugriff auf URLs hat, die mit dem Kürzel https:// anfangen. Die hohe Verbreitung der
SSL/TLS Bibliotheken garantiert dabei, dass Programmierfehler, Exploits oder Bugs schnell
von den Betreibern der zahlreichen Banking- und E-Commerce-Portalen bemerkt und zeitnah
gefixt werden.

Simpel: Wie Openvpn funktioniert

Die Funktionsweise von Openvpn ist denkbar einfach: Die Software erstellt auf
dem Client ein eigenes, virtuelles Netzwerkinterface und baut eine verschlüsselte
Verbindung zum Server auf. Alle Netzwerkpakete, die über die virtuelle Schnittstelle
(standardisierte TUN/TAP-Devices) versendet werden, schickt die Software encrypted
zum Openvpn-Server. Ist die Option "redirect-gateway" gesetzt, dann wird der Client sogar
den kompletten Datenverkehr, der nicht für das lokale Netz bestimmt ist, über diesen
Tunnel routen.

Mit einer lokalen, personal Firewall auf dem Notebook und einer zentralen, unternehmensweiten Firewall auf dem Server ist der Aussendienstler so nahezu perfekt geschützt. Der komplette Internetzugriff findet verschlüsselt über den VPN-Tunnel statt,
im lokalen Netz und allen beteiligten Routern können böswillige Lauscher nur
verschlüsselte Pakete erkennen, und die Firewalls blocken unerwünschte Verbindungen.
Idealerweise erlaubt es dabei die zentrale Firewall dem Laptop auch, über den Tunnel aufs
Internet zuzugreifen, am besten via Masquerading.

Openvpn zeigt sich dabei vor allem im Vergleich mit anderen VPN-Lösungen sehr flexibel.
Für die Verbindung braucht es nur einen Port und ein Protokoll (UDP oder TCP), beides
ist frei wählbar. Wer sich häufig in einem Netzwerk befindet, das Verbindungen eher
restriktiv handhabt, der sollte hier beispielsweise Port 21 (FTP) oder 443 (HTTPS) wählen.
Ob der Admin UDP oder TCP verwendet, spielt eher eine Nebenrolle. Die Performance
ist bei UDP deutlich besser, allerdings stehen dann weniger Optionen zur Verfügung wie bei
TCP-Verbindungen.

Für hohe Ansprüche bringt Openvpn auch die Möglichkeit eines einfachen Clusterings mit sich.
In der Client-Konfiguration sind dann mehrere Server eingetragen, die die Software nacheinander abklappert.
So lassen sich eventuelle IP-Blockaden eines argwöhnischen Netzbetreibers locker umgehen, aber damit
es erst gar nicht soweit kommt, bietet sich Port-Sharing an. Seit Version 2.1 kann sich Openvpn einen Port
mit anderer Software teilen, zum Beispiel mit einem Apache Webserver.
Benutzer oder Angreifer, die nicht mit Openvpn-Paketen darauf zugreifen, landen
am Webserver, die authentifizierten User im VPN. Wer diesen Traffic überwacht, kann nur
anhand der Datenmenge und der Übertragungsprofile Rückschlüsse auf die besuchten
Webseiten ziehen.

Minimale Voraussetzungen

Der Client braucht als Voraussetzung direkten Zugriff auf den Port (zum Beispiel 443)
eines bestimmten Servers. Im Falle Chinas ist das offensichtlich erlaubt, der
Sportjournalist, der in Peking über HTTPS auf das Redaktionssystem seiner Zeitung
zugreift, kann so also auch über einen Openvpn-Tunnel problemlos vollständigen und
unzensierten Internetzugriff erhalten.

Weil Openvpn dafür die standardisierten TUN/TAP-Devices verwendet, klappt das sowohl
unter Linux, Windows als auch auf dem Mac, das gilt sowohl für VPN-Server oder -Clients.
Die Verbindungen sind stabil, sehr fehlertolerant, und dank adaptiver Komprimierung
und frei wählbarer Schlüssellänge gleichzeitig schnell und sicher. Egal ob über GPRS, UMTS,
WLAN, Modem oder Ethernet, auf dem Laptop des Autors klappt das sichere, unbeobachtete
Surfen seit fast 5 Jahren ohne Probleme und unabhängig von der zur Verfügung stehenden Bandbreite.

Im Einzelfall kann es nötig sein, Openvpn die IP eines Proxy-Servers mitzuteilen,
zum Beispiel über die Option "http-proxy" in der Konfigurationsdatei. Die Software
ist dann in der Lage, sich zu tarnen und gegenüber dem Proxy als Mozilla oder
Internet Explorer beliebiger Version aufzutreten. Auch Proxy-Authentifizierung, zum
beispiel via NTLM ist möglich. Wenn der Proxy direkte Verbindungen auf HTTPS-Seiten
zulässt, so wie sie die Betreiber sicherer Bankingportale oder Onlineshops voraussetzen, dann
klappt auch der Verbindungsaufbau und das zensurlose Surfen.

Überall dabei

Für Openvpn steht eine stattliche Anzahl grafischer GUI-Tools zur Verfügung. Die Software
gibt es sowohl für Windows, Mac und Linux, sie gehört seit Jahren zur
Standardausstattung der großen Linuxdistributionen. Die Anwender von Debian, Ubuntu, Red
Hat und OpenSuSE installieren Openvpn über das Paketmanagement, und mehr und mehr Appliances integrieren Openvpn.
Die VPN-Software hat mittlerweile dank der umfangreichen Funktionen und der hohen Flexibilität viele Fans
bekommen. Die einfache Konfiguration bei gleichzeitig hoher Performance und Sicherheit machen es
zu einem praktischen Tool, mit dem sich viele Netzwerkprobleme einfach lösen lassen. Und weil sich
typische Setups mit Openvpn deutlich beschleunigen lassen, ist die Software auch unter Online-Gamern sehr
beliebt. Vielleicht ja bald auch unter Journalisten.

comments powered by Disqus

Ausgabe 05/2014

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook