Open Source im professionellen Einsatz
Linux-Magazin Online Artikel/

Openvpn gegen Zensur

Open Source Software hebelt Chinas Zensurinstrument "Great Firewall" aus

04.08.2008

Journalisten bei den Olympischen Spielen 2008 in Peking haben keinen vollen Internetzugang. Mit der GPL-Software Openvpn lassen sich solche Zensurmechanismen leicht umgehen.

1110

IOC-Präsident Jacques Rogge musste kürzlich unter heftiger Kritik zurückrudern, als bekannt wurde, dass von dem versprochenen "uneingeschränkten" Internetzugriff für die Presse wenig übrig blieb. Technisch steckt allerdings nicht viel hinter der "Großen Firewall", die das Land vor verbrecherischen Inhalten schützen soll. Journalisten im Olympiazentrum, westlichen Unternehmen und Privatpersonen stehen diverse Möglichkeiten zur Verfügung, um trotzdem überall einen vollständigen und nicht überwachten Internetzugang zu bekommen. Allerdings setzen die meisten Methoden nur auf Anonymisierungsdienste wie Tor, Proxies oder Webdienste, die Inhalte umwandeln und an der Zensur vorbeischmuggeln. Chinas Regierung hat in der Vergangenheit regelmäßig Rechner im WWW komplett geblockt, die solche Services anbieten. Kollektive Anonymisierungsdienste wie Tor stehen darüber auch noch in einem schlechten Ruf, weil jeder Benutzer hier auch anderen, eventuell illegalen oder kriminellen Machenschaften einen sicheren Hafen verschafft. Das ist auch vor deutschen Gerichten schon unangenehm aufgefallen.

Aber eine Möglichkeit, die sowohl für Windows, Linux und den Mac zur Verfügung steht, lässt sich vielseitig einsetzen und ist von Chinas Machthabern nur schwer unter Kontrolle bringen: Openvpn. Weil die freie, kostenlose GPL-Software Mechanismen verwendet, die für viele Unternehmen in China überlebenswichtig sind, dürfte es dem Land schwer fallen, hier einen Hebel vorzuschieben. Der Benutzer verwendet seinen eigenen Server, braucht diesen nicht mit anderen Usern zu teilen und ist vollständig auf der sicheren Seite.
Gleichzeitig hilft Openvpn, jederzeit abhörsicher, schnell und mit vollem Internetzugriff zu surfen, E-Mails zu bearbeiten und alle Dienste zu nutzen, die das Web bietet. Weil das mit militärischer Sicherheitsstufe verschlüsselt geschieht, stehen ungeliebte Mitleser wie der chinesische Staat, Sicherheitsbehörden, Angreifer oder der restriktive Administrator des lokalen Netzwerkes einigermaßen machtlos da, in vielen Fällen bleibt der Openvpn-Tunnel sogar gänzlich unbemerkt.

Die Funktionsweise der Great Firewall

Chinas Internetzensur scheint laut einer Studie der Universität Cambridge im wesentlichen aus 5 Vorkehrungen zu bestehen:

  • IP Blocking unterbindet den Zugriff auf gelistete IPs.
  • DNS Filter verbieten die Namensauflösung unliebsamer Server.
  • URL Filter untersuchen Anfragen ins WWW auf Stichworte und verhindern unerwünschte
    Antworten
  • Paket Filter durchleuchten den gesamten Traffic und eliminieren Verbindungen mit
    unerwünschten Inhalten.
  • Connection Reset: Verbindungen, die in eine der genannten Kategorien fallen, beendet
    die Firewall, indem sie TCP-Reset-Pakete sendet.

Als Mittel zur Umgehung der Firewall gelten dagegen:

  • Proxies im Ausland,
  • Anonymisierungsdienste wie Tor,
  • Webseiten, die HTML in Bilder umwandeln, zum Beispiel Picidae

Alle diese Möglichkeiten haben allerdings den Nachteil, dass die chinesische Regierung relativ leicht reagieren kann und das auch häufig tut. Der Zugriff auf bekannte Proxy-Server oder speziell angepasste Dienste wie Picidae, die unerlaubte Inhalte in Bilder umsetzen, ist meist nicht mehr möglich, da deren IPs in der Liste der blockierten Server auftaucht.

Denn, nach Meinung zahlreicher Experten sind verschlüsselte Verbindungen auf Basis von HTTPS nicht von der Zensur betroffen. Studien, die den "Goldenen Schild" untersuchen (siehe Kasten), legen deshalb nahe, dass sich über HTTPS freies, uneingeschränkter Internetzugang herstellen lässt.

Openvpn als Lösung

Normalerweise ermöglichen Virtuelle Private Netzwerke (VPNs) Außendienstmitarbeitern einen abhörsicheren Zugang zum Firmennetz oder stellen über das Internet eine Verbindung zwischen mehreren Niederlassungen eines Unternehmens her. Die verbundenen Rechner sind dann Teil eines gemeinsamen, virtuellen Netzwerkes, die Mitarbeiter können darüber miteinander arbeiten, als wären sie am selben Firmenstandort. Klassische Beispiele eines VPNs sind alle Varianten von IPSEC oder das bei Microsoft häufig eingesetzte PPTP. Weil diese Lösungen aber entweder unsicher (PPTP) oder komplex sind (IPSEC), erfüllen sie nicht immer ihren Zweck. James Yonan, der Initiator von Openvpn, erfuhr das am eigenen Leib, als er um die Jahrtausendwende in den Ländern der ehemaligen Sowjetunion unterwegs war und mit seiner Firma Datenaustausch betreiben sollte.

Aus der Not heraus gab er den Anstoß für Openvpn, eine Software, die sowohl flexibel und einfach sein sollte als auch höchste Sicherheitsanforderungen genügen musste. Das Projekt entwickelte sich rasant und Openvpn gilt heute als die spannendste VPN-Software schlechthin und als VPN der dritten Generation. Dank der zahlreichen mitgelieferten Verschlüsselungsverfahren und den umfangreichen Optionen können Benutzer fast überall schnelle, abhörsichere und mit militärischer Sicherheitsstufe verschlüsselte Verbindungen benutzen.

Weil das Werkzeug die auch bei HTTPS-Verbindungen gängigen Mechanismen verwendet, ist der Zugriff auf das private Netzwerk überall dort möglich, wo der Client freien Zugriff auf URLs hat, die mit dem Kürzel https:// anfangen. Die hohe Verbreitung der SSL/TLS Bibliotheken garantiert dabei, dass Programmierfehler, Exploits oder Bugs schnell von den Betreibern der zahlreichen Banking- und E-Commerce-Portalen bemerkt und zeitnah gefixt werden.

Simpel: Wie Openvpn funktioniert

Die Funktionsweise von Openvpn ist denkbar einfach: Die Software erstellt auf dem Client ein eigenes, virtuelles Netzwerkinterface und baut eine verschlüsselte Verbindung zum Server auf. Alle Netzwerkpakete, die über die virtuelle Schnittstelle (standardisierte TUN/TAP-Devices) versendet werden, schickt die Software encrypted zum Openvpn-Server. Ist die Option "redirect-gateway" gesetzt, dann wird der Client sogar den kompletten Datenverkehr, der nicht für das lokale Netz bestimmt ist, über diesen Tunnel routen.

Mit einer lokalen Firewall auf dem Notebook und einer zentralen, unternehmensweiten Firewall auf dem Server ist der Außendienstler so nahezu perfekt geschützt. Der komplette Internetzugriff findet verschlüsselt über den VPN-Tunnel statt, im lokalen Netz und allen beteiligten Routern können böswillige Lauscher nur verschlüsselte Pakete erkennen, und die Firewalls blocken unerwünschte Verbindungen. Idealerweise erlaubt es dabei die zentrale Firewall dem Laptop auch, über den Tunnel aufs Internet zuzugreifen, am besten via Masquerading.

Openvpn zeigt sich dabei vor allem im Vergleich mit anderen VPN-Lösungen sehr flexibel. Für die Verbindung braucht es nur einen Port und ein Protokoll (UDP oder TCP), beides ist frei wählbar. Wer sich häufig in einem Netzwerk befindet, das Verbindungen eher restriktiv handhabt, der sollte hier beispielsweise Port 21 (FTP) oder 443 (HTTPS) wählen. Ob der Admin UDP oder TCP verwendet, spielt eher eine Nebenrolle. Die Performance ist bei UDP deutlich besser, allerdings stehen dann weniger Optionen zur Verfügung wie bei TCP-Verbindungen.

Für hohe Ansprüche bringt Openvpn auch die Möglichkeit eines einfachen Clusterings mit. In der Client-Konfiguration sind dann mehrere Server eingetragen, die die Software nacheinander abklappert. So lassen sich eventuelle IP-Blockaden eines argwöhnischen Netzbetreibers locker umgehen, aber damit es erst gar nicht soweit kommt, bietet sich Port-Sharing an. Seit Version 2.1 kann sich Openvpn einen Port mit anderer Software teilen, zum Beispiel mit einem Apache-Webserver. Benutzer oder Angreifer, die nicht mit Openvpn-Paketen darauf zugreifen, landen am Webserver, die authentifizierten User im VPN. Wer diesen Traffic überwacht, kann nur anhand der Datenmenge und der Übertragungsprofile Rückschlüsse auf die besuchten Webseiten ziehen.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Open Source Software hebelt Chinas "Great Firewall" aus

    Journalisten bei den Olympischen Spielen 2008 in Peking haben keinen vollen
    Internetzugang. Mit der GPL-Software Openvpn lassen sich solche Zensurmechanismen leicht umgehen.

  • OpenVPN für Windows-Rechner

    Dieser Artikel zeigt, wie sich in vier einfachen Schritten der heimische Windows-PC zum Absichern eines Laptops und zum Umgehen von Systemen wie der "Great Firewall of China" verwenden lässt. Der mobile Benutzer surft dank Openvpn ohne Einschränkungen, die sonst in seinem lokalen Netz greifen und kann abhörsicher und zensurfrei auf alle Internetinhalte zugreifen.

  • Freies Internet in vier Schritten: Den heimischen Windows-Rechner für sicheres Surfen unterwegs nutzen

    Dieser Artikel zeigt in vier einfachen Schritten, wie sich der Windows-PC zuhause zum Absichern eines Laptops und zum Umgehen von Systemen wie der "Great Firewall of China" verwenden lässt. Der mobile Benutzer surft dank Openvpn ohne Einschränkungen, die sonst in seinem lokalen Netz greifen und kann abhörsicher und zensurfrei auf alle Internetinhalte zugreifen.

  • Daten-Unterführung

    Firewalls sind oft so vermauert, dass gerade noch der alltäglichen Surf-Betrieb möglich ist. Ein IRC- oder Streaming-Server findet keinen Weg mehr - es sei denn, OpenVPN untergräbt die Firewall.

  • Securepoint stellt eigenen Open-Source-OpenVPN-Client für Windows vor

    Der Hersteller der roten UTM-Firewall-Appliances hat passend zu seinen Firewalls, die seit längerem mit OpenVPN ausgestattet sind, eine eigene Open-Source-Client-GUI für Windows vorgestellt.

comments powered by Disqus

Ausgabe 10/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.