VPN auf dem WHS – Komfort oder Sicherheit?

Publiziert am 18. Januar 2010 von der-Leo

Ich habe hier einen kleinen selbstgebastelten Server stehen auf dem ‘Windows Home Server‘ (WHS) läuft.
Auf diesem liegen all meine Daten – private und geschäftliche. Da ich auf die geschäftlichen auch ab und zu mal von Unterwegs zugreifen muss habe ich mir eine VPN-Verbindung eingerichtet.
Der WHS bietet zwar von sich aus einige Möglichkeiten um übers Web an die Daten zu kommen, aber mir ist die Sicherheit doch wichtiger als ein klein wenig Komfort.

Vor ein paar Tagen wurde auf einem Blog eine Beschreibung gepostet wie man auf dem WHS ein VPN einrichtet:
http://www.tenniswood.co.uk/technology/windows-home-server/how-to-setup-a-vpn-connection-on-your-windows-home-server/
Das wurde gleich von allen anderen Seiten zum Thema WHS aufgegriffen und verbreitet:
http://mswhs.com/2010/01/14/setup-a-vpn-on-home-server/
http://www.home-server-blog.de/2010/01/15/vpn-auf-dem-windows-home-server/
Wenn man sich das durchliest freut man sich wie schnell das eingerichtet ist und wie unkompliziert das alles doch funktioniert!
Ich habs bei mir anders gelöst. Ich hab deutlich mehr Zeit zum einrichten gebraucht. Aber wieso?
Ganz einfach: Mir ist die Sicherheit nun mal wichtiger als etwas Komfort.

Das VPN das man sich auf diese Weise einrichtet arbeitet mit PPTP und MS-CHAPv2. Die Implementirung von Microsoft stand schon ziemlich oft unter Beschuss. Die Sicherheit ist nicht unbedingt gegeben.
http://www.heise.de/newsticker/meldung/Microsofts-PPTP-Implementierung-unter-Beschuss-12581.html
http://www.heise.de/newsticker/meldung/Microsofts-PPTP-gehackt-41411.html
http://www.heise.de/newsticker/meldung/Angebliche-Sicherheitsluecke-bei-Windows-VPNs-65207.html
Ich setze also lieber auf etwas anderes.

Windows kann ja noch mehr. Da wäre z.B. L2TP über IPSec. Das gilt derzeit als Sicher. Leider hat es ganz andere Probleme. Es ist unglaublich zickig und schwierig einzirichten. Vorallem bekommt man das kaum durch das NAT des Routers durch. Damit kommt man leider selten wirklich weiter.

Immer beliebter werden VPNs die über eine SSL-Verbindung arbeiten. Die meisten setzen dabei auf OpenSSL. Bis vor kurzem war die Sicherheit sehr hoch. Doch auch hier mehren sich die Angriffe.
http://www.heise.de/newsticker/meldung/OpenSSL-laesst-sich-gefaelschte-Zertifikate-unterschieben-Update-195002.html
Da OpenSSL OpenSource ist werden Probleme aber doch recht bald gefixt. Leider leidet das SSL-Protokoll anscheinend auch an ein paar prinzipiellen Schwächen.
http://www.heise.de/newsticker/meldung/Schwachstelle-im-SSL-TLS-Protokoll-851104.html
http://www.heise.de/newsticker/meldung/Passwortklau-durch-Schwachstelle-im-SSL-TLS-Protokoll-860067.html

Was setze ich nun ein? Es ist ein SSL-VPN: OpenVPN. Auch wenn sich nun Sorgen machen kann wegen der Sicherheit, ist es meiner Meinung nach die beste Lösung. Es bietet eine ausreichende Sicherheit (derzeit sind keine Angriffe auf OpenVPN bekannt) und funktioniert fast überall. Zumindest auf eigenen Rechnern. Da man für OpenVPN einen Treiber installiert haben muss, kann man es natürlich nicht einfach mal auf einem Rechner in einem Internetcafe benutzen. Aber auf solchen Kisten würde ich sowieso nie etwas machen was auch nur im entferntesten mit irgendwelchen sensiblen Daten zu tun hat.

Die einrichtung von OpenVPN ist nicht unbedingt die einfachste. Installiert ist es schnell. Auch das erstellen der nötigen Zertifikate ist machbar, wenn man sich genau an die Anleitung in der Dokumentation hält. Das einrichten des Servers kann aber etwas kompliziert werden, vorallem wenn man noch weitere Rechner im heimischen Netz erreichbar machen möchte. Das liegt hauptsächlich daran dass der WHS keine Netzwerkbrücke bereitstellt. XP kann es – aber ein “Server” kanns nicht – welch ein Usinn von Microsoft.
Es ist nicht unmöglich die anderen Rechner erreichbar zu haben, aber es ist doch deutlich schwieriger. Schliesslich muss der Router auch mitarbeiten. Vielleicht nehme ich mir demnächst mal die Zeit und erkläre die Einrichtung im Detail.
Wichtig wäre hier jetzt vielleicht nur noch dass für eine einfache Verbindung zum Server auf dem Router auch nur ein Port freigeschaltet werden muss.

Jeder der sich also eine VPN-Verbindung zum Server legen möchte, sollte sich vielleicht Gedanken darüber machen wie einfach er es haben möchte und wie viel Sicherheit er braucht. Man kann die Varianten von Microsoft selbstverständlich einsetzen. Denn wie hoch ist die Wahrscheinlichkeit dass tatsächlich ein Angriff stattfindet und dieser dann auch gelingt? Wenn es nur um ein paar Familienfotos geht wird man es vielleicht nicht so eng sehen. Aber wenn es doch um sensible Daten geht dann sieht das wohl schon anders aus.

Nachtrag: Inzwischen habe ich eine Anleitung zur Einrichtung von OpenVPN geschrieben. Hier finden sich die beiden Teile:
How to: OpenVPN auf dem WHS – pt.1
How to: OpenVPN auf dem WHS – pt.2

Share and Enjoy:
  • Add to favorites
  • Print
  • Digg
  • Sphinn
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • Blogplay
  • MisterWong.DE
  • Reddit
  • StumbleUpon
  • Technorati
  • Twitter
  • Webnews.de
Dieser Beitrag wurde unter Allgemein, Software abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>