Offene Verschlusssache

VPNs über SSL mit OpenVPN

Praxis & Tipps | Praxis

OpenVPN bringt verbindet einzelne Rechner über das Internet, koppelt Netze und gewährt Heimarbeitern sicheren Zugang zum Firmennetze. Und dafür genügt ihm eine TCP- oder UDP-Verbindung – notfalls sogar durch einen Proxy.

OpenVPN ist eine vergleichsweise neue VPN-Technik, mit der man ebenso einzelne Rechner übers Internet miteinander verbinden wie komplette Netze koppeln oder Heimarbeitern sicheren Zugang zum Firmennetz gewähren kann. Auch bei der Zugangskontrolle und Verschlüsselung in Funknetzen oder für die Fernwartung leistet es gute Dienste. Anders als bei Hamachi hat man dabei die komplette Infrastruktur unter seiner Kontrolle, wodurch sich OpenVPN auch für den professionellen Einsatz eignet. Außerdem läuft es auf nahezu allen Plattformen, insbesondere auf Windows 2000/XP und Mac OS X.

Die Kehrseite ist etwas Aufwand beim Einrichten, das sich jedoch bei weitem nicht so kompliziert gestaltet wie bei IPSec. OpenVPN eignet sich somit zwar nur bedingt für Laien, aber mit ein wenig Computer- und Netzwerk-Know-how lässt es sich – auch wegen der ausgezeichneten Dokumentation – recht problemlos aufsetzen und in Betrieb nehmen.

Praktischerweise genügt OpenVPN eine einzige TCP- oder UDP-Verbindung zwischen den beteiligten Rechnern, sodass es auch hinter NAT-Routern und Firewalls ohne Verrenkungen seinen Dienst verrichtet. Bei Bedarf kann man sogar eine vollwertige Netzwerkverbindung über einen HTTP-Proxy herstellen. Dies sollte allerdings nur in Absprache mit der Netzwerk-Administration geschehen, da man sonst möglicherweise Sicherheitsbestimmungen verletzt und damit eine Kündigung riskiert.

Für Verschlüsselung und Authentifizierung setzt OpenVPN auf Secure Socket Layer (SSL) beziehungsweise dessen Nachfolger Transport Layer Security (TLS). Diese werden seit vielen Jahren unter anderem für die Verschlüsselung von https-Web-Seiten und die Absicherung von Diensten wie E-Mail per IMAP eingesetzt. Damit nutzt es für diese grundlegenden, sicherheitsrelevanten Funktionen bewährte Protokolle und Bibliotheken wie OpenSSL, die sehr gut untersucht und getestet sind.

Wer möchte, kann die Authentifizierung zwar auch über Passwörter beziehungsweise Passphrases abwickeln. Doch solche statischen Pre-Shared Keys sind deutlich unsicherer als die Authentifizierung über Zertifikate. Deren Erstellung mit openssl vereinfacht OpenVPN über eine Skript-Sammlung namens Easy-RSA. Mit wenigen Befehlen kann man sich Zertifikate für eine eigene Certification Authority, den Server und die Clients erstellen. Die notwendigen Schritte sind im OpenVPN-Howto detailliert erläutert. Zu beachten ist, dass man auf einem Server, der den OpenVPN-Dienst automatisch starten soll, den geheimen Schlüssel nicht mit einem Passwort versieht. Bei den Clients hingegen empfiehlt es sich, diese durch ein Passwort zu schützen, damit nicht jeder das VPN missbrauchen kann, der irgendwie Zugang zu dem Rechner erlangt.

Wer OpenVPN in etwas größerem Maßstab einsetzen will, kann natürlich auch ein separates Tool wie TinyCA einsetzen. Es packt auf Wunsch alle erforderlichen Dateien inklusive Schlüssel, CA- und Client-Zertifikat in eine PKCS12-Datei client.p12, die OpenVPN direkt verwenden kann.

Forum zum Thema

Anzeige