VPN: Sicherer Zugriff auf Netzwerkgeräte
Com-Server & Web-IO über das Internet erreichen
Voraussetzungen
Intranets sind in der Regel über einen Perimeter-Router an das Internet angebunden und gleichzeitig auch von diesem getrennt. Bezogen auf IPv4 wird hierbei das gesamte Intranet mit allen Teilnehmern über eine offizielle bzw. öffentliche IPv4-Adresse des jeweiligen Internetproviders an das Internet angebunden. Das Standard-Setup vieler Perimeter-Router ist daher häufig nach dem Prinzip “raus alles - rein nix” eingerichtet. Intranet-Clients können also quasi ungebremst Verbindungen in Richtung Internet aufbauen, sind andersherum aber nicht erreichbar und erst recht nicht sichtbar.
Für die Einrichtung von Verbindungen aus dem Internet in das Intranet gibt es zwei Grundvoraussetzungen:
Zugriff auf die Router-Konfiguration
Der Zugriff auf die Router-Konfiguration stellt in kleineren Netzwerken sicher kein Problem dar. Bei einer extern gemanagten bzw. verwalteten Infrastruktur oder für den Fall einer eigenen IT-Abteilung wird an dieser Stelle die Hilfe der Admins benötigt.
Kenntnis der öffentlichen IP-Adresse des Perimeter-Routers
Öffentliche IP-Adresse: Statisch oder dynammisch?Eine statische IP-Adresse bedeutet, dass mit dem jeweiligen Internetprovider eine feste IPv4-Adresse für den jeweiligen Internetanschluss vereinbart ist. Das Intranet wird also in Richtung Internet immer über die gleiche öffentliche IP-Adresse angebunden. Möchte man von außen, also aus dem Internet, das Intranet erreichen, muss zunächst nur diese öffentliche IP-Adresse bekannt sein. Statische IPv4-Adressen sind allerdings knapp und daher teuer, sodass die meisten WAN-Anschlüsse mit einer dynamischen IP-Adresse des Providers arbeiten. Diese wechselt mit jeder Einwahl des Routers zum Provider und unterliegt in aller Regel auch noch einem zyklischen Zwangswechsel.
In diesen Fällen müssen die Dienste eines DynDNS-Anbieters in Anspruch genommen werden. Das Prinzip hierbei ist, dass Sie dort einen Hostnamen (z.B. webio.hallo.biz) für Ihren WAN-Anschluss reservieren. Über eine spezielle API des DynDNS-Anbieters teilt der Internetrouter jeden Wechsel der öffentlichen IP-Adresse dem DynDNS-Anbieter mit, der daraufhin seine DNS-Einträge aktualisiert. Neben kostenpflichtigen DynDNS-Angeboten existieren nach wie vor auch kostenfreie Möglichkeiten (z. B. no-ip.com, duckdns.org). Hier lohnt sich aber im Vorfeld auch ein Blick in den jeweiligen Router, welche DynDns-Anbieter dort unterstützt werden. In einer FritzBox versteckt sich der DynDNS-Client z. B. im Menüzweig Internet -> Freigaben auf einer eigenen Registerkarte.
Fernzugriff per Portforwarding (NAT/NAPT)
Der klassische, einfachste aber gleichzeitig auch unsicherste Weg Zugriffe aus dem Internet in das Intranet zu ermöglichen ist ein statisches Portforwarding. Hierbei wird im Perimeter-Router eine einfache Firewall-Regel hinterlegt, die WAN-seitig eingehende Verbindungen zu einer bestimmten Portnummer auf eine IP-Adresse im Intranet weiterleitet.
Ein Vorteil des Portforwarding ist natürlich die meist einfache Einrichtung und die breite Unterstützung durch nahezu jeden Router bzw. jede Firewall.
Die Liste der Nachteile ist dagegen schon etwas länger und lässt bei Admins und Security-Verantwortlichen schnell den Blutdruck steigen:
-
Keine Client-Authentifizierung:
JEDE Verbindung auf den internetseitigen Forward-Port wird an das Ziel im Intranet weitergeleitet. Letzter Schutz vor einem Zugriff auf z. B. auf die Ausgänge eines Web-IOs ist dann nur noch das (hoffentlich gesetzte) Passwort. - Eine WAN-seitige Portnummer kann immer nur einer Ziel-IP im LAN zugeordnet werden. Sollen beispielsweise mehrere im LAN befindliche Web-Server auf TCP/443 von außen zugänglich werden, müssen WAN-seitig mehrere TCP-Ports geöffnet werden.
- Portforwarding bietet keine zusätzliche Security. Unverschlüsselt zwischen den Kommunikationspartnern ausgetauschte Daten bleiben auch auf ihrem Weg durch das Internet unverschlüsselt.
WireGuard-VPN zwischen Client und Perimeter-Router
Schon lange gilt die Einrichtung eines VPNs als sichere Alternative zum transparenten Portforwarding. Allerdings waren Einrichtung und Konfiguration der bisher etablierten IPsec- und OpenVPN-Lösungen - durchaus zurecht - als schwierig und fehleranfällig in Verruf. Genau an dieser Stelle setzt das immer größere Verbreitung findende WireGuard an. Einfache Konfiguration auf Server- wie auch Client-Seite, hoher Datendurchsatz und schneller Verbindungsaufbau bei gleichzeitig sicherer Verschlüsselung haben dazu geführt, dass immer mehr Router-Hersteller WireGuard als Fernzugriff-Alternative in ihre Firmware integriert haben.
Alle angeführten Nachteile und Risiken des reinen Portforwardings werden durch einen WireGuard-Tunnel aufgehoben. Die Endpunkte des Tunnels sind kryptografisch authentifiziert. D. h. der Server akzeptiert und beantwortet ausschließlich Netzwerk-Pakete, wenn diese mit ihm bekannten Schlüsseln verschlüsselt und signiert wurden.
Darüber hinaus ist die Verschlüsselung den innerhalb des Tunnels übertragenen Datenströmen quasi überlagert. Selbst ungeschützte Klartext-Protokolle wie http oder telnet können daher sicher durch den VPN-Tunnel übertragen werden.
Letztendlich bietet ein VPN-Tunnel auch einen deutlich transparenteren und einfacheren Zugriff in das entfernte Netz. Je Konfiguration wird der entfernte Client z. B. aus IP-Sicht komplett in das Intranet integriert. Auch Remoteverbindungen sehen also für Anwendungen wie lokale Verbindungen aus und es wird mit den Original-IP-Adressen gearbeitet.
WireGuard-VPNs in segmentierten Intranets
Auch in größere und tiefer segmentierte Intranets kann mit Hilfe von Klein-Firewalls ein sicherer Fernzugriff realisiert werden.
Physikalischer Aufbau
Im Unterschied zu dem vorherigen Beispiel befindet sich der WireGuard-Server-Endpunkt hier nicht mehr direkt im Perimeter-Router. Stattdessen existieren mehrere davon an im Intranet verteilten Kleinroutern, beispielsweise für Automatisierungs- oder Sensor-/Aktor-Inseln. Dieser Aufbau bietet alle schon beschriebenen Vorteile von VPN-Tunneln. Hinzu kommt hier aber noch die Eigenschaft, dass der Zugriff der VPN-Clients strikt auf die Netzwerkinseln hinter den Microwalls beschränkt ist - Querverbindungen in das vorgelagerte Intranet oder in andere Inseln sind ausgeschlossen.
Natürlich bedingt diese Infrastruktur mit mehreren im Intranet verteilten VPN-Server-Endpunkten ein entsprechendes Portforwarding im Perimeter-Router. Aufgrund der strengen Kommunikationsbeschränkung des WireGuard-Konzeptes auf bekannte, authentifizierte Clients ist das Risiko aber überschaubar.
Ein Tutorial für die Einrichtung von WireGuard-Endpunkten innerhalb eines Intranets finden Sie hier.
-
Probieren geht über Studieren!
Gerne stellen wir Ihnen für den Zeitraum von vier Wochen eine Microwall kostenfrei zur Verfügung.
Testgerät anfordern -
Weiterlesen:
-
Firewalls, Segmentierung und Verinselung
Vorteile von Segmentierung und Verinselung einzelner Netzwerksegmente zum Schutz firmeninterner Daten und Geräte.
-
Sichere Kommunikation von Maschinen und Anlagen
Die Microwall ermöglicht eine geschützte Kommunikation mit nahen und fernen Kommunikationspartnern.
-
WireGuard VPN-Tunnel zwischen 2 Netzwerken
Dieses Tutorial führt durch die Konfiguration, die notwendig ist, um zwei PCs aus zwei unterschiedlichen Netzwerkbereichen miteinander zu verbinden.