Hinweis

Auf diesen Seiten veröffentlicht die Universität Koblenz · Landau Informationen von externen Partnern, deren Informationen seriös erscheinen. Die Universität übernimmt dabei jedoch keine Verantwortung oder Haftung für unlautere Angebote. Sollten Ihnen solche Angebote auffallen, schicken Sie bitte eine E-Mail an das CMS-Team, damit der Link gelöscht werden kann.

Datenübertragung per VPN: So sicher ist das virtuelle Netzwerk

Quelle: @Danny144 (CCO-Lizenz), via  pixabay.com
Quelle: @Danny144 (CCO-Lizenz), via pixabay.com


Die flexible Nutzung öffentlicher Netze an der Universität erfordert hohe Sicherheitsstandards. Innerhalb des universitätseigenen WLAN können Studierende, Dozenten und Fachpersonal Datenübertragungen via VPN durchführen. Das Virtual Private Network (VPN) der Universität ermöglicht eine zielgerichtete Übertragung verschlüsselter Daten über das Intranet und das Internet und erlaubt so die nahezu uneingeschränkte Kommunikation zwischen den stationären Endgeräten der Universität und einer beliebigen Anzahl mobiler Endgeräte. Höchste Sicherheit sensibler Daten steht dabei an erster Stelle.

So funktioniert VPN

VPN-Verbindungen sind inzwischen zum Standard geworden, wenn mehrere mobile Endgeräte auf ein Netzwerk zu greifen sollen. Aber wie funktioniert das Virtual Private Network?

Die Technologie basiert darauf, dass unterschiedliche Zugriffe auf ein IP-Netzwerk in einem geschützten und in sich geschlossenen Netz miteinander verbunden werden. Um die Datenübertragung aus öffentlichen Netzen und in öffentliche Netze, wie fremde Mailserver oder das Internet, trotzdem möglich zu machen, werden ein- und ausgehende Datenübertragungen verschlüsselt. So entsteht ein sicherer und gleichzeitig flexibler Datentransfer, der die Kommunikation zwischen dem VPN und anderen Netzwerken ermöglicht. Die übertragenen Daten werden über Tunnelverbindungen versendet, die sensible Inhalte vor unbefugtem Zugriff von außen schützen. Das öffentliche Internet fungiert dabei als übertragendes Medium, das an die Stelle von fest installierten und vordefinierten Netzwerken tritt. Die beiden Endpunkte der Übertragung sind das fest installierte Gateway im VPN der Universität, über das auch die Authentifizierung des zugreifenden Users erfolgt, und die auf dem Endgerät installierte Softwarte, die den Zugang zum VPN ermöglicht.

Innerhalb des VPN können Verbindungen zwischen einzelnen Teilnehmern erstellt werden, ebenso wie zwischen einem Teilnehmer und mehreren Empfängern und vielfach verzweigte Verbindungen zwischen einer beliebig großen Anzahl an Teilnehmern.

VPN erklärt:

 

 

Die Verbindung über VPN Schritt für Schritt

Die Verbindung eines mobilen Endgerätes mit dem VPN der Universität erfolgt über mehrere Einzelschritte. Erforderlich ist eine funktionierende Internetverbindung, zum Beispiel über das WLAN des Laptops oder des Smartphones. Verfügt der Laptop nicht über eine WLAN-Verbindung, kann ein mobiler Hotspot über das Smartphone genutzt werden. Stiftung Warentest hat verschiedene mobile Hotspots getestet und sie im Hinblick auf Benutzerfreundlichkeit und Sicherheit bewertet. Das Computermagazin CHIP berichtet.

Neben einer aktiven und stabilen Internetverbindung ist eine VPN-Software erforderlich, die auf dem zu verbindenden Endgerät installiert wird.

Das Endgerät verbindet sich über eine WLAN-Verbindung oder über einen mobilen Hotspot mit dem Internet. Anschließend wird auf dem Endgerät die VPN-Software gestartet. Die VPN-Verbindung zwischen der Software des Endgerätes und der zentralen Gateway des VPN der Universität wird in einer gesicherten Tunnelverbindung über das öffentliche Internet hergestellt. Die Verbindung erfolgt je nach gewählter Voreinstellung automatisch mit dem Start der Software oder muss manuell angestoßen werden. Ist die Verbindung hergestellt, muss der User des mobilen Endgerätes sich authentifizieren, um die VPN-Verbindung nutzen zu können. Die Authentifizierung kann auf verschiedenen Wegen erfolgen. Je nach vorinstallierter Software wird ein Sicherheitsschlüssel hinterlegt, der nach der ersten erfolgreichen Authentifizierung fest hinterlegt ist. Andere Software-Varianten verwenden eine Kombination aus Username und Passwort oder PIN, die bei jeder Anmeldung erneut eingegeben werden müssen oder im System gespeichert werden können. Gespeicherte Passwörter stellen allerdings eine zusätzliche Sicherheitslücke dar, falls das Endgerät beispielsweise von Unbefugten genutzt wird. Eine sicherere Passwortvariante sind so genannte Einmalpasswörter, die bei jeder Authentifizierung von einem Token generiert wird und manuell eingegeben werden muss.

Nach einer erfolgreichen Authentifizierung erhält der User Zugriff auf die Bereiche des VPN, die ihm von einem Administrator zugewiesen und für die Nutzung freigeschaltet wurden. So lässt sich im VPN eine Vielzahl an Nutzungsmöglichkeiten und Informationen bereitstellen, die über Zugriffsrechte benutzerdefiniert verwaltet und freigegeben werden können.

Verschlüsselung von Daten über moderne Tunneltechnologie

Da die Verbindung zwischen Gateway und Endgerät im VPN über das öffentliche Internet erfolgt, sind spezielle Verschlüsselungs-Technologien erforderlich, damit sensible Daten jederzeit geschützt übertragen werden können.

Die meisten VPN-Verbindungen werden über Internet Protocol Security (IPsec) mit Encapsulating Security Payload (ESP) gesichert. Dabei wird das Endgerät mit einem IPsec-Client versehen. Die Technologie ist für verschiedene Betriebssysteme verfügbar und kann mit Windows, Apple macOS und Linux genutzt werden. Das zentrale Gateway des VPN an er Universität ist durch eine spezielle Firewall und einen Router mit IPsec-Technologie vor unbefugtem Zugriff geschützt.

Startet ein User über die installierte Software auf dem Endgerät einen Login, wird eine geschützte Tunnelverbindung aufgebaut. Die äußere Verbindung besteht zwischen den IP-Adressen von User und Gateway, die jeweils öffentlich sichtbar sind. Hinzu kommt aber eine interne Verbindung, die eine verschlüsselte und von außen nicht sichtbare IP-Adresse generiert. Über diese verschlüsselte Verbindung werden Daten von dem Gateway zum Endgerät des Users und umgekehrt übertragen, die nur vom jeweiligen genau definierten Endpunkt entschlüsselt und verarbeitet werden können. Im öffentlichen und nicht verschlüsselten Internet ist lediglich eine grundsätzliche Verbindung zwischen beiden Endpunkten mit ihren öffentlich lesbaren IP-Adressen sichtbar, nicht aber die übertragenen und verschlüsselten Daten.

Über die moderne Tunneltechnologie ermöglicht eine VPN-Verbindung die sichere Übertragung von Daten auch außerhalb eines fest etablierten Netzwerkes wie zum Beispiel im Rahmen eines Intranets.

VPN-Verbindungen der Universität Koblenz-Landau

An der Universität stehen Studierenden, Lehrenden und anderem Fachpersonal verschiedene VPN-Verbindungen zur Verfügung:

  • VPN mit Windows 10
  • VPN mit Linux
  • VPN mit Android

Diese drei VPN-Varianten arbeiten mit einer veralteten PPTP-Technologie, die vor allem für Android- und Linux-User relevant ist. Windows- und Mac-User werden gebeten, auf die moderneren Lösungen L2TP oder Wireguard umzusteigen.

Diese Technologie bedient sich vorgefertigter Konfigurationsprogramme, die für einzelne Windows-Versionen, macOS und iOS verfügbar sind.

Wireguard ist die derzeit effizienteste OpenSource-Variante zum Aufbau einer VPN-Verbindung. Hierzu muss unter allen Systemen eine zusätzliche Software installiert werden. Für jedes Endgerät, das über Wireguard-VPN mit der Universität verbunden werden soll, ist eine Konfigurationsdatei erforderlich, die über die individuelle Profilverwaltung erstellt und heruntergeladen werden kann. Soll Wireguard über mehrere Endgeräte genutzt werden, beispielsweise über den heimischen PC, den Laptop und das Smartphone, ist für jedes Endgerät eine eigene Konfigurationsdatei erforderlich.

Um die erforderliche Datensicherheit zu gewährleisten, ist die Konfiguration für Unbefugte unzugänglich zu behandeln, ähnlich einer Sicherheitskomponente wie einem Passwort oder einem PIN. Sollte die Konfigurationsdatei verloren gehen oder in unbefugte Hände geraten, ist sie sofort zu löschen und durch eine neu erzeugte Version zu ersetzen.