Was ist OpenVPN? Ist OpenVPN sicher?
Wenn Sie jemals einen kommerziellen VPN-Dienst genutzt haben, haben Sie wahrscheinlich das OpenVPN-Protokoll verwendet. Es ist eines der beliebtesten und vertrauenswürdigsten verfügbaren VPN-Protokolle. Aber wie funktioniert es? Was sind die Vorteile und welche Gefahren bestehen bei der Verwendung? Und was noch wichtiger ist: Ist OpenVPN sicher? Lesen Sie weiter und wir beantworten die oben genannten und weitere Fragen.
Was ist OpenVPN?
Das OpenVPN-Protokoll wurde von James Yonan geschrieben und 2002 unter der GNU General Public License (GPL) der Öffentlichkeit zugänglich gemacht. Yonans Hintergrund liegt in der Softwareentwicklung und im Finanzhandel. Derzeit fungiert er als CTO des OpenVPN-Projekts.
Das OpenVPN-Protokoll ist wahrscheinlich das flexibelste verfügbare VPN-Protokoll. Es ist vielfältig einsetzbar und kann nahezu jedes Netzwerkszenario abdecken.
Sie können OpenVPN verwenden, um zwei unterschiedliche Netzwerke über eine sogenannte Site-to-Site-Verbindung miteinander zu verbinden. Sie können OpenVPN auch so konfigurieren, dass Remote-Clients (z. B. Ihr Laptop, Tablet oder Telefon) über den Server auf Netzwerkressourcen und das Internet zugreifen können. Dies wird als Client-Server- oder Road-Warrior-Konfiguration bezeichnet.
Die Flexibilität von OpenVPN erstreckt sich auch auf die unterstützten Authentifizierungsmethoden.
OpenVPN-Peers können sich gegenseitig mithilfe von Pre-Shared Keys, Zertifikaten oder dem Benutzernamen-/Passwort-Schema in einem Site-to-Site-Setup authentifizieren. Und in einer Client-Server-Konfiguration kann der Server Clients auch mithilfe von Zertifikaten, Signaturen und einer Zertifizierungsstelle validieren.
Bezüglich der Verschlüsselung verwendet OpenVPN die OpenSSL-Bibliothek und die TLS-Protokoll . Es unterstützt bis zu 256-Bit-Verschlüsselung, was sehr sicher ist.
Plattformunterstützung
Wenn OpenVPN eines der am weitesten verbreiteten VPN-Protokolle ist, liegt es auf der Hand, dass es auf vielen verschiedenen Geräten unterstützt wird. Tatsächlich unterstützt OpenVPN nahezu jedes verfügbare Betriebssystem. Wir haben also alle größeren Plattformen:
- Windows
- Mac OS
- Linux
- IOS
- Android
Aber auch:
- FreeBSD
- OpenBSD
- NetBSD
- QNX
- Solaris
- Bedingungen
- ChromeOS
- DD-WRT
- OpenWrt
- Tomate
- OPNSense
- pfSense
- Und sogar PalmOS.
Das sind viele Betriebssysteme. Bedenken Sie, dass die meisten Betriebssysteme OpenVPN nicht standardmäßig unterstützen. Das bedeutet, dass Sie in den meisten Fällen einen Drittanbieter-Client herunterladen und installieren müssen.
Wie funktioniert OpenVPN?
Peer-Anfragen
Alles beginnt damit, dass ein Peer eine Verbindung zu einem anderen Peer anfordert, bei dem es sich normalerweise um den Server handelt. Diese Anfrage ist verschlüsselt. Der anfragende Peer kann ein Client sein, der in einer Road-Warrior-Konfiguration eine Verbindung zu einem Server anfordert. Oder es kann sich um einen Server handeln, der im Rahmen einer Site-to-Site-Verbindung eine Verbindung zu einem anderen Server anfordert.
Authentifizierung
Nachdem die Anfrage gestellt wurde, muss der Peer vom Host-VPN-Server authentifiziert werden. Auch hier ist OpenVPN sehr flexibel. Der Peer kann mithilfe von Pre-Shared Keys, Zertifikaten oder dem Benutzername/Passwort-Schema authentifiziert werden.
OpenVPN ermöglicht eine Public-Key-Infrastruktur (PKI), die normalerweise von RSA verwaltet wird.
Ab OpenVPN-Version 2.0 und höher kann ein Peer auch durch den hostenden VPN-Server authentifiziert werden, indem eine Kombination aus Zertifikaten sowie einem Benutzernamen und einem Passwort verwendet wird.
Verschlüsselung
Was die Verschlüsselung betrifft, verwendet OpenVPN die OpenSSL Bibliothek sowohl für den Datenkanal als auch für den Steuerkanal.
Bei einer OpenVPN-Verbindung gibt es zwei Kanäle, über die unterschiedliche Informationen fließen. Ihr Internetverkehr fließt über den Datenkanal. Die von Ihnen besuchten Websites, die von Ihnen heruntergeladenen Dateien und Ihre Chat-Nachrichten durchlaufen also den Datenkanal. Aber parallel dazu die Verschlüsselung und Authentifizierungsmechanismen laufen über den Kontrollkanal. Dies wären die Benutzernamen-/Passwortinformationen, die Zertifikate, HMAC (mehr dazu weiter unten) und so weiter.
Wie oben erwähnt, unterstützt OpenVPN eine Verschlüsselung mit bis zu 256-Bit. Für Zwecke der Datenintegrität kann über den Kontrollkanal auch die HMAC-Paketauthentifizierung verwendet werden. HMAC ist ein kryptografischer Hash, der zusammen mit dem durch das VPN fließenden Datenverkehr gesendet wird. Andere Peers im Netzwerk können den eingehenden Datenverkehr mithilfe desselben Schlüssels selbst hashen. Wenn die resultierenden Hashes übereinstimmen, gilt der Datenverkehr als authentisch. Wenn sie nicht übereinstimmen, wird der Datenverkehr abgelehnt.
ChaCha und AES sind die am häufigsten verwendeten Chiffren.
Protokolle
OpenVPN hat das schon immer unterstützt IPv4 Protokoll, und seit OpenVPN 2.3 unterstützt es auch das IPv6 IP-Protokoll. OpenVPN kann sogar IPv4 und IPv6 auf demselben Server unterstützen.
Aber neben den IP-Protokollen unterstützt OpenVPN auch die Transportprotokolle UDP und TCP. Schauen wir uns das etwas genauer an.
TCP
TCP steht für Transmission Control Protocol. TCP enthält einen Korrekturmechanismus, der sicherstellt, dass die richtigen Daten in der richtigen Reihenfolge gesendet werden. Wenn Pakete fehlen, überträgt TCP die fehlenden Pakete erneut und stellt sicher, dass alles in Ordnung ist. Dieser Korrekturmechanismus erhöht den Overhead für TCP-Verbindungen.
UDP
UDP steht für User Datagram Protocol. UDP verfügt über überhaupt keinen Korrekturmechanismus. Es sendet einfach Daten durch die Röhren und hofft auf das Beste. Aus diesem Grund wird es manchmal als „Unzuverlässiges Datagram-Protokoll“ bezeichnet. Allerdings ist UDP in der Regel viel schneller als TCP, da es viel weniger Overhead hat und normalerweise das Standard-Transportprotokoll bei VPN-Anbietern ist, die OpenVPN unterstützen.
OpenVPN-Vorteile
Kann durch restriktive Netzwerke gelangen
Die Flexibilität von OpenVPN bei den Datenprotokollen ermöglicht es OpenVPN, die Network Address Translation (NAT) der meisten Proxyserver und Firewalls zu überwinden, was manchmal die VPN-Nutzung behindern kann.
OpenVPN kann auch auf beliebigen Ports ausgeführt werden, wodurch es auch durch restriktive Firewalls hindurch funktioniert. Durch die Verwendung eines beliebigen Ports in Verbindung mit TCP können Sie Ihre VPN-Verbindung als regulären Datenverkehr tarnen. Wenn Sie beispielsweise den OpenVPN-Server auf Port 443 ausführen und TCP verwenden, scheint es sich bei Ihrem VPN-Verkehr um regulären HTTPS-Verkehr zu handeln. Und das hilft bei restriktiven Firewalls und Proxy-Servern sowie bei ISPs oder Unternehmensnetzwerken, die VPNs blockieren.
Beachten Sie jedoch, dass TCP viel langsamer sein wird als UDP. Das liegt am zusätzlichen Aufwand des Korrekturmechanismus. Damit TCP mit angemessener Geschwindigkeit funktioniert, ist mehr Bandbreite erforderlich. Wenn diese zusätzliche Bandbreite nicht mehr ausreicht oder nicht mehr verfügbar ist, kann die Leistung auf ein Minimum sinken. Dies wird oft als „TCP-Kernschmelzproblem“ bezeichnet.
Die meisten kommerziellen VPN-Anbieter, die OpenVPN unterstützen, verwenden standardmäßig UDP. Über UDP kann eine richtig konfigurierte OpenVPN-Verbindung sehr schnell sein.
OpenVPN-Konfigurationen sind in hohem Maße anpassbar
Die oben erwähnte Flexibilität geht über die Port- und Protokollauswahl hinaus. Bei OpenVPN können Sie die Verschlüsselungen, die unterstützten TLS-Version(en), die Netzwerktopologie, ob Datenkomprimierung angewendet werden soll oder nicht und viele weitere Einstellungen auswählen.
OpenVPN unterstützt auch das Hinzufügen benutzerdefinierter Anweisungen, die es Ihnen ermöglichen, den verbindenden Clients statische IP-Adressen zuzuweisen oder den Datenverkehr über einen Proxyserver zu senden, nachdem die VPN-Verbindung hergestellt wurde.
Welche Besonderheiten Ihr Netzwerk auch haben mag, die Chancen stehen gut, dass OpenVPN diese berücksichtigen kann.
Profitieren Sie von umfassender Plattformunterstützung
Wie oben erwähnt, wird OpenVPN auf praktisch jeder verfügbaren Computerplattform unterstützt, was die Bereitstellung vereinfacht.
Unterstützt robuste Verschlüsselung und Chiffren
OpenVPN unterstützt bis zu 256-Bit Verschlüsselung und eine lange Liste starker Chiffren.
Unterstützt Perfect Forward Secrecy
Was Perfekte Vorwärtsgeheimhaltung Die Aufgabe besteht darin, die Verschlüsselungsschlüssel in festen Abständen neu zu generieren. Sobald die neuen Schlüssel generiert sind, können sie auch bei Kompromittierung nicht mehr zur Entschlüsselung vergangener oder zukünftiger Sitzungen verwendet werden.
Befindet sich in aktiver Entwicklung
OpenVPN ist sozusagen ein lebendiges VPN-Protokoll. Ich meine, dass es sich in der aktiven Entwicklung befindet und regelmäßig Updates zur Verfügung gestellt werden. Das heißt, wenn Schwachstellen im Code entdeckt werden, sollten diese schnell behoben werden.
Nachteile von OpenVPN
Geschwindigkeit
OpenVPN ist nicht das schnellste VPN-Protokoll auf dem Markt. IPsec und WireGuard sind nämlich bekanntermaßen schneller als OpenVPN. Sowohl IPsec als auch WireGuard verwenden das UDP-Transportprotokoll, das, wie oben erwähnt, schneller als TCP ist. Um die besten Geschwindigkeiten zu erzielen, sollten Sie daher OpenVPN über UDP verwenden.
Die Einrichtung kann kompliziert sein
Aufgrund seiner inhärenten Flexibilität und der Anzahl der unterstützten optionalen Anweisungen kann OpenVPN schwierig zu konfigurieren sein. Dies hängt jedoch von der tatsächlichen Konfiguration ab, die Sie erreichen möchten. Das Einrichten eines „Vanilla“-OpenVPN-Servers ist nicht sehr kompliziert und sollte für die meisten Benutzer mit grundlegenden OpenVPN-Kenntnissen zu bewältigen sein.
Es wird nicht nativ unterstützt
Obwohl OpenVPN viele Betriebssysteme unterstützt, ist seine Funktionalität in keinem von ihnen integriert. Das bedeutet, dass Sie einen Drittanbieter-Client herunterladen müssen. Die Entwickler von OpenVPN stellen ihre native App namens bereit OpenVPN Connect , für macOS, Windows, Linux, iOS und Android. Und Sie können es kostenlos herunterladen. Wenn Sie ein anderes Betriebssystem verwenden, müssen Sie einen Client herunterladen, der von einem Drittentwickler erstellt wurde. Da sind viele.
Der mobile Support ist etwas unzuverlässig
Verstehen Sie mich hier nicht falsch, OpenVPN funktioniert auf Mobilgeräten. Allerdings gibt es bei OpenVPN auf Mobilgeräten zwei Probleme, wenn die offizielle mobile OpenVPN Connect-App für iOS oder Android verwendet wird.
- Wenn Sie über WLAN mit dem VPN verbunden sind und der Bildschirm Ihres Telefons in den Ruhemodus wechselt, wird die WLAN-Verbindung unterbrochen, und damit auch die VPN-Verbindung. Wenn Sie Ihr Telefon aufwecken, wird es versuchen, die Verbindung wiederherzustellen. Einige Pakete werden jedoch möglicherweise unverschlüsselt ins Internet gesendet und geben Ihre tatsächliche IP-Adresse preis.
- Das Gleiche passiert beim Wechsel von WLAN zu mobilen Daten und umgekehrt.
Ist OpenVPN sicher?
Kurze Antwort: Ja, mit einem Aber. Die Sicherheit Ihres OpenVPN-Setups hängt weitgehend davon ab, wie der Administrator des VPN-Servers es konfiguriert hat. Es ist möglich, OpenVPN unsicher oder zumindest weniger sicher einzurichten. Die Verwendung statischer Schlüssel anstelle einer Public-Key-Infrastruktur (PKI) ist weniger sicher, aber beides sind Optionen.
Unter der Annahme, dass der Administrator den OpenVPN-Server unter Berücksichtigung der Sicherheit konfiguriert hat, ist OpenVPN sehr sicher. Hier ist der Grund.
Open-Source-Sicherheit
OpenVPN ist vollständig Open Source. Das bedeutet, dass es jedermann freisteht, den Code einzusehen, zu ändern und für eigene Zwecke zu verbreiten.
Diese Freiheit erhöht auch die Sicherheit des VPN-Protokolls, da der Code für alle offen ist. Nichts ist verborgen. Keine proprietären Codierungsgeheimnisse. Und keine Hintertüren. Auch OpenVPN wurde im Laufe der Jahre mehrfach geprüft. Und obwohl bei der Sicherheitsüberprüfung bestimmte Schwachstellen festgestellt wurden, wurden diese anschließend alle behoben. Und es wurden noch nie Hintertüren gefunden.
OpenVPN gilt als eines der sichersten VPN-Protokolle, die heute verfügbar sind. Obwohl das relativ neue WireGuard-Protokoll OpenVPN irgendwann überholen könnte, sind wir noch nicht am Ziel.
OpenVPN unterstützt starke, aktuelle Verschlüsselungen
Wie oben erwähnt, unterstützt OpenVPN starke, aktuelle Open-Source-Verschlüsselungen. Dieselbe Verschlüsselung, die Banken zur Sicherung von Online-Banking-Transaktionen verwenden. Solange es richtig konfiguriert ist, bietet OpenVPN eine starke Kryptografie, die Ihre Online-Aktivitäten privat hält.
Starke Verschlüsselung und Chiffren gepaart mit Perfect Forward Secrecy-Unterstützung (siehe oben) machen OpenVPN sehr sicher – und damit sicher.
Einpacken
Mit seiner starken Kryptografie, beispielloser Flexibilität und Open-Source-Code ist OpenVPN eines der besten öffentlich verfügbaren VPN-Protokolle. Bei der Einrichtung mit UDP kann es recht schnell gehen. Und es kann so ziemlich jede Art von Netzwerkbesonderheit berücksichtigen. OpenVPN ist wahrscheinlich das am besten anpassbare verfügbare VPN-Protokoll, aber Sie müssen sich damit auskennen …
Und falls Sie sich fragen: Ich verwende OpenVPN jeden Tag. Wie oben erwähnt, unterstützen die meisten, wenn nicht alle kommerziellen VPN-Anbieter OpenVPN in ihren Netzwerken. Wenn Sie also schon einmal ein kommerzielles VPN verwendet haben, ist die Wahrscheinlichkeit groß, dass Sie wahrscheinlich bereits das OpenVPN-Protokoll verwendet haben.
OpenVPN ist aus allen oben genannten Gründen eines der am häufigsten verwendeten VPN-Protokolle. Und da es das Protokoll schon seit langer Zeit gibt und es in dieser Zeit mehreren Sicherheitsüberprüfungen und Peer-Reviews unterzogen wurde, können Sie sicher sein, dass die Verwendung von OpenVPN sicher ist.
Bleiben Sie sicher (und verwenden Sie OpenVPN).