VPN - Was kann ein Firmenadmin sehen?

[nobizzle]

Ich habe mich vorhin etwas gefragt.

Das Unternehmen eines Freundes hat einen stinknormalen Internetzugang über Kabel am PC, der entsprechend gefiltert ist. So weit so gut. Mitarbeiter können aber auch einen WLAN-Zugang in ein "Gast" Netz haben, dass ungefiltert ist.

Ein Admin-Kollege teilte ihm mit, dass er das WLAN für sein Smartphone selber auch nutzt, aber alle Daten über ein VPN seiner heimischen Fritz.Box tunnelt.

Mir kam dabei jetzt die Frage:

Was kann ein Admin noch sehen, wenn ich ein VPN nutze? Überhaupt nichts? Wohin verbunden wurde?

 

[HominiLupus]

Wenn es richtig gemacht wurde: daß man zum VPN Server eine Verbindung hat, und wieviel Daten übertragen werden.

 

[nobizzle]

Kann er denn auch noch sehen welches OS der VPN Client nutzt? Was über den Tunnel selber geht, kann er also de facto absolut nicht erkennen?

 

[Raijin]

Der VPN-Tunnel ist verschlüsselt. Der Admin sieht also nur eine Reihe von IP-Paketen, die von deinem PC durch den Firmenrouter ins Internet an irgendeine IP geht. Den Inhalt kann er zwar sehen, aber das ist nur eine Ansammlung von vermeintlich zusammenhanglosen Bits und Bytes.

Ohne VPN könnte der Admin je nach Verbindung bzw. nach der Anwendung auf dem Smartphone/PC Daten mitlesen, wenn diese nicht ebenfalls verschlüsselt sind (zB https). Würde man sich beispielsweise bei einem normalen FTP anmelden (FTP=unverschlüsselt), könnte der Admin den Login abgreifen.

 

[chrigu]

nicht nur de facto, sondern gar nicht, da der tunnel verschlüsselt ist. was er sieht ist nur dass person xy (angemeldet als gast oder mit wlan-passwort) mit dem gerät sowieso ein vpn port benutzt und wieviel daten hin und her geschoben werden.

 

[nobizzle]

Also kenn er bei funktionierendem, aktivierten VPN nur ne IP ADresse, Mac Adresse abgreifen?

 

[holdes]

Er könnte sehen:

-MAC Adresse deines VPN Clients (PC von dem aus du verbindest)
-IP Adresse deines VPN Clients (PC von dem aus du verbindest)
-IP Adresse der VPN Gegenstelle
-Welchen VPN Typ (anhand der Ports sofern Standard Ports für IPsec etc. genutzt werden)
-Datentransferrate bzw. Bandbreite die du verbrauchst
-Dauer deiner Verbindung
-Gesamtverbrauch von Zeitpunkt XX:XX bis XX:XX

Je nachdem wie gut er ist und welche Geräte/Software er nutzt. Natürlich könnte er die Ports für deinen Client dichtmachen oder wenn Layer7 gecheckt wird allgemein die VPN oder Internetverbindung sperren. Unter Umständen sogar deinen kompletten Rechner aus dem Netz schmeißen weil er das für einen raffinierten Trojaner halten könnte.

Inhalt ist für alle außer dir unsichtbar sonst wäre eine VPN Verschlüsselung natürlich unsinnig.

 

[IndianaX]

Der Admin sieht aber die MAC deines Gerätes und anhand dieser kann er den Hersteller ermitteln. Und er sieht wie sich dein Gertät am WLAN anmeldet. Also auf dein OS zu schließen ist nicht schwer, aber mehr Daten bekommt er nicht.

 

[nicknackman1]

Das so gesagte ist so nicht ganz richtig! Wenn die Daten vor dem Tunnel abgegriffen werden kann ein Admin sehr wohl sehen was in seinem Netzwerk passiert! Das ist ja wohl auch seine Aufgabe zu wissen was in seinem Netz passiert/los ist!

Des weiteren gibt es genau so diese Methode: https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff

 

[holdes]

Man in the Middle bei VPN? Das wird so ziemlich unmöglich sein, denn ich bezweifle das die Gegenstelle nicht merkt wenn ein zusätzlicher Client dazwischen Zertifikate austellt. Abgesehen davon würde das nur Funktionieren wenn man Server mit SSL3 oder älteren TLS Protokollen abgreift, ergo funktioniert das so nicht wie du dir das vorstellst. Zum anderen würde sich der Admin Strafbar machen selbst wenn dazu ein Befehl von "oben" käme denn das ist nichts weiter als Datenschutzrechtlich illegal und außerdem: Sein eigenen Firmennetzwerk hacken? MiM? Niemals macht das ein Admin und wenn doch gehört der auf die Straße gesetzt und die Zulassung entzogen solche Arbeiten jemals wieder ausführen zu dürfen. (Von Penetrationstests natürlich abgesehen)

Auch das er direkt auf dem Client einfach so Verbindungen Umleiten kann ohne das der User das merkt ist unwahrscheinlich. Im übrigen ist das Firmennetz Dreck wenn dort MiM überhaupt funktioniert denn das würde bedeuten das die Router und Switches ARP Spam durchlaufen lassen.

 

[Raijin]

Das so gesagte ist so nicht ganz richtig! Wenn die Daten vor dem Tunnel abgegriffen werden kann ein Admin sehr wohl sehen was in seinem Netzwerk passiert!
[..]
Des weiteren gibt es genau so diese Methode: https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff

Der Tunnel beginnt im PC/Smartphone. Wenn der Admin die Daten IM Gerät abgreift BEVOR sie in den VPN-Tunnel laufen, kann er sie sehen.

MITM ist nur dann relevant, wenn der Admin die passenden Keys zur Verschlüsselung hat. Darüberhinaus wird beispielsweise bei OpenVPN in einer ordentlichen Installation explizit abgefragt ob der Kommunikationspartner ein Server-Zertifikat hat. Hat der Admin dies nicht, sondern nur das Client-Zertifikat vom Client-PC, dann funktioniert Man-In-The-Middle nicht.

 

[holdes]

Der Tunnel beginnt im PC/Smartphone. Wenn der Admin die Daten IM Gerät abgreift BEVOR sie in den VPN-Tunnel laufen, kann er sie sehen....

Hier ist der Punkt, glaubt jemand ernsthaft das ein Firmenadmin sich auf ein privates Mitarbeiter Android Telefon hackt um zu versuchen dort Plain Daten zu fischen? Glaubt jemand ernsthaft das die Daten VOR dem "eintunneln" überhaupt zu sehen sind? Die Daten verlassen das Telefon ausschließlich über den Tunnel und vor dem Tunnel gibt es so gesehen gar nicht außer das Dateisystem als solches, was davon aber raus geht wüsste auch niemand. Absolut unmöglich das ganze weil wir dann hier wieder von einem Trojaner sprechen der Eingaben überwacht oder Daten zieht.

Es ist Fakt das der Admin nur sieht das es einen Tunnel gibt, was darüber läuft ist und bleibt sicher - Punkt.

 

[Raijin]

Eben.. Wenn der Admin das kann und auch tut, arbeitet er vermutlich bei der NSA ;-)

Für einen (nicht-NSA-)Admin, wäre das sowieso uninteressant. Wenn dem Admin nicht passt, dass die Nutzer über das Firmennetz skypen oder eben auch Filesharing und Co betreiben, dann macht er alle Ports zu außer den http-Ports. Dann ist auch VPN (vorerst) geblockt - bis einer auf die Idee kommt, seinen VPN-Server auf Port 80 zu setzen

Anders wäre es im übrigen, wenn man zB einen Raspberry PI ins Netzwerk hängt, um von dort den VPN-Tunnel aufzubauen. Wenn man nun vom Smartphone über den PI und damit über das VPN online gehen will, beginnt/endet der VPN-Tunnel am PI. Der Kommunikationswegs Smartphone <-> PI ist dann unverschlüsselt. Dort könnte der Admin mitlesen - wenn ihn der Schei.. denn überhaupt interessiert...

 

[holdes]

Aber auch für die Lösung eines Lan to Lan VPN müsste der Admin ein funktionierendes Routing auf eben diesen IP Bereich zum Raspi oder Router haben und auch hier ist ende Gelände für den Admin, das wird schlicht nicht funktionieren denn der Arbeitsrechner ist per Kabel oder WLAN dann entweder in dem Arbeitsnetz oder dem Secure VPN Netz des Rasperry, auch für den Fall das er den eigenen IP Bereich kennen würde müsste er durch die Firewall des Routers kommen um mit diesem überhaupt Routing betreiben zu können.

Alles in allem auch hier so gut wie unabhörbar für den Admin. Der einzige Anwendungsfall in dem es leicht für einen Admin möglich wäre: ein Split-Tunneling wo nur Pakete über den Tunnel gesendet werden die für das Heimische Netzwerk gedacht sind und alle WWW Pakete ungetunnelt über den Arbeitsanschluss gehen. (Wäre so oder so besser denn wenn ich schon Mobil unterwegs bin, warum sollte ich dann auch noch mit meiner IP von zuhause überall zugreifen bzw. den weit größeren Ping in Kauf nehmen?)

Hat man aber eine VPN gebaut die wirklich den gesamten Traffic verpackt ist und bleibt das Teil zu 99,99% sicher und unsichtbar .

 

[HominiLupus]

nicht nur de facto, sondern gar nicht, da der tunnel verschlüsselt ist. was er sieht ist nur dass person xy (angemeldet als gast oder mit wlan-passwort) mit dem gerät sowieso ein vpn port benutzt und wieviel daten hin und her geschoben werden.

Nein. Kommt z.B. darauf an welchen DNS Server der VPN Client nutzt.

Ja das OS kann man via fingerprinting (nmap macht so was z.B.) ermitteln.

 

[Raijin]

Aber auch für die Lösung eines Lan to Lan VPN müsste der Admin ein funktionierendes Routing auf eben diesen IP Bereich zum Raspi oder Router haben und auch hier ist ende Gelände für den Admin

Jein, wenn der Admin zwischen PC/Smartphone und PI sitzt, also zB im WLAN mithört oder einen Paketsniffer in der Infrastruktur vom PC zum PI hat (zB ein dazwischen sitzender Router o.ä.), kann er den Traffic so mitschneiden als wäre gar kein VPN im Spiel.

Aber seien wir mal ehrlich, das sind alles höchst unwahrscheinliche Szenarien. So ein Admin würde das WLAN gar nicht erst für private Nutzung freigeben und/oder die Ports an der Firewall entsprechend dicht machen. Es geht einem Netzwerkadministrator einer Firma ja gar nicht um den eigentlichen Inhalt der Verbindungen, sondern nur um die Verbindung und die damit verbundenen Risiken an sich - zB Viren, potentielle Sicherheitslecks, etc.

 

[holdes]

Nein. Kommt z.B. darauf an welchen DNS Server der VPN Client nutzt.

Ja das OS kann man via fingerprinting (nmap macht so was z.B.) ermitteln.

Da OS spielt keine Rolle, wenn ich z.B. ein Android Phone als WLAN Adapter für meinen Laptop nehme denkt der Admin nach wie vor ich würde mit einem Smartphone VPN betreiben. Der DNS Server ist absolut Wurst wenn der hinter dem Tunnel liegt. Das was du meinst wäre erwähntes Split-Tunneling bei dem ich nicht alle Daten über die VPN leite.

@Raijin: Was dann aber wieder in den Bereich hacking führt und vom Admin aufgrund strafrechtlicher Konsequenzen nicht in diesen Fall zählen dürfte, aber gut das wir nun alle Extreme mit erwähnt haben die man hier so betreiben könnte .

 

[Raijin]

Wirklich hacken ist das ja nu nicht. Ob er nu bei "ohne VPN" am Gateway mitloggt oder bei "VPN via PI" auf der Strecke von/zum PI, ist technisch dasselbe. Ein simpler Paketsniffer wie zB WireShark und aus die Maus.

Whatever, fakt ist, wenn der Admin solche Anstrengungen unternimmt, blockt er sowieso von vornherein den Großteil an der Firewall weg. Selbst wenn man das VPN über einen gängigen Port leitet wie zB 80, 443, 53, o.ä., fällt das im Logging auf, wenn der Admin wirklich will - auf dem DNS-Port 53 läuft üblicherweise wenig bis gar kein Traffic, ist ja nur DNS.. So oder so, der Aufwand steht jedoch in keinem Verhältnis zum Nutzen, sofern nicht ganz konkrete Probleme auftreten wie zB volle Up-/Downloadauslastung durch einen Filesharer im Netzwerk oder eben viele Viren/Malware durch vermeintlich anonymes Surfen auf infizierten Seiten...

 

[IndianaX]

Mittels DPI lässt sich auf jeden Fall das Protokoll ermitteln (HTTPS, OpenVPN, IPSec, ..) und gute Firewalls haben Regeln in denen man diese direkt blockieren lassen kann egal welcher Port genutzt wird.

 

[Lavater]

Kann ein Admin im Firmennetzwerk eigentlich z. B. Hangouts-Chats oder andere ohne VPN mitlesen, wenn das Handy im Firmennetz eingeloggt ist? Hangouts ist z. B. nicht End-zu-End-verschlüsselt.