48 048-051_mobile-VPNs.indd 48 Titelthema www.linux-magazin.de Mobile VPNs 10/2011 © el_fabo, photocase.com Löchrige Netze Dennoch ist Vorsicht geboten, ist dieSicherheittrügerisch. dennoft aufrüsten. Auch RIMsBlackberrys unddasMerkel-Phone von T-Systems verschlüsseln aufWunsch alleDaten. Android, iPhoneundWeb OS bringendiverse VPN-Technologien mitundlassen sichzudem mitOpenVPN Virtuelle private Netze undSmartphones ir ofgrtosolgn mt denen mit Konfigurationsvorlagen, vier aus Auswahl die VPN Thema beim Re- gel der in haben Android-Anwender Android-Standards aus demSimko2-Projekt von T-Systems. als Hersteller hochsicher angepriesene Mobiltelefon vom das auf Blick ein folgt Schluss Zum Android. auf VPN Open und bringt lassen, in einem Howto einrichten auch das freie sich sie wie und ist Bord an Blackberry RIMs und I-OS OS, Web Android, mit Smartphones dernen zeigt, was an VPN-Unterstützung bei mo Artikel Dieser VPN-Standards. gängigen mit Integrationsmöglichkeiten aus Haus triebssysteme bieten dem Anwender von Handy-Be- verbreiteten die und stalliert, in- schnell das ist Linux-Server eigenen dem Auf herum. nicht (VPN) Netz tes priva- virtuelles eigenes ein um kommt will, anbinden Unternehmensnetz nen sein Wer mrpoe ihr n eige- ans sicher Smartphone - diesem Artikel. in unten weiter Simko zu Abschnitt den auch siehe L2TP-IPsec-Insecurities und Magazin-Artikel und Anbinden der Clients gibt der Linux- Debuggen beim Hilfestellung Cisco. wie tären Implementierungen von Herstellern rieren, vor allem im Verbund mit proprie - konfigu- zu schwierig als wieder immer sicher einzustufen und IPsec erweist sich als mehr nicht Expertenmeinung nach sind PPTP und L2TP hinwegtäuschen: VPN-Probleme grundlegende über nicht darf den sicherheitsbewussten Anwender Clientkonfiguration der Einfachheit Die Serie oderArchos-Tablets. HTCsDesire- in Beispiel zum sind, baut ver- Geräten meisten den auf sie wie so hinzufügen«, VPN | VPN‑Einstellungen | Netzwerke & Drahtlos | »Einstellungen hält. er- Unternehmensdaten den zu Zugang verschlüsselten so und lässt VPN-Serveranbinden eigene an Gerät das sich eg de eü aus Menüs die zeigt 1 Abbildung [1], zum Thema Android Markus Feilner, Ronny Weiss, DanielSalcher Online-Festplatte Hidrive Stratos bei Beispiel zum Umfeld, ellen kommerzi- im auch Anwendung mehr VPN. Das SSL-VPN-Projekt findet immer Open VPN-Alternative die sich sentiert prä- so Varianten, andere als sicherer und IPsec konfigurierenals zu einfacher aber dafür installieren, zu Schwieriger Setup des Open-VPN-Servers für schmale [3] IPsec-Client gleich die Cisco-Variante als mit, iPhone das bringt Immerhin sieht. an- AGBs seine gegen Verstoß als dies Apple weil schon empfehlen, zu nicht deren Vorgehen im Unternehmenseinsatz ist doch betreiben, VPN Open iPhones Anwendernvon Berichte die sich 2010 mehren Mai seit Etwa 2). (Abbildung Bord an mit IPsec und PPTP L2TP, Android bei wie sind bereits hier mit, bringt VPN-Support standardmäßig iPhone Apples Auch Schwarzbeeren Äpfel, Palmen und Policy derIT-Leitung entscheiden. wünscht ist, muss im Unternehmen eine Ob der aber im Einzelfall erlaubt oder er- Jailbreak den als anderes nichts tet bedeu- Das will. einsetzen VPN Open er wennRootrechte, Android unter Admin der braucht setzt, Netzwerkinterfaces TUN/​ baren) verfüg- Plattformen modernen allen auf (stan­ die auf VPN-Tool freie „Android-Open-VPN-Howto“). Weil das (siehe notwendig mehr Schritte einige System das Android unter macht erledigt, openvpn« install »apt‑get plen sim- einem Vorgängernmit seinen noch War die Installation auf Nokias N 900 und Bandbreiten ankommt. beschreibt detailliert, worauf es beim A-rie fr virtuelle für TAP-Treiber , die auf geknackten auf die [7], [2]. Der Artikel dardmäßig 23.08.2011 16:36:21Uhr Kasten [6]. 10/2011 Titelthema Mobile VPNs

49 www.linux-magazin.de

Abbildung 1: Von links nach rechts: Die Einstellungsmenüs für PPTP-, L2TP-, L2TP-VPN mit IPsec-PSK und L2TP/IPsec​ mit CRT-VPNs bei einem Froyo-Androiden.

die mit Hardware des Internetriesen pro- selt mit ihrer Zentrale – doch hat das für mediale Aufmerksamkeit sorgte. Die blemlos funktionieren soll. Konzept eine kleine Schwachstelle. Da- Blackberry-eigene Variante der Peer-to- Palms Web OS bringt erst seit Version ten, die zwischen dem Blackberry Enter- Peer-Kommunikation zwischen beliebi- 2.1.0 (Abbildung 3) einen VPN-Einstel- prise Server (BES, Abbildung 5) und den gen Blackberry-Usern gaukelt mehr Si- lungsdialog mit, der unter anderem mit Smartphones hin- und herlaufen, sind cherheit vor, als sie bietet: Mit der ein- Cisco-Konzentratoren kommuniziert. Die mit dem Advanced Encryption Standard deutigen PIN, die dem Anwender­account Admins der Uni Clausthal haben dafür (AES) oder dem Triple Data Encryption zugeordnet ist, kann ein User auch ohne ein Howto ins Netz gestellt [8], das inte- Standard (Triple DES) End-to-End-ver- BES einem anderen Nachrichten schicken ressierte Anwender durch die Konfigura- schlüsselt. Dieser Weg ist, geht es nach (PIN-to-PIN-Kommunikation). tion führt und Probleme aufzeigt. dem Hersteller, auch der zu bevorzugende Weil in HPs Web OS ein Linux werkelt, für den Zugriff auf die Unternehmensda- Nur scheinbar verschlüsselt auf das der Admin mit ein wenig SDK-Ma- ten in der Zentrale, wo ja normalerweise gie auch mit einer Shell zugreifen kann, auch der BES steht. Die Messages scheinen zwar sicher ver- funktioniert auch Open VPN recht prob- Allerdings bieten die Schwarzbeeren schlüsselt, aber weil RIM nur mit einem lemlos mit den Pre-Smartphones. Ein ver- auch Support für IPsec, an weiteren weltweit einheitlichen kryptographi- trautes »sudo ipkg‑opt install« installiert VPN-Alternativen arbeitet man, erklärt schen Key arbeitet, sprechen Webseiten die VPN-Software und löst selbstständig Research in Motion auf Nachfrage des wie Crackberry [11] nur von „Scrambled notwendige Abhängigkeiten auf. »open- Linux-Magazins. Die Keys für die vom Messages“ und betonen, das sei keine vpn ‑‑config /opt/etc/openvpn/palmpre/ Hersteller eingebaute Standardverschlüs- wirksame Encryption. palmpre.ovpn« startet einen ersten Tun- selung erzeugt der Admin auf dem BES Nur so kann RIM den englischen Behör- nel testweise von der Kommandozeile und den Telefonen, sie sind damit aus- den volle Kooperation bei der Aufklärung und mit viel Protokoll-Output. schließlich im Besitz der Blackberry-Kun- zusichern und sehr wahrscheinlich auch Die Shell ist mit installiertem SSH-Server den, also außerhalb auch von außen auf dem Smartphone des Einflussbereichs erreichbar, was die Administration von RIM. deutlich erleichtert. Voraussetzungen Wer sein Black­berry für die Installation sind allerdings die ohne BES betreibt Preware(Optware)-Repositories auf dem oder den eingebaute Gerät und die Einhaltung des vom Her- Messenger nutzt, steller angegebenen Wegs zum Jailbreak um mit Personen [6]. Details zur Open-VPN-Einrichtung außerhalb des eige- liefert Web-OS-Internals [9]. nen Unternehmens zu kommunizieren, Mit und ohne BES: RIM sollte sich aber kei- nen Illusionen hin- Auf Blackberrys hält Research in Motion geben. Schon länger (RIM, [10]) alle Fäden in der Hand. Die ist bekannt, was un- Abbildung 2: Dreimal VPNs mit I-OS: Abbildung 3: Erst seit Version 2.1 Smartphones des kanadischen Anbieters längst bei den Kra- L2TP, PPTP und Ciscos IPsec auf kann HPs Palm Pre mit Web OS VPNs kommunizieren grundsätzlich verschlüs- wallen in London Apples iPhone. konfigurieren.

048-051_mobile-VPNs.indd 49 23.08.2011 16:36:22 Uhr 50 048-051_mobile-VPNs.indd 50 Titelthema www.linux-magazin.de Mobile VPNs 10/2011 aufbauen will, in einem Pop-up die Frage Authentifizierungbasierter Tunneleinen Zertifikat- und IPsec mit L2TP-Protokoll dem mit der Anwender, dem konform) RFC- (übrigens Android beispielsweise offeriert So Schwächen. eklatante weise teil- WebOS und I-OS Android, bei sich zeigen BereichVPNs im der schon Doch punkt detaillierterein. Schwer- diesem in Artikel anderer ein geht Betriebssystem zum bis Bootloader Tabletvom oder Smartphone einem bei Grundzustands sicheren eines Thematik nem sicheren Endgerät ausgehen. Auf die der Geräte kann der Administrator von ei- keinem Bei Nachteil: gravierenden nen ei- haben Lösungen beschriebenen Alle Eingebaute Unsicherheit eigenen Server entschlüsseln. die über Datenverkehr kompletten den Android-Open-VPN-Howto benötigter Keys. eventuell und Zertifikaten samt VPN Open für Clientkonfiguration gewünschten der mit men zusam- SD-Karte der auf Ordner angelegten das Forum herunter, Hintergrundinformationen dazu liefert lädt der Benutzer von »Titaniumwie ten Dann Backup«ist.enthalten PakeAndroid-Marketin - im die Busybox,Suite Mini-SSH-Server- der es bedarf Anschließend helfen dabei. »VISIONary« oder »SuperUser« perOneClick«, das Gerät zu rooten (Jailbreak). Tools wie »Su- gefasst machen ( Arbeit einige auf sich darf muss, installieren VPN Open freie das Androiden seinem auf Wer Abbildung 4: OpenVPNlässt sichnuraufgerooteten Androiden installieren. Dannbedarfes nochder richtigenPfade, Einstellungen undeines Tests mitNetping. [5]. »Tun.ko« landet in einem eigens Abbildung 4). Zunächst gilt es, [4] den »Tun.ko«-Treiber ec i Fr enr verschlüsselbaren einer Form in reich Speicherbe- sicheren keinen sie wenn aus, vornherein von Anwender wusste sicherheitsbe- für hier scheiden tenleser TelefoneKarandere- ohne oder iPhones sind. abgelegt dort sie wie und kommen und VPN-Key wie daraus,sich ergibtweiteresProblem Ein Internet fürwenige Tausend Euro. im es gibt Router Derartige wähnt. cher si- Benutzer der sich obwohl mitlesen, Mobilfunkroutersdes Trafficganzen den Admin der kann »Ok«, auf schnell hier Anwender der Klickt austauscht. baus Verbindungsauf- des während Zertifikat das und hat Mobilfunkbetreiber den auf Zugriff Admin ein oder Staat ein wenn etwa verstecken, in-the-Middle-Angriff Man- ein durchaus sich kann Dahinter rung etwas falschlief. Initialisie- der bei wenn akzeptieren?«, »Jedes Zertifikat aus unbekannter Quelle /xbin/bb/route route ln ‑s/system/xbin/route/system/xbin/bb/ bb/ifconfig adb shellln‑s/system/xbin/route/system /system/xbin/bb/ifconfig minal aufdemAndroiden verlinkt jetzt ProgrammSettings«.Ter»OpenVPN einem An dem Market) den »Open VPN Installer« und das aus (wiederum Anwender der installiert Jetzt adb shellln‑s/system/xbin/ifconfig mit denSDK-Tools, hiermitAdb: die Open-VPN-Binaries. Das geht natürlich auch ln ‑s/system/xbin/ifconfig/system/xbin/ Zertifikat aufs Gerät aufs ‑Zertifikat U

U U U

-

muss zur jeweiligen Android-Version passen! im Market) testen. Achtung: Die Datei »Tun.ko« (ebenfallsNetping mit Beispielzum vieren und akti- VPN das gurationsdateidann überprüfen, Konfi- die und anpassen Einstellungen waige et noch Smartphone-Besitzer der kann Jetzt openvpn/tun.ko« eingetragen sein. als »Path to tun modul:« zum Beispiel »/sdcard/ und gesetzt insmod« using: module »Load auf module« angeschaltet, »TUN module settings:« Menü »Advanced«. Dort muss »Load tun kernel Settings«wechseltVPN wenderund ins »Open An- der startet Danach »/system/xbin/bb/«. Parameter den route/ifconfig« zu »Pfad als hält als Installationsort »/system/xbin/« sowie Installer«VPN Jetztstarteter »Open und der zu knackenzu leicht für Schneier Bruce Crypto-Experte hält iPhone des Datenverschlüsselung verschlüsseln Gerät dem auf Daten privaten alle Anwender der kann Android-Version(Honeycomb)ab 3 Erst Minenfeld: ein offenbart Zertifikate und Verschlüsselungskeys der Speicherort nicht allzu beschützt wähnen. Schon der deshalb Adminsicherheitsbewusster ein sich sollte können, zu arbeiten Couleur verschiedener VPNs mit vorgibt, phone Smart- jedes Auchfast wennheutzutage Sicherer Speicher? den benutztenSchlüssel. Arbeitsspeicher auszulesen, zum Beispiel im VPN-Daten kritische Möglichkeit, die räten hat ein Angreifer prinzipiell immer Ge- anderen allen bei auch Aber sehen. vor- Cryptocard einer gar oder SD-Karte und bei Webbei und [13] es gibt OS Die [12]. 23.08.2011 16:36:23Uhr - -

Wissbegierig? Data Encryption sogar nur als Zusatz- [2] Strato Hidrive: [http://​­www.strato.de/ App, zum Beispiel Secret! [14]. Hinzu hidrive] Schulungen von Profis für Profis kommen noch manche Fehler in Proto- [3] Markus Feilner, „GPRS, NX, Open VPN, kollen, Stacks und Update-Mechanismen, Bluetooth“: Linux Technical Review 05/07, die ein sicheres Endgerät fast unmöglich S. 84 it-sa 2011 – BESUCHEN SIE UNS! machen. Das aber wäre eine zentrale Vo- [4] Tun.ko bei Google Code: [http://​­code.​ raussetzung für den geschützten Unter- ­google.​­com/​­p/​­get‑a‑robot‑vpnc/​­downloads/​ Schulungen, E-Mail-Archivierung, Anti-Spam, nehmenszugang. ­detail?name=tun.​­ ko&​­ ​­can=2&q=]​­ Mailtrace. Unser Team steht Rede und Antwort: [5] Entwicklerforum: it-sa in Nürnberg, Halle 12, Stand 472 Simko2 [http://​­forum.​­xda‑developers.​­com/​ ­archive/​­index.​­php/​­t‑960642.​­html] Das besser zu machen, verspricht T-Sys- [6] Oleksandr Shneyder, Nils Faerber, Markus tems mit den Simko2-Telefonen (Sichere Feilner, „Endlich frei!“: Linux-Magazin Mobile Telekommunikation, [15]). Der 04/​10, S. 46 deutsche IT-Konzern hat das L2TP-Proto- [7] Open VPN auf iPhones: koll verändert und dabei auch die er- [http://​­chandraonline.​­net/​­blog/​­?​­p=22] wähnte L2TP-IPsec-Lücke mit dem Man- [8] IPsec mit dem Palm Pre: in-the-Middle-Angriffsvektor geschlos- [https://​­www‑secure.​­tu‑clausthal.​­de/​ sen. Die Simko-Geräte setzen auf Techno- ­userdoku.​­rz/​­doku.​­php?​­id=vpn:webos] logie der Security-Spezialisten NCP [16] [9] Open VPN mit Web OS: und Genua [17]. Das BSI hat die HTC- [http://​­www.​­webos‑internals.​­org/​­wiki/​ Telefone mit gehärtetem Windows Phone ­OpenVPN_for_Palm_Pre] 6.5 auf Herz und Nieren getestet und für [10] RIM-Blackberry: sicher gemäß der Geheimhaltungsstufe [http://​­de.​­blackberry.​­com] „Verschlusssache nur für den Dienstge- [11] Warum PIN-to-PIN-Messaging unsicher brauch“ befunden. ist: [http://​­crackberry.​­com/​ Für „lückenlose Sicherheit“ (T-Systems) ­pin‑pin‑messaging‑secure] soll dabei ein angepasstes Betriebssystem [12] Honeycomb kann Daten verschlüsseln: mit eingebauter Crypto-SD-Card, End-to- [http://​­www.​­engadget.​­com/​­2011/​­02/​­02/​­ End-Verschlüsselung und gehärtetem android‑3‑0‑honeycomb‑can‑encrypt‑ Bootloader sorgen. Die Zertifikate fürs all‑your‑data‑needs‑a‑full/] VPN gelten per Default zwei Jahre und [13] Bruce Schneier hält nichts von der Ver- sind fest ins Gerät integriert, sodass das schlüsselung auf Apples iPhone 3G: Smartphone eine Lebensdauer von 24 [http://​­www.​­schneier.​­com/​­blog/​­archives/​ Monaten nicht überschreiten kann. Am ­2009/​­07/​­iphone_encrypti.​­html] Nachfolger mit Android und Dualboot [14] Secret!: [http://​­linkesoft.​­com/​­secret/] arbeiten die Entwickler bereits. n [15] T-Systems stellt sichere Smartphones für Bundesbehörden vor: [http://​­www.​ ­telekom.​­com/​­dtag/​­cms/​­content/​­dt/​­de/​ Infos ­595758?​­archivArticleID=791156] [1] Wolfgang Langner, Markus Feilner, „Durch- [16] NCP: [http://​­www.​­ncp‑e.​­com] bruch“: Linux-Magazin 10/​09, S. 56 [17] Genua Security: [http://​­www.​­genua.​­de]

Abbildung 5: Die Blackberry-Infrastruktur setzt auf den zentralen Blackberry Enterprise Server (BES).

048-051_mobile-VPNs.indd 51 23.08.2011 16:36:25 Uhr

AZ_LM_09-11_Akademie_Kurse_79x297_01.indd 1 22.08.11 13:31