Hotspot, aber sicher
Über WLAN-Hotspots stolpert man sogar auf der Ferieninsel immer häufiger. Da juckt es, sein Urlaubs-Blog mit neuen Fotos zu bestücken oder E-Mail abzuholen. Trotz des unverschlüsselten Funknetzes bleiben die Daten privat, wenn man eine VPN-Tunnel benutzt.
Der Internetzugang über kommerzielle Hotspot-Netze ist vor allem im Ausland immer noch erheblich preiswerter als über die extrateuren Mobilfunk-Datentarife, selbst wenn eine Stunde Online-Zeit etwa bei den T-Com-Hotspots geschlagene acht Euro kostet. Teilnehmer eines Hotspot-Netzes auf Gegenseitigkeit wie Fon oder Freifunk haben sogar Gratis-Zugang, wenn sie mit etwas Glück ein anderes Mitglied derselben Community finden.
Doch beim Aufklappen des Notebooks, Einloggen im WLAN und Lossurfen sollte man es nicht belassen, denn WLAN-Hotspots funken prinzipiell unverschlüsselt: Jeder in Reichweite der Basisstation kann den Datenverkehr mit wenig Mühe mitlesen. Dazu braucht er lediglich einen WLAN-Adapter, der im Monitormodus arbeiten kann, und der Internet-Provider hat sowieso eine Abhörmöglichkeit.
Das ist vor allem dann fatal, wenn die Authentifizierung beim Webmail-Dienst nicht über sichere (https://…), sondern herkömmliche Webseiten (http://…) erfolgt. Dabei gehen eventuell sogar die Zugangsdaten im Klartext durch die Luft, sodass Mail-Vandalen leichtes Spiel haben.
Der erste kleine Schritt zum Selbstschutz ist daher, zum Abholen und Verschicken von Mail sichere Dienste zu nutzen. Bei Freemailern muss man sich dann gegebenenfalls für den kostenpflichtigen Premium-Dienst entscheiden, der den Zugang per HTTPS ermöglicht. Bei Outlook, Thunderbird oder anderen Mail-Programmen stellt man das Abholen (POP3, IMAP) und Verschicken (SMTP) auf die sichere Variante um (Aktivieren der Verschlüsselung mit SSL oder TLS). Die nötigen Schritte sehen je nach Programm anders aus. Wir gehen darauf nicht im Einzelnen ein, denn ein Virtual Private Network (VPN) schützt statt nur der E-Mail gleich den ganzen Verkehr. VPNs lassen sich unter Windows, Mac OS X und Linux leicht einrichten; dazu folgen gleich Details.
VPNs wurden ursprünglich entwickelt, um Firmen-LANs an mehreren Standorten über öffentliche Netze (WAN, Wide Area Networks) wie das Internet zu koppeln. Später kam das Anbinden von Heimarbeitern ans Firmennetz hinzu. Damit dabei die WAN- und Internet-Provider keinen Einblick bekommen, verschlüsseln VPNs die übertragenen Daten. Deshalb drängt sich die Technik geradezu auf, um mobilen Surfern im Hotspot ihre Privatsphäre zurückzugeben. Wenn man selbst keinen VPN-Server betreibt, stellen VPN-Anbieter eine passende Gegenstelle bereit, die statt ins Firmen-LAN ins Internet führt.
Gesicherte LAN-Kopplung
Gesicherte LAN-Kopplung
Weil Windows XP und Vista ab Werk die nötige Client-Software mitbringen, ist derzeit das Protokoll PPTP bei den VPN-Anbietern weit verbreitet. Alles, was man für den PPTP-Zugang sonst noch braucht, sind Nutzername, Passwort und die Adresse des VPN-Servers. Als Alternative zu PPTP bietet sich OpenVPN an. Viele Linux-Distributionen enthalten es schon ab Werk. Bei OpenVPN läuft die Authentifizierung über Zertifikate, die der VPN-Anbieter erstellt (mehr dazu weiter unten).
VPN-Verbindung anlegen (8 Bilder)
VPN-Verbindung anlegen
Zum Einrichten eines PPTP-VPN reichen wenige Klicks. Unter Windows XP geht das über Netzwerkverbindungen in der Systemsteuerung. Dort klickt man auf "Neue Verbindung erstellen". Die weiteren Schritte sind in der Bilderstrecke dargestellt. Bei Windows Vista klickt man im Netzwerk- und Freigabecenter in der Systemsteuerung "Eine Verbindung oder ein Netzwerk einrichten" an. Der weitere Ablauf unterscheidet sich zu dem unter XP nur visuell. Das Aktivieren der Option "Taskleisten-Symbol anzeigen" erleichtert die spätere Diagnose.
Bei Mac OS X findet man unter "Programme" den Punkt "Internetverbindung". Dort klickt man auf VPN und wählt PPTP aus. Das Paket Tunnelblick enthält einen OpenVPN-Client nebst grafischer Bedienoberfläche. Nutzer von halbwegs aktuellen Linux-Distributionen (etwa Opensuse seit 10.3 oder Ubuntu setie 7.10) können über die Softwareverwaltung PPTP- und OpenVPN-Plug-ins für den Network Manager installieren. Dort fügt man wie unter Windows menügeführt VPN-Verbindungen hinzu. Nun fehlt nur noch die passende Gegenstelle.
VPN-Gegenstellen
VPN-Gegenstellen
Anno 2005 schlug das VPN-Angebot Google Secure Access Wellen: Über den kostenlosen PPTP-Dienst sollen vor allem Nutzer des Google-WLAN-Netzes in Kalifornien sicher surfen können. Doch zum einen ist das Angebot auf die USA beschränkt und zum anderen würde man damit den Bock zum Gärtner machen, denn Google behält sich in den Nutzungsbedingungen das Recht vor, das Surfverhalten seiner VPN-Gäste auszuwerten.
Solch ein VPN-Gateway-Dienst ist bei den großen deutschen Providern noch kein Thema. Arcor, Deutsche Telekom, Freenet, Hansenet (Alice, AOL), Kabel Deutschland, United Internet (1&1, GMX, web.de) und Versatel beschieden unsere Anfrage jedenfalls abschlägig. Wenn überhaupt, dann bieten sie VPN nur Geschäftskunden an, beispielsweise die Telekom das Produkt T-Online directVPN, welches Verbindungen zwischen Heimarbeitern und Firmenservern herstellt und monatlich mindestens 15 Euro kostet.
Als Kleinkunde wird man eher bei spezialisierten Providern fündig: Hotsplots und Sofanet betreiben zwar vorrangig für ihre Hotspot-Kunden einen VPN-Dienst, doch der steht auch Fremdsurfern offen. Bei Hotsplots ist er derzeit noch gratis. Das könnte sich in Zukunft ändern: Der Betreiber denkt an einen Betrag von etwa fünf Euro pro Monat mit monatlicher Abrechnung. Auch eine Durchsatzbegrenzung kommt eventuell, falls die reinen VPN-Nutzer künftig zu viel Bandbreite belegen.
Sofanet bietet als "pure sofaLINK" drei teils sehr günstige Tarife mit unterschiedlichen Laufzeiten von drei Tagen bis zu einem Jahr an. Ferner gibt es reine VPN-Provider, von denen wir drei ausprobiert haben: Relakks aus Schweden, die amerikanische SecureIX und das Produkt SwissVPN der Schweizer Monzoon AG. Relakks und SwissVPN bieten gegen geringe Gebühr monatsweise VPN-Zugang, SecureIX sogar gratis, aber dann bandbreitenbegrenzt.
Relakks hat seinen Sitz in Schweden und unterliegt daher den sehr weit reichenden Abhörgesetzen dort. Damit ist das Surfen über diesen Dienstleister wohl ebenso wenig privat wie über Google.
| VPN-Anbieter (Stand: Sommer 2008) | |||||
| Dienst | Hotsplots VPN | Safesurf | PersonalVPN | pure sofaLINK | SwissVPN |
| Anbieter | Hotsplots | Relakks | SecureIX | Sofanet | Monzoon |
| Methode | OpenVPN | PPTP | PPTP | PPTP | PPTP |
| Verschlüsselung | Blowfish 128 Bit | MPPE 128 Bit | MPPE 128 Bit | MPPE 128 Bit | MPPE 128 Bit |
| Server-Standort | Deutschland | Schweden | USA | Deutschland | Schweiz |
| Geschwindigkeitsgrenze | – | – | 256 kBit/s | – | 5 MBit/s |
| Volumengrenze | – | – | – | 0,5/2/4 GByte | – |
| Gratis- oder Test-Account | + | – | + | + | + |
| Anleitung/Troubleshooting | +/– | +/– | +/– | +/– | +/– |
| FAQ/Forum | +/– | +/– | +/+ | –/– | +/– |
| Support per E-Mail/Tel. | +/+ | +/– | –/– | +/– | +/– |
| Besonderes |
Authentifizierung per Zertifikat |
– | Webmail-Account |
derzeit auf 999 Nutzer begrenzt |
– |
| Laufzeit | – | 1/12 Monate | – | 3/90/360 Tage | 1 Monat |
| Zahlungswege | – |
Paypal Kreditkarte |
– | Paypal |
Paypal Kreditkarte |
| Preis derzeit | gratis | 5-6 €/50 € | gratis | 1/10/20 € | 5 US-$ |
VPN-Methoden
VPN-Methoden
Bis auf Hotsplots setzen alle Anbieter auf PPTP (Point to Point Tunneling Protocol) als VPN-Technik. Hotsplots verwendet OpenVPN und erzeugt bei der Anmeldung individuelle Zertifikate samt einer OpenVPN-Konfigurationsdatei, die man nach Installation der Software nur in das config-Verzeichnis kopieren muss.
Zum Herstellen der VPN-Verbindung ist künftig nur ein zusätzlicher Schritt zum sicheren Surfen nötig: Nach dem Einloggen am WLAN-Hotspot startet man das VPN über einen Klick auf die neue Verbindung, die man sich bequemerweise als Verknüpfung an eine passende Stelle legt. OpenVPN richtet schon bei der Installation ein Taskleisten-Symbol an, dessen Kontextmenü die Connect-Option bietet.
Der erfolgreiche Aufbau des VPN-Tunnels lässt sich im Statusfenster der Verbindung überprüfen. Das erreicht man unter Windows XP und Vista über die Netzwerkverbindungen in der Systemsteuerung, falls man das Taskleisten-Symbol nicht aktiviert hat. Das Kontextmenü von OpenVPNs Symbol enthält dafür die Funktion "Show Status".
Probefahrt
Die fünf Dienste probierten wir an drei Hotspot-Netzen aus, AOL, FON (über La Fonera am Arcor-DSL-Testanschluss der Redaktion) sowie T-Com/T-Mobile. Mit Hotsplots ließ sich über alle Hotspots eine Verbindung aufbauen, Daten gingen mit typischer Geschwindigkeit einer langsamen DSL-Verbindung durch. Die zusätzliche Latenz (Ping-Zeit) war dabei mit bis zu elf Millisekunden recht niedrig, Auswirkungen auf Internet-Telefonate sind so nicht zu befürchten.
Bei PPTP fällt das Gratisangebot von SecureIX nach unten heraus: Lediglich über den AOL-Hotspot war eine brauchbare Verbindung möglich, die dann aber auch die versprochenen 256 kBit/s lieferte. Die zusätzliche Latenz ist mit mindestens 264 Millisekunden jedoch sehr hoch. Offensichtlich sind die Server von SecureIX schlecht ans Internet angebunden, denn sie waren im Testzeitraum nicht zuverlässig erreichbar. Den kostenpflichtigen Premium-Dienst, der bis zu 5 MBit/s liefert, haben wir deshalb nicht erprobt.
Für Gelegenheitssurfer, die selten einen VPN-Dienst brauchen und mit moderater Datenrate auskommen, mag das Personal VPN von SecureIX dennoch genügen. Die sollten dann, anders als in der Online-Hilfe beschrieben, nicht die sprechende Serveradresse vpn.secureix.com verwenden, denn über diese bekamen wir keinen Internetzugang. Stattdessen stellt man besser den alternativen Server 66.150.105.11 ein.
OpenVPN unter Vista
OpenVPN unter Vista
Unter Windows Vista hängt der erfolgreiche Einsatz von OpenVPN unserer Erfahrung nach davon ab, wie aktuell das System gepatcht ist. Mit der stabilen OpenVPN-Version 2.09 schaltete Vista in unseren Versuchen trotz erfolgreichem Tunnelaufbau nach einigen Sekunden wieder auf die Standardroute zurück, sodass die Verbindung nicht mehr verschlüsselt war.
Das hat sich nach einigen Patches geändert: Vista akzeptierte auch die nun aktuelle Beta-Version 2.1_rc7. Ihr Setup-Programm enthält neben der Tunneling-Software auch eine grafische Bedienoberfläche für den Desktop-Tray zum Steuern des Verbindungsaufbaus. Mit der Version lief das Routing über den VPN-Tunnel stabil. Das Setup-Programm muss mit Administratorrechten laufen (Rechtsklick, Als Administrator ausführen). An die OpenVPN-Konfigurationsdatei hotsplots.ovpn hängt man noch zwei Zeilen
route-method exe
route-delay 2
an und kopiert sie zusammen mit den Zertifikatdateien in das config-Unterverzeichnis. Damit das Steuerungswerkzeug die Route ändern kann, muss es mit Administratorrechten laufen, was sich in den Eigenschaften der Verknüpfung für die OpenVPN GUI über den Druckknopf "Erweitert" dauerhaft einstellen lässt. Nach einem Doppelklick aufs Icon und Abnicken der Sicherheits-Anfrage von Vista meldet sich das GUI als Taskleisten-Symbol.
Um den Tunnel aufzubauen, wählt man im GUI-Traymenü Connect. Wer OpenVPN mit anderen VPN-Anbietern als Hotsplots nutzen will, muss in deren Konfigurationsdatei unter Umständen drei weitere Zeilen anfügen. Ohne diese Parameter kam auch in unseren ersten Versuchen mit Hotsplots über fremde WLAN-Hotspots keine VPN-Verbindung zustande:
link-mtu 1400
fragment 1300
mssfix
Ob der Internet-Zugriff per Tunnel geschieht, verrät ein Browser-Zugriff auf den My-IP-Service auf www.heise.de/ip. Dort muss sich die angezeigte IP-Adresse beim Tunnelstart ändern, beispielsweise von 82.83.179.226 auf 87.230.5.81 oder 87.230.33.55. Das heise-Netze-Tool DNS-Abfrage liefert die sprechenden Namen zu den numerischen Adressen. Für die obigen IPs erscheinen dann dslb-082-083-179-226. pools.arcor-ip.net (dynamische Adresse aus dem DSL-Pool von Arcor) und vpn1.hotsplots.net oder vpn2.hotsplots.net (VPN-Server von Hotsplots).
Stolperfallen
Stolperfallen
So einfach das Einrichten von VPN ist, so hakelig kann sich der tägliche Betrieb erweisen. OpenVPN macht dabei selten Probleme, denn es baut lediglich eine UDP-Verbindung auf Port 1194 über den Hotspot-Router nach außen auf, womit keine moderne Firewall Schwierigkeiten hat.
PPTP ist etwas anspruchsvoller: Der initiale Verbindungsaufbau geschieht über TCP (Port 1723), der Tunnel läuft dagegen über das GRE-Protokoll (Generic Routing Encapsulation). Das klappte in unseren Versuchen mit dem La-Fonera-Router nur mit Sofanet zuverlässig, denn bei deren Konfiguration schickt der Client das erste GRE-Paket, was auch den Rückweg durch die Firewall bahnt. Relakks reagierte auf unsere E-Mail-Anfrage nicht. SwissVPN meldete sich, konnte aber auf die Schnelle auch keine Lösung anbieten. Über einen anderen Fon-Hotspot in Hannover kam indes auch mit Relakks und SwissVPN eine Verbindung zustande. Bei SecureIX gibt es für Gratiskunden gar keinen Support.
Auch die T-Com-Hotspots zeigten sich bei unseren Versuchen wählerisch, nur mit Hotsplots und SwissVPN kam auf Anhieb eine Verbindung zustande. Bei den drei anderen Diensten gingen zwar kleine Pakete (Pings) durch, aber große (Webseiten per HTTP) blieben stecken.
Ein T-Hotspot bereitete uns während der Tests ein unerfreuliches Erlebnis: Nach Neustart des Notebooks verweigerte das Gateway den Übergang ins Internet, wohl weil die WLAN-Verbindung eine neue IP-Adresse bekommen hatte. Ein Wiedereinloggen mit den noch gültigen Zugangsdaten verweigerte das Hotspot-Portal aber mit der Meldung "Aus technischen Gründen ist zur Zeit der HotSpot Zugang nicht möglich. Bitte versuchen Sie es in 15 Minuten noch einmal." Während der unfreiwilligen Wartezeit lief aber offensichtlich der Timer weiter, denn er zeigte nach erfolgreichem Wiedereinbuchen deutlich weniger Restguthaben an.
Abhörsicher surfen am Hotspot ist kein Ding der Unmöglichkeit, auch wenn es mit manchen Kombinationen von VPN-Dienst und WLAN-Hotspot in unserem Test hakte. Deshalb muss der Datennomade am besten vor Ort den gewünschten Anbieter ausprobieren. Das machen die Gratisdienste von Hotsplots und SecureIX leicht. Beim 3-Tage-Angebot von Sofanet beschränkt sich die Probe-Investition auf einen Euro. Auch SwissVPN bietet einen Testzugang an, über den man zwar nur deren Webserver erreicht, aber immerhin die Gewissheit bekommt, dass das VPN funktioniert.
Auch abseits von WLAN-Hotspots kann ein VPN-Zugang nützlich sein, beispielsweise wenn man Geolocation-Dienste umgehen möchte, um US-Webseiten im Original zu sehen, oder Datenschnüfflern eine lange Nase drehen will. Doch das leichte Aufsetzen eines VPN sollte nicht zu Leichtsinn verleiten: Eine Firewall, aktiver Virenschutz und gesundes Misstrauen gehören nach wie vor zur Sicherheits-Grundausstattung, denn gegen Trojaner schützt auch ein VPN nicht.
(ea/c't) ()
