Skip to main content
CertificatesExplainersNeuheitenUnkategorisiert

Alles zu VPN Tracker 24.1 & 24.2

By Team equinuxSeptember 25, 2024November 14th, 2024No Comments

VPN Tracker 24.1: Verbesserte Zertifikatsvalidierung und Pinning-Optionen für OpenVPN-Verbindungen

Um ein Zertifikat als sicher einzustufen, muss es ab sofort in VPN Tracker 24.1 die folgenden vier Bedingungen erfüllen:

1. Es muss korrekt formatiert sein.
2. Es darf eine Gültigkeitsdauer von maximal einem Jahr haben.
3. Es muss die Serveradresse enthalten, zu der es gehört.
4. Es muss von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert sein.

Mit VPN Tracker 24.1 können Benutzer entweder eine Remote-CA oder direkt das Zertifikat des entfernten OpenVPN-Gateways in der Verbindung auswählen (bekannt als Zertifikat-Pinning).

CA- und Zertifikatauswahl:
Wenn weder eine CA noch ein Zertifikat ausgewählt wird, validiert VPN Tracker das Zertifikat des Remote-Servers anhand der im System installierten CAs und wendet die obigen Regeln an. Sollten benutzerdefinierte CAs installiert sein, müssen diese manuell vertraut werden, da sie standardmäßig als nicht vertrauenswürdig gelten (dies lässt sich über die Schlüsselbund-App einstellen).

Vertrauen in die CA durch Auswahl in VPN Tracker:
Wird eine CA in VPN Tracker ausgewählt, gilt diese als vertrauenswürdig, selbst wenn sie nicht systemweit als vertrauenswürdig eingestuft ist. In diesem Fall muss das Zertifikat des Remote-Servers von dieser spezifischen CA signiert sein, wobei die Regeln (1) bis (3) weiterhin gelten. Die einzige Ausnahme: Wenn das Remote-Gateway eine vollständige Zertifikatskette sendet, die eine CA enthält, die zur ausgewählten CA passt, wird nur Regel (1) angewendet.

Auswahl eines Remote-Gateway-Zertifikats:
Wird in VPN Tracker das Zertifikat des Remote-Gateways direkt ausgewählt, werden alle anderen Regeln außer Kraft gesetzt. Das Zertifikat des Remote-Gateways muss entweder genau übereinstimmen oder eine neuere Version mit demselben öffentlichen Schlüssel sein. Dies ermöglicht eine Zertifikatserneuerung, ohne dass alle VPN-Verbindungen aktualisiert werden müssen, solange das Schlüssel-Paar unverändert bleibt.

VPN Tracker 24.2: OpenVPN unterstützt jetzt die schnelle ChaCha20-Poly1305-Verschlüsselung

Mit der neuen Version 24.2 bringt VPN Tracker Unterstützung für die ChaCha20-Poly1305-Verschlüsselung zu OpenVPN-Verbindungen. Diese Verschlüsselungsmethode bietet eine schnelle und sichere Alternative zu AES und ist besonders effizient auf Geräten ohne Hardware-Beschleunigung für AES, wie z. B. mobilen Geräten. ChaCha20-Poly1305 kombiniert hohe Geschwindigkeit mit robuster Sicherheit und eignet sich damit ideal für moderne VPN-Anforderungen.

Für maximale Sicherheit bleibt AES die erste Wahl bei der Verschlüsselung, zusammen mit SHA2 für die Authentifizierung. AES-128 (auch bekannt als AES-CBC-128) bietet eine starke Verschlüsselung, und SHA-256 (auch SHA2-256 genannt) sorgt für robuste Authentifizierung. Wer noch mehr Sicherheit möchte, kann auf AES-192 oder AES-256 setzen, kombiniert mit SHA-384 oder SHA2-512. Diese sind zwar etwas langsamer, jedoch in den meisten Fällen nicht erforderlich, da AES-128 + SHA-256 für die kommenden Jahrzehnte als sicher gilt.

Für höhere Leistung ohne Kompromisse bei der Verschlüsselungsstärke ist AES-GCM-128 eine gute Wahl. Stärkere Alternativen sind AES-GCM-192 und AES-GCM-256. Die AES-GCM-Modi bieten die gleiche Verschlüsselungsstärke wie AES-CBC, ermöglichen aber eine schnellere Authentifizierung, da sie Prüfsummen direkt aus den verschlüsselten Datenblöcken ableiten. So entfällt die separate SHA2-Verarbeitung. Die Authentifizierung in GCM ist zwar möglicherweise minimal schwächer als bei SHA2, jedoch auch nach heutigen Maßstäben noch sehr sicher.

Für maximale Geschwindigkeit ist ChaCha20-Poly1305 aber eine hervorragende Wahl. Zwar wird ChaCha20 nicht von NIST empfohlen und seine Sicherheit im Vergleich zu AES wird noch diskutiert, dennoch gilt es nach heutigen Maßstäben als sicher und ist schneller als AES.

Nerd-Fakt: Der IBM-Roadrunner-Supercomputer (der schnellste im Jahr 2008) hätte 20 Milliarden Jahre gebraucht, um Salsa20/7 zu knacken – den 128-Bit-Vorläufer von ChaCha20. ChaCha20 arbeitet mit 256 Bit, und obwohl die heutigen Supercomputer von 2024 deutlich schneller sind, verdoppelt sich der Rechenaufwand mit jedem zusätzlichen Bit. Solange also kein bisher unentdeckter Designfehler existiert, ist es unwahrscheinlich, dass ChaCha20 so bald geknackt wird.

VPN Tracker 24.2: Verbesserte Verwaltung von OpenVPN-Verbindungen mit Keep-Alive, Inactivity Disconnect und DPD

Ab Version 24.2 bietet VPN Tracker für OpenVPN-Verbindungen drei ähnliche Einstellungen, die jeweils einen eigenen Zweck erfüllen:

  1. Keep-Alive-Ping: Sendet regelmäßig einen Ping, um sicherzustellen, dass ausgehender Traffic kontinuierlich stattfindet (Standard: alle 10 Sekunden). Dies verhindert, dass Firewalls die Verbindung als inaktiv markieren, insbesondere in Fällen, in denen ISPs Carrier-Grade NAT für IPv4 verwenden. Der Ping erfolgt einseitig, und das Gateway entscheidet, ob es Pings zurücksendet.
  2. Inactivity Disconnect: Trennt die VPN-Verbindung nach einer festgelegten Inaktivitätsdauer (kein ein- oder ausgehender Traffic). Pings und Verwaltungs-Traffic zählen dabei nicht als Aktivität. Auch wenn diese Einstellung deaktiviert ist, kann das Gateway seine eigene Inaktivitäts-Timeout-Regelung erzwingen.
  3. Dead Peer Detection (DPD): Trennt die Verbindung, wenn das Gateway nicht reagiert. VPN Tracker beendet die Verbindung, falls kein Traffic oder Ping vom Gateway empfangen wird. DPD wird jedoch erst aktiviert, nachdem mindestens ein Ping vom entfernten Gateway registriert wurde, um versehentliche Verbindungsabbrüche zu vermeiden.

Der DPD-Intervall wird bei UDP-Tunneln strikt eingehalten, während TCP-Verbindungen entspannter gehandhabt werden, da TCP tote Verbindungen selbst erkennen kann. Bei TCP-Tunneln lässt VPN Tracker zusätzliche Zeit über den DPD-Intervall hinaus zu, bevor die Gegenstelle als inaktiv betrachtet wird.

VPN Tracker 24.2: Verbesserte Schlüsselneuerung für OpenVPN-Tunnel zur Minimierung von Traffic-Unterbrechungen

OpenVPN-Tunnel haben eine begrenzte Lebensdauer und erfordern regelmäßige Schlüsselneuerungen (Rekeying), um die Verschlüsselungssicherheit aufrechtzuerhalten. Häufiges Rekeying erhöht die Sicherheit, kann jedoch zusätzlichen Datenverkehr erzeugen und vor allem bei TCP-Verbindungen zu kurzen Unterbrechungen führen.

Eine Designschwäche in OpenVPN tritt beim Rekeying auf: Bei hohem Verkehrsaufkommen während der Aushandlung eines neuen Schlüssels kann es zu Paketverlusten kommen. Dies kann zu erheblichen Einbußen im TCP-Durchsatz und zum Verlust von UDP-Paketen führen, was Verbindungen beeinträchtigen kann.

VPN Tracker 24.2 führt eine clientseitige Lösung zur Abschwächung dieses Problems ein, wobei die Serverseite unverändert bleibt. Folglich wurde das Standardverhalten für die Lebensdauer angepasst. Falls keine Lebensdauer konfiguriert ist, wählt VPN Tracker nun einen standardmäßigen Wert, der vom verwendeten Protokoll abhängt. Für UDP bleibt der Standardwert bei 1 Stunde, für TCP wurde er jedoch auf 24 Stunden verlängert, um Rekeying-Probleme zu verringern.

Das Rekeying-Problem tritt nur bei hohem Datenverkehr auf. Bei geringem Traffic während der Schlüsselneuerung bleibt das Problem weitgehend aus. Zudem wird das Rekeying nicht nur durch Zeitlimits, sondern auch durch bestimmte Daten- oder Paketlimits ausgelöst, die je nach Verschlüsselungsalgorithmus variieren. Um Rekeying zu minimieren, sollte man schwächere Verschlüsselungsalgorithmen wie 3DES und Blowfish vermeiden, da diese langsam sind und niedrige Datenlimits haben.

Warum VPN Tracker?

VPN Tracker ist die beste Lösung für den sicheren Remote-Zugriff auf Mac, iPhone und iPad und ist kompatibel mit den beliebtesten VPN-fähigen Geräten, inkl. FRITZ!Box,  NETGEAR, TP Link, Draytek, u. v. m.

Ihre Vorteile mit VPN Tracker

  • Verbinden Sie sich mit dem Office-Netzwerk sowie mit Ihrem Smart Home
  • Ihr eigenes Gateway nutzen
  • Vorkonfigurierte Profile für 300+ VPN-Geräte
  • Konfigurationswizard für schnelleres Setup
  • Für Mac, iPhone, iPad
  • Alle Features ansehen
5 1 vote
Article Rating
Subscribe
Notify of
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedback
View all comments
Privacy-Settings / Datenschutz-Einstellungen
0
Feedback or improvements? Let us know!x
()
x