Die Firma Inter.net Germany bietet ein interessantes Produkt an: Einen Internetzugang für Rechner, die bereits im Internet sind. Auf den ersten Blick scheint es keinen Bedarf für ein solches Produkt zu geben. Dennoch verlangt das Unternehmen dafür von Privatkunden unter der Marke snafu 7,50 Euro pro Monat.
Hinter CryptoConnect versteckt sich ein VPN-Zugang mittels PPTP-Protokoll. Anders als die meisten VPNs verbindet CryptoConnect den Nutzer nicht in ein Firmennetzwerk, sondern ins Internet, also dahin, wo er sich vermeintlich schon befindet.
Die Nachfrage nach solchen Internetzugängen ist groß. Dafür gibt es vor allem zwei Gründe: Zum einen bieten immer mehr ISP keine echten Internetzugänge mehr an, sondern nur noch NAT-Zugänge mit privater IP-Adresse, zum anderen nutzen immer mehr Arbeitnehmer solche Zugänge, um der Überwachung durch den Arbeitnehmer zu entgehen. Gleiches gilt, wenn der Arbeitgeber den Internetzugang stark einschränkt.
Von einem echten Internetzugang eines Rechners kann man streng genommen nur dann reden, wenn der PC oder ein anderes Gerät eine öffentliche IP-Adresse besitzt. Mit einem üblichen Heim-Breitbandanschluss über DSL oder Fernsehkabel lässt sich das normalerweise maximal für einen Rechner erreichen.
Es gibt jedoch Ausnahmen: M-Net duldet beispielsweise stillschweigend eine PPP-Einwahl von mehr als einem Rechner. Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu. Die meisten anderen Anbieter sind jedoch strenger und erlauben keine zweite öffentliche IP-Adresse.
Abhilfe schafft normalerweise ein NAT-Router. Der NAT-Router bekommt vom Provider die öffentliche IP-Adresse und teilt den Rechnern im Heimnetzwerk private IP-Adressen meist aus dem Bereich 192.168.0.0/16 oder 10.0.0.0/8 zu. Das schränkt den Internetzugang einerseits stark ein, andererseits ergibt sich daraus automatisch eine Firewallfunktionalität. Aus dem Internet kann keine Verbindung zu einem Rechner ins Heimnetzwerk aufgebaut werden.
Oft ist jedoch ein Zugriff auf heimische Rechner und Geräte, etwa VoIP-Telefone oder digitale Videorekorder, explizit gewünscht. Mit einem NAT-Router lässt sich dieser Zugriff mittels Portforwarding meist problemlos einrichten. Recht einfach funktioniert das bei TCP, da TCP-Verbindungen einen definierten Auf- und Abbau besitzen. Schwierigkeiten gibt es häufig bei UDP. Der NAT-Router muss selbst entscheiden, ob die Verbindung noch aktiv ist. Das geschieht über einen Time-out, der bei den meisten NAT-Routern fest voreingestellt ist und nicht verändert werden kann.
Neueste Kommentare
7 Kommentare zu Wenn die Firma spioniert: VPN-Verbindung ins Internet
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Anleitung ?
Ich denke nicht das es hier eine Anleitung zum Diebstahl von Firmeneigentum sein soll.. Vielmehr geht es hier um die Wissen.
Wenn ich euch erzähle ihr könnt eure Hausbank mit vorgehaltenen Zeigefinger in der Jackentasche ausrauben, dann rennt ihr gleich zum geldholen los…
Sicher kennt ihr die Folgen und nutzt eure Geldkarte wie vorgeschrieben.
Wer meint, er müsse seine Firma betrügen, im Wissen das er mit seinem Job spielt, gehört entlassen. Als Admin fallen mir VPN Verbindungen eh auf und werden sicher hinterfragt.
Das Firmen ihre Mitarbeiter „bespitzeln“ mag es ja geben. Der Chef möchte kontrollieren, der Mitarbeiter fühlt sich bespitzelt. Da fällt mir nur ein „Jeder ist so faul wie man ihn lässt“
Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu
Erstmal vielen Dank für die sehr interessanten Artikel. Mit Erstaunen habe ich folgende Pasage gelesen. „Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu“
Haben Sie hierzu weitere Hintergrundinformationen?
Technisch ist nur ein Kabelmodem möglich. Die Lösung wäre ein Switch mit 2 Routern bzw. Rechnern. Für weitere Infos wäre ich dankbar. Seiten KDG besteht dahigehend kein Support..
Michael
Dieser Artikel…
…hat weder inhaltliches Niveau (ein NAT Router schränkt die Internetnutzung stark ein…aha) noch gehört er in den Bereich "Security". Eine Anleitung zur Umgehung von Sicherheitsmaßnahmen im Firmenumfeld, gekrönt von reißerischer Headline. Ich hätte nicht gedacht, dass ich so etwas unerträgliches mal bei zdnet lesen müsste. Danke für dieses morgendliche Fremdschämen.
Tipp fuer die Admins
Der Artikel gibt doch zumindest Hinweise darauf, was in einem Sicherheitskonzept noch berücksichtigt werden muss. Wo ein Weg bekannt wird, wird auch eine Sperre kontruiert werden können.
In Firmenumgebungen
hat der Arbeitnehmer keine eigene Software zu installiern, das zieht sofortige Konsequenzen nach sich.
‚Super Idee‘ …
… den Leuten zu erklaeren wie sie sich mit einer VPN Verbindung durch den Proxy des Arbeitgebers durchtunneln koennen und damit der Uerbwachung zu entziehen. Und dann wird sich wieder gewundert, wie die ganzen Schaedlinge in das Firmennetzwerk gekommen sind. Finanzielle Folgen unabsehbar …
Dass der Arbeitgeber den Zugriff auf Seiten wie „bild.de“ und Schweinkram unterbindet, ist doch wohl sein gutes Recht und nachvollziehbar, oder?
Kündigungsgrund
Die meisten Firmen verbieten die Privatnutzung des Equipments (muß der AN unterschreiben) – würde er diesen Artikel zum Anlaß von Eigenmächtigkeiten nehmen führt dies zu einer sicheren Kündigung – zu Recht!