Backup & Vertrauenswürdigkeit von VPN (WireGuard)

Sonic Boom

Werden bei einem Backup auch sensiblere Infos kopiert wie Codes/Eigenschaften von VPN jeglicher Art?
Wie sicher ist Wireguard eigentlich? Was ist die sicherste Methode, welche von den Profis empfohlen werden? Sollte ich ein Backup machen?

user109

Was ist Wireguard und wie funktioniert es?

WireGuard ist ein Open-Source-VPN-Protokoll, das eine schnelle und sichere Verbindung zwischen zwei Geräten oder Servern herstellt. Es nutzt moderne Kryptografie, ist relativ einfach zu konfigurieren und bietet eine gute Performance.

Funktionsweise:

1. Verschlüsselter Tunnel:

WireGuard baut einen verschlüsselten Tunnel zwischen zwei Geräten auf, über den Daten sicher übertragen werden.
2. Direkte Kernintegration:

WireGuard ist direkt im Betriebssystemkern implementiert, was eine höhere Verarbeitungsgeschwindigkeit als andere VPN-Lösungen ermöglicht.
3. Schlüsselaustausch:

Es verwendet Curve25519 für den Schlüsselaustausch, eine moderne und effiziente kryptografische Methode.
4. Verschlüsselung:

Für die Datenverschlüsselung verwendet WireGuard ChaCha20 und Poly1305.
5. Authentifizierung:

Die Geräte authentifizieren sich gegenseitig über die verschlüsselten Schlüssel, um sicherzustellen, dass nur autorisierte Geräte miteinander kommunizieren.
6. UDP-Protokoll:

WireGuard nutzt UDP (User Datagram Protocol) für den Datenverkehr, was zu einer höheren Performance führt als TCP (Transmission Control Protocol).
7. Roaming:

WireGuard ist besonders gut darin, Verbindungen bei einem Netzwerkwechsel, z.B. zwischen WLAN und Mobilfunk, aufrechtzuerhalten, was für mobile Nutzer von Vorteil ist.

Vorteile von WireGuard:

Höhere Geschwindigkeit:

Durch die Kernintegration und das UDP-Protokoll bietet WireGuard eine höhere Geschwindigkeit als traditionelle VPN-Lösungen.
Sicherheit:

Moderne Kryptografie und ein schlanker Code, der weniger Angriffsfläche bietet, sorgen für ein hohes Sicherheitsniveau.
Einfache Konfiguration:

WireGuard ist relativ einfach zu konfigurieren, insbesondere im Vergleich zu älteren VPN-Protokollen.
Mobiler Einsatz:

WireGuard ist besonders gut für den mobilen Einsatz geeignet und kann Verbindungen bei Netzwerkwechseln stabil aufrechterhalten.
Schlanker Code:

WireGuard hat einen relativ kleinen Code-Umfang, was die Sicherheitsrisiken reduziert.

user109

Backup & Vertrauenswürdigkeit von VPN (WireGuard):

WireGuard gilt als sehr sicheres und schnelles VPN-Protokoll, da es auf einer vereinfachten Architektur und moderner Kryptographie basiert. Backup und Vertrauenswürdigkeit hängen jedoch von der Implementierung und dem Anbieter ab.

Backup:

Konfigurationsdateien:

Die WireGuard-Konfigurationen, einschließlich der Schlüssel, sollten regelmäßig gesichert werden, um bei Verlust oder Beschädigung der Hardware wiederhergestellt werden zu können.
Server:

Ein Backup des WireGuard-Servers selbst, einschließlich der Software und der Konfiguration, ist ebenfalls wichtig, um im Falle eines Ausfalls wiederhergestellt zu werden.

Vertrauenswürdigkeit:

WireGuard selbst:

Das Protokoll selbst ist sehr sicher und gilt als eine der sichersten Optionen.
Anbieter:

Die Vertrauenswürdigkeit hängt jedoch stark vom VPN-Anbieter ab, der WireGuard verwendet. Es ist wichtig, seriöse und vertrauenswürdige Anbieter zu wählen, die ein transparentes Protokoll führen und keine privaten Daten protokollieren.
Sicherheitseinstellungen:

Eine korrekte Konfiguration von Firewalls und eine sorgfältige Auswahl der Ports sind wichtig, um die Sicherheit des Servers zu erhöhen.
Updates:

Regelmäßige Updates der WireGuard-Software und des Servers sind unerlässlich, um Sicherheitslücken zu schließen.
Zugriff beschränken:

Beschränken Sie den SSH-Zugriff auf bekannte IPs und verwenden Sie Firewalls, um offene Ports zu begrenzen.
Sichere Schlüssel:

Bewahren Sie Ihre privaten Schlüssel sicher auf und geben Sie sie nicht weiter.

Zusammenfassend lässt sich sagen, dass WireGuard ein sicheres und schnelles Protokoll ist, aber die Backup- und Vertrauenswürdigkeit durch eine sorgfältige Implementierung und die Auswahl eines seriösen Anbieters beeinflusst werden.

GrandDixence

Kurzfassung:

Werden bei einem Backup auch sensiblere Infos kopiert wie Codes/Eigenschaften von VPN jeglicher Art? => Ja, der private Schlüssel enthält hochsensible Infos und könnte bei fehlendem Einsatz eines HSM (hoffentlich in verschlüsselter Form) Bestandteil eines Backups sein.

Wie sicher ist Wireguard eigentlich? => Da WireGuard für die symmetrische Verschlüsselung ChaCha20 einsetzt, der Einsatz von ChaCha20 aber vom BSI TR-02102 nicht empfohlen wird, ist vom Einsatz von WireGuard im professionellen Umfeld abzuraten (Firmen + Behörden). Im Amateurumfeld (Privatanwender ohne fundierte Kenntnisse in der Konfiguration von VPN-Tunneln mit IKEv2/IPSec oder L2TP/IPSec) ist der Einsatz von ChaCha20-Verschlüsselung immer noch besser als gar keine Verschlüsselung.

https://www.wireguard.com/protocol/#primitives

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html

https://community.swisscom.ch/d/813371-vpn-verbindung-von-windows-11-zur-internet-box-herstellen/17

Was ist die sicherste Methode, welche von den Profis empfohlen werden? => Privaten Schlüssel im HSM aufbewahren.

Sollte ich ein Backup machen? => Besser kein Backup vom privaten Schlüssel erstellen.

Langfassung:

Nebst den bereits genannten, für die IT-Security allgemein bekannten und (hoffentlich bereits seit Jahren) umgesetzten Massnahmen, sei zu erwähnen, dass WireGuard für die Authentifizierung ein asymmetrisches Kryptosystem verwendet (Public-Key-Verfahren) => WireGuard requires base64-encoded public and private keys

https://www.wireguard.com/quickstart/

https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem

Bei allen asymmetrischen Kryptosystemen wird die sichere Authentifizierung gewährleistet, wenn:

alle privaten Schlüsseln von allen Kommunikationspartnern in einem vom Betreiber der verschlüsselten Kommunikation kontrollierten HSM erstellt wurden
und alle privaten Schlüsseln von allen Kommunikationspartnern in einem vom Betreiber der verschlüsselten Kommunikation kontrollierten HSM aufbewahrt werden
und die privaten Schlüsseln den HSM nur in verschlüsselter Form (zu Backupzwecken) verlassen können.

Noch sicherer ist, wenn kein privater Schlüssel jemals den HSM verlässt. Sprich kein Backup vom privaten Schlüssel vorhanden ist.

https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul

Für weitere Informationen zum Thema "HSM" siehe auch:

https://community.swisscom.ch/d/809999-sim-swap-maximaler-schutz/8

Die im Mobiltelefon eingesetzte SIM-Karte ist ein HSM. Und alle modernen Laptops sind mit einem als TPM bezeichneten HSM ausgerüstet.

https://de.wikipedia.org/wiki/Trusted_Platform_Module

https://support.microsoft.com/de-de/topic/was-ist-ein-trusted-platform-module-tpm-705f241d-025d-4470-80c5-4feeb24fa1ee

Alle sicheren Mobilgeräte, welche die "Common Criteria" für Mobilgeräte erfüllen (MDFPP), sind ebenfalls mit einem TPM, fTPM oder einem ähnlichen Sicherheitschip ausgerüstet.

https://community.swisscom.ch/d/858889-mise-a-jour/3

Aber da in "Real World" praktisch niemand sich an die allgemein bekannten und anerkannten Sicherheitsempfehlungen hält, obwohl ein HSM in der Regel vorhanden ist, darf man halt X.509-Zertifikate für öffentlich zugängliche und verschlüsselte Serverdienste regelmässig nach spätestens 47 Tagen auswechseln:

https://www.heise.de/news/47-Tage-CAs-und-Browserhersteller-beschliessen-kuerzere-Laufzeit-fuer-Zertifikate-10352867.html

Der im X.509-Zertifikat enthaltene private Schlüssel (private Key) sollte aus Sicherheitsgründen niemals in fremde Hände gelangen…

https://de.wikipedia.org/wiki/X.509

user109

Was ist ein HSM (Hardware-Sicherheitsmodul) ?

https://www.securosys.com/de/what-is-hsm