Archive - April 2012

1
CyberGhost transparent: technische Grundlagen und Ausstattung des Dienstes

CyberGhost transparent: technische Grundlagen und Ausstattung des Dienstes

Der CyberGhost-Dienst umfasst im Wesentlichen drei Hauptsysteme plus die Webserver, die für die Webpräsenz unter www.cyberghostvpn.com zuständig sind:

  1. Die Log-in-Server, bestehend aus einem Master- sowie einem Backup-Server.
  2. Die Domain Name Server (DNS), bestehend aus einem Masterserver in der Schweiz und zwei Backup-Server in den USA und Polen
  3. Die Exit-Nodes, also die Schaltstellen, an denen ihr anonymisiert ins Internet entlassen werdet. Aktuell sind dies 65 OpenVPN-Server weltweit mit Schwerpunkt in Europa und den USA.

Die Log-in-Server

Die Log-in-Server beinhalten jeweils eigene Datenbanken mit Accountdaten (Nutzernamen und Passwörter zur Verifizierung), Exit-Node-Daten, Systemeinstellungen und Statistiken. Die Synchronisierung dieser Daten zwischen dem Master- und dem Backup-System erfolgt hierbei ununterbrochen, so dass der Backup-Server in Fall eines Datencenter- oder Server-Ausfalls im Mastersystem sofort dessen Funktionen komplett übernehmen kann. Die DNS-Einstellungen der Master-URL werden innerhalb von Sekunden zur Backup-Server-IP transferiert, damit die Exit-Nodes den neuen Master-Server praktisch ohne Unterbrechung für die interne Kommunikation nutzen können.

Die DN-Server

Die Domain Name Server empfangen alle DNS-Anfragen aus den Exit-Nodes und geben die Antworten anonymisiert zurück, sodass für die Zielserver der jeweilige CyberGhost-Server als Kommunikationspartner auftritt. Darüber hinaus vermitteln sie auch die Datenströme zum Master-Server und dem Account-Management.

Die Exit-Nodes

Die Exit-Nodes verbinden die Clients mit dem Internet. Sie erhalten die DNS-Anfragen des Anwenders, übergeben sie an die Domain Name Server und vermitteln die Antworten anonymisiert zurück. Auf allen Exit-Nodes läuft ferner ein NAT-Service mit Firewall-Funktion, außerdem kommunizieren sie mit dem Master-Server während eines User-Log-ins und einer aktiven Verbindung (Traffic-Übermittlung im Fünf-Minuten-Takt).

Die Web-Server

Die Web-Server dienen unter anderem der Anwender-Registrierung und dem Account-Management sowie der Systemkontrolle. Nach der Registrierung eines Anwenders wird dessen User-Name und das verschlüsselte Passwort in die Datenbanken beider Log-in-Systeme aufgenommen.

Und so geht’s:

Der typische Ablauf einer CyberGhost-Sitzung sieht folgendermaßen aus, ein klein wenig unterschiedlich, je nachdem, ob man den Windows-Client oder die nativen OpenVPN-Konfigurationsdateien nutzt, die Abonnenten als ZIP-Dateien in der Accountverwaltung zur Verfügung stehen.

  • Wird die Client-Software genutzt, loggt sich der User mit Nutzername und Passwort nach dem Start der Anwendung ein. Danach verbindet er sich verschlüsselt (128Bit AES) zu einem Exit-Node. Während des Verbindungsaufbaus werden die Standard-Route des Client-PCs und die DNS-Einstellungen dem Exit-Node angepasst.
  • Sollen die nativen OpenVPN-Konfigurationsdateien genutzt werden, ist es notwendig, dass alle Dateien des jeweiligen ZIP in den Konfigurationsordner der lokalen OpenVPN-Installation entpackt werden. Danach startet der Anwender die OpenVPN-GUI und wählt eine der angezeigten Verbindungen aus. Während des Verbindungsaufbaus gibt man Nutzername und Passwort ein. Nach dem erfolgreichen Log-in werden die Standard-Route und die DNS-Einstellungen dem Exit-Node angepasst.

Steht die Verbindung vom Client-PC zum Exit-Node, geht sämtlicher Traffic über diesen Server, verschlüsselt mit 128Bit AES. (Während der Verbindungsaufbau noch über SSL erfolgt, gilt für allen nachfolgenden Traffic ein während des Aufbaus ausgehandelter und alle 30 Minuten erneuerter 128-Bit-AES-Schlüssel, auch bei reinen OpenVPN-Verbindungen).  Alle verbundenen Clients teilen sich die öffentliche IP des Exit-Nodes.

Copyright © 2014. Created by Meks. Powered by WordPress.