„Great Firewall of China“ – VPN nach China
Die „Great Firewall of China“ (GFC/GFW) wird vom chinesischem Ministerium für Informationstechnologien (MIIT) betrieben und kommt somit direkt von der chinesischen Regierung. Diese gibt vor, welche Webseiten und sogenannte „Keywörter“ geblockt oder gefiltert werden müssen, nur ein VPN nach China ermöglichte bisher noch den Datenverkehr. Die Firewall verhindert nicht nur eine Erreichbarkeit von Diensten wie Youtube, Twitter, Facebook, Goggle und viele andere Plattformen aus dem Ausland in China, sondern erschwert auch die Kommunikation von Unternehmen mit ihren dortigen Zweigstellen.
Welche Lösung gab es bisher die „Great Firewall of China“ zu umgehen?
In der Vergangenheit gab es immer wieder Mittel und Wege, mit Hilfe eines VPN nach China das Ganze zu umgehen. Verschiedene VPN-Software wurde auf einem lokalen Computer und einem entfernten Server installiert und baut zwischen diesen einen verschlüsselten Tunnel (IP Sec) auf. Die Daten vom lokalen Computer in China wurden durch den verschlüsselten VPN-Tunnel zu dem sich im Ausland befindenden Server gesendet. Dieser hat dann den Verbindungsaufbau zu YouTube & Co. durchgeführt und die Daten verschlüsselt zurückgesendet. Die „GFC“ konnte die verschlüsselten Daten nicht als „verbotenen“ erkennen und hat auch entsprechend nicht blockiert. Die selbe Methode haben Unternehmen für Ihre Kommunikation genutzt.
Funktioniert der VPN nach China auch heute noch?
Mit der Neuregelung vom 22.01.2017, hat der chinesische Staat genau dieser „VPN-Tunnel-Lücke“ den Kampf angesagt. Das Ziel der Neuregelung ist es, alle VPN nach China abzustellen, die den Weg in das „freie Internet“ möglich machen. Die Maßnahmen sollten bis zum 31.03.2018 durchgeführt werden. Allerdings hat die Regierung die Frist dieses Jahr, bis zum 31.03.2019 verlängert. Was natürlich nicht bedeutet, dass überhaupt nichts in der Zeit unternommen wird. Die „GFC“ filtert schon jetzt „schlechte IP-Adressen“ aus und sperrt diese für immer. Da reicht schon eine einfache „Googlesuche“ vom einem X-beliebigen Mitarbeiter nach Facebook, Instagram & Co. und eine wertvolle IP-Adresse aus Ihrem Bestand ist für immer gesperrt und unbrauchbar. Man kann dann dabei regelrecht zusehen, wie IP-Adressen nach der anderen „gecatcht“ werden, bis Sie überhaupt keine Möglichkeit haben eine Verbindung aufzubauen. Spätestens seit der Bekanntgabe der letzten Frist, befinden sich besonders Unternehmen die eine oder mehrere Niederlassungen in China haben und über verschlüsselte VPN Tunnel (IPSec) kommunizieren, im Handlungszwang.
Warum die „Great Firewall of China“ umgehen?
Unternehmen nutzen VPNs, um sich von ihren lokalen Servern (China Inland) in ihr Intranet einzuwählen oder ihre Kommunikation vor Dritten zu schützen. Sensible Daten wie
- Gehaltsabrechnungen
- Baupläne
- Strategiegespräche
- etc.
können so übermittelt werden, ohne mitgelesen zu werden.
Welche Lösung gibt es jetzt für Unternehmen?
Erstmal muss man sagen, dass bevor konkrete Maßnahmen zur Ausfallreduzierung umgesetzt werden, sollte man mit einer Vorabanalyse erst eruieren, welche Unternehmensdaten in Hinsicht auf Verfügbarkeit und Qualität von besonderer Wichtigkeit sind. Erst auf Basis dieser Vorabanalyse und einer Kalkulation des vorhandenen Ausfallrisikos sollten entsprechende Lösungsansätze ausgearbeitet werden. Grundsätzlich gibt es zwei Lösungsansätze die wirkliche Alternativen für ein VPN nach China darstellen. Eine davon ist das MPLS-VPN. Allerdings sind MPLS Verbindungen nach China sehr kostenintensiv. Für eine kleine dedizierte MPLS Bandbreite nach China, kann durchaus ein fünfstelliger Betrag im Monat fällig werden. Eine echte und kostengünstigere Alternative zum MPLS-VPN ist SD-WAN. Die SD-WAN Lösung für China kann auf Basis von lokalen Internetleitungen oder bereits vor Ort befindlichen Internetleitungen aufgebaut werden. Innerhalb des SD-WAN findet eine Verschlüsselung statt. Darüber hinaus kann noch eine weitere, eigene Encryption eingesetzt werden. Ohne, dass der Schlüssel bei einer chinesischen Behörde hinterlegt werden muss! SD-WAN ist nicht nur eine alleinstehende Lösung. SD-WAN Lösungen stellen oft auch flexible Lösungen zur Erweiterung von MPLS-Netzen dar! Die Experten von Savecall beraten Sie gerne bei der Modernisierung Ihres VPN nach China oder weltweit. Wir helfen Ihnen von der Analyse bis zur Implementierung Ihres MPLS-VPN oder Ihrer SD-WAN Lösung.
Ich freue mich auf Ihre Fragen!
Muhammet Atlas
Key Account Consultant