Nutzt ihr VPN Services, wenn ja welche?

[giesbert]

In einem Ungesicherten WLAN im Hotel oder in einem Cafe/Resturant etc. ist VPN schon ein zusätzlicher Schutz für das Online Banking

Liest man oft, aber das "warum" hab ich nie verstanden:

Modell A: Client - WLAN - Internet - Bank (SSL/TLS)
Modell B: Client - WLAN - Internet - VPN (SSL/TLS) - Bank (SSL/TLS)

Warum ist B jetzt sicherer als A? Bzw.: Welchen Angriff für A gibt es, den es für B nicht gibt?

 

[ottomane]

Bei B fände ich die Darstellung

Modell B: Client - VPN(WLAN - Internet - VPN-Anbieter) - Internet - Bank (SSL/TLS)

passender. Dann wird klar, dass ein Abhören über WLAN verhindert wird - zum Preis, dass nun der VPN-Anbieter theoretisch mithören kann. Und "hintenraus" hat man so oder so wieder plain Internet. Allerdings ist die Verbindung zur Bank ja ohnehin gesichert, sofern man einen Blick auf das Zertifikat wirft

Wie auch immer - ich denke, wir sind ohnehin derselben Meinung.

 

[rakader]

Liest man oft, aber das "warum" hab ich nie verstanden:

Modell A: Client - WLAN - Internet - Bank (SSL/TLS)
Modell B: Client - WLAN - Internet - VPN (SSL/TLS) - Bank (SSL/TLS)

Warum ist B jetzt sicherer als A? Bzw.: Welchen Angriff für A gibt es, den es für B nicht gibt?

Dem Betreiber des WLANs bringt seine Herrschaft über den Router des Hotels nichts. Er braucht zum Entschlüsseln der Datenpakete zwingend die Zugangsdaten des VPN.

Eine weitere Gefahrenquelle ist offenes WLAN. In Serbien gibt es das z.B. deswegen im Hotel gar nicht; viele Hotels bieten da nur Ethernet an.

 

[Mitglied 105235]

Warum ist B jetzt sicherer als A? Bzw.: Welchen Angriff für A gibt es, den es für B nicht gibt?

Da bei Punkt B deine Variante Falsch ist.

Bevor ich das nun versuche zu Beschrieben, hier ein Bild, dass den Unterschied verdeutlicht.


Quelle

 

[ottomane]

viele Hotels bieten da nur Ethernet an.

Was ebenso Abhören durch den Betreiber ermöglicht. Darüber hinaus kann man mit etwas Geschick eventuell auch den Verkehr aus anderen Zimmern mithören.

 

[rakader]

Was ebenso Abhören durch den Betreiber ermöglicht. Darüber hinaus kann man mit etwas Geschick eventuell auch den Verkehr aus anderen Zimmern mithören.

Das ist schon klar. Es entfällt eben eine weitere Abhörmöglichkeit. Auch da: Nur mit VPN Client.

 

[giesbert]

Thx -- nur: Das behauptete Plus an Sicherheit beim Online-Banking verstehe ich leider immer noch nicht …

Verschlüsselt ist die Verbindung von VPN-Client zum VPN-Server, das war's aber auch schon. Die Verbindung vom VPN-Server zu irgendeinem x-beliebigen anderen Server im Internet - etwa den der Bank - ist ja nicht auf wundersame Weise gleich mit verschlüsselt – die Verschlüsselung muss doch immer noch zwischen Client und Server ausgehandelt werden. Und ob die nun Client & Server direkt oder über eine VPN-Umweg aushandeln: Da ist doch gehupft wie gesprungen.

Das einzige, was das VPN da leistet, ist eine Verschleierung der eigenen IP-Adresse. Das ist wichtig, wenn man Geoblocking umgehen will. Und das einzige, was ein eigenes VPN via FritzBox da bringt: der VPN-Anbieter kriegt nichts mehr mit.

Aber mehr Sicherheit etwa beim Online-Banking bringt das doch alles nicht.

 

[rakader]

Der VPN-Server ist z.B. eindeutig wie Dein Computer zuhause. Da pfuscht also niemand mehr rein, indem z.B. der Datenverkehr umgeleitet wird. D.h. die Angriffmöglichkeit in the middle wurde durch die VPN-Technologie ausgeschaltet. Das ist meinem Verständnis nach schon mehr als eine pure Verschleierung.

Natürlich ist der Standort des VPN-Servers der Schwachpunkt bei der ganzen Geschichte. Und die Geschichte heißt Vertrauen. Am meisten vertraust Du Dir selbst. Das ist DER Grund einen eigenen VPN-Server aufzusetzen. Viele Hoster bieten diese Technologie auch an. Denen vertraust Du auch Deine Webseite an.

Irgendeine Schwachstelle gibt es immer. Es kommt darauf an, diese weitgehend zu eliminieren. Der gesunde Menschenverstand ist da oft der beste Ratgeber.
Ich versuche es mal so zu erklären (und ich bin da selbst nicht sattelfest): Firmengeheimnisse öffnet man auch nicht ohne Bedenken im Terminal-WLAN des Flughafens oder im ICE. Da ist ein Firmen-VPN ohnehin meist zwingend. Der Firmen-Server erkennt am Zertifikat des Firmen-VPN, dass es Mitarbeiter XYZ mit seinem Geräte XYZ ist. Vielleicht stellst Du Dir den Vorteil am besten als Zweifaktor-Authentifzierung vor, also als weitere Sicherheitsebene.

Über Dienste ohne Impressum macht man keine Bankgeschäfte, sondern schaut, wenn überhaupt, Fußball-EM. Das sollte klar sein. Wenn es um sensible Dinge geht, Hände weg von solchen Diensten.

Edit: Sollte doch ein Unhold Deine Bankdaten erbeuten, hast Du auf jeden Fall ein zusätzliches Argument gegenüber Deiner Bank in der Hand, wenn es um die Schadensregulierung geht.

 

[Mitglied 105235]

Da ist doch gehupft wie gesprungen.

Du verstehst es nur nicht, da du den Angreifer (über den wir hier nun reden) an die Falsche Position setzt, denn der Angreifer sitzt (Bildlich gesprochen wenn du dir das obere Bild ansiehst) nicht zwischen Internetdienstanbieter und Internet sondern linkt sich zwischen deinen Gerät und den Internetdienstanbieter ein.

Zwischen deinen Gerät und VPN könnte er sich zwar auch einklinken aber dann ist dein Gerät eh schon gehackt worden und du hast ganz andere Probleme dann. Die Wahrscheinlichkeit das ein Hacker aber eine normale Privatperson hackt, ist eher gering. Da sucht der Hacker sich lieber was auf der anderen Seite (Bsp. Bank) und schaut ob dort das "Einloggen" irgendwie gehackt werden kann um so an möglichst viele Daten ran zu kommen.

 

[giesbert]

Danke für die Mühe - aber was soll ich sagen … ich verstehe es immer noch nicht . Vielleicht andersrum:

Wie sieht denn ganz konkret ein Angriff aus, wo liegt das Risiko, gegen das ein VPN schützt?

Verbindung: Client <--> Hotel-WLAN <--> Internetanbieter des Hotels <---> Internet <--> Server der Bank

Aufgabe: Client will jetzt verschlüsselt mit der Bank kommunizieren (symmetrisch)

Problem: Client & Server benötigen dafür ein "gemeinsames Geheimnis", ein shared secrect: nämlich den Schlüssel, mit dem symmetrisch verschlüsselt wird. Dieses Geheimnis muss irgendwie etabliert werden, der Schlüssel muss getauscht werden.

Lösung: Client & Server handeln den Schlüssel asymmetrisch aus (aka: es wird dazu kein gemeinsames Geheimnis benötigt; früher RSA, heute wohl fast immer Diffie-Hellman). Der Server der Bank weist sich mit seinem Zertifikat aus, dem der Client vertraut, weil sein System dem Aussteller des Zertifikats vertraut. Der Client kann also sicher sein, wirklich den Server der Bank erreicht zu haben.

Sobald ein gemeinsames Geheimnis etabliert wurde, können Client & Server eine Ende-zu-Ende-Verschlüsselung aufbauen.

Ich sehe immer noch nicht, inwiefern hier ein VPN mehr Sicherheit bringen soll. Wo genau könnte da ein Angreifer zuschlagen - und wie genau hindert ihn ein VPN daran?

Selbst, wenn man da jetzt an jedem Verbindungspunkt einen Angreifer einfügt, sehe ich nicht, wie er da mithören können soll: Das könnte er ja nur, wenn er dem Client gegenüber glaubhaft machen kann, dass er der Server der Bank ist. Dazu müsste er ein gefälschtes Zertifikat benutzen, also ein Zertifikat, das von einer CA ausgestellt wurde, der der Client von Haus aus vertraut und das ihm bescheinigt "Ja, das ist der gewünschte Server". Das ist zum einen alles andere als trivial, zum anderen würde ein VPN da auch nicht viel helfen.

Ein MiM könnte natürlich sämtliche Meta-Daten (wer hat wann welchen Server wie lange kontaktiert etc.) mitlesen, aber den eigentlichen Datenstrom nicht.

 

[ottomane]

Das Problem sind User, die sämtliche Zertifikatsfehler wegklicken oder uralt-Systeme haben, die nicht aufdringlich genug warnen. Dann hat man verloren.

War das nicht auch mal so, dass irgendwelche VPN-Anbieter die Zertifikate tauschen, um dir mehr "Sicherheit" zu bieten? Ich meine, es war NordVPN.

 

[rakader]

Das Thema Zertifikate lenkt von @giesberts Frage ab; ich kann es leider auch nicht besser erklären, finde das Nachhaken hier aber supergut.

Grüße

 

[ottomane]

Ohne das Zertifikatsthema kann man seine Frage nicht komplett beantworten.

Davon ausgehend, dass der user keine falschen Zertifikate akzeptiert, hat er Recht. Keine zusätzliche Sicherheit durch VPN, sofern man HTTPS nutzt..

 

[Mitglied 105235]

@giesbert, das was du sagst stimmt schon, nur setzt es etwas ganz wichtiges Vorraus und zwar dass der Endanwender auch Ahnung hat. Er muss darauf achten, dass oben https steht oder das Schloss angezeigt wird. Wenn er das Zertifikat sich ansieht (weil irgendwas auf der Seite ihn seltsam vorkommt) muss er ja einen Vergleich zum wirklich echten haben.

Beim VPN ist dies nicht mehr so wild, den es wird sichergestellt dass du garnicht über das vermeintliche öffentliche WLAN die Internetseiten abrufst, sondern über das Internet was hinter deinen VPN steckt. Ein Man in the Middle, kann dir so also gar keine Gefälschten Zertifikate oder Internetseiten unterjubeln. Den die Gesamte Verbindung von VPN Client bis zum VPN Server ist Verschlüsselt, durch den Man in the Middle wird also nur ein Verschlüsselter Datenstrom gejagt, den dieser sitzt ja zwischen dir und den Internetdienstanbieter und nicht hinter deinen VPN Server und dem Internet.

 

[ottomane]

durch den Man in the Middle wird also nur ein Verschlüsselter Datenstrom gejagt, den dieser sitzt ja zwischen dir und den Internetdienstanbieter und nicht hinter deinen VPN Server und dem Internet.

Woher weißt du, wo der Angreifer sitzt? Er kann sehr wohl zwischen VPN-Exitknoten und Bank sitzen. Oder eben beim VPN-Anbieter selbst.

 

[giesbert]

Aus dem Blog von Emsisoft, das @m4d-maNu in #24 verlinkt hat:

Wenn Sie gemütlich in einem Café sitzen und mit dem öffentlichen WLAN verbunden sind, besteht das Risiko, dass Ihr Datenverkehr ausgeschnüffelt wird. In diesem Fall ist VPN nützlich.

Keine Frage – wenn ich unverschlüsselte Seiten aufrufe, kann der komplette Datenverkehr von einem MiM mitgelesen werden. Das fällt aber weg, sobald Client & Server von sich aus verschlüsseln (und das tun, wenn ich das richtig sehe, inzwischen fast alle Websites, Banken oder Apfeltalk z.B. ).

Diese Art von VPN haben also ihre Berechtigung, solange wir von komplett unverschlüsselten Verbindungen ausgehen. Ich habe ein wenig den Verdacht, dass die Behauptung, ein VPN sorge für mehr Sicherheit beim Online-Banking aus der Zeit stammt, als 99% des Traffics unverschlüsselt durch Netz wanderte. Aber die Zeiten sind vorbei (und beim Online-Banking hat es sie wohl nie gegeben).

Was die Zertifikate angeht: Das schnelle Wegklicken von Fehlermeldungen und Warnungen ist natürlich ein Problem. Aber das wird ja auch nicht dadurch gelöst, dass man den Anwendern empfiehlt, ein VPN zu benutzen, was letztlich ja auch nur eine Variante von "Klick das an und alles ist gut" ist. Die Leute müssen verstehen, was da eigentlich passiert und warum etwa der Browser einen Warnung ausgibt.

Wobei es inzwischen ja schon mitunter schon ein ziemlicher Aufwand ist, den Browser dazuzu bringen, ein nachträgliches Zertifikat zu akzeptieren, immerhin .

Schloss/HTTPS: Damit bin ich auch nicht wirklich glücklich, ich stolpere mitunter über ziemlich perfekt gefälschte Webseiten, die ein Schloss/HTTPS zeigen (fast immer Zertifikate von Let's encrypt): Das sagt aber nur, dass der Datenverkehr zwischen Client/Server verschlüsselt ist, dass man also den Server erreicht hat, dessen URL da angezeigt wird – das sagt erstmal nichts darüber aus, ob die Site wirklich die Site ist, die ich vorgeblich erreicht habe (Authentizität). Früher haben die Browser bei Class 2 und Class 3-Zertifikaten noch in grün den Namen des Eigentümers angezeigt, aber das gibt es wohl nicht mehr.

Wenn man den Leuten jetzt nur sagt: "Achtet auf das Schoss und alles ist gut" – ist halt eben nicht alles gut

Alles nicht so einfach …

(Und Danke für die Geduld aller Beteiligten )

 

[Mitglied 105235]

Woher weißt du, wo der Angreifer sitzt? Er kann sehr wohl zwischen VPN-Exitknoten und Bank sitzen. Oder eben beim VPN-Anbieter selbst.

Weil so das klassische Szenario von Man in the Middle ist, irgendwer gibt sich als öffentlichen WLAN von XYZ aus ist es aber nicht.

Im Endeffekt kann das Szenario immer so dargestellt werden, dass alles nichts bringt und und wenn am Schluss der Angreifer mit der Pistole neben einen steht und sagt mach aber so ist das Klassische Man in the Middle Szenario halt nicht.

Wenn man den Leuten jetzt nur sagt: "Achtet auf das Schoss und alles ist gut" – ist halt eben nicht alles gut

Das war so nicht gemeint aber selbst das wäre schon mal ein Anfang. Aktuell wissen 99% der Anwender nicht mal warum mal https da steht und mal nicht bzw. warum ein Schloss da ist oder nicht.



Ein VPN ist im Endeffekt auch für was anderes gemacht, es heißt ja nicht um sonst Virtual Private Network. Ich will mich mit daheim verbinden und irgendwas dort zu machen oder zu zugreifen. Warum duzende Ports im Router Freigeben oder sich bei diversen Diensten Anmelden (QuickConnect für Synology NAS, MyFritz für die FritzBox, Port x Hue, Port y für die Harmony etc. etc. etc.) wenn das VPN (wenn es eben das eigene ist) einen dies auch alles ermöglicht ohne diverse Anmeldungen und Freigaben.

 

[ottomane]

Im Endeffekt kann das Szenario immer so dargestellt werden, dass alles nichts bringt

Man muss in Sachen Sicherheit alle Ecken abklopfen und prinzipiell vom Worst Case ausgehen.

 

[rakader]

Wobei es inzwischen ja schon mitunter schon ein ziemlicher Aufwand ist, den Browser dazuzu bringen, ein nachträgliches Zertifikat zu akzeptieren, immerhin .

Schloss/HTTPS: Damit bin ich auch nicht wirklich glücklich, ich stolpere mitunter über ziemlich perfekt gefälschte Webseiten, die ein Schloss/HTTPS zeigen (fast immer Zertifikate von Let's encrypt): Das sagt aber nur, dass der Datenverkehr zwischen Client/Server verschlüsselt ist, dass man also den Server erreicht hat, dessen URL da angezeigt wird – das sagt erstmal nichts darüber aus, ob die Site wirklich die Site ist, die ich vorgeblich erreicht habe (Authentizität). Früher haben die Browser bei Class 2 und Class 3-Zertifikaten noch in grün den Namen des Eigentümers angezeigt, aber das gibt es wohl nicht mehr.

Kannst Du Beispiele für solche Webseiten geben? In Deiner Diktion liest es sich so, als sei das ein Massenphänomen. Das würde ich verneinen.

Das Fehlen des grünen Schlosses ist mir noch nicht aufgefallen. Meine Seiten sind mit Class 3 verschlüsselt. Werde ich darauf achten. Rein visuell ist das natürlich weniger gut.

 

[giesbert]

Kannst Du Beispiele für solche Webseiten geben? In Deiner Diktion liest es sich so, als sei das ein Massenphänomen. Das würde ich verneinen.

Beispiele für zwei Phishing-Sites, beide mit HTTPS. Bei der vorgeblichen Apple-Site ist die URL noch sehr offensichtlich falsch, bei der angeblichen Sparkassen-Site ist das für den flüchtigen Blick des Laien schon schwieriger zu erkennen, die URL enthält gleich zu Beginn "sparkasse", ein ".de" findet sich auch -- dass die Domain "spushtan-de.app" lautet, kann man da schon mal übersehen.

Beide Sites waren übrigens sehr gut gemacht. Die angebliche Apple-Site hat dann auf mehreren Seiten diverse persönliche Daten abgefragt (ich hab dann irgendwann die Lust verloren, irgendwelchen Quatsch einzutragen, weiß also nicht, wie's ausgeht ), bei der angeblichen Sparkassen-Site hat man sich ziemlich viel Mühe gegeben. Zum einen hatte man dort eine Liste mit "PLZ - Filialen" hinterlegt (die stimmten), zum anderen wurden die Eingaben anscheinend live geprüft. Ich hab da mal irgendwelchen Unfug eingetragen und bekam eine (täuschend echte) Fehlermeldung. Woraus ich mal schließe, dass die Angreifer versucht haben, sich im Hintergrund mit den Eingaben in das entsprechende Konto einzuloggen.

Und ja, das ist ein Massenphänomen. Leider.

(Dagegen hilft ein VPN natürlich auch nicht.)

Im Endeffekt kann das Szenario immer so dargestellt werden, dass alles nichts bringt

DAS wäre natürlich ein sehr fataler Fehlschluss – nur weil es keine 100%ige Sicherheit gibt, ist das noch lange kein Grund, es nicht wenigsten zu versuchen . Nur, weil jeder Schlüsseldienst ein normales Türschloss in nullkommanix öffnen kann, kommt ja niemand auf die Idee, seine Haustür nicht abzuschließen. Und nur, weil ein Taschendieb eine Geldbörse klauen kann, legt man sein Bargeld und seine Papiere ja nicht einfach irgendwo auf den Tisch. Etc.

Ich hab auch gar nichts gegen VPNs und rate da auch nicht ab – mich haben halt nur die Sicherheitsaspekte interessiert.

Ich selbst setze übrigens ganz simpel das VPN von Opera ein, wenn ich Geoblocking mal umgehen muss, etwa, weil http://www.gutenberg.org Anfragen aus Deutschland wg. Urheberrechts-Niggligkeiten blockiert. Die haben da ein paar Titel, die hierzulande noch nicht frei sind und auf Beschwerde des afaik Fischer-Verlags halt eine sehr radikale, aber für die Betreiber der Site pragmatische Lösung gewählt. Ansonsten hätten sie gezielt einzelne Titel blockieren müssen, was natürlich sehr viel aufwendiger und nicht wirklich praktikabel ist.

Ansonsten denke ich bei VPN allerdings eher an "Außendienst - Internet - Firmennetzwerk" und ähnliche Szenarien (also End-to-Site, Site-to-Site, End-to-End)