Forum: Offtopic VPN Tunnel sinnvoll ?

Hallo,

klingt ähnlich, wie das Tor Netzwerk.
http://www.youtube.com/watch?v=eS_uIoz_A8w

Sicher ist ein schwammiges Wort. Sicherer im Sinne von schwerer zurück 
zu verfolgen ist es. Sicherer im Sinne von du bist schwerer von außen 
angreifbar durch Viren, Trojaner und co. ist es wohl kam.

Gruß Kai

Das mit TOR klingt ja auch interessant.
Es erinnert mich etwas an JAP. Das gab es vor Jahren mal von irgendeiner 
UNI.
Allerdings war da der Datendurchsatz nicht gerade flüssig.

Gruss Klaus

p.s.
weitere Meinungen werden erbeten

Die Frage ist ehr was willst du damit erreichen?

Sinnvoll ist vpn wenn du es auf deinem Handy nutzt, dich per vpntunnel 
nach zuhause verbindest und von dort dann ins Netz. zumindest wenn du 
dich in ein öffentliches oder freiem wlan anmeldest.

 Bei einem Anbieter kommt es darauf an wieweit du ihm vertrauen kannst. 
Wenn er unseriös ist, protokolliert er alles mit und hat dann Deine 
Daten.

interessante Frage was ich erreichen will.
Eigentlich garnicht so einfach zu beantworten.
Im Prinzip geht es ja darum dass einem jeder irgendwie auf die Finger 
schaut wenn man im Internet ist. In diesem Zusammenhang hatte ich halt 
von dem VPN Tunnel gelesen und verstanden (hoffe ich) das da 
grundsätzlich alles verschlüsselt wird. Allerdings bringt mich deine 
Frage nach dem Vertrauen zum Anbieter auch wieder ins Grübeln.

Wenn es nun um das Vertrauen geht, wäre ja auch das TOR Netzwerk nicht 
sicher, da ja meine Daten unverschlüselt über mir unbekannte Rechner 
geleitet werden. Im Prinzip könnte ja dann jeder mitlesen.

Alles nicht sehr zufriedenstellend.

Gruss Klaus

Klaus De lisson schrieb:
> Hat eigentlich jemand hier Erfahrungen mit VPN Tunneling wie es z.B.
> hier angeboten wird; https://www.vpntunnel.com/

Ich frag mich ja schon lange, obs nicht aus deren Sicht sinnvoll wäre, 
wenn die Schlapphüte selber mal ein paar Strohmänner als solche 
VPN-Provider auftreten liessen. Zu Selbstkosten oder knapp drunter, um 
günstig zu sein. Dann kämen die nicht nur exzellent an alle Information 
ran, die sie gerne hätten, sondern das wäre zudem noch fast 
kostenneutral, weil der Kunde für seine Überwachung auch noch selber 
einen Aufpreis zahlt.

In diesem Sinne kann man das ständige nervende Gelaber zur 
Vorratsdatenspeicherung als Aufforderung an die sensibelsten Kunden 
sehen, doch endlich einen solchen VPN-Vertrag mit Abhör- und 
Speichergarantie abzuschliessen. ;-)

Klaus De lisson schrieb:
> Im Prinzip geht es ja darum dass einem jeder irgendwie auf die Finger
> schaut wenn man im Internet ist.

Das ändert sich auch mit einem VPN-Tunnel nicht. Die neugierigsten Leute 
sitzen an den Endpunkten deiner Kommunikation und identifizieren dich 
anhand von Cookies und anderen Informationen, die dein Rechner liefert. 
TOR & Co verschleiern lediglich deine IP-Adresse, was eingeschränkt 
nützlich ist, wenn du illegale Netzaktivitäten betreibst. Und auch nur 
in diesem Falle wird sich unterwegs jemnd für deinen Datenverkehr 
interessieren. Diesen abzugreifen, ist nämlich gar nicht so trivial, wie 
es in Hollywood-Streifen dargestellt wird.

Ich frage mich ausserdem, ob das nicht ein lukrativer Markt für 
Kriminelle wäre. Also ein VPN-Provider, der ein Jahr lang brav Kunden 
sammelt, um dann Schreiben zu verschicken, der Art:

"Sehr geehrter Herr Egon K., wir mussten leider feststellen, dass die 
Rechnung für <Kinderficker Gen 19,31>, von bible-belt-movies.com 
heruntergeladen am 29.2.2013 19:31-20:01, noch offen steht. Bitte 
überweisen Sie 25€ plus 5€ Mahngebühren an .... Herzliche Grüsse, ihre 
Mafia".

A. K. schrieb:
> Ich frage mich ausserdem, ob das nicht ein lukrativer Markt für
> Kriminelle wäre.

Und nicht nur für die. Wenn ich Geheimdienst/Strafverfolger wäre, würde 
ich kostenlose Dienste wie TOR und Skype anbieten sowie nützliche 
Gratissoftware verteilen. Noch einfacher und effizienter kann man gar 
nicht an Informationen gelangen.

Na dann kann ich mich derzeit nur für die guten Hinweise bedanken.
Das einzige was bleibt ist ja dann die Erkenntnis dass es sowieso
alles sehr unsicher im Netz ist und die alten Hausmittel wie z.B. 
Vorsicht
doch die besten sind.

Insgesamt war es aber durchaus hilfreich mal drüber gesprochen zu haben.

Liebe Grüsse
Klaus

D. I. schrieb:
> https://www.hide.io/

Ich sage nur : "AHA, "

benutzt du sowas ? Hast du Erfahrungen ?

Gruss Klaus

Timm Thaler schrieb:
> Das nützt dem Geheimdienst auch nur, wenn Du sie direkt als
> Eintrittspunkt nimmst, wenn sie irgendwo im Pfad sitzen, bekommen sie ja
> auch nur die vorherige Adresse zu sehen.

Aber der Inhalt der Übertragung wäre doch bestimmt filterbar, oder nicht 
?

Gruss Klaus

Nicht nur der Inhalt von Kommunikation ist interessant, sondern schon 
die Vermaschung allein, also wer mit wem, wann, und wie oft. Ebendies zu 
verbergen ist der Sinn von TOR.

Der Inhalt selbst kann bei TOR nur dann sicher sein, wenn unabhängig vom 
TOR-Verfahren selbst eine sichere Ende-zu-Ende Verschlüsselung verwendet 
wird.

ist schon interessant, wie aus einer einfachen Fragestellung ein höchst 
interessantes Thema entstehen kann.

Wie wäre denn eine Ende zu Ende Verschlüsselung realisierbar ?
Meiner Meinung nach ist das ja schon bei Emails sehr schwierig da man ja 
dann seine Empfänger ersteinmal umerziehen muss damit sie die Mails auch 
lesen können.

Gruss Klaus

Klaus De lisson schrieb:
> Wie wäre denn eine Ende zu Ende Verschlüsselung realisierbar ?

Noch nie was von HTTPS gehört? ;-)

> Meiner Meinung nach ist das ja schon bei Emails sehr schwierig da man ja
> dann seine Empfänger ersteinmal umerziehen muss damit sie die Mails auch
> lesen können.

Wenn es schon daran scheitert, dann ist Hopfen und Malz verloren.

Bei Mails ist das Verbergen des Inhalts deutlich umgänglicher als das 
Verbergen der Vermaschung, sofern man mit klassischen auf DNS/MX 
basierten SMTP-Mailverfahren arbeitet. Man sollte aber drauf verzichten, 
alles schon im gemeinhin unverschlüsselt übertragenen Subject zu 
verraten. ;-)

A. K. schrieb:
> Noch nie was von HTTPS gehört? ;-)

Ja doch ... schon. Habe ich schonmal von gehört.
aufgrund deines Stichelns habe ich jetzt mal mikrocontroller.net per 
https
aufgerufen und stelle verwunder fest, das es geht.
Offenbar trage ich da einige Wissenslücken mit mir herum.
Ist es dann nicht grundsätzlich sinnvoll sämtliche HTTP Zugriffe 
grundsätzlich abzuschalten ? (vielleicht in der .hosts datei ?)


Wegen der Email gestaltet sich ganze doch wirklich sehr schwierig.
Es gab mal so ein Project von CT (PGP oder sowas) . Da muss ja ein 
Schlüssel erstmal öffentlich werden damit mein Empfänger das auch lesen 
kann was ich schreibe.

Gib mir licht in dem Dunkel meines Wissens

Gruss Klaus

A. K. schrieb:
> Bei Mails ist das Verbergen des Inhalts deutlich umgänglicher als das
> Verbergen der Vermaschung, sofern man mit klassischen auf DNS/MX
> basierten SMTP-Mailverfahren arbeitet.

Viele Mailserver arbeiten mittlerweile völlig freiwillig mit TLS
(via STARTTLS).

Jörg Wunsch schrieb:
> Viele Mailserver arbeiten mittlerweile völlig freiwillig mit TLS
> (via STARTTLS).

Allerdings ist das keine Ende-zu-Ende Verschlüsselung.

Klaus De lisson schrieb:
> Wegen der Email gestaltet sich ganze doch wirklich sehr schwierig.

Dann stichel ich eben weiter: Man muss etwas dafür tun, aber wenn Du das 
als sehr schwierig betrachtest, also ungefähr so wie das zukleben und 
öffnen eines Briefes, dann verschicke eben weiter Postkarten. ;-)

> Es gab mal so ein Project von CT (PGP oder sowas) . Da muss ja ein
> Schlüssel erstmal öffentlich werden damit mein Empfänger das auch lesen
> kann was ich schreibe.

Mit der c't Aktion liess sich ein besseres Vertrauensverhältnis zu den 
Keys herstellen, da sie in ebendieser Aktion von dritter Seite bestätigt 
wurden. Das ist aber zumindest im privaten Kontext bei Leuten die auch 
so schon in Kontakt stehen nicht so zwingend.

Thunderbird: GnuPG und das Thunderbird-Addon Enigmail installieren. Mit 
GnuPG erstellt sich jeder einen Schlüssel (vorzugsweise mit Ablaufdatum) 
und platziert ihn auf den öffentlichen Keyservern. Die übrigen 
Teilnehmer importieren von den Keyservern die Schlüssel der Anderen. Nun 
kann man im Thunderbird einstellen, dass Mails an diese Teilnehmer 
automatisch verschlüsselt und signiert werden.

Android: Das Mailprogramm K-9 und die Verschlüsselungssoftware APG 
installieren. Die beiden Keyrings (privat, öffentlich) aus dem vorigen 
System ins APG importieren.

Der Sparkassen-Ableger 1822direkt versendet schon seit langer Zeit 
tägliche Kontoauszüge als solcherart PGP/GPG verschlüsselte Mail.

Klaus De lisson schrieb:
> Ist es dann nicht grundsätzlich sinnvoll sämtliche HTTP Zugriffe
> grundsätzlich abzuschalten ? (vielleicht in der .hosts datei ?)

Viele Anbieter unkritischen Inhalts bieten kein HTTPS. Sei es, weil es 
nicht in jedem Einsatzzweck möglich ist (virtual Hosting, mit SSL sind 
separate IPs nötig, ohne nicht). Sei es, weil es doch etwas Performance 
frisst.

Mit .hosts wird das nix, weil das kein anderer Server ist, sondern ein 
anderer Port. Die richtige Adresse dafür ist deine Bookmark-Liste.

Ich kenne diese Dinger eher mit dem Verwendungszweck, Seiten aufzurufen, 
die von der Firewall das eigenen Netzwerkes gesperrt sind, oder um 
Seiten aufzurufen, die einen Länderfilter haben (wie z.B. Viele 
Youtube-Videos dank der Scheiß GEMA).

Dafür reicht ein Proxy-Server.

Stefan N. schrieb:
> oder um
> Seiten aufzurufen, die einen Länderfilter haben (wie z.B. Viele
> Youtube-Videos dank der Scheiß GEMA).

Hallo Stefan,
das wäre ja durchaus ein sinvoller Verwendungszweck für so einen Tunnel.
Allerdings, so wie ich das sehe bekommt man ja dann z.B. ein schwedische 
IP,
die ja unter Umständen auch irgendwelche z.B. GEMA-Einschränkungen hat.

A. K. schrieb:
> Thunderbird: GnuPG und das Thunderbird-Addon Enigmail installieren. Mit
> GnuPG erstellt sich jeder einen Schlüssel (vorzugsweise mit Ablaufdatum)
> und platziert ihn auf den öffentlichen Keyservern. Die übrigen
> Teilnehmer importieren von den Keyservern die Schlüssel der Anderen. Nun
> kann man im Thunderbird einstellen, dass Mails an diese Teilnehmer
> automatisch verschlüsselt und signiert werden.

Hallo A.K.,
das klingt ja schonmal sehr interessant. Wie sieht es aber nun aus wenn 
ich an jemanden schreibe der z.B. Outlook verwendet ?

Gruss Klaus

Klaus De lisson schrieb:
> das klingt ja schonmal sehr interessant. Wie sieht es aber nun aus wenn
> ich an jemanden schreibe der z.B. Outlook verwendet ?

Sein Problem, nicht deines, wenn du das PGP/GPG-Format verwendest. ;-)
Bei der Alternative S/MIME bin ich dann komplett draussen.

PGP mit irgendeiner Variante von Outlook ist nicht meine Baustelle. Die 
einzige mir bekannte Lösung für Outlook dazu kommt naheliegenderweise 
von PGP (mittlerweile Symantec) und kostet Geld. Was nicht heisst, dass 
es keine andere gäbe, sondern nur, dass ich nie gesucht habe.

A. K. schrieb:
> Klaus De lisson schrieb:
>> Ist es dann nicht grundsätzlich sinnvoll sämtliche HTTP Zugriffe
>> grundsätzlich abzuschalten ? (vielleicht in der .hosts datei ?)
>
> Viele Anbieter unkritischen Inhalts bieten kein HTTPS. Sei es, weil es
> nicht in jedem Einsatzzweck möglich ist (virtual Hosting, mit SSL sind
> separate IPs nötig, ohne nicht). Sei es, weil es doch etwas Performance
> frisst.

Das trifft heutzutage zwar beides nicht mehr zu, aber die meisten 
Serveradmins wissen es noch nicht. Oder sie wissen es, haben aber keine 
Lust sich mit der Konfiguration oder der Beschaffung von Zertifikaten zu 
beschäftigen. Die Großen (Google, Facebook, Twitter usw.) verwenden 
schon flächendeckend https.

Andreas Schwarz schrieb:
> haben aber keine Lust sich mit der Konfiguration
> oder der Beschaffung von Zertifikaten zu beschäftigen.

Nenn es Zeitersparnis. Wenn du es mit einer dreistelligen Anzahl von 
second level Domains in diversen TLDs und der üblichen Lebensdauer von 
Zertifikaten zu tun hast, dann reisst du dich nicht unaufgefordert 
darum, jede einzelne davon ohne inhaltliche Notwendigkeit zu 
zertifizieren. Mir reicht es daher, es dort zu machen, wo es wichtig 
ist.

Zertifikate haben ja zwei Funktionen. Eine davon besteht nur darin, dem 
Anwender das Abnicken unbekannter Aussteller bei verschlüsselter 
Kommunikation zu ersparen. Die andere Funktion besteht in der sicheren 
Identifikation des Servers. Die diversen freien Aussteller zähle ich zur 
ersten Kategorie - wobei sich die anderen allerdings diesem Niveau 
annähern.

A. K. schrieb:
> Jörg Wunsch schrieb:
>> Viele Mailserver arbeiten mittlerweile völlig freiwillig mit TLS
>> (via STARTTLS).
>
> Allerdings ist das keine Ende-zu-Ende Verschlüsselung.

Ende-zu-Ende natürlich nicht, aber je nach Konstellation kann davon
durchaus der komplette Transportweg im Netz abgesichert sein, d. h.
der unverschlüsselte Teil befindet sich komplett auf dem lokalen
Host.

Zumindest ist damit das Mitschnüffeln auf Providerebene nicht mehr
so simpel.

Jörg Wunsch schrieb:
> Zumindest ist damit das Mitschnüffeln auf Providerebene nicht mehr
> so simpel.

Auf der Ebene der Internet-Providers nicht. Aber auf der Ebene der 
Mailprovider, in den üblichen Konstellationen mit inländischem 
Mailprovider wie GMX & Co. Eine gewisse Tendenz der Staaten, zum Schutz 
der Bürger vor sich selbst und anderen möglichst alles routinemässig 
mitlesen zu wollen, ist unverkennbar. Man hat ja sogar beim eigentlich 
verschlüsselten De-Mail Verfahren entsprechend vorgesorgt.

Klar, die Mails mit TLS/SSL statt unverschlüsselt zu transportieren, ist 
dennoch unbedingt sinnvoll.

A. K. schrieb:
> Zertifikate haben ja zwei Funktionen. Eine davon besteht nur darin, dem
> Anwender das Abnicken unbekannter Aussteller bei verschlüsselter
> Kommunikation zu ersparen. Die andere Funktion besteht in der sicheren
> Identifikation des Servers. Die diversen freien Aussteller zähle ich zur
> ersten Kategorie - wobei sich die anderen allerdings diesem Niveau
> annähern.

Da der Nutzer nicht zwischen Zertifikaten von den vermeintlich 
unsicheren kostenlosen Ausstellern, und denen die hunderte Euro im Jahr 
kosten unterscheiden kann (extended validation-Zertifikate ausgenommen), 
bringen letztere keinerlei Sicherheitsgewinn.

@Autor: Timm Thaler (timm-thaler)

Danke schonmal für deinen Link zu :

"Das geht dann aber besser und schneller mit hidemyass oder einem der
Proxies in deren Liste: http://hidemyass.com/proxy-list/ Da kannst Du
Dir das Land aussuchen."

***************************************************************
das ist ja mal interessat als Nebenantwort zur ursprünglichen 
Fragestellung.
Ich habe das auch mal ausprobiert ob es möglich ist aus meinem Land 
heraus eine Freemailadresse bei t-online und/oder GMX.de einzurichten.
(das geht nämlich sonst auch nur aus D). Es war etwas tricky weil die 
Anmeldeseiten irgendwann automatisch auf https umswitchen und die 
Proxies aus der Liste das wohl nicht wirklich anbieten obwohl es 
angeboten wird.
Wen man jedoch die https komplett bei sich sperrt switchen die Gmx-er 
dann wieder auf http und es geht.

gruss k.

****************************************************************

@Autor: A. K. (prx)

Du schreibst :
Thunderbird: GnuPG und das Thunderbird-Addon Enigmail installieren.

*****************************************************************

Nun wollte ich es ausprobieren und finde GnuPG aber nicht als fertiges 
Produkt. Muss mir jetzt noch irgendeinen Compiler runterladen um dieses 
Programm in XP zu installieren ?

Ich bitte da nochmal um Assistenz.

gruss k.

******************************************************************


@Autor: Timm Thaler (timm-thaler)

A. K. schrieb:
> aber wenn Du das
> als sehr schwierig betrachtest, also ungefähr so wie das zukleben und
> öffnen eines Briefes, dann verschicke eben weiter Postkarten

Das Problem ist nicht, ob ich das Zukleben für zu schwierig halten,
sondern ob mein Gegenüber das Öffnen nicht hinbekommt.

Und da kenne ich genug Leute, die erstens froh sind, wenn sie problemlos
an ihre Mails kommen, zweitens sich überhaupt nicht bewusst sind, dass
sie quasi Postkarten verschicken, und drittens daran dann nichts ändern
würden, weil erstens...


*************************************
Das ist auch meine Befürchtung aber ich will es wenigstens mal 
probieren.

gruss k.

Klaus De lisson schrieb:
> Nun wollte ich es ausprobieren und finde GnuPG aber nicht als fertiges
> Produkt. Muss mir jetzt noch irgendeinen Compiler runterladen um dieses
> Programm in XP zu installieren ?

Suchmaschinchen deiner Wahl mit GnuPG füttern => www.gnupg.org.
Darin links den Punkt "Downloads" finden und anklicken.
Runterblättern bis "Binaries", den Link für die Windows Version finden.

Alternativ: Direkt nach "gnupg windows" suchen.

Ok, ich sehs ein, das ist zu schwierig. ;-)

A. K. schrieb:
> Ok, ich sehs ein, das ist zu schwierig. ;-)

Danke für den Hinweis. Nun habe ich schon wieder 3 Minuten auf der Seite 
auf und ab gesucht. Zum Glück habe ich dann den Link zu den Binaries 
entdeckt.
Die haben das aber prima versteckt.

Besten Dank
Klaus