TeTiGt
Anmeldungsdatum: 2. Dezember 2020
Beiträge: 33
|
Hallo, ich frage mich, inwiefern Daten über den Internetanbieter wie Telekom geschickt werden, wenn man ein VPN wie NordVPN hat. Ich erstelle einen Tunnel direkt zu meinem Anbieter. D.h bevor ich eine Website aufrufe, läuft die Verbindung zum VPN wird verschlüsselt und dann an meinem Provider geschickt? Oder wird dieser einfach umgegangen und das Routing erfolgt dann ohne diesen?
Moderiert von kB: Aus dem Forum „Netzwerk und Internetzugang einrichten“ in einen besser passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Du baust einen Tunnel zu NordVPN auf, die T-Com sieht das natürlich, kann aber nicht reingucken.
Die Daten gehen auch wieder durch diesen Tunnel zurück. Mitlesen geht dann erst am dem Ausgang bei NordVPN.
|
voxxell99
Anmeldungsdatum: 23. September 2009
Beiträge: 3903
Wohnort: da, wo andere Urlaub machen. :)
|
Es gibt zahlreiche Seiten im Netz, die dir schön grafisch aufbereitet erklären, wie ein VPN funktioniert. Warum suchst du nicht mal nach einer davon? 😉
|
TeTiGt
(Themenstarter)
Anmeldungsdatum: 2. Dezember 2020
Beiträge: 33
|
voxxell99 schrieb: Es gibt zahlreiche Seiten im Netz, die dir schön grafisch aufbereitet erklären, wie ein VPN funktioniert. Warum suchst du nicht mal nach einer davon? 😉
Die habe ich mir schon angeschaut, auch die youtube videos. aber das, was nicht erklärt wird, wer ist ist direkt mit wem verbunden. ich mit dem vpn und der mit dem provider. ich mit dem provdier und der über das vpn. auch der wikipedia artikel konnte mir da nicht weiter helfen.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
|
voxxell99
Anmeldungsdatum: 23. September 2009
Beiträge: 3903
Wohnort: da, wo andere Urlaub machen. :)
|
Ich meine, dass das schon klar wird, wenn man die Technik verstanden hat. Der DNS des Providers (falls du keinen anderen eingestellt hast), vermittelt die Adresse deines VPN Servers, ab da läuft alles direkt zwischen dir und dem VPN Server. Physikalisch hängst du natürlich immer noch zuerst mal am Einwahlpunkt des Providers, aber er bekommt deine Paketinhalte dann nicht mehr mit.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
voxxell99 schrieb: Ich meine, dass das schon klar wird, wenn man die Technik verstanden hat. Der DNS des Providers (falls du keinen anderen eingestellt hast), vermittelt die Adresse deines VPN Servers, ab da läuft alles direkt zwischen dir und dem VPN Server.
Kommt drauf an, es gibt auch sog. Split-Tunneling, da wird nur ein bestimmter Teil durch den VPN-Tunnel geroutet.
Ist aber ein Nischenprodukt und wird nur in speziellen Fällen genutzt.
|
TeTiGt
(Themenstarter)
Anmeldungsdatum: 2. Dezember 2020
Beiträge: 33
|
voxxell99 schrieb: Ich meine, dass das schon klar wird, wenn man die Technik verstanden hat. Der DNS des Providers (falls du keinen anderen eingestellt hast), vermittelt die Adresse deines VPN Servers, ab da läuft alles direkt zwischen dir und dem VPN Server. Physikalisch hängst du natürlich immer noch zuerst mal am Einwahlpunkt des Providers, aber er bekommt deine Paketinhalte dann nicht mehr mit.
Die Pakete werden um den Provider herumgeroutet? Oder geroutet über den Provider und diese sind einfach verschlüsselt?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Nein, du baust einen Tunnel zum VPN-Provider auf. Das geht ganz normal über deinen Provider.
Darin verpackt werden dann die richtigen Datenpakete, z.B. zu einem Mailserver.
Diese sind verschlüsselt, bedeutet, dass von deinem PC zum VPN-Server niemand reingucken kann, was da genau übertragen wird.
Der Provider sieht aber natürlich, dass du dich mit dem VPN-Server verbindest und wie lange usw.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
TeTiGt schrieb: […] Die Pakete werden um den Provider herumgeroutet?
Natürlich nicht. Wie sollte das möglich sein? Jedes Paket, welches Du aussendest oder empfängst, läuft über Deinen Internetprovider.
Oder geroutet über den Provider und diese sind einfach verschlüsselt?
Stimmt auch nicht. Die Pakete sind teilweise verschlüsselt. Die äußerste Schicht, also IP-Header ist immer lesbar (und kann bei Bedarf auch protokolliert werden). Je nach Art der VPN sind möglicherweise noch weitere Schichten erkennbar. Diese Metadaten aus dem IP-Header immer:
Absender (Du) Empfänger (der Server des VPN-Providers, und natürlich weiß auch Dein Internet-Provider, dass Du mit einem VPN-Provider kommunizierst) Größe des Paketes das Protokoll der nächsten Schicht, z.B. IPsec oder UDP oder TCP den Header dieser nächsten Schicht und natürlich kennt ein Abhörer auch den Zeitpunkt der Kommunikation.
Diese Informationen kann nicht nur Dein Internetprovider lesen, sondern auch jede Stelle im Internet, über die das Paket läuft. Z.B. große Internet-Knoten wie der DE-CIX in Frankfurt, von dem bekannt ist, dass dort mindestens der BND abhört. Leute mit hinreichend großer Rechnerkapazität (z.B. staatliche Geheimdienste) können den einlaufenden und auslaufenden Verkehr beim Server des VPN-Providers überwachen und durch Korrelationsrechnungen herausfinden, welches auslaufende (und damit im Klartext) Paket zu welchem einlaufenden Paket gehört und so jede Kommunikation mitlesen. Man kann auch davon ausgehen, dass ein öffentlicher VPN-Server von Abhörmaßnahmen staatlicher Dienste umschwärmt wird wie Motten vom Licht.
|
TeTiGt
(Themenstarter)
Anmeldungsdatum: 2. Dezember 2020
Beiträge: 33
|
kB schrieb: TeTiGt schrieb: […] Die Pakete werden um den Provider herumgeroutet?
Natürlich nicht. Wie sollte das möglich sein? Jedes Paket, welches Du aussendest oder empfängst, läuft über Deinen Internetprovider.
Oder geroutet über den Provider und diese sind einfach verschlüsselt?
Stimmt auch nicht. Die Pakete sind teilweise verschlüsselt. Die äußerste Schicht, also IP-Header ist immer lesbar (und kann bei Bedarf auch protokolliert werden). Je nach Art der VPN sind möglicherweise noch weitere Schichten erkennbar.
Wenn der IP Header sichtbar ist, dann sieht ja der Dienst zumindest, dass meine IP Adresse verbunden ist mit einem VPN. Richtig? Und was meinst du genau mit Korrelationsrechnungen? Aber wenn der Inhalt verschlüsselt ist, dann kann ein Dienst doch nicht die Art des Inhalts bestimmen. Er kann lediglich mit Korrelationsrechnungen bestimmen, welche eingehende IP(in dem Fall meine) zu welcher ausgehende IP (die, die ich über das VPN nach außenhin erhalte) bekomme. Oder liege ich da falsch?
|
gmu_ubuntu
Anmeldungsdatum: 20. März 2017
Beiträge: 7
|
Wenn du eine VPN Verbindung aufbaust, dann hast du als Gegenseite die IP deines VPN-Anbieters. Diese wird durch deinen Router zu deinem Provider, eventuell zu x anderen Providern, Serverfarmen, Knotenpunkten (oder wie auch immer du es bezeichnen willst), kurz gesagt vielen anderen "Rechnern/Netzwerkelementen" bis zum VPN-Anbieter unverschlüsselt initiiert. Danach unterhalten sich der VPN-Rechner und dein Rechner etwas (sie tauschen Schlüssel aus, überprüfen ob die jeweils andere Seite auch die ist, für die sie sich ausgibt, etc.) - alles noch quasi im Klartext! Danach (das ist nur wenige Millisekunden später) schalten sie erst in einen Verschlüsselungsmodus. Dieser kann nur mit Hilfe gültiger und richtiger Keys entschlüsselt werden. Der IP-Traffic (die Pakete) ab diesem Zeitpunkt sind vom Routing her von allen bislang beteiligten Rechnern weiterhin lesbar, nur der Inhalt (theoretisch) nicht mehr. Warum theoretisch? Weil praktisch niemand dir garantieren kann, dass dein VPN-Anbieter nicht doch mit irgendwelchen Behörden/Vereinen/Organisationen zusammen arbeitet (oder arbeiten muss). Natürlich wird das keiner offen legen, aber wenn er gesetzlich verpflichtet wurde Schlüssel herauszugeben, dann können andere sehr wohl die Traffic-Daten mitlesen und entschlüsseln. Wohin das weitere Routing (durch eine durch den VPN aufgerufene Drittseite) erfolgt steht im Datenteil. D.h. dein Provider sieht nur deine Verbindung zum VPN und wie viel Daten du dort hinschickst oder abholst. Nur wenn er darf (Gerichtsbeschluss) und kann (Schlüssel vom VPN bekannt) könnte er diesen Traffic dekodieren und mitlesen. Zumindest der erste Teil (lesbare Routing-Informationen ohne Datenteil) kann er ohne weiteres auswerten. Das ist sicherlich mit den Korrelationsrechnungen gemeint. Wenn du dich auch davor noch "verstecken" willst, dann musst du dich mit Tor beschäftigen. Im Prinzip werden dort Pakete erst mal zu einem Eingangstor geschickt und dann über unterschiedliche Routings zum Ziel transportiert. Das macht es ungemein schwieriger den Gesamtinhalt zu bekommen. Problem ist hier aber auch wieder der Weg bis zum Eingangstor und vom Ausgangstor zum Ziel (auf beiden Strecken erfolgt i.d.R. immer das selbe Routing der Pakete). Wenn also jemand deinen Traffic überwachen will/soll/muss, dann ist immer die Frage, wo er sich an die Leitung anstöpseln kann. Wenn du in einem Hochhaus wohnst und die Behörden (Polizei, BND, ...) sich bereits an deine Leitung im Verteilerraum aufschalten können (oder in einer Wohnsiedlung die Aufschaltung am ersten grauen Verteiler erfolgt), dann sind VPN, Tor, etc. möglicherweise völlig egal, weil das Abgreifen der Pakete noch vor dem eigentlichen Internet erfolgt und alle Pakete an dieser Stelle vorbei müssen....
Bearbeitet von kB: Forensyntax korrigiert. Bitte verwende in Zukunft Absätze, um die Übersicht im Forum zu verbessern!
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8616
Wohnort: Münster
|
gmu_ubuntu schrieb: […] Das ist sicherlich mit den Korrelationsrechnungen gemeint.
Nein. Gemeint ist: Wer die beim VPN-Provider eingehenden verschlüsselten IP-Pakete mitschneiden kann und die beim VPN-Provider als Klartext ausgehenden IP-Pakete ebenfalls mitschneiden kann, wer also Chiffrat und Klartext kennt, der hat die Verschlüsselung bereits gebrochen. Es muss nur noch per Korrelation die Zuordnung jedes eingehenden zum dazugehörenden ausgehenden Paket hergestellt werden. Das ist aber kein kryptografisches Problem mehr, sondern nur ein kombinatorisches. Auch ein solches erfordert Rechenkraft, diese steht aber z.B. staatlichen Geheimdiensten zur Verfügung. Es ist auch davon auszugehen, dass Geheimdienste weltweit über die Möglichkeiten verfügen, eine solche Überwachung von VPN-Providern vorzunehmen und dies auch tun.
|