ComputerBase Menü
Aktuelles

Vaultwarden hinter Reverse-Proxy sicher genug oder besser VPN?

T

TSCH

Newbie
Registriert
Aug. 2014
Beiträge
4
Hallo,

ich wollte die Frage mal in die Runde stellen, weil ich mir schon ein wenig Paranoid vorkomme.
Wenn ich das "Original" von Bitwarden nutze, greife ich auch nur durch ein Kennwort geschützt per https/SSL auf meinen Passworttresor zu, der bei Bitwarden abliegt.
Daran gefällt mir u.a. nicht, dass meine privaten Kennwörter bei einem fremden Anbieter liegen und jeder der meine Zugangsdaten hat darauf zugreifen könnte.

Aus diesem Grund bin ich dazu übergegangen, auf einem kleinen Server in meinem Heimnetzwerk einen Vaultwarden-Docker-Container zu installieren. Leider wird seitens Vaultwarden ausschließlich der https-Zugriff unterstützt, was mich wiederum zwingt entweder
a) über das Internet und meinen Router mit Portforwarding und einen weiteren Docker-Container mit einem Reverse-Proxy (nginx Proxy Manager) per https auf Vaultwarden zuzugreifen (das habe ich auch problemlos hinbekommen) oder
b) dafür zu sorgen, dass ich den Reverse-Proxy ausschließlich aus meinem internen Netzwerk über den Browser und https erreiche, was mir bisher nicht gelungen ist (PiHole wäre ebenfalls vorhanden). Wenn ich unterwegs bin, würde ich per Wireguard-VPN auf mein Heimnetzwerk und von dort auf Vaultwarden zugreifen.

Aus meiner Sicht ist Variante b) deutlich sicherer, weil von extern durch VPN geschützt. Allerdings habe ich bisher die Namensauflösung und damit den Zugriff von intern auf Vaultwarden noch nicht hinbekommen.

Eure Meinung zur (Un)Sicherheit von Variante a) würde mich ebenso wie Lösungsansätze oder gerne auch Hinweise wo ich mich zu b) einlesen kann, interessieren.
 
Zuletzt bearbeitet:
Welche Anwendung verwendest du den die den ganzen Aufwand rechtfertig?
(Ist nicht eh ein großteil der Kommunikation heutztage verschlüsselt?)
 
Technisch gesehen hat zwar Bitwarden als Betreiber deine ganzen Passwörter, jedoch ist die gesamte Vault verschlüsselt und der Zugriff hast nur du persönlich.

Die Umgehung von SSL (HTTPS) halte ich für eine größere Sicherheitslücke, als die Daten beim Betreiber zu hosten.
 
TSCH schrieb:
b) dafür zu sorgen, dass ich den Reverse-Proxy ausschließlich aus meinem internen Netzwerk über den Browser erreiche, was mir bisher nicht gelungen ist (PiHole wäre ebenfalls vorhanden). Wenn ich unterwegs bin, würde ich per Wireguard-VPN auf mein Heimnetzwerk und von dort auf Vaultwarden zugreifen.
Zum Vergrößern anklicken....
Und was macht das VPN auf "magische Weise" "deutlich sicherer" als die übliche Konstellation Reverse Proxy + TLS?
 
Vielen Dank zunächst für Eure schnellen Antworten.

@Fujiyama
Es geht um Vaultwarden, einen Bitwarden-Clone, der als Kennwort-Tresor dienen soll.

@andy_0
https/SSL will ich gar nicht umgehen, auch nicht, wenn ich nur aus dem internen Netzwerk, d.h. wie in Variante b) zugreife. Ich schaue mir meinen Thread nochmal an und ergänze, damit das klarer/deutlicher wird.

@Yuuri
VPN ist für mich schon deshalb sicherer, weil im Gegensatz zur Portweiterleitung aus a), auf die theoretisch jeder zugreifen kann, der die URL kennt, nur die für Wireguard entsprechend konfigurierten Gegenstellen sich überhaupt mit dem Wireguard Server verbinden können.
Sollte ich hier einem Irrtum unterliegen, bitte ich um entsprechende Infos.
 
Du kannst ja ums VPN auch nochmal ein VPN machen, falls das erste VPN gehackt wird ist darin nochmal ein VPN Tunnel als zusätzliche Sicherheit. Oder noch ein drittes VPN falls das zweite VPN gehackt wird....

Auf was ich hinaus will: Wenn du Vaultwarden nicht vertraust, dann benutze es nicht.
Solange da keine Sicherheitslücke drin steckt, passiert da überhaupt nichts, wenn man per https zugreifen kann.
Aktiviere 2FA und nutze ein gescheites Passwort für deinen Tresor. Dann gibts da überhaupt keine Sicherheitsbedenken.
Und selbst wenn da eine Sicherheitslücke wäre, dann klaut jemand deinen Passwortsafe... ohne Schlüssel.
Also einen Haufen Datenmüll.


TSCH schrieb:
aus meiner Sicht ist Variante b) deutlich sicherer, weil von extern durch VPN geschützt. Allerdings habe ich bisher die Namensauflösung und damit den Zugriff von intern auf Vaultwarden noch nicht hinbekommen.
Zum Vergrößern anklicken....
vermutlich weil du keinen konfigurierbaren DNS Server zuhause hast.
Du kannst das auch einfach in der hosts Datei ablegen, wenn es nur um den PC geht.
 
  • Gefällt mir
Reaktionen: KitKat::new()
aus meiner Sicht ist Variante b) deutlich sicherer, weil von extern durch VPN geschützt. Allerdings habe ich bisher die Namensauflösung und damit den Zugriff von intern auf Vaultwarden noch nicht hinbekommen.
Zum Vergrößern anklicken....
Was genau ist das Problem mit der Namensauflösung? Oder ist das vielleicht ein andere HTTPS Port, den du mit :1234 an die fqdn anhängen musst?
 
  • Gefällt mir
Reaktionen: TSCH
glady2000 schrieb:
Was genau ist das Problem mit der Namensauflösung? Oder ist das vielleicht ein andere HTTPS Port, den du mit :1234 an die fqdn anhängen musst?
Zum Vergrößern anklicken....
Dieses Problem hat sich inzwischen gelöst. Nachdem ich die IP meines PiHole am Client manuell als DNS eingetragen habe, funktioniert es. Hätte eigentlich durch die FritzBox per DHCP ebenfalls passen sollen, war aber leider nicht so.
Ergänzung ()

h00bi schrieb:
Du kannst ja ums VPN auch nochmal ein VPN machen, falls das erste VPN gehackt wird ist darin nochmal ein VPN Tunnel als zusätzliche Sicherheit. Oder noch ein drittes VPN falls das zweite VPN gehackt wird....

Auf was ich hinaus will: Wenn du Vaultwarden nicht vertraust, dann benutze es nicht.
Solange da keine Sicherheitslücke drin steckt, passiert da überhaupt nichts, wenn man per https zugreifen kann.
Aktiviere 2FA und nutze ein gescheites Passwort für deinen Tresor. Dann gibts da überhaupt keine Sicherheitsbedenken.
Und selbst wenn da eine Sicherheitslücke wäre, dann klaut jemand deinen Passwortsafe... ohne Schlüssel.
Also einen Haufen Datenmüll.



vermutlich weil du keinen konfigurierbaren DNS Server zuhause hast.
Du kannst das auch einfach in der hosts Datei ablegen, wenn es nur um den PC geht.
Zum Vergrößern anklicken....
Genau das war ja meine ursprüngliche Frage und ein "Ja Du bist Paranoid" hätte es auch getan :-)

Ich habe mit PiHole einen konfigurierbaren DNS Server zuhause aber leider hat meine FritzBox diesen leider nicht per DHCP mit an den Client übermittelt. Erst nachdem ich die IP des PiHole manuell auf dem Client eingetragen habe funktioniert es.

Bin aber wg. der schlichten Einfachheit des Zugriffs von extern ohne VPN aber https sowie sicherem Masterpassword in Kombination mit MFA geneigt für Vaultwarden auf VPN zu verzichten und damit signifikant die User-Acceptance bei meiner besseren Hälfte zu verbessern ;-)
 
Zuletzt bearbeitet:
Ich habe z.B. auch das Webinterface meiner Fritzbox nach außen offen.
Habe damit aus 3 Gründen kein Problem:
1) Ich verwende gescheite Passwörter (in dem Fall 20+ Stellen)
2) Der Standard root user darf sich dort nicht einloggen
3) Ich lese regelmäßig Tech News und würde von einer Sicherheitslücke was mitbekommen.

Wir haben in der Firma auch RDP (HTTPS) offen. Warum? Komfort.
Sobald jedoch eine Sicherheitslücke bekannt wird, ist das spätestens am nächsten Tag dicht und geht nur noch aus dem VPN.
 
Zuletzt bearbeitet: (https ergänzt um Missverständnisse auszuschließen)
h00bi schrieb:
Wir haben in der Firma auch RDP offen. Warum? Komfort.
Sobald jedoch eine Sicherheitslücke bekannt wird, ist das spätestens am nächsten Tag dicht und geht nur noch aus dem VPN.
Zum Vergrößern anklicken....
Ich hoffe nicht, dass ihr RDP über das Internet offen habt. Das RDP Protokoll tcp/3389 ist unverschlüsselt. Da kann dann das Passwort so lang sein wie es will, man könnte es mitlesen.

Da finde ich den Service Azure Bastion Host sehr nützlich. RDP über HTTPS. Geht aktuell leider nur für VM's in der Azure Cloud und nicht on-prem oder private cloud.
 
Zuletzt bearbeitet:
Mich nervt dieser Let´s Encrypt SSL Zwang in vielen Anwendungen einfach nur noch. Und Bitwarden biegt für private Self-Hoster in eine völlig falsche Richtung ab.

1. Um den VW/BW Server komfortabel zu nutzen, muss er dauerhaft offen via Port 443 zugänglich sein. Selbst signiert zählt nicht.
2. VPN Zugriff daher nur im begrenzten Rahmen möglich, man muss mind alle 2 Monate 1x das Zertifikat neu erstellen lassen.

Bin daher mittlerweile Closed Source mit SafeInCloud unterwegs. Für Leute die Windows als HauptOS nutzen wäre Keepass eine entsprechende OpenSource Alternative. Für Ios und Android gibt es ebenfalls erstklassige Keepas Clients !

https://be-jo.net/2020/07/keepass-p...fox-verbinden/#Schritt_1_KeePass_vorbereitenW

Was mir an dem Konzept besser gefällt:
1. Die Sicherheit, zugriff via VPN (ok) und die Datenbank liegt verschlüsselt auf meiner ebenfalls verschlüsselten Nextcloud (auf dem Pi).
2. Die Kosten halten sich auch in Grenzen, mit unter 10€ hat man alles einmalig abgedeckt.
3. Die Clients sind gut, vermisse nichts, was ich bei Bitwarden nicht auch gehabt hätte.
Sowohl Keepass, als auch SafeInCloud werden weiterentwickelt.
4. Browser PlugIns für FireFox und die Chromium Derivate ist vorhanden, da hat mir BW zwar besser gefallen, aber Kompromisse muss man eingehen.
 
Zuletzt bearbeitet:
M-X schrieb:
Es gibt einen ganzen Abschnitt in der Doku der beschreibt wie man ein selbst signiertes Zertifikat nutzt.....

https://bitwarden.com/de-DE/help/certificates/
Zum Vergrößern anklicken....

Halte ich nicht für praktikabel, zumal die Browser Clients und auch Ios ausgeschlossen sind. Zumindest konnte ich beim Überfliegen nichts dazu finden.
Sicherheit wird so aktiv verhindert, vermutlich gewollt, damit die Leute brav die BW Cloud made in US nutzen.
Ergänzung ()

Yuuri schrieb:
Und was macht das VPN auf "magische Weise" "deutlich sicherer" als die übliche Konstellation Reverse Proxy + TLS?
Zum Vergrößern anklicken....
Einiges. Ich denke da alleine an die Schlüssel, ohne die ein potenzieller Angreifer nicht weit kommt. Wenn man wirklich ein gesteigertes Sicherheitsbedürfnis hat, lässt sich selbst ein IpSec Server mit der FritzBox leicht realisieren.
Mir persönlich reicht WireGuard via PiVPN jedoch.
 
Zuletzt bearbeitet:
Der Thread ist sieben Monate alt...
Niklas434 schrieb:
Mich nervt dieser Let´s Encrypt SSL Zwang in vielen Anwendungen einfach nur noch.
Zum Vergrößern anklicken....
Ja, weil MITM (Abhören und Manipulation) auch so 1990er sind... Iran, Russland, Ukraine, die quasi jährlich einkassierte "Vorrat"sdatenspeicherung... Transportverschlüsselung ist heutzutage das absolute Minimum. Du musst auch nicht LE verwenden, du kannst gern für Nichtigkeiten Geld in die Hand nehmen und ein "übliches" Zertifikat kaufen (quasi das Selbe nur für Geld). Niemand zwingt dich zu irgendwas außer einem Zertifikat zur Transportverschlüsselung.

Ein Wildcard DV Zertifikat (für ein Jahr) gibts bei IONOS bspw. für 72 € pro Jahr.
Niklas434 schrieb:
Sicherheit wird so aktiv verhindert, vermutlich gewollt, damit die Leute brav die BW Cloud made in US nutzen.
Zum Vergrößern anklicken....
Du kannst jederzeit jedes Zertifikat wählen, welches du willst. Wenn du zwangsweise ein Self Signed Cert nutzen willst, mach das. Beschwer dich aber nicht über etwaige Fehlermeldungen. Bitwarden ist übrigens auch ausdrücklich selbst hostbar, womit du volle Kontrolle hast. Ob nun Self Signed, IONOS Zertifikat, Lets Encrypt oder sonstwie. Du kannst Bitwarden auch selbst patchen, damit es unverschlüsselt funktioniert. Jeder wie er mag.
Niklas434 schrieb:
Einiges. Ich denke da alleine an die Schlüssel, ohne die ein potenzieller Angreifer nicht weit kommt. Wenn man wirklich ein gesteigertes Sicherheitsbedürfnis hat, lässt sich selbst ein IpSec Server mit der FritzBox leicht realisieren.
Zum Vergrößern anklicken....
Aha, "die Schlüssel". Gutes Argument. Hast du dazu auch noch was zu sagen oder bleibt es lediglich bei "die Schlüssel"? "Die Schlüssel sind sichererer", "Die Schlüssel sind bunter", "Die Schlüssel sind blau und leuchten" oder was ist das Argument?

Zum Glück nutzt TLS als Transportverschlüsselung keine "Schlüssel" zum Ver- und Entschlüsseln. Und auch keine Public Key Infrastructure. Auch kein Diffie-Hellman-Schlüsselaustausch. Und...

Ja, einen IPsec Server kann natürlich auch jeder aufsetzen. Und geich sein gesamtes Netzwerk offen legen ohne weitere Konfiguration. Das VPN einer FritzBox ist ein absoluter Witz und mit IKEv1 auch deprecated. v2 bietet eine FritzBox überhaupt nicht. Für ein FritzBox VPN in Windows muss ein Drittanbietertool installiert werden... Wird Zeit, dass man endlich mal was macht und nun Wireguard ausrollen will, damit überhaupt mal wieder was "Verwendbares" angeboten werden kann. Außerdem ist VPN auch berüchtigt dafür, dass es von überall klappt und gar nicht unterbrochen werden kann.

Deine "Argumente" zeigen eher, dass du keine Ahnung hast wie die Technik überhaupt grundlegend funktioniert. Was sagst du eigentlich zu OpenVPN vs TLS Terminated Reverse Proxy?
 
  • Gefällt mir
Reaktionen: b1nb4sh und foo_1337
Okay, ich oute mich, habe einen VW mit Reverse Proxy + SSL inkl. VPN. Warum? Weil das VPN schon da ist und auch innerhalb des Netzes ich gerne eine gewisse Sicherheit haben will.
Wie immer ist die Sicherheit wie eine Zwiebel, jede Schicht schützt und die Konfiguration richtet man auch nur einmal ein.
Wegen LE oder Self signed vs gekauftes Zert. Es hängt davon ab, wo man es einsetzt. Für den Homebereich reicht ein Self Signed bzw LE. Im Enterprisebereich sieht es anders aus.
Was ist an einem Self Signed so schlimm? Die Meldung, dass es nicht vertrauenswürdig ist? Das akzeptiert man einmal und fertig ist die Sache, ansonsten kann man sich auch eine CA aufsetzen.
 
Yuuri schrieb:
Der Thread ist sieben Monate alt...

Ja, weil MITM (Abhören und Manipulation) auch so 1990er sind... Iran, Russland, Ukraine, die quasi jährlich einkassierte "Vorrat"sdatenspeicherung... Transportverschlüsselung ist heutzutage das absolute Minimum. Du musst auch nicht LE verwenden, du kannst gern für Nichtigkeiten Geld in die Hand nehmen und ein "übliches" Zertifikat kaufen (quasi das Selbe nur für Geld). Niemand zwingt dich zu irgendwas außer einem Zertifikat zur Transportverschlüsselung.

Ein Wildcard DV Zertifikat (für ein Jahr) gibts bei IONOS bspw. für 72 € pro Jahr.

Du kannst jederzeit jedes Zertifikat wählen, welches du willst. Wenn du zwangsweise ein Self Signed Cert nutzen willst, mach das. Beschwer dich aber nicht über etwaige Fehlermeldungen. Bitwarden ist übrigens auch ausdrücklich selbst hostbar, womit du volle Kontrolle hast. Ob nun Self Signed, IONOS Zertifikat, Lets Encrypt oder sonstwie. Du kannst Bitwarden auch selbst patchen, damit es unverschlüsselt funktioniert. Jeder wie er mag.

Aha, "die Schlüssel". Gutes Argument. Hast du dazu auch noch was zu sagen oder bleibt es lediglich bei "die Schlüssel"? "Die Schlüssel sind sichererer", "Die Schlüssel sind bunter", "Die Schlüssel sind blau und leuchten" oder was ist das Argument?

Zum Glück nutzt TLS als Transportverschlüsselung keine "Schlüssel" zum Ver- und Entschlüsseln. Und auch keine Public Key Infrastructure. Auch kein Diffie-Hellman-Schlüsselaustausch. Und...

Ja, einen IPsec Server kann natürlich auch jeder aufsetzen. Und geich sein gesamtes Netzwerk offen legen ohne weitere Konfiguration. Das VPN einer FritzBox ist ein absoluter Witz und mit IKEv1 auch deprecated. v2 bietet eine FritzBox überhaupt nicht. Für ein FritzBox VPN in Windows muss ein Drittanbietertool installiert werden... Wird Zeit, dass man endlich mal was macht und nun Wireguard ausrollen will, damit überhaupt mal wieder was "Verwendbares" angeboten werden kann. Außerdem ist VPN auch berüchtigt dafür, dass es von überall klappt und gar nicht unterbrochen werden kann.

Deine "Argumente" zeigen eher, dass du keine Ahnung hast wie die Technik überhaupt grundlegend funktioniert. Was sagst du eigentlich zu OpenVPN vs TLS Terminated Reverse Proxy?
Zum Vergrößern anklicken....
Sie sind natürlich Blau und Leuchten :)
-Verschlüsselt wird der Verkehr in beiden Fällen - insofern Geschmackssache.
-Bitwarden anpassen; schwierig besonders als IOS Nutzer.
-Eine Transportverschlüsselung existiert auch bei Selfsigned; wobei für die außen Komunikation ein Signiertes Zertifikat immer besser ist, keine Frage.
-OpenVPN vs TLS Terminated Reverse Proxy; da ich WireGuard Nutzer bin kann ich mich dazu nicht äußern. Die Frage die ich mir jedoch stelle ist, wie sieht sieht es BrutForce etc. aus. Da halte ich eine VPN grundsätzlich für solider. Jedoch muss man auch anerkennen, dass sich Reserve Proxys z.T. erheblich besser konfigurieren lassen. Beispiel:

https://decatec.de/home-server/nginx-besucher-mittels-geoip2-nach-laendern-blockieren-geoblocking/
Da du aber in der Materie drin zu sein scheinst. Für wie sicher hältst du die heutigen Transportverschlüsselungen, wenn Programme wie AdGuard diese "aufbrechen" können.
 
Niklas434 schrieb:
-Verschlüsselt wird der Verkehr in beiden Fällen - insofern Geschmackssache.
Zum Vergrößern anklicken....
Ja nur exponiert VPN standardmäßig gleich mal mit das gesamte Netz...
Niklas434 schrieb:
-Bitwarden anpassen; schwierig besonders als IOS Nutzer.
Zum Vergrößern anklicken....
Ist problemlos möglich, Bitwarden ist komplett OSS - Server, Clients, Extensions, Apps - alles. Wenn iOS so geschlossen ist, sodass du da nichts machen kannst... Wohl für das falsche System entschieden, wenn du deine Kontrolle komplett abgibst. Nicht dass Android viel besser ist, aber die Store "Problematik" zeigt dies u.a. wunderbar auf. Goldener Käfig eben.
Niklas434 schrieb:
-Eine Transportverschlüsselung existiert auch bei Selfsigned; wobei für die außen Komunikation ein Signiertes Zertifikat immer besser ist, keine Frage.
Zum Vergrößern anklicken....
Klar. Nur musst du jedem Client und ggf. jeder Anwendung einzeln beibringen, dass diese Verbindung sicher ist und bei manchen kannst du dies einfach nicht bewerkstelligen. Und beim Zertifikatswechsel steht der Prozess erneut an. Einem öffentlich ausgestellten Zertifikat wird "vorvertraut". Und lokal eine PKI aufbauen... Wenn du Vollfreizeit-Admin sein willst, kannst du das gern machen. Self Signed ist im Notfall zu verwenden, aber nicht wirklich brauchbar. Und das ist auch gut so, sonst könnte dir jeder per MITM alles unterschieben. Denn genau das passiert hier ja auch: Statt computerbase.de mit Key 12:34:56 sprichst du plötzlich mit 23:45:67, weshalb die Fehlermeldung getriggert wird, da du kein Zertifikat vorweisen kannst, welches durch mich bzw. meinem Admin vertraut wird.
Niklas434 schrieb:
-OpenVPN vs TLS Terminated Reverse Proxy; da ich WireGuard Nutzer bin kann ich mich dazu nicht äußern. Die Frage die ich mir jedoch stelle ist, wie sieht sieht es BrutForce etc. aus. Da halte ich eine VPN grundsätzlich für solider.
Zum Vergrößern anklicken....
Für BruteForce ist gar nichts solider. BruteForce bedeutet ausprobieren, bis der korrekte Schlüssel erraten wurde. Es kommt hier einzig und allein auf die Stärke des Schlüssels an und nicht auf sonstige Faktoren. Insofern ist das Szenario für die Katz. Weiterhin hat jeder halbwegs brauchbar umgesetzte Server sowieso eine Begrenzung für mögliche Versuche.

TLS verwendet heutzutage übrigens ECC-Zertifikate. Mehr erklär ich dazu mal nicht, da das jeglichen Rahmen sprengen würde. Wireguard verwendet auch nur State-of-the-Art Werkzeuge, genauso wie TLS auch, sowie nutzt es ebenso lediglich asymmetrische Crypto (genauso wie TLS) baut aber auf keiner PKI auf. Die Schlüssel selbst sind quasi identisch in ihrer Funktionsweise - Private + Public Key. Wireguard ist keine Magie, VPN ist keine Magie, TLS ist genauso keine Magie. Es sind quasi die selben Techniken anders verpackt. Alter Wein in neuen Schläuchen für andere Anwendungsszenarien.

Weiterhin errätst du bei BruteForce im Netzwerk ja nicht mal den Key, sondern versuchst die Authentifizierung zu bruteforcen. Du greifst also nicht mal den Key an, sondern lediglich den Wärtner davor (Server, der die Authentifizierung betreibt). Der eigentliche Schlüssel kann dann noch 500.000 mal von der Eingabe abgeleitet sein (PBKDF2). Und ohne den Server zu patchen/den Wärtner zu schmieren, bringt dir dieser abgeleitete Schlüssel auch nichts, denn du brauchst die richtien Eingabedaten, damit du nach der Ableitung auf eben diesen Schlüssel kommst.
Niklas434 schrieb:
Für wie sicher hältst du die heutigen Transportverschlüsselungen, wenn Programme wie AdGuard diese "aufbrechen" können.
Zum Vergrößern anklicken....
Jede Verschlüsselung kann aufgebrochen werden. AdGuard funktioniert nur, weil auf deinem Client ein Zertifikat installiert wird, welches quasi jede Gegenstelle akzeptiert. AdGuard agiert hier klassisch als MITM, nur eben nicht mit schädlicher Absicht. Du verbindest dich verschlüsselt mit AdGuard (mit dessen Zertifikat verschlüsselt wird), AdGuard bricht TLS auf, untersucht, manipuliert und schickt den eigentlichen Request dann an den Server. Genauso auf dem Rückweg. Der Server verbindet sich nicht mehr mit deinem Browser, sondern mit AdGuard, welcher das TLS der eigentlichen Verbindung aufbricht, wieder untersucht und manipuliert, verschlüsselt mit dem AdGuard-Zertifikat neu und der Browser tut so, als wäre nie was passiert, weil TLS transparent angewendet wird. Der Gegenüber kann sich als legitim ausweisen, weil dir in den Zertifikatspeicher das AdGuard-Zertifikat geladen und diesem aktiv vertraut wurde. Läuft alles über die AdGuard Installation ab.

Es wurde also bereits im Auslieferungszustand der Client manipuliert. Das kann dir genauso mit VPN passieren, wenn dein Client entsprechende Vorkehrungen trifft. Sobald dein Client aber nicht manipuliert wurde, bekommst du entsprechende Fehlermeldungen. Einfachstes Beispiel: Verstell mal die Uhr. Damit können Zertifikate ggf. nicht mehr funktionieren, vor allem Lets Encrypt Zertifikate mit einer Dauer von lediglich 90 Tagen.

Ob ein MITM stattfindet, kannst du ganz "leicht" am Fingerprint des Zertifikats erkennen. Einziges Problem: Du müsstest den Fingerprint des aktuell verwendeten Zertifikats kennen.

kein MITMMITM
1664908235857.png1664908246960.png

Auch die Zertifikatskette kannst du hierbei nachprüfen (plus dessen Fingerprints).

kein MITMMITM
1664908516301.png1664908545696.png

Und hier das "vertrauenswürdige" Stammzertifikat, was den MITM überhaupt erst ermöglicht:

1664908595920.png

Prinzipiell kannst du damit jede Verbindung aufbrechen, die irgendwie zertifikatsbasiert arbeitet und dein Client merkt davon nichts, da das Zertifikat ja im vertrauenswürdigen Speicher liegt. Auch außerhalb des Browsers. Jede Anwendung auf deinem Client könnte dieses Zertifikat nun verwenden um seinen Traffic als "vertrauenswürdig" einstufen zu lassen. Deshalb gibt es Zertifikatslisten, welche von den Browser- und OS-Herstellern separat immer auf dem aktuellen Stand gehalten werden. Zuletzt ist Symantec rausgeflogen. D.h. alle Zertifikate, die bis dato von Symtantec ausgestellt wurden, haben ihre Gültigkeit verloren und damit erschien beim Besuch einer damit gesicherten Webseite bloß noch eine Fehlermeldung. EFS in Bitlocker arbeitet übrigens genauso mit regulären Zertifikaten.

Und es ist nicht so, dass diese ganzen Firmen irgendwie kompetent darin wären. Nein - Browserhersteller beschweren sich seit Jahren darüber, dass TLS aufgebrochen und somit überhaupt erst spezielle Angriffe ermöglicht werden (die Sicherheit also effektiv schwächt).

Unter Android passiert dies gern über ein VPN, das Prinzip ist aber das Selbe.

Sowas passiert u.a. gern bei
  • der EU und vor allem Deutschland
  • autoritären Regimes
  • "Virenscannern"
  • "Sicherheitssuites"
  • Firmen denen "Sicherheit ganz ganz doll am Herzen liegt"
Mit entsprechender Manipulation des Clients kannst du somit komplett alles steuern. Wenn AdGuard morgen meint, das Wort "oben" durch "unten" zu ersetzen. Pech gehabt. Du hast AdGuard sogar erlaubt die Daten zu manipulieren.

uBlock und ggf. PiHole arbeiten hierbei zudem viel granularer und deutlich weniger invasiv.

TLS an sich ist ein brauchbares System (PKI), hat aber natürlich auch seine Schwächen. Einen anderen Ansatz verwendet bspw. PGP: Dort wird niemandem vertraut und du musst jeden einzelnen Key selbst dein Vertrauen schenken. Das würde im Web allerdings nicht funktionieren, wenn du bei einem Seitenbesuch 30 Keys vertrauen musst, weil jede 0815 Werbung und Tracking von woanders nachgeladen wird. Und nicht nur das: Beim Seitenwechsel wird wieder alles von woanders geladen und du darfst erneut unbekannte Hosts "validieren". Der User würde also einfach nur noch abnicken, womit das System effektiv hinfällig wäre. Bei der nächsten Webseite natürlich genauso usw.

TLS reicht zur Sicherheit vollkommen aus (Stand heute). Aktuelle Software und Zertifikate vorausgesetzt natürlich, denn auch in TLS finden sich irgendwann Lücken, die gepatcht werden müssen und neue, verbesserte Versionen erscheinen.

Du erhälst:
  • Datenintegrität (das was ankommt ist das was gesendet wurde, durch Niemanden manipuliert worden)
  • Authentizität (du sprichst wirklich mit dem Server gegenüber und keinem Drittserver, niemand konnte manipulieren)
  • und genannte Transportverschlüsselung (auf dem Weg zu dir konnte niemand Daten abhören und irgendwas manipulieren)
TLS ist so sicher, dass es von jedem auf der Erde genutzt wird und selbst von Bad Actors wie NSA, CIA, KGB, BND, China und jedem anderen. Und TLS/SSL ist bisher das einzige Verfahren, welches seit 1994 global ausgerollt werden konnte. Und seit nun fast 30 Jahren hat niemand etwas Besseres erfunden, nur andere Möglichkeiten mit anderen Vor- und Nachteilen, die aber die Machbarkeit von TLS nicht übertrumpfen konnten.

VPNs arbeiten auch nur mit den gleichen Arten von Keys... Genauso wie TLS auch, haben aber ganz andere Anwendungen und andere Vor- sowie Nachteile. U.a. dass damit komplette Netzwerke offengelegt werden können.
  • Hat einer also den Private Key deiner Domain: gut. Diese Domain ist verbrannt. Neu ausstellen, das Zertifikat zurückziehen und weiter gehts. Du könntest damit aber sowieso nur Traffic von und zu dieser Domain abhören oder manipulieren. Du bekommst aber maximal Zugriff auf den Traffic. Nicht auf den Client, nicht auf die Anwendung dahinter, nur auf den Traffic dazwischen.
  • Hat einer den Key deines VPN: Dein gesamtes Netzwerk liegt ggf. offen da, mit jedem einzelnen Client (PC, Handy, Drucker, Lampen, Kühlschränke, Spülmaschinen und sonstigem IOT-Müll heutzutage) und jeder, der Zugriff hat, kann munter Unfug anstellen wie er lustig ist. Auch deine Clients nach Exploits scannen und diese zeitgleich auch noch ausnutzen.
TL;DR: Viel schlauere Leute erachten TLS mit aktuellen Zertifikaten als sicher, sogar teilweise quantenresistent. Nur im gallischen Teil des Internets liest man immer wieder, dass VPN doch "viel sicherer" sei. Wahrscheinlich aber auch nur, weil VPN-Anbieter entsprechend Werbung schalten und ihr Produkt einzig und allein verkaufen wollen. Der Glaube daran existiert zumindest, genauso wie die Urban Legend, dass die Prozessoranzahl in msconfig zu fixieren den Boot beschleunigen würde.

PS: OpenVPN arbeitet auch nur mit TLS im Hintergrund.
 
  • Gefällt mir
Reaktionen: LasseSamenström und Niklas434
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Spike S.
Nextcloud Talk sehr langsam, Server hinter Reverse Proxy
Antworten
14
Aufrufe
1.089
Spike S.
Spike S.
tsit239
Reverse-Proxy für Gameserver
Antworten
13
Aufrufe
773
Raijin
Raijin
B
Selfhostet Bidwarden und ein paar Fragen
Antworten
6
Aufrufe
1.134
redjack1000
R
Avenger84
Frage zu Nginx Proxy Manager mit Let´s Encrypt
Antworten
10
Aufrufe
785
Avenger84
Avenger84
Avenger84
Nginx Reverse Proxy: Sicherheit
Antworten
14
Aufrufe
1.705
mae1cum77
mae1cum77
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz