ComputerBase Menü
Aktuelles

VPN in unsicheren WiFi oder langt Dot?

ace-drink

ace-drink

Lt. Commander
Registriert
Juni 2008
Beiträge
1.296
Hi,

also ich habe aktuell einen Wireguard Server auf meinen Pi und da läuft auch Adguard Home.

Nutze das um unterwegs im mobilnetz nur die DNS Anfragen über den Tunnel zu schicken und in fremden WiFi komplett den Traffic.

Nun Frage ich mich ob ich Sicherheitstechnisch nicht ähnlich gut bedient bin wenn ich auf dem Handy einfach Adguard als DOT eintrage. Fast alles ist ja eh via SSL gesichert auf den Seiten und wenn DNS dann auch über DOT läuft sollte doch eigentlich alles verschlüsselt sein.

Natürlich könnte ich mich dann nicht nach Hause verbinden aber wenn ich das nicht zwingend brauche sollte es doch passen und man hat keinen Impact bei Latenz und Bandbreite.

Oder ist VPN dennoch sinnvoll rein aus Sicherheitsgründen da man auch sowas wie https man in the middle umgeht oder mitschneiden und später entschlüsseln?
 
Ich vertraue da eher meinem System, bei dem ich entscheide was blockiert wird und über welchen Dienst meine DNS-Anfragen laufen.
Aber, jeder darf selbst für sich entscheiden.
 
Abgesehen von den bereits angesprochenen DNS-Sperren, leakst Du auch mit DoT dann am Ende über TLS Deine angesteuerten Server wegen SNI … (Du erfährst mehr, wenn Du hinten auf „Secure SNI“ gehst).
ace-drink schrieb:
Fast alles ist ja eh via SSL gesichert
Zum Vergrößern anklicken....
Das nächste Problem ist dieses „fast alles“, also versehentlich „doch was nicht“.
 
DNS sperren sind jetzt nicht wirklich ein Thema für mich aber ich nutze aktuell via Adguard Home mehrere DNS server mit entweder Dot oder doh oder quick.

Secure SNI kann ich scheinbar nicht selbst beeinflussen soweit ich das verstehe. Dann ist es doch aber auch egal ob ich via VPN gehe oder nicht da es dann von mir zu Hause ins Netz ja genau so sichtbar ist oder steh ich jetzt auf dem Schlauch.

Generell die Frage bitte. Wenn ich mich via VPN verbinde kann zum Beispiel ein Aldi WiFi ja nichts sehen aber die Anfragen vom Pi zu Hause kann mein ISP ja dann wieder ganz normal sehen auch wenn sie dann wieder via Wireguard an mich zurück geschickt werden. Auch mit Dot sehen die ja die IPs
 
Das ist eine Frage des Vertrauens bzw. wem Du vertraust. Du vertraust Deinem ISP daheim – theoretisch könntest Du daheim auch sowas wie Tor als ISP nehmen. Ohne VPN vertraust Du dem dortigen Netzbetreiber (und dessen ISP vor Ort). Bist Du im Ausland ist das nochmal eine andere Hausnummer, weil Du in manchen Rechtsrahmen als Gast auch als (Daten-) rechtliches Freiwild gilst. Ohne VPN vertraust Du dann zusätzlich dem
  1. Netzbetreiber vor Ort,
  2. ISP vor Ort und
  3. Rechtsrahmen vor Ort.
Ich will Dich jetzt nicht dazu überreden, Tor daheim oder überall VPN zu nutzen … in manchen Rechtsrahmen darfst Du das nicht einmal … ich beantworte lediglich Deine Frage. Praktisch hat sich in der letzten zehn Jahren Erhebliches getan, also tatsächlich eine breitflächige Verschlüsselung des Internet-Verkehrs stattgefunden. Aber leider doch nicht alles. Das siehst Du jedes Jahr zum Beispiel auf der DEF CON in Las Vegas und deren Wall of Sheep.
ace-drink schrieb:
https man in the middle umgeht
Zum Vergrößern anklicken....
Schwieriges Thema. Tatsächlich sind erschreckend viele TLS-Implementierung falsch programmiert und die Verschlüsselung könnte von einem aktiven Angreifer aufgebrochen werden. Oder Du klickst versehentlich Zertifikatswarnungen weg. Dein erwähntes DoT minimiert diese Angriffsmöglichkeit, denn es minimiert Angriffe über DNS … Problem ist, dass ein Betreiber vor Ort gar nicht über DNS umlenken muss. Er kann einfach die IP-Adresse selbst umlenken. Du schützt Dich über DoT „lediglich“ gegen Angriffe Dritter. Daher DoH und DoQ.
ace-drink schrieb:
https […] mitschneiden und später entschlüsseln?
Zum Vergrößern anklicken....
Schwieriges Thema. Tatsächlich könnte man eine TLS-Verbindung entschlüsseln, wenn man später an den privaten Schlüssel des Betreibers gelangt, aber nur wenn der Betreiber kein PFS anbot.
ace-drink schrieb:
https […] mitschneiden und später entschlüsseln?
Zum Vergrößern anklicken....
Schwieriges Thema. Tatsächlich könnte man eine TLS-Verbindung entschlüsseln, wenn man …

Lange Rede kurzer Sinn, DoQ ist eine weitere flankierende Maßnahme aber leider nicht das alleinige Allheilmittel. Mein Tipp: Sehe es anders herum – wenn Du bereits ein VPN daheim eingerichtet hast und dadurch nicht zu viel Komfort einbüßt, warum nicht nutzen?
 
Zuletzt bearbeitet: (Rechtschreibung)
@norKoeri
Hmm hmm. Ich nutze in der Tat auch DoH und DoQ schon. Habe mehre Upstream DNS in Adguard Home drin.

Ja stimmt natürlich, da es eh schon alles läuft und das sehr gut. Wireguard ist schon super. Ich limitiere mich halt bei full Tunnel auf den Upload von mir zu Hause was 50mbit sind und ggf. ca. 30ms extra Latenz. Kein Genickbruch im Tausch für denke ich maximale Sicherheit. Denke ich lasse es laufen da es mit Tasker nun auch so eingerichtet ist das bei mobil nur DNS geroutet wird und nur in fremden WiFi alles über VPN geht. Komplett automatisch und eigentlich minimal Akku Auswirkungen.

Danke für weitere Denkanstöße
 
ace-drink schrieb:
Ich nutze in der Tat auch DoH und DoQ schon.
Zum Vergrößern anklicken....
Hatte ich verstanden. :) Deine ursprüngliche Frage enthielt lediglich DoT. Daher wollte ich noch die Unterschiede aufzeigen. Und nur um vielleicht Missverständnisse zu vermeiden: DNS ist eine Baustelle, ein Problem. Problematisch sehe ich auch Apps, die immer noch nicht verschlüsseln (zweiter Absatz in meinem ersten Post). Allein dafür bitte VPN nach Hause. Bereits der Grund für VPN.

Und dann kannst Du die Probleme ewig weiter spinnen, also fehlerhafte TLS-Implementierung (vorvorletzter Absatz), Betreiber bietet kein PFS (vorletzter Absatz), wir haben noch kein wirkliche Post-Quantum-Kryptographie (letzter Absatz). Das sind schon jetzt vier Gründe …
 
  • Gefällt mir
Reaktionen: ace-drink
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz