13 Mai 2013

VPNige Reflektionen I

Submitted by ebertus

In den sog. Schurkenstaaten ist VPN verboten bzw. nur mit Registrierung möglich, wie kürzlich über den Iran zu lesen war. Der Key wird dann mit Sicherheit gleich bei den Überwachern zu hinterlegen sein. Hierzulande geht man natürlich etwas subtiler zu Werke, obwohl mittlerweile und ohne Richtervorbehalt bereits bei Ordnungswidrigkeiten der Provider zur Herausgabe von Passwörtern etc. verpflichtet ist. Oder zielführender noch, so können providerseitig und im voraus eilenden Gehorsam bestimmte, möglicherweise kritische Funktionen einfach intransparent geblockt werden.

Kurz zur Technik: VPN nutzt das öffentliche Internet als Transportmedium und baut darin einen verschlüsselten Tunnel auf, über den dann der komplette Datenverkehr läuft, von außen also im Normalfall nicht einsehbar ist. Verstärkt werden kann dieser Effekt, indem die Daten vor und nach dem Transport durch den bereits verschlüsselten Tunnel noch weiter codiert/dekodiert werden. Gerade bei international agierenden Institutionen und Firmen, bei Außendienstlern, welche sich von jedem beliebigen Standort in das Firmennetz einloggen ist dies der übliche Weg, ein internes, virtuelles Netz, ein sog. Intranet aufzuspannen und dahinter geschützt zu kommunizieren, dabei lediglich genau definierte Exits in das öffentliche Netz zu unterhalten. VPN-Systeme und diese in der Regel als eine Kombination von entsprechender Hard- und Software waren in der Vergangenheit relativ kostenintensiv und nur mit entsprechend großem Know How zu betreiben; sprich: eher nichts für Privatleute. Dieser Zustand einer gewissen Exklusivität hat sich mittlerweile geändert, ja, er musste sich ändern.

Einerseits und wie beinahe zu erwarten, so wird die Hardware immer leistungsfähiger, die Software einfacher zu nutzen. Beispielsweise ist in den neueren Routern (Fritzboxen) von AVM die VPN-Funktionalität bereits enthalten, entsprechende Software kostenlos zu beziehen. Die Router an verschiedenen Standorten sind relativ einfach zu koppeln, ist darüber ein Intranet aufzubauen. Und die Clientsoftware ermöglicht eine geschützte Verbindung zum eigenen Netz beispielsweise vom Notebook und in jeder beliebigen Netzumgebung; weltweit - fast...

Andererseits und in einem perfiden und provozierend frechen Sinne von: "Wer nichts zu verbergen hat, der hat Überwachung auch nicht zu fürchten" mag obiger Aufwand nicht in jedem Falle sinnvoll bzw. gerechtfertigt sein, wollte man sich nur nicht latent beobachten, gar kriminalisieren lassen, dürfte oft ein reines Clientsystem für den eigenen PC, das Notebook, Tablet oder Smartphone ausreichend sein. Im Wesentlichen wird darüber die sog. IP-Adresse verändert und ist somit über den Provider nicht mehr einer real handelden Person, einem realen Anschlußinhaber zuzuordnen. Und damit auch dies klar ist! Mir geht es nicht um möglicherweise illegales Handeln, was den urheberrechtlich geschützten Content gerade der Film- und Musikindustrie betrifft und oft unter dem Begriff der "Tauschbörsen" abgehandelt wird. Mir geht es ausschließlich um die Privatsphäre, den Datenschutz, das möglichst weitgehende Verhindern einer Nachvollziehbarkeit der eigenen Internetaktivität. Und die zuzuordnende IP-Adresse ist dabei ein wesentliches, ein zu schließendes Leck, welches im einfachsten Falle (Stichwort: Surfprofile) kommerziell auszunutzen ist. Weitergehendes und gerade weil der Staat mittlerweile alle Bürger unter jedweden Generalverdacht stellt, dahingehend gern verschwörungstechnisch zu benennende Szenarien sollten bzw. dürfen realistischerweise einbezogen werden.

-----

 

Konkret wurde hier im Blog bereits über das (nach einigem trial and error) mittlerweile generell genutzte Tool namens CyberGhost berichtet. CyberGhost ist kein webbasiertes oder browserbasiertes Tool. Die Clientsoftware erzeugt eine zusätzliche Netzverbindung, welche dann transparent von Anwendungen und Diensten genutzt werden kann. Dies bedeutet im Klartext, dass alle Anwendungen automatisch diese Verbindung verwenden, wenn sie mit dem Internet kommunizieren. Mehr noch, so kann CyberGhost im Hintergrund mit Windows gestartet werden, dann einfach "verfügbar" ist. Aber da CyberGhost beispielsweise kein Mailrelais betreibt, so muss die EMail-Funktionalität innerhalb des GyberGhost-Client explizit umkonfiguriert, sprich: davon ausgenommen werden. Das lokale Netz dagegen (Drucker, NAS etc.) funktioniert ohne Probleme und wie gewohnt. Der Vorteil dieser Lösung liegt in der individuellen Konfigurierbarkeit des jeweiligen Clients, genauer und ausschließlich der CyberGhost-Clientsoftware. Der gewisse, partielle Nachteil ist darin zu sehen, dass auf jedem Client die entsprechende Software installiert sein muß, eine Lizenz zu kaufen ist. Die Herstellerfirma hat jedoch mittlerweile reagiert, gibt es jetzt -und relativ preiswert- eine Lizenz für bis zu fünf gleichzeitig aktive Clients. Noch interessanter, gerade für Hotels, Gaststätten und andere Gewerbetreibende als Absicherung beinahe unentbehrlich wäre die direkte Integration in den Router, wie beispielsweise in diesem taz-Artikel zu lesen. Und das Thema ist nach wie vor mehr als aktuell, wie gerade diese Tage und aus gegebenem Anlass in dem juristischen Fachblog von Thomas Stadler zu lesen ist.

Damit wäre ich nun bei diesem "meinerseits gegebenen Anlaß" für allfällige Reflektionen. Wegen der gerade hierzulande sehr unsicheren Rechtslage, welche nicht zuletzt Heerscharen von Abmahnanwälten ernährt, wegen diesem für den Betreiber eines WLan immer gegebenen Risiko, so lagern immer mehr Gewerbetreibende diesen zunehmend notwendigen "Service des Hauses" an externe Dienstleister aus. Und dieser externe Dienstleister hat dann zwei Möglichkeiten im Sinne von a) gewisse Funktionalitäten zu blockieren oder b) den Nutzer explizit zu identifizieren, dessen Aktivitäten mitzuloggen. Natürlich ist auch eine Kombination beider Verfahren möglich. In einem kürzlich von mir (einmal mehr) besuchten Hotel mit seinem internen T-Mobile Hotspot, der browserbasierten Anmeldung gab es noch im letzten Jahr einen im Grunde allgemein zu nutzenden Key, wird nun jedoch Benutzername und Passwort exakt dem Zimmer/Gast zugeordnet. Und... VPN via CyberGhost funktioniert nicht! Genau das jedoch ist keine grundsätzliche (Fehl)funktion dieser Konstellation, wie Tage später an einem anderen Hotspot (jedoch nicht T-Mobile) zu erleben war, wo nach der vergleichbaren, browserbasierten Anmeldung CyberGhost wie gewohnt zur Verfügung stand, dies über verschiedene IP-Prüfungen verifiziert wurde.

Was also tun, wenn der Provider blockt? Mein erster Test gilt der oben erwähnten AVM/Fritzbox-Software. Die VPN-Verbindung wird auch über den T-Mobile Hotspot sofort aufgebaut und der Zugriff auf mein internes Heimnetz ist gegeben. Wenn nun, wie ebenfalls weiter oben geschrieben, mein Router diese Funktionalität von CyberGhost direkt zur Verfügung stellen würde, so wäre anonymes Surfen möglicherweise über den Umweg des eigenen Heimnetzes möglich. Etwas um die Ecke jedoch und garantiert dann nicht wirklich performant. Es sollte einfachere, optimalere Lösungen geben! Gesucht, gefunden und lediglich (natürlich) kostenpflichtig. ProxiFy bietet eine derartige Funktionalität und der gleich mal angeforderte, umgehend zur Verfügung gestellte Testaccount funktionierte sofort und war darüber hinaus hoch performant und als Firefox-Toolbar absolut einfach zu installieren, eben transparent, d.h. nachvollziehbar zu nutzen. OK, 40 USD für drei Monate ist nicht gerade preiswert; aber kaum zu blockieren, wenn der Provider nicht das Risiko eingehen will, auch relevante Geschäftskunden ebenfalls zu blocken, denn genau das markiert ja die Klientel in vielen Hotels, ist das verfügbare WLan heute beinahe ein "must have"; und zunehmend auch bei Privatreisenden, in Gaststätten etc.

Vielleicht noch eine eher subjektive (aber beim Speedtest von KD in der Tendenz bestätigt) Beobachtung am Rande, soweit man CyberGhost und ProxiFy aus Sicht der gefühlten Performance vergleicht. Die separate, neue Netzwerkverbindung welche GyberGhost einrichte wird mit 10mbit/s angegeben, wie unter der Netzwerkonfiguration zu erkennen ist. Nicht schlecht over all und dennoch zu wenig, wenn man 16mbit/s als Standard ansieht, Kabel Deutschland mir 32 liefert und gar Werbung für eine 100er Verbindung macht. Interessant ebenfalls, dass sich der Upload unter CyberGhost beinahe einem synchronen DSL nähert, der Verlust an Download-Speed damit in gewisser Weise ausgeglichen wird; wenn man das brauchen kann. Alles Bruttowerte natürlich, aber ProxyFi beispielsweise wird nach meinem Verständnis erst einmal die volle Providerbandbreite nutzen, wie vorort gegeben; erstmal... Was dann auf den Proxies, den VPN Servern passiert, das ist von anderen, weiteren Parametern bestimmt. 

-----

 

Was noch bleibt, entweder als Ergänzung hier oder in einem separaten Blog, das ist die Variante der Verbindung via UMTS/HSDPA/LTE anstelle von WLan. Wenn entweder kein WLan zur Verfügung steht, dieses wegen der "Schweinereien" des Providers (partiell) blokiert ist, oder möglicherweise wegen der im öffentlichen WLan auch gern und bewußt reduzierten Performance es sich anbietet, so ist es durchaus eine Alternative, auf reine Mobilfunktechnik auszuweichen. Zumindest im Inland, wo die Kosten überschaubar sind, mein Stick bzw. Account von 1&1/Vodafone beispielsweise knapp 10 Euro bei einem Gigabyte Freivolumen pro Monat kostet; als Ergänzung der primären WLan-Nutzung ist dieses Volumen aus meiner Sicht vollkommen ausreichend.

Offen bleibt, wenngleich nicht mit ebenso hoher Priorität, die Nutzung (via WLan/UMTS etc.) von Tablet und Smartphone, gerade unter Android. CyberGhost beispielsweise gibt es auch als Android-Variante, ProxiFi dagegen lediglich für Windows und Mac-OS.


Gesagt, getan - hier geht es zum zweiten Teil der VPNiggen Reflektionen.

 

Tunnel und Proxy sind nicht meine Sache.

Ich habe beides getestet und wegen der erheblichen Performance-Einbußen wieder verworfen, Privatsphäre hin oder her.

Man muss Prioritäten setzen, und da ist mir Echtzeit wichtiger als Ping-Slow-Motion.

Danke für den Einwurf

Werde in dem später einzustellenden zweiten Teil nochmals darauf eingehen. Performance ist -und soweit nicht und beinahe professionell mit expliziten Up/Down-Loads gemeint- eher sehr subjektiv, sehr gefühlt zu verstehen.

Da ich viel unterwegs bin, mit dem Notebook, dem Smartphone und demnächst auch mit dem Tablet die verschiedenen quasi "öffentlichen" Zugänge nutze, so ist mir primär daran gelegen, in diesen oft unverschlüsselten Umgebungen sicher kommunizieren, surfen, mailen, recherchieren zu können; bis hin zu allfälligen Bankgeschäften.

Und da reichen (mir) die auch im kommenden zweiten Teil dann genannten Transferraten, reicht die Performance in der Regel aus. Wiederhole es gern: Bin kein sog. Downloader...

an öffentlichen Hotspots ist Deine Vorsicht völlig angebracht,

als PC-Händler mit ständigen Updates der Kundenrechner und den Neueinrichtungen (in der Werkstatt) muss ich auf den schnellstmöglichen Download Wert legen.
Das sind halt 2 Paar Schuhe. Auf den Seiten von Microsoft & Co. droht mir ja auch nichts Schlimmes..... :-)

Nun, nach Größe betrachtet

ist es -so wie ich das aus meiner Berufstätigkeit kenne- sinnvoll, das ganze für Installation notwendige Microsoft-Gedöns auf firmeneigenen Servern im LAN zu halten, gern auch für spezifische Fälle vorkonfiguriert.

Aber ok, heute lade ich mir das bei einer (eher seltenen) Neuinstallation auch schon mal direkt runter, speziell die ganzen bis dato aufgelaufenen Patche und Updates. Und ja, lizenzmäßig "sauber" sollte das schon sein.