"Privat" surfen?

[Herakles]

Hi!

Ich würde gern den normalen Internettraffic, den ich verursache (Mail, http, etc.) verschlüsselt durch mein Netzwerk bringen. Im Prinzip steckt da kein großes Ziel dahinter, mich interessiert netzwerktechnisch einfach nur die Machbarkeit.

Was müsste man also tun, um alle Daten von seinem Rechner ins Internet schon im lokalen Netzwerk, also auch vor einem Router oder anderen dazwischengeschalteten Netzwerkrechnern verschlüsselt, vor einer Analyse zu sichern?

Ist tor was ich suche? Macht das schon alles, was ich will? Was gibt einem Nutzer "echte" Privatsphäre?

Danke für jeden Gedanken zum Thema,

Herakles

 

[troll]

Du könntest dein privates Netzwerk in ein vpn packen und den vpnserver als Gateway nutzen. So ist hier z.B. das wlan abgesichert.

CU

Martin

 

[*Sheep]

troll, ich denke nicht, dass Herakles das meint. Prinzipiell ist es tor was Du willst. Aber Privatsphäre ist da nicht automatisch garantiert. Die Volksfeinde etablieren ebenfalls tor-Knoten um den Verkehr "abzuphischen".

Eine Methode ist ein VPN-Torweg/asterisk im nichteuropäischen Ausland* zu etablieren und seine Verbindungen dort enden zu lassen.


* Der Vorratsdatenspeicherungssche!ss ist kein deutsches Phänomen, es wurde uns von den EU-F@schis..n eingebrockt!
Stoppt die Vorratsdatenspeicherung

 

[troll]

Was müsste man also tun, um alle Daten von seinem Rechner ins Internet schon im lokalen Netzwerk, also auch vor einem Router oder anderen dazwischengeschalteten Netzwerkrechnern verschlüsselt, vor einer Analyse zu sichern?

troll, ich denke nicht, dass Herakles das meint. Prinzipiell ist es tor was Du willst.

Tor *im* lokalen Netzwerk?
Das halte ich nicht für sonderlich nutzbringend. Er will den Datenverkehr *innerhalb* des lokalen Netzes verschlüsseln.

CU

Martin

 

[Herakles]

Er will den Datenverkehr *innerhalb* des lokalen Netzes verschlüsseln.

Jup, so ist es...

Allerdings stört mich an der VPN-Lösung, dass man dafür ja einen entfernten VPN-Server bräuchte, also rein Clientseitig nichts machen kann.

Ok, bei "tor" benötigt man ebenfalls andere Rechner, Otto-Normaluser kann aber einfach auf die Existenz dieser Rechner vertrauen und muss sich nicht selbst nen Server ins Internet setzen. Deshalb die Frage: gibt's was, was ich nur als Client unternehmen kann?

 

[troll]

Allerdings stört mich an der VPN-Lösung, dass man dafür ja einen entfernten VPN-Server bräuchte, also rein Clientseitig nichts machen kann.

Nein, der vpn-Server kann im internen Netzwerk stehen. Es muss kein entfernter Server sein.

CU

Martin

 

[Herakles]

Aber dafür wäre dann doch nur der Traffic ziwschen meinem Rechner und dem VPN-Server verschlüsselt, oder nicht? Ab dem VPN-Server ins Internet ist dann wieder alles offen...

 

[troll]

Ah, ich dachte dir gings erstmal nur darum innerhalb zu verschlüsseln.
Ja, hinter dem vpn-Gateway wär alles unverschlüsselt. Du kannst auch nicht komplett alles verschlüsseln. Wenn du ein Angebot im Netz ansurfst, dass nur unverschlüsselt erhältlich ist, dann müssen die Daten irgendwo plain übertragen werden.
Ab hier geht dann höchstens noch die Verschleierung des Absenders.

CU

Martin

 

[Herakles]

Scheiße, Marin, ich glaube wir reden aneinander vorbei.

Ich will in meinem privaten Netz, also im LAN alles verschlüsselt haben. Niemand soll nirgendwo mittbekommen, was da bei mir abgeht. Dahinter im Internet ist mir dann wieder alles egal.

Das schließt also einen OpenVPN im privaten Netz aus, weil der VPN-Server ja wieder durch den Router für Internet unverschlüsselt senden würde...

Ich hoffe, das war verständlicher ;-)

Grüße, Herakles

 

[troll]

Ah.
Der vpnserver *ist* der Router. Es gibt also gar kein dazwischen.

CU

Martin

 

[CommanderZed]

Scheiße, Marin, ich glaube wir reden aneinander vorbei.

Ich will in meinem privaten Netz, also im LAN alles verschlüsselt haben. Niemand soll nirgendwo mittbekommen, was da bei mir abgeht. Dahinter im Internet ist mir dann wieder alles egal.

Das schließt also einen OpenVPN im privaten Netz aus, weil der VPN-Server ja wieder durch den Router für Internet unverschlüsselt senden würde...

Ich hoffe, das war verständlicher ;-)

Grüße, Herakles

Ganz im gegenteil! Der Router muss einfach nur VPN können, und du wählst dich aus dem INTERNEN netz auf den VPN-fähigen Router ein, dieser ist so konfiguriert das vpn-clients auch das internet benutzen drüfen, aber ansonsten nicht das interne netz erreichen, und das interne netz nicht die vpn-clients.
Ließe sich auch über umwege mit 2 geräten lösen (Router und VPN-"servergerät) - an beide sind aber dennoch etwas "größere" anforderungen gestellt.

 

[da_andy]

mal kurz zu vpn:

wie schauts aus, wenn ich einen in der schweiz miete?
http://www.swissvpn.net/

wie ist dort der stand der dinge mit vds usw.?

mir wäre es schon wert sowas zu haben, alleine schon damit ich unserer regierung einen auswischen kann oder nützt mir das alles nichts und ich werde trotzdem wie ein verbrecher überwacht und vorallem landen meine daten doch wieder beim BKA, weil die schweizer unternehmen sie weiter geben?

 

[Athaba]

War das nicht so gemeint?

restliches Netz ----- VPN ---- Mein Rechner
Internet ------ Tor-------+

Also vom eigenen Rechner ins VPN und vom VPN zuden Dingen im LAN oder durch Tor ins Internet.
Wobei VPN, Tor und Mein Rechner einen einzigen physikalischen Rechner darstellen können.

 

[Herakles]

Vielleicht ist es so am einfachsten nachzuvollziehen:

Ein User ist nur User in einem LAN, admin ist ein anderer. Der User will nun nicht, dass der Admin des Netzes den vom User verursachten Traffic lesbar mitschneiden kann. Was also muss der User tun, damit der Admin eben genau das nicht tun kann?

Der User hat also keinerlei Zugriff auf andere Rechner, nur auf seinen eigenen.

Vielleicht sieht ein Firmennetzwerk ähnlich aus. Oder ein LAN in einem Wohnheim, irgendsowas...

Welche Bordmittel hat ein Enduser mit seinem *BSD (von mir aus auch *nix oder Linux oder whatever[von mir aus auch Windows, aber das soll hier kein Thema sein]), einem Admin die mitlesen seines Traffics zu verwehren?

Hoffe, es verstädnlich gemacht zu haben...

Herakles

 

[Daemotron]

Optimal wäre es, per VPN auf einen vertrauenswürdigen (und möglichst stark frequentierten) Tor-Knoten außerhalb der EU && außerhalb USA zuzugreifen und den dann noch ein paar Hops über weitere Tor-Knoten organisieren zu lassen. Die Schnüffel-Piepels können so nur noch feststellen, dass Du mit einem Tor-Knoten kommunizierst - dank VPN aber nicht mehr, welche Protokolle Du nutzt und an welchen Server Deine Anfragen tatsächlich gerichtet sind. Und ab dem ersten Tor Node kann ja keiner mehr sagen, welche Anfragen von Dir oder jemand anderem sind (solange genug Traffic über den Node läuft). Wenn Du völlig paranoid bist: Bau Dir zu Hause einen VPN-Router auf, der gleichzeitig öffentlicher Tor-Node ist. Dann kann $Schnüffelbruder schon nicht mehr unterscheiden, ob der Traffic, der Deine Wohnung verlässt, von Dir oder von jemand wildfremdem stammt. Das VPN nutzt Du, um Deine internen Verbindungen zu verschlüsseln und Deinen eigenen Traffic quasi unsichtbar in die Mühlen des Tor-Netzwerks kippst.

 

[Athaba]

@Ogion: Auch wenn du ohne VPN surfst weißniemand etwas über den Server oder das Protokoll.
Die Verbindung wird ab deinem Rechner bis zum Exitnode verschlüsselt. Tor ist ja im Grunde (ganz wage beschrieben) ein VPN mit Exitmöglichkeit.

@Herakles: Im Grunde kann das Tor. Aber mit Tor kannst du nicht im Firmenlan "surfen" und du solltest für Logins in jedem Fall Verschlüsselung verwenden.

In deinem LAN kannst du es aussehen lassen, als würde es eine HTTPS-Verbindung sein. Wenn der genauer hinsieht merkt er vielleicht, dass es sich um Tor handelt. Und er weiß, dass du dich zu einem Torserver verbindest. Nicht wo die Verbindung wieder rausgeht oder was für Daten übertragen werden. Das sieht erst wieder der Exitnode (wenn du keine Verschlüsselung nutzt).

 

[no-security]

kann man unter win xp und tor bestimmte exit nodes bannen/blocken ??
hätte da meine eigene blacklist...

g6.chorche.net 80.188.120.29
tutzing.ccc.de 85.214.63.253
anonymizer.ccc.de 81.169.137.209
anonymizer.blutmagie.de 195.71.90.10
polaris.plebia.org 88.191.11.181
exit01.tor.theplanet.dfw.tx.us.def-con.org 12.96.164.115
tor-or-anonproxy.cryptobitch.de 88.198.175.78

wie kann ich tor dazu bringen diese hosts zu "überspringen"? falsche route anlegen?

offtopic
möchte bald auf obsd/tor umsteigen

 

[Athaba]

RTFM
https://tor.eff.org/tor-manual-dev.html.en
ExcludeNodes sollt's tun

 

[no-security]

ja mann danke, dieser ansatz gefällt mir, aaaber

C:\Program Files\Vidalia Bundle\Tor>tor ExcludeNodes 81.169.137.209, 88.191.11.1
81, 81.169.137.209, 85.214.63.253, 12.96.164.115
Oct 22 01:10:49.248 [notice] Tor v0.1.2.17. This is experimental software. Do no
t rely on it for strong anonymity.
Oct 22 01:10:49.280 [notice] Configuration file "C:\Documents and Settings\admin
\Application Data\tor\torrc" not present, using reasonable defaults.
[b]Oct 22 01:10:49.280 [warn] Failed to parse/validate config: Unknown option '88.1
91.11.181,'.  Failing.[/b]
Oct 22 01:10:49.295 [err] Reading config failed--see warnings above.

C:\Program Files\Vidalia Bundle\Tor>

 

[Athaba]

Keine IPs verwenden. Entweder die Namen oder Fingerprints (sicherer).
Wenn du die wissen willst kannst du zum Beispiel hier nachsehen:
http://torstatus.blutmagie.de/

Übrigens: Willkommen im Forum

 

[no-security]

yeah! es geht!!!

C:\Program Files\Vidalia Bundle\Tor>tor ExcludeNodes chaoscomputerclub23
Oct 22 23:55:41.842 [notice] Tor v0.1.2.17. This is experimental software. Do no
t rely on it for strong anonymity.
Oct 22 23:55:41.873 [notice] Configuration file "C:\Documents and Settings\admin
\Application Data\tor\torrc" not present, using reasonable defaults.
Oct 22 23:55:41.889 [notice] Initialized libevent version 1.3b using method win3
2. Good.
Oct 22 23:55:41.889 [notice] Opening Socks listener on 127.0.0.1:9050
Oct 22 23:55:48.014 [notice] We now have enough directory information to build c
ircuits.
Oct 22 23:55:48.108 [warn] You specified a server "chaoscomputerclub23" by name,
 but this name is not registered, so it could be used by any server, not just th
e one you meant. To make sure you get the same server in the future, refer to it
 by key, as "$keyxxxkeyxxxkeyxxxkeyxxxkeyxxxkeyxxxkeyxxxkeyxxxkeyxxxkeyxxx".
Oct 22 23:55:50.764 [notice] Tor has successfully opened a circuit. Looks like c
lient functionality is working.

vielen dank!

werde dann fingerprints verwenden

 

[Athaba]

Würdest du mir auch sagen, warum du genau diese blockst.
IMO sind gerade die ziemlich vertrauenswürdig.
Falls du möglichst nicht in DE sein willst, also im die ganze Welt verbinden... das sollte Tor automatisch tun. Aber das soll meines Wissens sowieso noch verbessert werden.

Im Übrigen wäre es toll, wenn du Tor auch als Server betreiben könntest. Wenn du nur Tor (ohne DirServer) betreibst, dann sollten ~20KB auch genug sein. Zusätzlich kannst du damitauch deine eigene Anonymität erhöhen. Auch, wenn du gerade nicht mit Tor surfst. Solltest du Angst vor strafrechtlicher Verfolgung, auf Grund von Idioten, die deine IP für kriminelle Dinge verwenden haben, dann kannst du einfach keine Exits erlauben... also nur Mittelmann spielen. Aber dazu gibt's mehr auf der Torseite.
https://tor.eff.org/docs/tor-doc-server.html.de