Sichere Übertragung über unsicheres internes Netz

[worel]

Hallo!

Was für Möglichkeiten hab ich wenn ich per unsicherem internen Netz (zum Beispiel WG wo einer das LAN "überwacht"), abhörsichere Connections nach draußen machen will?

Dachte schon an SSL Proxy, aber die meisten öffentlichen Listen sind halt einfach "nur" Proxys. Nix mit SSL. (vielleicht schätze ich den ssl proxy aber auch falsch ein)

Internet Browsing over IPSec würd zwar auch gehen, aber da brauch ich ne trusted Gegenstelle die mich weiter nach draußen bringt. -> Zu aufwändig.

Also im Klartext. Ab meiner NIC ist das Netz nicht vertrauenswürdig. Wie schütze ich meinen Verkehr ins und vom Internet? (dns abfragen, ftp, http etc.)

Was tut man da?

ps: mir gehts nicht darum, illegalen Schmarrn zu machen, nur gehen andere Leute meine Fernwartungsarbeiten nix an. (die ip is schon zuviel wenn er weiß )

 

[marmorkuchen]

Hallo,
was spricht denn gegen die ssh?

marmorkuchen

 

[Zoi]

per ssh bekommt er die IP auch nicht weg.

 

[-Daemon-]

tor hast Du dir schon angeschaut?

 

[marmorkuchen]

per ssh bekommt er die IP auch nicht weg.

Hallo,
in diesem Fall würde nur noch tor o.ä. helfen.
Alternativ könnte man auch einen billigen dedicated Server mieten und sich auf den per ssh anmelden.

marmorkuchen

 

[worel]

TOR hab ich mal ganz kurz gesehen.

Sollt ich mir dann doch nochmal besser zu Gemüte führen.

Nochmal zu SSL Proxies (für mein Verständnis): Diese würden mein Problem lösen, aber es gibt halt "keine" öffentlichen? (tor scheint ja ein sowas wie ein ganzes ssl proxy netzwerk zu sein, gibts andere?)

Und dann noch speziell zu TOR:
Nutzt es jemand?
Wie schnell ist es?
(Zumindest die Windows Variante erscheint mir etwas instabil...)

 

[soul_rebel]

oder man kennt sich besser aus als der andere in der wg und manipuliert seine logs

 

[Hubert]

Zu den öffentlichen Proxy-Listen: Dabei handelt es sich in der Regel um gehackte oder fehlkonfigurierte Server, das heißt, die Betreiber stellen den Proxy oft nicht freiwillig zur Verfügung!

Außerdem: Wenn einer bei euch im LAN das Netz abhört, dann habt ihr eher ein soziales Problem. Ich wohne auch in einer WG und bin derjenige, der Root-Rechte auf dem DSL-Router hat, aber es würde mir nicht einfallen, den Netzwerkverkehr der anderen Mitbewohner zu belauschen.

So, genug der Moral.

Nähere Informationen zu Tor gibt es beispielsweise im Wikipedia-Artikel über Tor.

In diesem Zusammenhang könnte man auch den Jav Anon Proxy erwähnen. Aber der taugt im wesentlichen nur für HTTP(S).

Aber die Geschwindigkeit bei diesen verteilten Anonymisierungsnetzwerken ist natürlich ziemlich schlecht. Und ums Anonymisieren ging es dir ja auch gar nicht, daher muss man sich fragen, ob man dann die geringe Geschwindigkeit ertragen möchte.

Insofern würde ich dir auch einen dedizierten Server oder zumindest einen VServer empfehlen. Das hat nämlich mehrere Vorteile:

Du hättest eine öffentliche IP, die du jetzt vermutlich nicht hast, wenn du in einem WG-LAN bist. Es wäre sogar eine feste öffentliche IP, was auch sehr nützlich sein kann. Du hättest auch gleichzeitig Speicherplatz auf dem Server, so dass du den als externes Backupmedium einsetzen könntest (beispielsweise mittels boxbackup).

Und wenn schon VPN, dann OpenVPN. IPSec ist nur unnötig kompliziert und unflexibel.

 

[worel]

Heißt also auf gut Deutsch dass man sich einen externen Server mieten müsste dem man vertraut, zu diesem vom Client eine VPN aufbaut und der Server mich ab dann unverschlüsselt ins Internet rausroutet (bzw. "nat-et")

So mach Paranoidismus Spaß! Wär doch was für die Chinesen die dauernd per "Chinesischer Mauer" geblockt werden (siehe wikipedia etc.)

Und OpenVPN ist dafür die Beste Lösung? Hab bisher nur immer mit Hardware VPN Lösungen gearbeitet, deswegen kenn ich bisher keine softwaregesteuerte Lösung.

 

[fader]

Eine ssh Fernwartung ueber Tor (funktioniert das ueberhaupt?) stelle ich mir ungemuetlich vor.

Im Grunde brauchst Du bei dem Szenario eine vertrauenswuerdige Gegenstelle, zu der Du vollstaendig tunneln kannst (inklusive dns).

 

[Hubert]

Zu OpenVPN: Ja, OpenVPN ist klar zu empfehlen, wenn der Client hinter einem NAT-Router hängt, und der Router wechselnde IPs hat. Sofern man überhaupt ein echtes VPN benötigt. In vielen Fällen reicht auch der emulierte Socks-Proxy eines SSH-Clients aus.

Zu der Vertrauenswürdigkeit der Gegenstelle: Wenn es nur um den Internetzugang geht, muss die Gegenstelle (also der Übergangspunkt ins Internet) natürlich nicht besonders vertrauenswürdig sein - das ist der ISP (der normalerweise den Übergangspunkt ins Internet darstellt) ja auch nicht.

 

[marmorkuchen]

Heißt also auf gut Deutsch dass man sich einen externen Server mieten müsste dem man vertraut, zu diesem vom Client eine VPN aufbaut und der Server mich ab dann unverschlüsselt ins Internet rausroutet (bzw. "nat-et")

Hallo,
wie betreibst Du denn eigentlich Deine Fernwartung?
Was spricht denn dagegen, wenn Du Dich mit deinem Mietserver per ssh verbindest, dann optional screen startest und dann ganz normal Dich mit den zu wartenden Rechnern per ssh verbindest. Deine Verbindung wäre als zu keiner Zeit unverschlüsselt.

marmorkuchen

 

[worel]

SSH zum Mietserver und von dort aus wieder SSH würd auch gehen, das stimmt. Nur wird nur der Payload verschlüsselt. WAS ich gerade mache, kann man dennoch erahnen (per ssh)

Primär gings mir aber darum, meinen Traffic ins Internet dem lokalen Carrier ins Internet nicht im Klartext zu zeigen. (wenns über einen Router in ner WG, Heim, was auch immer geht)
Das ginge, wie schon gesagt wurde, mit OpenVPN und einem gemieteten Server beim ISP (den stufe ich doch als eher vertrauenswürdig ein)

Obwohl das Szenario etwas ungewöhnlich ist find ich es trotzdem interessant welche Möglichkeiten es dafür gibt. Kann man was dazulernen

 

[max93]

Hab bisher nur immer mit Hardware VPN Lösungen gearbeitet, deswegen kenn ich bisher keine softwaregesteuerte Lösung.

Wie muß man sich ein "Hardware VPN" vorstellen? Werden die Pakete ausgedruckt, von Hand verschlüsselt, eingescannt und dann wieder weitergeschickt? Ist das mit diesen ominösen "Hardware Firewalls" (also Paketfilter ohne Software) verwandt? Sowas konnte mir nämlich auch noch keiner zeigen.

*SCNR* & Ciao.
Markus Mann
];-)

 

[Elessar]

Oh, es gibt "Hardware Firewalls", allerdings ist das nicht was viele damit meinen. Vor allem nicht diese kleinen Kästen am DSL-Node. Die sind eher 19" breit, einige Höheneinheiten hoch, haben eine Switching-Fabric in Silizium und analysieren die eingehenden Datenströme entweder Cut-Through oder Store-and-Foreward.
Und das ist dann immernoch ein "Hardware Paketfilter" der höchstens Teil einer Firewall ist. Ganz ohne {Soft|Firm}ware geht es nie, aber die Paketlogik ist im Gegensatz zu einem PC mit 2 Netzwerkkarten eben in Silizium gegossen.

"Hardware VPN" ist genauso zu verstehen, es meint ein Stück Hardware das von $Anbieter als VPN Gateway verkloppt wird. Hier ist allerdings zumeist nur sehr wenig bis garnichts in Silizium. Man kauft aber eben Hardware statt Software.

Nur für alle, die nach max93' Posting ein grosses "Häh?!" auf den Lippen hatten

 

[worel]

Danke Elessar! Max93: du Schurke

Ok, besserer Ausdruck Firewall Appliance.

Und ja, meistens läuft eh irgendein Unix Derivat drauf auf diesen Boxen (sei es JunOS, FortiOS etc.)

 

[fader]

SSH zum Mietserver und von dort aus wieder SSH würd auch gehen, das stimmt. Nur wird nur der Payload verschlüsselt. WAS ich gerade mache, kann man dennoch erahnen (per ssh)

Wie soll der sehen, was Du gerade machst? Der sieht nur, dass Du etwas tust. Dir ist es schon zu viel, wenn er sieht "aha, nu tut der worel wieder ne ssh zu seinem externen Server aufbauen und nu tippt er Zeugs"? Hast Du auch daran gedacht, dass er das auch am Klappern Deiner Tastatur hoeren kann ;-)?

Wenn Du das auch noch vermeiden willst, dann nimm halt wirklich einen Tunnel und schick da fake Daten rueber. Also meinetwegen ne ssh session da rueber und ein Top da drinne auf. Oder paar Cron scripte, die sinnlos Daten rumschicken.

Ich kann mir ehrlich gesagt nicht so richtig vorstellen, wozu man das macht. Wenn ich jemand haette, dem ich so extrem misstraue, dann wuerd ich die Fernwartung einfach ueber ne UMTS Karte oder halt nen eigenen Anschluss machen und fertig. UMTS gibts inzwischen fuers gleiche Geld wie rootserver und darunter.

 

[worel]

Naja es geht ja nicht darum dass man jemanden so extrem misstraut.
Angefangen hat die Frage ja ob sowas technisch möglich ist, was man bei solch einem Szenario alles machen kann.

 

[Gecko]

Ich kann mir ehrlich gesagt nicht so richtig vorstellen, wozu man das macht. Wenn ich jemand haette, dem ich so extrem misstraue, dann wuerd ich die Fernwartung einfach ueber ne UMTS Karte oder halt nen eigenen Anschluss machen und fertig. UMTS gibts inzwischen fuers gleiche Geld wie rootserver und darunter.

Hallo @all,

also meines bescheidenen Wissens nach könnte worel die Fernwartung auch per Smartphone bzw. Javafähiges Handy erledigen.
Da hier schon der Begriff UMTS gefallen ist.

Am besten hierzu sind "Mobiltelefone" geignet die die Symbian Plattform unterstützen, (bspw. Nokia - SonyEricson ab 800er Modellreihe)hier gibt es einen grossen Pool an geeigneter Software die Fernsteuerung bzw Fernwartung des Rechners ermöglichen.

<Anmerkung>
nannte mal ein SonyEricson 810 mein eigen und habe mir damals just for fun ein Tool heruntergeladen (shareware dann kostenpflichtig) mit dem ich meine Rechner fernsteuern konnte.
heute verwende ich einen Rim BlackBerry und auch hier wird Software angeboten die solches ermöglicht.
</Anmerkung>

Allerdings sollte ich hierzu noch erwähnen das es schon etwas kostenintensiver ist diesen Weg zu gehen.

So habe das dann auch mal ausprobiert und in der Tat es geht sehr gut, da es die Symbian Plattform auch schon sehr lange gibt ist diese auch als sehr ausgereift zu bezeichnen.

Meist werden Programme zur og. Plattform in der Sprache C geschrieben ( ginge auch mit VBasic - Gambas unter linux (gibt da spz.Tools) wäre hier noch als Alternative zu erwähnen) und sind sehr ausgereift.

Solche symbianbasierte "Mobilfunktelefone" sind sehr kostengünstig mtlw. bei Ebay zu erhalten.

Ein SonyEricson ist oftmals schon für unter 100 Euro zu bekommen.

mfg der kleine Gecko

 

[-Daemon-]

Hast Du auch daran gedacht, dass er das auch am Klappern Deiner Tastatur hoeren kann ;-)?

Selbst aus dem Klappern einer Tastatur kann man noch ermitteln was gerade getippt wird... Er muesste sich also noch in einen Schallgedaemmten Raum setzen um das zu vermeiden
Irgendwann hat auch die 'gesunde Paranoia' ihre Grenzen


Ach ja, und immer schauen ob auch kein Keylogger am PS/2-Port haengt...

*SCNR*

 

[worel]

In dem Fall lustig.

Aber, wie viele sicher wissen, gibts Einsatzgebiete wo sowas durchaus etwas ausmacht!
(in meinem Fall nicht, zum Glück, bin nur vom Hobby her paranoid )