Wie genau funktioniert verschlüsselte vpn verbindung unter berücksichtigung providers dns servers
10 Antworten zur Frage
Videos zum Thema
Wie genau funktioniert eine verschlüsselte VPN Verbindung unter berücksichtigung des Providers sowie des DNS Servers?
Das hängt sehr stark davon ab, was für ein VPN du benutzt. Da gibt es IKE und PPTP, da gibt es TLS und SSL, da gibt es OpenS/WAN und Hamachi., es gibt Point-to-Point, Point-to-Net und Net-to-Net-VPNs, es gibt Sternentopologien, teilvermaschte und vollvermaschte Topologien, es gibt das TOR-Netz und vieles andere mehr.
Man kann immer nur am Beispiel eines bestimmten VPNs erklären, wie genau dieses eine VPN funktioniert, welche Sicherheitsmechanismen es einsetzt, und welche möglichen Angriffsszenarien es gibt.
Nehmen wir als Beispiel ein VPN-Netz, das ich für einen Kunden gebaut habe. Dieses Netz baut auf IKE bzw. IPSec auf. Bei diesem Netz benutze ich DNS gar nicht, d.h. alle beteiligten Knoten sind nur durch ihre IP-Adresse identifiziert.
Die Topologie ist ein teilvermaschtes Net-to-Net. Hinter jedem Knoten sitzen ein oder mehrere private Netzwerke, die über das VPN die privaten Netzwerke hinter den anderen Knoten erreichen können. Es gibt zwischen vielen Knoten direkte Verbindungen, aber nicht zwischen allen. D.h. ich habe keinen zentralen Knoten, über den alle Verbindungen abgewickelt werden, sondern die Knoten zweier privater Netze, die sich gegenseitig erreichen sollen, sind meist auch durch einen direkten VPN-Tunnel verbunden. Aber es gibt auch nicht zwischen allen Knoten Direktverbindungen, ich habe also kein vollvermaschtes Netz.
Da ich IKE verwende (IPsec – WikipediaSA, Security AssociationPSK, Private Shared Key).
Jetzt wissen beide Seiten a den per Diffie-Hellman übertragenen gemeinsamen Schlüssel SA. Damit ist Phase 1 abgeschlossen, und es beginnt Phase 2. Hier wird mithilfe der SA verschlüsselt die eigentliche VPN-Sitzung aufgebaut. D.h. es werden neue Schlüssel generiert, mit der das Datenpaket von Knoten A verschlüsselt und an Knoten B geschickt wird, der es wiederum auspackt und an sein privates Netz weiterleitet.
Ich wusste ja gar nicht wie viele Formen von VPN es gibt. Ich meine aber die VPN Verbindung die von Privaten Leuten mit einem Internetanschluss genutzt werden um anonym im Internet surfen zu können. Diese Verbinden sich dann mit ihrem Computer und einem VPN Clienten zu einem VPN Server der diesem dann eine neue IP zuweist. Mir geht es dabei um das Verständnis welche Rolle der Internetprovider und dessen DNS Server eine Rolle spielt. Ich stelle mir das so vor das ein gesichterter VPN Tunnel vom Computer aus über den Provider und dessen DNS Server bis zum VPN Server abläuft - ist das so richtig?
Wofür du dann das VPN verwendest, ist noch mal ein anderes Thema. Aber auch diese VPNs können im Prinzip beliebige Techniken verwenden, wobei meistens SSL bzw. TLS verwendet werden dürften, da die im Browser bereits enthalten sind.
Ist denn denn eine verschlüsselte VPN Verbindung welche angefangen vom Heimcomputer über den Provider und dessen DNS Server richtung VPN Server komplett verschlüsselt? Ich habe nämlich auch schon von DNS Leaks gelesen, und hier würde mich auch mal der Zusammenhang zwischen Heimnetz , Provider und dessen DNS Server interessieren. Kannst du mir dazu auch noch was sagen?
Die Verschlüsselung selbst verläuft immer von Punkt zu Punkt und nicht über den DNS-Server. Der dient nur dazu, dass man die IP-Adresse der Gegenstelle findet.
D.h. dein Rechner schickt die verschlüsselten Pakete direkt zum VPN-Server.
Dann würde doch eine VPN die dem Nutzer Anonymität verschaffen soll nicht wirklich was bringen, wenn unverschlüsselt Daten an den DNS Server gesendet werden. Dieser kann doch z.B. angesurfte Websites loggen. Wenn die Verbindung vom Heimrouter zuerst zu einem DNS Server geht, dann über den Provider und schließlich zum VPN Server dann ist es doch eigentlich möglich die komplette Verbindung über alle Knotenpunkte verschlüsselt durch einen VPN Tunnel zu leiten oder irre ich mich da?
Jein. Es hängt davon ab, wie der VPN-Tunnel funktioniert. So ist meist der VPN-Server gleichzeitig Default-Gateway, d.h. aller Datenverkehr inklusive der DNS-Abfragen gehen verschlüsselt über den Provider, so dass er nicht weiß, welche dieser Pakete nun DNS-Anfragen sind, und wonach gefragt wird. Der Provider sieht dann nur noch Datenverkehr von dir zum VPN-Server. Wenn du den DNS-Server des Providers bei dir eingetragen hast, dann laufen auch deine DNS-Abfragen zwar irgendwann beim Provider auf, aber sie kommen vom VPN-Server zu ihm. Dann müsste er eine ziemliche Heuristik betreiben, um herauszufinden, dass die verschlüsselten Pakete vor und nach einer DNS-Anfrage vom VPN-Server, die von dir zumm VPN-Server und wieder zurückkommen, deine DNS-Anfrage und die Antwort sind, die er gerade abgearbeitet hat.
Schön, meine Frage von einem Fachmann beantwortet zu haben.
dafür
Ich habe sehr viel über VPNs von Prof. Andreas Pfitzmann gelernt, bei dem ich an der TU Dresden Informations- und Kodierungstheorie gehört habe. Leider lebt er nicht mehr, er ist 2010 gestorben.
Andreas Pfitzmann – Wikipedia
Das dort verlinkte Skript zur Vorlesung Sicherheit in Rechnernetzen kannst du dir als Grundlage zu VPNs mal anschauen:
http://dud.inf.tu-dresden.de/~pfitza/DSuKrypt.pdf
hier gibts ja mal richtig qualifizierte Information auf Cosmiq - eine Rarität.