Brauchst du wirklich ein VPN?

Maximale Bedrohung, vor jedem der mich überwachen will.
Tor ist eine langsamere alternative, mit VPN noch ein Tick besser sicherer.
l2p gibt es auch noch, obwohl ich nur den Namen kenne, aber nicht die Funktionsweise, etc.

Und jetzt die Quizfrage, aufgrund welcher Beweise wird eine Verbindung nachgewiesen? Eine IP Adresse oder einem Browserfingerprint? Und gibt meine Browser einen eindeutigen fingerprint?

Das wird immer nur im Bezug auf Tracking gesagt, mit der IP des ISP gibst Du Deinen ungefähren Standort und Deinen ISP bekannt. Zwei Informationen mehr als mit VPN.

Als Beispiel, weil VPN kommt ja von der warez Szene. Lade doch mal illegal einen Film mit Deiner wahren IP runter und wir warten 6 Monate, dann sprechen wir nochmal über Anonymität.
Die IP des ISP ist das Merkmal was Deinen Haushalt, Deinen Vertrag und Dich als Person identifiziert und verantwortlich macht. Ich habe noch nie gehört das jemand wegen Netzwerkanalysen und Fingerprinting angeklagt wurde, ganz im Gegensatz zu IP Adressen. Staatliche Einrichtungen haben auch keinen direkten Zugriff auf die besuchten Server, das sie selbst ein fingerprintng durchführen können, diese Daten müssten die doch kaufen.

Aufgrund das immer mehr Smartphones im Internet sind ging die Werbeindustrie auf fingereprinting über, doch auch hier, das ist ein weiterer ZUSÄTZLICHER Schritt, man benutzt Browser die mit gefakten Informationen antworten um jedes mal einen anderen Fingerprint zu haben. Also fremde IPs fremde fingerprints. Mit fremden fingerprint und derselben ISP IP war Deine Maßnahme umsonst.
DAS ist eine Möglichkeit, eine weitere ist, alle haben den gleichen fingerprint und fremde IPs, das Tor Netzwerk mit dem Torbrowser.
Hier zwei Nachteile: Geschwindigkeit plus Blocklisten verschiedener Hoster, die Dich blocken.
Passiert manchmal auch mit VPN aber nicht ganz so häufig und meist reicht ein Standortwechsel um das zu umgehen. Aber Tor nutze ich trotzdem auch, umso mehr falsche Daten umso besser.

Gefakte fingerprints funktionieren doch genauso. Die Vorteile mit zusätzlichen VPN habe ich glaube jetzt schon 3 Mal wiederholt und dieser Dienst kostet Geld korrekt.

Nein, VPN nutze ich für fast alles, aber halt verschiedene Standorte, als Beispiel alle Bestellungen führe ich im Container Einkaufen aus. Den Serverstandorte wechsel ich von Zeit zu Zeit. Die Verkäufer können mich aber nicht verfolgen wenn ich im Container Infos meine Nachrichten lese oder ich durch das Netz surfe im Container Stöbern.
Ich muss mein VPN nicht anonym bezahlen, weil das ich bei Anbieter xy bin, weiß mein ISP die Verbindung kann er sehen. Aber was ich mache und das ich mit 10 Standorten+tor verbunden bin, sieht er nicht.

Was ist mit Aktor gemeint, haste ein Link wo das erklärt wird?

Ich habe mich nach längeren Verträgen mit 2 VPN hintereinander eigentlich davon verabschieden wollen.
Da ich aber Länderblockaden im TV umgehen möchte, habe ich mich nun ein weiteres Mal fur einen kommerziellen VPN entschieden.
Mein Wahl viel auf ProtonVPN, wo ich auch schon länger Emails nutze.

Meine Meinung:

Ich „brauche“ zumindest auf meinem Handy/Smartphone ein (selbstbetriebenes WireGuard-)VPN, weil ich auch dem Opt-Out bei TrustPID nicht 100% traue.
Details zu TrustPID hat @kuketzblog in https://www.kuketz-forum.de/t/datenschutz-trustpid-in-drei-schritten-deaktivieren/2552 beschrieben.

Zuhause nutzen meine privaten Geräte kein VPN - weder um z.B. US-Filme zu schauen oder aus sonstigen Gründen. Das Firmenlaptop nutzt natürlich den Firmen-VPN aus naheliegenden Gründen.

Ich will mich doch nochmal technisch rückversichern:
Wenn ich ohne ein VPN einen DoH/DoT-Server verwende und mein Browser daraufhin eine https-Anfrage rausschickt, weiß mein ISP dann, welche Seiten ich besuche?

Solange nicht der DNS Server des ISP verwendet wird, protokoliiert er das nicht, es wäre ihm aber bestimmt möglich eine Netzwerkanalyse zu starten um die besuchten Server raus zu bekommen, was aber bestimmt aufwendiger ist.

Die Verschlüsselung sorgt nicht nur dafür das von aussen nicht lesbar, sondern das die Antwort auch sicher von dem DNS kommt den Du angefragt hast.

Edit: Bevor die Frage kommt, ob man DoT auch mit VPN nutzen kann. Man sollte sich im klaren sein, das der query durch das VPN gehen muss, sollte die Anfrage am Tunnel vorbeigehen ist das zwar kein Beinbruch, aber die Möglichkeit besteht, das Deine IP dadurch veraten wird. Wenn man die querys mit der VPN Aktivität vergleicht.
Bis jetzt habe ich aber auch noch nicht gehört das VPN Provider ihre DNS Server mit verschlüsselter Abfrage eingerichtet haben, so das immer eine manuelle Konfiguration vorgenommen wird, die man vorher checken sollte.

Ja, der ISP kennt die daraufhin besuchte Webseite. Erst ab TLSv1.3 ist es (optional) möglich, den SNI-Teil zu verschlüsseln.

Edit: Meintest du grundsätzlich ohne VPN oder nur für die DNS-Anfragen ohne VPN?

Ich habe mich bisher nur rudimentär mit VPN auseinander gesetzt und wahrscheinlich auch einiges nicht verstanden, aber was ist eigentlich der Vorteil eines externen VPN Dienstes gegenüber einer eigenen Lösung, z.B. über eine VPN Einrichtung in einer Fritzbox? Außer der Möglichkeit bei einem externen VPN Dienst zwecks Umgehung des Geoblockings einen Serverstandort auswählen zu können, fällt mir nichts ein.

@nobody Hast Du mir nicht das Paper verlinkt wo die Forscher verschlüsselten Datenverkehr anhand von Paketgrößen bein VPN mit 96%iger Wahrscheinlichkeit erraten konnten, bei Tor hingegen mit nur 3%?

Also starke Idee, aber die Laborbedingungen waren schon extrem darauf ausgelegt das es funktioniert.
Das Tornetz schlägt sich aber nicht wegen des multihops so gut, sondern weil dort mit connection padding und circuit padding eine Gegenmaßnahme läuft, ich denke mal künstlich erzeugter Datenstrom der die Leitung immer gleich Rauschen lässt.

Außerhalb des Labors fiel die Trefferwahrscheinlichkeit dann rabide…
Daraus kann man aber den Schluss ziehen das ein künstliches dauerhaftes und gleichmäßiges Rauschen in der Leitung in Zukunft zum Tunnel standard gehören sollte, weil die Forschung hört ja nicht auf.

Aber war sehr interessant, daraus zu schließen das dadurch aber VPN und jeder andere verschlüsselte Tunnel völlig nutzlos wäre, finde ich gewagt.

Mit einem eigenen VPN zu Hause, kannst Du z.B. mit dem Smartphone einen gesicherten Tunnel zu Dir ins heimische Netz bauen und wenn Du willst mit der IP des ISP von zu Hause mobil im Netz zu sein.
Das wars aber auch, er findet höchstens die Verschleierung deiner mobilen IP statt aber beide IPs führen zu Dir, deshalb egal.

Dito

Ja, hier.

Das hat keiner gesagt. Die VPN-Technologie ansich ist gut und in vielen Fällen sinnvoll - allerdings eben nur dann, wenn der VPN-Server ein vertrauenwürdiger Endpunkt ist. Letztendlich kann das nur der eigene VPN-Server oder wie im Unternehmesumfeld üblich ein firmeneigener VPN-Server.

Du hast geschrieben das ein VPN Exit die User nicht in einen Topf werfen kann, so das niemand weiß wer welche IP benutzt und man anhand dieser Technologie die User demaskieren könnte.

Und nur Tor dies könnte.

Es funktioniert aber beides.

Meinem Arbeitgeber würde ich auf keinen Fall vertrauen, tut er Dir ja auch nicht, den er überwacht Dich ja.

Und bestimmte VPN Provider haben sich über Jahre Ihr Standing verdient, deshalb braucht es diese Erwähnung nicht ständig, wurde auch in meinem ersten Post schon vorrausgestzt und ist kein Argument in dieser Frage, es wird nicht geloggt…
mein VPN Server zu Hause loggt, das wars aber auch.

Nein, geschrieben habe ich das hier:

Es geht doch nicht darum, dass du deinen privaten Traffic über deinen Arbeitgeber leiten sollst Es ging um die VPN-Technologie, die definitiv seine daseinsberechtigung hat, aber eben nur dann, wenn man auch die Kontrolle über den VPN-Server hat.

Rhetorische Frage: Wie konntest du das persönlich verifizieren? Wenn ja, wie kann ich das verifizieren?

Ich weiß nicht wie viele Fälle von „Wir-loggen-nichts“ und „Hoppla-wir-loggen-doch“ nötig sind, um ein gesundes misstrauen gegenüber VPN-Providern zu entwickeln. Bei mir persönlich ist die Schwelle - wegen der fehlenden Nachprüfbarkeit - sehr gering.

Grundsätzlich ohne VPN meinte ich. Die grundlegende Überlegung dahinter ist, ob es mit der Verwendung eines DoH/DoT-Servers und https möglich wäre, dass der ISP ohne zusätzliche Maßnahmen erst mal nicht weiß, wen oder was ich anfunke.

Okay, dann ist es so wie oben beschrieben: Nachdem der DoH/DoT-Server dir die korrekte IP-Adresse mitgeteilt hat, geht das nächste Datenpaket über deinen ISP. Der muss die IP-Adresse kennen, weil er das Datenpaket weiterleiten muss. Da hinter einer einzigen IP-Adresse aber mehrere Domains sein könnten und dein Client das richtige Zertifikat haben möchte, wird im Datenpaket auch der Ziel-Domainname in Klartext übertragen (= SNI). Erst mit TLS v1.3 ist es technisch möglich, dass der Domainname vor der Übertragung verschlüsselt wird, dazu muss der Ziel-Server allerdings einen „Key“ als DNS-Eintrag hinterlegen, welcher dann von deinem Client abgeholt und u.a. der SNI verschlüsselt wird. Weitere Fragen wären in einem separaten Thema besser aufgehoben, weil das in dem Fall kein VPN-Thema ist

Nein, das passt alles. Vielen Dank für die Erklärung!!

aber was ist eigentlich der Vorteil eines externen VPN Dienstes gegenüber einer eigenen Lösung, z.B. über eine VPN Einrichtung in einer Fritzbox

Meine Usecases für meine VPNs:

• nach Hause: falls ich mal doch auf einen nicht nach extern per Portforwarding freigeschalteten Dienst zuhause zugreifen „muss“, weil ich das normalweise nicht exponieren möchte oder muss.
  Beispiel: Router-GUI. Irgendwas funzt nicht, Frau/Kinder rufen an „Papa, Internet geht nicht!“, Papa macht VPN nach Hause, schaut im Router und fixt das Problem (oder stellt fest „Kinder, Internet geht doch“
  Ansonsten ist die Performance um das VPN über zuhause zum Surfen zu nutzen mangels gescheitem Upstream (50 MBit) nicht meine erste Wahl…
  Wenn ich es noch schaffen würde meinen CUPS per Airprint über mein VPN hinzubekommen, dann könnte ich auch mal ein paar Druckaufträge von unterwegs für zuhause auf die Reise schicken…
  → TL;DR: Zugriff auf heimischen Router, eventuell Dateiserver/NAS/Drucker…

• über meinen eigenen Cloudserver mit selbst gehostetem WireGuard: so wie ich zuhause alles mit meinem Pi-hole filtere, möchte ich das auch unterwegs (egal ob Mobilfunk oder fremde WLANs) auf allen Geräten der Familie haben. Anbindung mit 10 Gigabit und 20 TByte Freivolumen für weniger als 5€ bei Hetzner z.B. sind für alle meine Belange mehr als ausreichend und dank Auto-Patching/Updates auch nahezu wartungsfrei.
  → TL;DR: performante Pi-hole-Nutzung (weil das über den heimischen Anschluss mit mehreren Leuten/Geräten spürbar langsam ist). Kein Trust-PID, weil man trotz Mobilfunk für den Mobilfunkanbieter nicht erkennbar im Mobilfunk unterwegs ist.

Habe ich was vergessen?

@nobody

Ich weiß nicht wie viele Fälle von „Wir-loggen-nichts“ und „Hoppla-wir-loggen-doch“ nötig sind, um ein gesundes misstrauen gegenüber VPN-Providern zu entwickeln.

Da wird so viel „Zero-Trust“ propagiert - und dann soll man ausgerechnet doch anderen blind trauen? Ohne mich!

Du kannst es voraussichtlich 2028 anhand eines Transparenzprotokolls über eine Fernbeglaubigung persönlich verifizieren. Wenn es fertig ist, wird es eine „White Box“
https://mullvad.net/de/blog/2019/6/3/system-transparency-future/

Bis dahin kannst Du leider nur dem Pentest Report aus Berlin vertrauen.Es wurden zwar logs gefunden, weil die ein Script nicht ordentlich konfiguriert haben, aber nichts Wichtiges.

It was found that the logging_clean_logs.sh script on the servers does not fully clear all
logs that were generated within a one-week period. The script removes only the current
*.log files, but leaves all gzipped log files available on the system. If a lot of content is
written to the log file within a week, the system splits the file into the multiple files with
the *.log and *.gz extensions. No personally identifiable information was found within
those logs, making this issue purely informational.
https://mullvad.net/de/blog/2021/1/20/no-pii-or-privacy-leaks-found-cure53s-infrastructure-audit/

Wir sind bereit, den Dienst abzuschalten
Sollte es einer Regierung irgendwie gelingen, uns rechtlich dazu zu zwingen, unsere Nutzer auszuspionieren, werden wir den Betrieb unseres Dienstes in der betroffenen Jurisdiktion einstellen und erst wieder aufnehmen, wenn die rechtliche Situation* behoben ist. Genauso wie keine Daten offengelegt werden können, wenn sie zunächst nicht existieren, kann der Dienst nicht als Überwachungsinstrument genutzt werden, wenn er nicht in Betrieb ist.

Das es die ersten waren die Coreboot auf Serverboards zum laufen bekommen haben und die ersten die für Wireguard gespendet haben spricht imo auch für Ihre Sicherheitsarchitektur.

Dann hat das das jemand anderes zum Thema geschrieben aufgrund des Papers, sorry

Du hast die Kontrolle über den VPN Server Deines Arbeitgebers?
Ich sehe da nicht so den großen Unterschied ob ich vom Arbeitgeber überwacht werde oder von fremden Firmen, ob privat oder beruflich spielt für mich auch keine Rolle, ich werde ja nicht zur Arbeiter Drohne ohne Rechte und vor allem nicht ohne Abneigung gegenüber dem Versuch Macht auszuüben, weil nichts anderes ist Überwachung.

Haste das von der Kirche gelernt?
Beweise mir die nicht Existenz von Gott?

Ich verrate es Dir aber, ja es gibt die ganzen Meldungen über die Skandale, vor allem von den free Angeboten, wo zum Teil auch die Bandbreite der Kunden weiter verkauft wurde, oder die VPN Provider die Malware über Ihre Software verteilt haben. Auch ein großer Markt Fake VPNs , Du bezahlst und bekommst dafür nichts…bzw. der Dienst hat nichts mit einem VPN zu tun.
Das Internet ist voll von diesen Meldungen. Die Free Angebote muss man also völlig außer Acht lassen.

Es gibt Fälle wo VPN Provider mit no log policy mit Behörden zusammen arbeiten, es auch müssen, denn die Firma ist in einem Land ansässig wo so etwas zur Tagesordnung gehört. Grob gesagt VPN Provider aus Russland, USA, Canada und UK muss man auch völlig außer Acht lassen.
Und auch wen vorne groß drauf steht, da is no log policy drin, aber im klein gedruckten wird dann doch die Möglichkeit eingeräumt das logs angelegt werden, kann man ja noch dankbar sein, das sie es noch rein geschrieben haben und diese Anbieter auch durchstreichen.

So langsam wird die Liste recht klein geworden sein und über die würde ich mal etwas genauer informieren, und feststellen, das da welche schon seit 2008 im Geschäft sind, also 15 Jahre und die sind dann in den letzten Jahren auch nicht negativ aufgefallen sondern eher positiv das man es versucht hat Daten zu bekommen aber keine da waren. Auch gibt es recht neue Anbieter, da wird sich mit der Zeit zeigen ob die was taugen. Man kann es wirklich auf eine Handvoll runter brechen.

Ich weiß der geistliche wird immer noch dran festhalten das, aber durch ein Ausschlussverfahren haben wir es quasi verifiziert das es keinen Gott ähh logs gibt bei ein paar Anbietern.

Wem vertraut man eher - seinem ISP oder einem VPN-Anbieter? Ich traue den ISPs am wenigsten. In der Vergangenheit habe ich das Router OS IPFire verwendet und VPN einrichten können. Jedoch sind die Entwickler von IPFire stark gegen die Nutzung von VPN-Providern, geben das öffentlich zu und legen mit Updates zusätzliche Steine in den Weg. Seitdem musste ich IPFire links liegen lassen.

Welches OS bzw. welche Router nutzt ihr für VPN?

Nein, es ging um sinnvolle Anwendungsfälle für die Verwendung eines VPNs. Im Unternehmensumfeld ist nur ein konkretes Beispiel, um z.B. mehrere Standorte miteinander zu verbinden oder Mitarbeitern interne Dienste zur Verfügung zu stellen, ohne dabei diese Dienste der Öffentlichkeit zugänglich zu machen. Wie gesagt, es ist nur ein ganz konkreter Anwendungsfall bei dem es nicht darum geht, seinen privaten Traffic über den VPN-Servers des Unternehmens zu leiten.

@thomasmerz hat bereits sehr schön, kurz und knapp auf den Punkt gebracht:

Das Ausschlussverfahren ist hier nicht zielführend. Um von „No-Logging“ auf „Logging“ umzustellen, ist kein großer Architekturumbau notwendig. Im Grunde ist es nur eine kleine Konfiguration, die jeder für die jeweilige VPN-Technologie nachschlagen kann. Diese Ungewissheit macht es aber eben aus. Wie gesagt, wenn das für dich „OK“ ist, dann ist das so. Andere - anscheinend nicht gerade wenige - sehen das aber ganz anders und verfolgen einen eher pragmatischen Weg und setzen wenn dann ausschließlich auf einen eigenen VPN-Server. Es muss hier keiner überzeugt werden, sich für das eine oder andere zu entscheiden. Die Fakten sind nun mal so wie sie sind. Für dich ist ein VPN-Anbieter dann vertrauenswürdig, wenn er lange genug existiert und noch nichts negatives berichtet wurde. Das verstehe ich, allerdings ist für mich der Begriff „Vertrauenswürdig“ noch an ganz andere Bedingung geknüpft, die vermutlich auch anders gewichtet sind.

IPFire ist kein Router OS sondern eine Firewall basierend auf Linux…

Als eierlegende Wollmilchsau kann ich dir OPNsense mal empfehlen…