bisher habe ich zum Surfen in öffentlichen WLANs und zum Banking in öffentlichen WLANs (im Urlaub) immer einen VPN-Tunnel genutzt.
Ist es stattdessen möglich, die App „Rethink DNS“ mit DNS-Server (DNS über HTTPS) „clean.dnsforge“ statt eines echten VPN-Tunnels zu nutzen, um sicher in öffentlichen WLANs zu surfen (z. B. für online banking)?
Oder benötigt man dazu einen echten VPN-Tunnel?
VPN steht für Virtual Private Network und ist eine Möglichkeit, aus der Entfernung Zugriff zu einem anderen Netzwerk zu erlangen bzw. sich in dieses einzuwählen. So, als wäre man direkt mit dem Netzwerk verbunden. Der Weg von deinem Startpunkt, also der Router mit dem du dich verbindest, bis zum Endpunkt, dem Server mit dem du dich verbindest, sind dabei verschlüsselt. Der Betreiber des Routers bekommt nur mit, dass du dich mit diesem Server verbindest. Jedoch nicht, was du dort machst.
DNS steht für Domain Name Service und dient lediglich der Ermittlung der zur Website zugehörigen IP. DNS über HTTPS schützt vor allem gegen Man in the Middle Angriffe, sodass die DNS-Anfragen nicht manipuliert werden können. Die Daten an sich verschlüsselt DNS über HTTPS nicht.
Daher ist ein VPN in öffentlichen WiFi-Netzen durchaus ratsam und kann Schutz bieten. Dabei ist es notwendig, dem Anbieter des VPN zu vertrauen, denn dieser muss die Daten aus dem VPN-Tunnel entschlüsseln und ins Netz schicken und umgekehrt. Wenn man die Möglichkeit hat einen VPN auf seinem Router zu Hause reinzurichten, sollte dies einem kommerziellen Anbieter meiner Ansicht nach vorgezogen werden. Den hast du selbst unter Kontrolle.
Also DNS über HTTPS erhöht nur bedingt die Sicherheit.
Danke für die schnelle Antwort.
Ich hatte gehofft, HTTPS würde eventuell dafür sorgen, dass meine Daten verschlüsselt übertragen werden und ich daher das VPN nicht (mehr) brauche, wenn ich im öffentlichen WLAN surfe.
Dann muss ich wohl über VPN-Anbieter nachdenken - das hätte ich gerne vermieden
Ich würde hierzu noch gerne erwähnen: Man in the Middle Angriffe auf TLS Verbindungen sind unwahrscheinlich, daher brauchst du VPN eigentlich nicht.
Solange man einen sauberen Rechner hat, gerade kein Tor nutzt, oder nicht gezielt von Geheimdiensten oder vergleichbar gut ausgestatteten Organisationen angegriffen wird, geht die Chance gegen Null.
HTTPS-Only-Modus, ohne Ausnahmen, in aktuellen Browsern reicht dick aus. DoH/DoT hilft auch gegen ein paar DNS Tricksereien. Alle anderen Angriffe brauchen momentan eine Certificate Authority (CA), Zertifizierungsstelle, die ‚bösartige‘ Zertifikate für fremde Webseiten ausstellt.
Wenn dir langweilig ist, kannst du ein Firefox Profil einrichten, und soviele von den vorinstallierten CAs rausschmeißen wie du möchtest, bis nur noch die für deine Bankwebseite o.Ä. kritische Dienste verwendete(n) vorhanden ist/sind, und dann dieses Profil verwenden. Das verringert die Chancen um Welten, sicher mehr als ein Drittanbieter(!) VPN, und spart viel Geld. Welche CA verwendet wird, kann man über das Schlosssymbol und klick auf „Verbindung sicher“ herausfinden (Verifiziert von: […] - manche Seitenbetreiber wechseln die natürlich hin und wieder).
Ein eigener VPN Tunnel nach Hause ist trotzdem sinnig, wenn man diesen zum Surfen verwendet. Muss niemand wissen, dass man momentan im Urlaub ist, oder welche Webseiten angesurft werden.
Da ich als Werbe- und Tracking-Blocker die App RethinkDNS verwende, kann ich, wenn ich es richtig verstehe, sowieso kein VPN einrichten, weil RethinkDNS die VPN-Schnittstelle zum Filtern benötigt.
Deshalb ist die Fragestellung hier gar nicht von der Hand zu weisen.
Aber, das
stimmt eben nicht! Sie sind sehr wahrscheinlich (banales Beispiel aus einer aktuellen Linkempfehlung des Forums: Post & DHL App 9.2.1.50 via APKMirror , nichts Unseriöses) und die Wahrscheinlichkeit steigt täglich!
Auch das stimmt, ja. Da muss man sich für eines entscheiden, oder man nutzt einen externen, filternden DNS-Resolver per DNS-over-TLS (die Einstellung „Privates DNS“ auf Android).
Dabei kann die VPN-Schnittstelle für einen richtigen VPN genutzt werden, und der DNS-Verkehr wird über den von dir definierten DoT-Server gefiltert.
Cloudflare (aus Gründen herzlich Clownflare genannt ) ist zwar eine Seuche, aber kein Man-in-the-Middle-Angriff.
Ein Betreiber einer Webseite müsste sich dazu entscheiden (siehe den zweiten Link meines Beitrages), Cloudflare einzusetzen.
Genauso kann er im eigenen Netz einfach Daten irgendwohin ausleiten, zum Beispiel zur „Log Analyse“ zu Google, ohne dass er Google in der Webseite selbst einbinden muss - gänzlich unsichtbar für alle.
Das ist alles sehr problematisch, aber schlussendlich unvermeidbar, als Benutzer (wenn es einem nicht bekannt ist):
Es liegt alles in der Hand des Seitenbetreibers, und daher ist es auch kein MitM-Angriff, sondern einfach die Konfiguration der Webseite - Inkompetenz oder Datenschluderei des Seitenbetreibers eben.
Kein VPN, auch sonst nichts außer blockieren, hilft dagegen, und TLS ist nicht das Problem - die Webseite selbst ist es, wie eine Schadsoftwareschleuder.
Wer das entschieden hat, ist egal, es ist im Ergebnis ein MitM.
Und ohne entsprechende AddOns würdest Du nicht einmal gewarnt.
Lass uns das nicht hier diskutieren. Dafür gibt es bereits mehrere textreiche Themen in diesem, im alten Forum und anderswo.
Da kann sich ja nun jeder Leser längst selbst ein Bild machen.
Weil in dem Fall CloudFlare auch noch das DNS fälscht und so dem VPN kein reelles bzw. reales Ziel mehr zur Verfügung steht.
Bisher nehme ich, dank eurer Hilfe, folgendes mit:
Da Verbindungen von öffentlichen WLANs über das (heimische) VPN und Pi-hole geleitet werden, kann ich Werbung und Malware filtern, wenn ich es richtig verstanden habe.
Gilt die Weiterleitung übers (heimische) VPN und Pi-hole auch, wenn ich über „mobile Daten“ im Internet unterwegs bin (surfen, online banking etc.)?
Kann ich mit Pi-hole neben Filterlisten auch zusätzliche Whitelists und Blacklists einrichten?
Dann würde diese Lösung AdAway oder RethinkDNS auf dem Smartphone komplett überflüssig machen.
Alle Punkte hast du so korrekt verstanden, und ja, es spielt keine Rolle ob du aus dem mobilen Netz oder einem fremden WLAN die VPN Verbindung zu dir aufbaust - es kann höchstens passieren, dass VPN geblockt wird, was aber quasi sehr sehr selten vorkommt…