[Frage] Frage zur VPN-Sicherheit

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
DocAdams

DocAdams

Mitglied
Mitglied seit
27 Jul 2006
Beiträge
471
Punkte für Reaktionen
2
Punkte
18
Hallo,

ich bin jetzt im Auslandsurlaub und meine Recherchemöglichkeiten sind auf meinem kleinen SAMSUNG S+ "erschwert".

Wider Erwarten haben wir hier kein eigenes WLAN und ich bin auf öffentliche Wi-Fi-Angebote von McDo. und Co. angewiesen. Ich hatte zwar VPN auf der FB und dem Smartphone eingerichtet und es läuft auch, habe mich bis jetzt aber nie ernsthaft damit auseinandergesetzt.

Nun beschäftigt mich folgende Frage.
Ich muss mich doch zunächst im fremden WLAN anmelden und dann kann ich mich erst über VPN mit der FB verbinden, um gesichert zu surfen. Oder?
Könnte nun in der Zeit zwischen Anmeldung im WLAN und der Verbindung mit VPN ein potentieller Angreifer Dinge auf meinem Handy tun, die ich nicht will?
OK, ich habe noch keinen Browser geöffnet, aber sichtbar bin ich doch trotzdem, oder?
Und wenn dann die VPN-Verbindung steht, sieht man mich in dem WLAN noch und kann den Datenverkehr nur nicht mitlesen oder bin ich dann richtig "weg/unsichtbar"?

Oder sehe ich das alles zu verbissen?

Noch eine praktische Frage. Ich musste schon mehrmals beobachten, dass bei längerer Inaktivität (mehrere Minuten) die VPN-Verbindung hakte. Also ich konnte nicht mehr weitersurfen und musste erst die VPN-Verbindung beenden und mich neu verbinden. Ist das normal?

Heiße Urlaubsgrüße
DocAdams
 
Die VPN-Verbindung zwischen dem Handy (Client) und dem Router stellt nur einen sicheren Tunnel für den Datenverkehr zwischen Client und Router her. Ein potenzieller Angreifer kann im offenen WLAN die (Roh-)Daten zwar mitlesen, kann aber nichts damit anfangen, da verschlüsselt.
Für alles andere ist die Sicherheitssoftware im Client verantwortlich, z.B
- Zugriff auf Dienste und Dateien: Firewall
- Datensicherheit im Browser: Verschlüsselung (https://)
Daran ändert auch die VPN-Verbindung nichts.
 
Du solltest insbesondere darauf achten, ob die VPN Verbindung tatsächlich noch besteht. Ich habe gelesen, dass manche Geräte beim Ausfall der VPN Verbindung stillschweigend auf die normale Verbindung wechseln.
Ein Handy hat normalerweise keinen Grund, auf Verbindungen von außen zu reagieren, das heißt aber nicht zwangsläufig, dass es das auch nicht tut.
Die Tatsache, dass das Handy sendet, lässt sich nicht verbergen, schließlich soll die WLAN Basis die gesendeten Daten ja auch mitbekommen.
 
Das ist mir schon klar.
Mir geht es darum, ob ich das richtig so mache (erst fremdes WLAN, dann VPN)?
Und ob es ein Risiko in der Zeit zwischen WLAN-Anmeldung und Zustandekommen der VPN-Verbindung gibt und ob man da was dagegen machen kann?
Oder ich es übertreibe...

Bei VPN komme ich ja an meinem Router raus und ab da gelten die üblichen Sicherheitsmaßnahmen. Mir geht es darum, dass mein potentieller Tischnachbar bei McDo. mich in Ruhe lässt.

EDIT: Sorry RalfFriedl, dein Beitrag kam, während ich schrieb.
 
Zuletzt bearbeitet:
Logischerweise ist Dein Mobiltelefon als Bestandteil des Netzwerkes auch mit entsprechenden Tools sichtbar. Von Router aus zwangsläufig. Ob Dein kompletter Netzwerkverkehr über den Tunnel geleitet wird, hängt von Deiner Konfiguration ab. Umgehen kannst das Procedere nicht, denn damit ein VPN aufgebaut werden kann, muss zwangsläufig zuerst eine Netzwerkverbindung bestehen. Insofern alles normal. Ob Dein Mobiltelefon angreifbar ist, hängt nicht zuletzt davon ab, was Du als Apps installiert hast. Dort lauern die größeren Probleme.

Gruß Telefonmännchen
 
AVM-VPN ist wegen openssl-Lücken nicht sicher, wird diskutiert

DocAdams schrieb:
ob es ein Risiko in der Zeit zwischen WLAN-Anmeldung und Zustandekommen der VPN-Verbindung gibt und ob man da was dagegen machen kann?
Oder ich es übertreibe...
Zum Vergrößern anklicken....

Du übertreibst nicht.
AVM-VPN ist nach Bekanntwerden der neuen openssl-Lücken bis auf Weiteres nicht sicher.

Zumindest wird das in verschieden Foren so gesehen, z.B. hier:
https://community.hide.me/threads/und-es-blutet-noch.1244/

Und wer ist schuld? Wieder mal der bekannte Telekom-Mitarbeiter?! Bei der ersten Lücke hat man Schlampigkeit diskutiert. Jetzt diskutiert man wohl Vorsatz. Den Heise-Faden lesen!
 
Zuletzt bearbeitet:
i2r schrieb:
AVM-VPN ist nach Bekanntwerden der neuen openssl-Lücken bis auf Weiteres nicht sicher.
Zum Vergrößern anklicken....
Wie kommst Du da drauf ?

Die einzige relevante Lücke lt. Security-Advisory von OpenSSL, die nicht nur in einem DoS endet oder in eher ungebräuchlichen Konstellationen auftritt, ist beim SSL/TLS-Handshake zwischen zwei verwundbaren Instanzen zu finden (CVE-2014-0224).

Auch wenn AVM die Crypto-Library beim VPN einsetzt, handelt es sich bei IKE nicht um einen SSL/TLS-Handshake.

Allerdings kann man von der Nutzung irgendeiner Fritz!App auf dem Handy in einem fremden (erst recht in einem offenen) WLAN nur abraten, für die iOS-Versionen von Fritz!Fon und My!Fritz kann ich das begründen/beweisen.

Inwieweit die Android-Versionen sicherer sind, weiß ich nicht ...
 
PeterPawn schrieb:
Wie kommst Du da drauf ?

...
Zum Vergrößern anklicken....


Wieso ich?

Da hast du wohl nicht weiter gelesen.
Links zum Einstieg sind doch genannt.

P.S.:
Speziell für dich und weil es schon spät ist: 6.6.2014, heise.de/meldung/Noch-mehr-Herzbluten-bei-OpenSSL-2217286.html
 
Zuletzt bearbeitet:
i2r schrieb:
Da hast du wohl nicht weiter gelesen.
Links zum Einstieg sind doch genannt.
Zum Vergrößern anklicken....
1. Stand bis eben in Deinem Beitrag nur ein einziger Link, der auf eine eher dürftige Diskussion mit 3 Beiträgen ohne jeden Bezug zu IPSec/IKE führte.

2. Das Forum hinter dem heise.de-Beitrag habe ich schon vor einer Woche gelesen ... ich glaube nicht, daß da etwas relevantes nach dem 07.06. dazugekommen ist.

3. Das stellt immer noch keinen Zusammenhang zu der Aussage: "Wegen der neuen OpenSSL-Fehler ist das AVM-VPN bis auf weiteres nicht sicher." her. Um mal wieder ein Auto-Beispiel zu bemühen ... wenn Du Zucker in der Scheibenwaschanlage hast, ist das sicherlich ärgerlich und unangenehm. Wenn Du den Zucker im Tank hast, dann ist bis auf weiteres Dein Motor in Gefahr. Zwei - ziemlich verschiedene - Baustellen ...

Speziell für dich ...
Zum Vergrößern anklicken....
Danke, ausgedruckt und eingerahmt. ;)
 
i2r schrieb:
AVM-VPN ist nach Bekanntwerden der neuen openssl-Lücken bis auf Weiteres nicht sicher.
Zum Vergrößern anklicken....
Ach je. AVM-VPN basiert auf IPsec. Wo wird bei AVM IPsec Rückgriff auf OpenSSL-Bibliotheken genommen?

Nicht alles, was hinkt, ist ein Vergleich ...
 
wusel-09 schrieb:
Ach je...
Nicht alles, was hinkt, ist ein Vergleich ...
Zum Vergrößern anklicken....

icon_surprised.gif

Ich werde mich nicht einmal von bigotten AVM-Auftragsschreibern dahin provozieren lassen, Script-Kiddies Links auf einen 'schönen' Hack zu servieren.

Versuch' mal, Scheuklappen abzulegen und
etwas um die Ecke zu denken. Dann geht's.
 
wusel-09 schrieb:
Wo wird bei AVM IPsec Rückgriff auf OpenSSL-Bibliotheken genommen?
Zum Vergrößern anklicken....
Ich wünschte mir eigentlich, sie täten es ... und würde es nicht einmal ausschließen, daß die Crypto-Funktionen wirklich "original openssl" sind.

Wenn ich mir die libikeossl.so ansehe und da drin die Zeichenkette
Code: 
string to make the random number generator think it has entropy
finde, die in einigen openssl-Beispielen(!) für das "Seeden" des PRNG benutzt wird, mache ich mir aber auch so meine Gedanken zur Sicherheit der beim VPN implementierten Algorithmen und ob der jeweilige Programmierer die Materie auch wirklich verstanden hat.

Wenn jedenfalls der PRNG wirklich so initialisiert werden sollte und dann der avmike auch noch vor dem Setzen einer aktuellen Uhrzeit gestartet wird (auf "normalen" Systemen eine übliche weitere Entropie-Quelle, die aber auf Embedded Devices ohne RTC auch nicht funktioniert), würde ich für eine ausreichende Entropie des PRNG nicht meine Hand ins Feuer legen wollen ... ein Zufallszahlen-Generator, dessen Werte vorhersagbar werden - selbst wenn es noch eine gewisse "Rest-Bandbreite" an möglichen Resultaten gibt -, ist jedenfalls nichts mehr wert.

Die reine Größe der Libraries (die libikeossl.so ist ca. 1/20 von der "echten" libssl.so und auch libikecrypto.so ist "nur" 1/5 der libcrypto.so) läßt mich aber immer noch hoffen, daß die ike-Libraries nur Wrapper oder Hilfsfunktionen enthalten. In den gestripten Libraries ist aber schlecht zu recherchieren ...

Wenn man versucht, sich mit objdump einen Überblick zu verschaffen, stellt man aber schon etwas irritiert fest, daß es lediglich eine Referenz von avmike auf libcrypto.so.1 gibt.
Auch wenn libikeossl.so dem Namen nach eine Verbindung zu "o(pen)ssl" vermuten ließe, gibt es keine (sichtbare) Referenz auf irgendeine OpenSSL-Funktion/-Library.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 836 (Mitglieder: 37, Gäste: 799)

Neueste Beiträge

Statistik des Forums

Themen
246,665
Beiträge
2,255,598
Mitglieder
374,619
Neuestes Mitglied
pingpang123
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück