Datensicherheit VPN

[proofofidentity]

Liebe Community,

da sich hier ein enormes Wissen ballt und ich leider nicht wirklich fachlich versiert bin (entschuldigt bitte meine Unwissenheit), habe ich ein paar Fragen zum Thema Datensicherheit in einem VPN. Durch die Corona-Krise hat unsere Uni für uns Studenten einen VPN-Zugang eingerichtet mit dem wir auf z.B. Datenbanken zugreifen können. Dazu musste man verschiedene Dateien runterladen und in einem Browser den Proxy ändern.
Nun wäre meine Frage:
1. Kann die Uni dadurch auch auf meinen PC zugreifen bzw. sehen was ich während der VPN besteht tue?
2. Sofern die Uni dies kann gilt das nur für den PC, auf dem der VPN eingerichtet ist oder auch auf andere Geräte (z.B. Handy)?

Über Antworten wäre ich euch sehr dankbar

Viele liebe Grüße

 

[Telvanis]

zu punkt 1: Die Uni kann nicht direkt auf "deinen PC zugreifen", allerdings den Datenverkehr ins Internet mitlesen, soweit gewollt.
zu punkt 2: Solange du das VPN nur auf dem einen Rechner eingerichtet hast, ändert dies nichts für andere Geräte. Diese sind vom VPN nicht betroffen.

Edit: Bekommt man in so einem Fall nicht eigentlich ein Formular bzgl. Datenschutz ausgehändigt, das man vorher unterschreiben muss? Da drin sollte eigentlich genau so etwas abgeklärt sein...

 

[proofofidentity]

Lieber Telvanis,

vielen Dank für Deine schnelle Antwort! Und wenn ich den Proxy für das VPN nur bei einem Browser eingerichtet habe und parallel einen anderen Browser öffne, könnten sie dann auch den Datenverkehr mitlesen? Das ist alles echt spannend, leider bin ich nur sooooo unwissend.

Beste Grüße

P.S: Also gilt das auch für den Fall, dass sowohl Rechner als auch Handy mit dem WLAN verbunden sind und sie, sofern gewollt, nicht auf das Handy zugreifen können?

 

[Nilson]

Kommt drauf an, was du da runter geladen und eingerichtet hast.
Bei einem "normalen" VPN ist es so, als wär dein PC vor Ort im WLAN/LAN.

 

[Telvanis]

einem "normalen" VPN

Exakt. Bedeutet, auch wenn der Proxy nicht speziell im Browser eingetragen wurde, kann es doch sein, das Datenverkehr mitgeschnitten werden kann. Wie schon gesagt, i.d.R. müsste es dafür eig von der Uni Formulare bzgl. des Datenschutzes gegeben haben.

 

[proofofidentity]

Lieber Nilson,

heruntergeladen habe ich den OpenVPN-Client und eine Profildatei.

Liebe Grüße

 

[Vindoriel]

Davon mal abgesehen braucht man den VPN-Zugang / Proxy nur dann aktivieren (und lädt halt solange keine Warez / Pr0ns), wenn man auf die Uni zugreifen möchte, ansonsten kann man zum "normalem Surfen" wieder auf Standard setzen.

 

[proofofidentity]

Lieber Telvanis,

leider gab es von der Universität keine Formulare diesbezüglich. Bisher habe ich auch auf der Uni-Seite auch nichts zu diesem Thema gefunden.

Liebe Grüße

 

[BeBur]

Zugriff auf deine Geräte gibt es rein per VPN sowieso nicht.
Wie hier jemand schon schrieb: Stell dir den VPN so vor wie wenn du dich vor Ort ins Uni-Wifi einwählst. Damit ist das sehr vergleichbar.

Den Proxy solltest du immer wieder zurück ändern. Ich kann mir auch vorstellen, dass das nicht unbedingt erforderlich ist, solange du nur Uni-Interne Seiten aufrufst.

 

[Telvanis]

leider gab es von der Universität keine Formulare diesbezüglich

schade, hätte ich jetzt erwartet. Allerdings arbeite ich auch noch vor Ort und nicht im home-office, keine ahnung also, wie das normalerweise läuft.

 

[corvus]

Naja wenn Du auf deinem Rechner z.B. irgendwelche SMB-Freigaben mit "Jeder" Zugriffsrecht hast kann man über das VPN sehr wohl auch auf diese Ressourcen von anderen Netzen, in die die Firewall der Uni routet, zugreifen.

Wie schon geschrieben wurde, beim VPN hängt da dein Rechner erstmal übers Internet an einer virt. Ethernetdose im Unigebäude wenn Du so willst. Und wenn dein Rechner irgendwelche ungeschützten Ressourcen bereitstellt, lässt sich da dann auch theoretisch drauf zugreifen.

Wenn der Traffic nicht gesplittet wird sondern vollständig über das VPN getunnelt wird, dann kann der Proxy an der Uni das auch mitlesen. Allerdings müsste dort dann auch Youtube und Co. gesperrt werden, denn sonst würde auch die Leitung einer Uni evtl. in die Knie gehen
Das würdest zB erkennen, wenn beim normalen Websurfen auf wieistmeineip.de o.ä. gehts und dort dann eine der IPs der Uni angezeigt wird und nicht deine eigene.
Wird ja für Bezahl-VPNs so genutzt, um deinen Standort zu verschleiern. Allerdings muss deine Uni dann natürlich nen scharfen proxy haben, sonst würden die erstmal ne Menge Abmahnungen bekommen

 

[Tumbleweed]

Kann die Uni dadurch auch auf meinen PC zugreifen

Nicht in dem Sinne, wie du es meinst, aber grundsätzlich können dich andere Geräte aus deren Netz erreichen, ja. Wenn dein Rechner aber keine offenen Ports hat und somit keinerlei Dienste nach außen offenbart, dann bist du relativ sicher. Ohne Einfallstor geht es nicht. Rechner up-to-date halten ist trotzdem sinnvoll.

sehen was ich während der VPN besteht tue

Das kommt, wie hier schon angedeutet wurde, auf die Konfiguration des VPN an. Das hast du aber client-seitig in der Hand. Wie der Konfigurationspunk im Windows-Client von OpenVPN heißt, kann ich dir nicht sagen, aber es ist meistens im Bereich Routen und dann z.B. eine Checkbox wie "dieses Verbindung nur für Ressourcen aus deren Netzwerk nutzen".
Was das bewirkt ist, dass eine "default route" über das VPN gesetzt wird oder eben nicht. Das kannst du unter Windows laut Internet mit dem Befehl

route print -4

für IPv4 sehen. Gelesen wird das von unten nach oben. Wenn die default route (0.0.0.0) über das VPN gateway geht (also eine dir eher unbekannte IP, die nicht in deinem Heimnetz liegt), dann wird sämtzlicher traffic über das VPN geroutet.

Aber selbst wenn das der Fall wäre und du das nicht ausschalten könntest, heißt das noch nicht per se, dass sie deinen traffic lesen können. Du kannst selbst DNS-Server auf deinem System einstellen. Die können zwar durch das VPN überschrieben werden, aber du kannst eigene erzwingen (was aber dazu führen kann, dass du deren interne Dienste nicht mehr auflösen kannst). DNS-Verkehr ist standardmäßig Klartext, d.h. das können sie gut nachvollziehen und sehen somit genau, wo du so hinsurfst. Du kannst dir mit etwas Aufwand aber DoT (DNS over TLS) oder DoH (DNS over HTTPS) einrichten und somit deinen DNS-Verkehr verschlüsseln. Anleitungen findest du im Netz und das ist generell eine gute Sache, die mittlerweile sogar in einige Browser integriert wird.
Der restliche Verkehr, der nach der Namensauflösung stattfindet, ist für gewöhnlich mittlerweile verschlüsselt (https). Es ist trotzdem möglich, beim Verbindungsaufbau festzustellen, mit welcher Seite (schon durch die IP, aber noch eindeutiger durch SNI) du dich verbindest. Der inhaltliche Verkehr danach, ist aber verschlüsselt.

Sofern die Uni dies kann gilt das nur für den PC

Ja, wobei man sich, so man ihn kompromittieren kann, natürlich ins restliche Netz weiterhangeln kann.

P.S.: es ist eher unwahrscheinlich, dass die Uni sich für deinen Verkehr interessiert. Jedenfalls nicht aus Neugier. Was die sicherlich verhindern werden, sind Angriffe auf deren Systeme und, sollte dein traffic tatsächlich über die geroutet werden, dann auch dass du mit ihrer Quell-IP Schabernack treibst.