VPN Nutzung im öffentlichen WLAN

[Nice.]

Hallo zusammen,

nächste Woche verreise ich ins Ausland, und ich habe ein paar Fragen zur sicheren Nutzung öffentlicher WLANs?

- Welche Vorteile bringt eine VPN-Verbindung, wenn ich mich in einem öffentlichen WLAN (z.B. Café, Flughafen) befinde? Ist die Sicherheit damit ausreichend gewährleistet, oder gibt es zusätzliche Schritte, die ihr empfehlen würdet?

- Kann ich meine Fritzbox daheim nutzen, um eine sichere Verbindung ins Internet herzustellen, wenn ich mich aus dem Ausland verbinde? Hat jemand Erfahrung damit und weiß, wie gut das funktioniert?

- Welche VPN-Dienste nutzt ihr?

Habe ein S24 Ultra Smartphone

Bin für alle Tipps und Empfehlungen dankbar!

 

[Fujiyama]

Ich bin ja der Meinung das viele heutzutage verschlüsselt ist und kein VPN benötigt wird. Bei Sicherheitkritischen Anwendungen würde ich das aber verwenden.

Je nach Land funktioniert das mit der FRITZ!box recht gut.

 

[till69]

Ob es mit der Fritzbox funktioniert, hängt am öffentlichen WLAN. Wenn UDP nicht blockiert wird, sollte das klappen.

 

[T00L]

Die richtigen VPN Einstellungen darfst du nicht vergessen. Normalerweise baut man den Tunnel auf, um auf das entfernte Netzwerk zuzugreifen. Das leitet aber nicht automatisch den gesamten Datenverkehr um.
Bei Wireguard mußt du sicherstellen, daß bei "erlaubte IPs" 0.0.0.0/0 eingetragen ist, dann wird alles durch den Tunnel geleitet. Leider ist der Eintrag mißverständlich benannt ( https://www.computerbase.de/forum/t...ung-zu-allowed-ips-und-best-practise.2209548/ )
Als DNS-Server würde ich noch die heimische Fritzbox mit eintragen.

 

[till69]

Welche VPN-Dienste nutzt ihr?

Windscribe (um GeoBlocking zu umgehen), aber nur weil ich den 10$ Jahrestarif (Cheapest ever) habe.

 

[BeBur]

Ich nutze öffentliche WiFis auch ohne VPN.

Ich bin ja der Meinung das viele heutzutage verschlüsselt ist und kein VPN benötigt wird.

Genau deswegen.

Welche Vorteile bringt eine VPN-Verbindung, wenn ich mich in einem öffentlichen WLAN

Zusätzlicher Layer an Sicherheit.

Es gibt übrigens Länder, in denen die Nutzung von VPNs illegal ist. In solchen solltest du auch keinen VPN verwenden. Erkundige dich am besten.

 

[GrumpyCat]

Das einzige, was (bei ausschließlicher Benutzung von HTTPS-verschlüsselten Seiten, was heutzutage Standard ist) in der Praxis passieren kann, ist, dass jemand mitschneiden kann, welche Webseiten Du besucht hast (aber nicht, was Du darauf gemacht hast). Bzw. selbst das geht nicht, wenn Dein Browser DNS-over-HTTPS benutzen sollte (=> googeln).

Kommerzielles VPN würde ich nicht empfehlen, die Anbieter sind allesamt nicht wirklich vertrauenswürdig (gab dutzende Fälle von Sicherheitsproblemen oder verkauften Daten und so weiter). Deren Kunden sind halt auch ein Großteil Leute, die irgendwelche schattigen Sachen machen, da haben die Anbieter selbst keinen großen Anreiz, einen auf Mutter Theresa zu machen.

Edit: "zusätzlicher Layer an Sicherheit" kann halt auch "zusätzliche Angriffsoberfläche" sein. So einfach ist das nicht.

 

[Blutomen]

Mit AVM läufts ganz gut .. brauchst nur die MyFritz App aufm Smartphone .. daheim im WLAN einmal eingerichtet, kümmert die sich auch um die VPN Konfig auf der Box und dem Smartphone.

Unterwegs dann einfach in der App das VPN aktivieren und fein.

 

[T00L]

@Blutomen Welcher Teil des Datenverkehrs geht über den Tunnel?

 

[BeBur]

Edit: "zusätzlicher Layer an Sicherheit" kann halt auch "zusätzliche Angriffsoberfläche" sein. So einfach ist das nicht.

Theoretisch ja, aber praktisch hier nicht. Mir fällt kein realistisches Szenario ein, wenn man mal die Problematiken bezüglich VPN-Anbieter ausnimmt, welche nichttechnischer Natur sind (verkauf von Daten). Es kann grundsätzlich aber durchaus sein, dass irgendeine App kein TLS verwendet. Aber selbst dann ist es immer noch unwahrscheinlich, dass das zum Problem wird.

 

[Simon#G]

Öffentlichen Wlans (Hotel, Bar, ...) würde ich pauschal nicht vertrauen. Ich habe für solche Situationen meinen "lifetime" VPN. Das kostenlose Angebot von Proton VPN ist auch super dafür.
FritzBox VPN (wireguard) habe ich bisher nur genutzt um auf Heimnetz zuzugreifen.

 

[Haggis]

Das VPN tunnelt nur den Datenverkehr ins Internet.
Dein Gerät ist auch mit aktivem VPN in dem öffentlichen WLAN für andere "sichtbar".
Wenn Dein Handy irgendwelche Dienste anbietet, kann ein "Angreifer" im gleichen WLAN auch darauf zugreifen.

 

[till69]

Wenn Dein Handy irgendwelche Dienste anbietet, kann ein "Angreifer" im gleichen WLAN auch darauf zugreifen.

Dann muss der "Angreifer" das Gateway sein, da aktives VPN alles andere in den Tunnel schickt.

 

[h00bi]

Meide Netze ohne Passwort grundsätzlich. Das sind oftmals honeypots von Bösewichten, die Opfer anlocken wollen. Wenn es an einem Flughafen kein freies WLAN gibt, mach mal einen Hotspot namens Free_WiFi oder Telekom_WLAN ohne Passwort auf. Da hast du ruckzuck hundert Verbindungen.

In fremde, öffentliche Netze mit Passwort solltest du nur mit einem Smartphone, das noch Sicherheitsupdates bekommt. Du weißt nicht wie den Gerät von den anderen isoliert wird, ein veraltetes Gerät hat da zu viele Lücken, die angreifbar wären.

Je nach Land würde ich sogar explizit VPN Apps vermeiden wollen, denn es gibt auch Länder in denen das illegal ist.

 

[hildefeuer]

Ja das funktioniert. Vorausgesetzt Du hast zu Hause auf der FB Wireguard vpn und myfritz konfiguriert und Dein Zugang zu Hause ist Dual Stack. Dein Handy muss dann auch Dual Stack haben. Will heissen die FB und das Handy muss öffentliche ipv4 und ipv6 haben.
Dann funktioniert es aus dem Mobil-Netz immer.
Bei öffentlichen WLANs erhält man meist nur eine ipv4 und keine ipv6. Dann geht es bei Dual Stack auch. Mit DS-Lite und CG-Nat (Carrier-Grade-NAT-IPv4-Adresse) da gehts dann mit WLAN meistens nicht.
Ich habe bei mir dann fritzFon App auf Handy. Wenn jemand zu Hause anruft, klingelt die App. Ich kann auch meine heimische Telefon-Nr. nutzen und über die App telefonieren.

 

[Paradox.13te]

nächste Woche verreise ich ins Ausland,

Ausland ist wo genau?

 

[Ja_Ge]

Das einzige, was (bei ausschließlicher Benutzung von HTTPS-verschlüsselten Seiten, was heutzutage Standard ist) in der Praxis passieren kann, ist, dass jemand mitschneiden kann, welche Webseiten Du besucht hast (aber nicht, was Du darauf gemacht hast). Bzw. selbst das geht nicht, wenn Dein Browser DNS-over-HTTPS benutzen sollte (=> googeln).

SSL Inspection kann inzwischen jede etwas bessere Firewall. HTTPS ist keine Sicherheit wenn ich nicht zumindest verstehe, wer mir gerade das Zertifikat präsentiert.

 

[BeBur]

SSL Inspection kann inzwischen jede etwas bessere Firewall.

Wo wird noch SSL verwendet? In TLS Pakete kann man nicht mal eben reingucken. Im Businessbereich wird das manchmal gemacht, aber da werden die Geräte (Handy/Laptop) vorab präperiert. Das hat nichts mit dem hier liegenden Kontext zu tun.

HTTPS ist keine Sicherheit wenn ich nicht zumindest verstehe, wer mir gerade das Zertifikat präsentiert.

Wie meinen? Das ganze Internet basiert auf der chain of trust von den zertifikaten.

In fremde, öffentliche Netze mit Passwort solltest du nur mit einem Smartphone, das noch Sicherheitsupdates bekommt. Du weißt nicht wie den Gerät von den anderen isoliert wird, ein veraltetes Gerät hat da zu viele Lücken, die angreifbar wären.

Das ist ein guter Punkt. Da hilft aber auch ein VPN nur wenig.

 

[Ja_Ge]

Wo wird noch SSL verwendet? In TLS Pakete kann man nicht mal eben reingucken. Im Businessbereich wird das manchmal gemacht, aber da werden die Geräte (Handy/Laptop) vorab präperiert. Das hat nichts mit dem hier liegenden Kontext zu tun.

Ok, dann halt SSL/TLS Inspection, reine Begrifflichkeit, gleiche Funktion.
https://docs.fortinet.com/document/fortigate/7.6.0/best-practices/598577/ssl-tls-deep-inspection

Wie meinen? Das ganze Internet basiert auf der chain of trust von den zertifikaten.

Natürlich bekomme ich eine Zertifikatswarnung, wenn ich nicht gerade meine CA öffentlich habe, aber wie ich schon schrieb werden Zertifikatsmeldungen sehr häufig ignoriert.

 

[JumpingCat]

Ok, dann halt SSL/TLS Inspection, reine Begrifflichkeit, gleiche Funktion.
https://docs.fortinet.com/document/fortigate/7.6.0/best-practices/598577/ssl-tls-deep-inspection

Die Seite hast du dir auch durchgelesen, oder?

To implement seamless deep inspection, users must trust the certificate that is signed by the FortiGate, and there must be certificate chain back to the trusted root CA that is installed on the user's endpoint. If the root certificate is not installed, the user receives a certificate warning every time they access a website that is scanned by the FortiGate using deep inspection. Administrators should provide the CA certificate to the end users if deep inspection will be used.