WLAN im Ferienhaus sicher nutzen

[Incanus]

Ich kann Deinen Ansatz nicht so richtig nachvollziehen. Sicherer, datensparender Umgang mit dem Internet ist doch völlig unabhängig von der Zugangsart. Hier geht es doch nur darum zusätzlich den Zugangsweg abzusichern.

 

[calippo]

Ich hab mir für Reisen einen GL.inet Router geholt.

Hab ich auch in Verbindung mit Wireguard auf der Fritzbox.
Gerade so Endgeräte wie einen E-Reader etc. will man nicht umständlich über ein ggf. vorhandenes Captive Portal anmelden.

 

[BeBur]

Mir geht es darum, dass ich und die anderen Familienmitglieder "sicher" surfen und streamen können.

Wie andere schon sagten: Dazu brauchst du kein VPN, du kannst das WiFi dort ganz normal nutzen ohne etewas besonderes zu beachten.

 

[chrigu]

Mir geht es darum, dass ich und die anderen Familienmitglieder "sicher" surfen und streamen können.

Das geht nur wenn du über deinen eigenen VPN sufst. Du stellst im Router zuhause ein wireguard vpn ein und verbindest quasi vom Ausland direkt auf deine box zuhause und von dort ins Internet.
VPN Dienstleister die hier schon genannt sind sind als unsicher zu bewerten… Grund die können deine Daten lesen und verkaufen, obwohl jeder behauptet Daten sind bei denen noch sichererer.
Übrigens. Sobald du im Browser https und ein schloss zu sehen ist, wird deine Übertragung auch verschlüsselt. Benutzt du einen ungeschützten hotspot (kein Schlüsselsybol oder Passwort Eingabe) Bist du unter Umständen nicht verschlüsselt unterwegs

 

[norKoeri]

Eigener DNS mit https wäre hier die Lösung.

@eigs und @gaym0r meinten mit „SNI“ und Reverse-IP die nächsten zwei Schritte … Wobei man aber dann nur sieht, mit wem man spricht. Man bräuchte dann schon Deep-Packet-Inspection (DPI) oder einen Zugriff auf den Betreiber selbst, um zu ahnen, was man dort tut.

@BigMacintosh wenn Du daheim eine FRITZ!Box hast, dann würde ich den Weg gehen. 40 Mbit/s im Upload reichen für zwei UHD-Video parallel. Der größte Vorteil ist eigentlich ein ganz Anderer: Deine Web-Dienste kommen nicht durcheinander, also blocken Dich nicht, weil Du auf einmal in einem anderen Land bist. Oder ziehen Dich nicht um; das bedeutet, wieder daheim bist Du in keinem anderen Land. Also das von @Nero FX angesprochene Geo-Blocking.

[sinngemäß:]
a) MITM-Angriffe und Sniffing, falls eine App mit ihrem Web-Dienst nicht verschlüsselt redet.
b) MITM-Angriffe, falls eine App mit ihrem Web-Dienst zwar verschlüsselt redet, aber diesen nicht authentifiziert.

Hier hilft wirklich nur, den eigenen Bestand mal abzuklopfen. Dazu reicht ein Live-Linux und mitmproxy im Regular-Modus. Um jene Apps zu erkennen, muss man nicht einmal bis Schritt 4 gehen (Zertifikat installieren).

Ferienhaus

In welchem Land sind wir überhaupt? Einige Länder versuchen Grundrechte wie Verschlüsselung auszuhebeln, indem sie allen Bewohner verbieten wollen, überhaupt ein VPN zu nutzen. Ausnahmsweise kann man bei diesem Aspekt auf NordVPN als Quelle verweisen … Wobei selbst dafür das keine schöne Quelle ist – am Ende den Artikels ist man an drei Daten-Schnüfflern vorbei (Google-Tag-Manager, CloudFlare Turnstile und Disqus), obwohl man eigentlich alles verweigert hatte.

 

[BeBur]

Sobald du im Browser https und ein schloss zu sehen ist, wird deine Übertragung auch verschlüsselt. Benutzt du einen ungeschützten hotspot (kein Schlüsselsybol oder Passwort Eingabe) Bist du unter Umständen nicht verschlüsselt unterwegs

Moment, das muss man für Laien etwas weiter ausführen: Solange das Schlosssymbol im Browser zu sehen ist, ist die Verbindung verschlüsselt und sicher auch bei einem ungeschützten Hotspot.

 

[chrigu]

jein, ungeschützte hotspots könnte jemand den hotspot infiltrieren und daten umleiten und die verschlüsselung aufheben. bei verschlüsselten hotspot ist die gefahr geringer

 

[BeBur]

Das geht nicht, weil der Angreifer kein gültiges Zertifikat für die Webseite vorweisen kann die du ansurfst.

 

[eigs]

Alles durch einen VPN Tunnel zu jagen hilft ja genau Null wenn die APP unsicher ist.

Es geht darum, dass du den Traffik über sichere Wege zu Punkten tunnelst denen du vertrauen kannst.
Das ist wie wenn man jemanden beauftragt einen unverschlüsselten Brief zur Post zu bringen. Der Brief ist nicht sicher und könnte am Versandweg noch immer abgefangen werden, trotzdem würde ich den lieber einer Person zur Beförderung übergeben der ich vertrauen kann anstatt direkt an den potentiellen Angreifer zu übergeben.

Ein unverschlüsseltes WLAN kann ich nicht vertrauen, denn ich weiß nicht mal ob der Name der SSID auch wirklich der Betreiber ist. Und selbst wenn ich mich mit dem richtigen WLAN Access Point verbunden habe gibt es noch andere Angriffsarten die jemand über WLAN ausführen könnte.

Warum wird hier komplett ignoriert das eine solide APP Auswahl und eingeschränkter Netzwerkzugriff viel viel wichtiger ist, als ein VPN?

Weil sich beides nicht gegenseitig ausschließt. Man kann sichere Apps verwenden und zusätzlich noch einen vertrauenswürdigen VPN Anbieter oder einen eigenen VPN Server nutzen. Welchen VPN Anbieter oder ISP man persönlich vertraut muss schlussendlich jeder selber entscheiden. Und nicht alle werden schwarze Schafe sein.

@BeBur Es geht um HTTPS Downgrade Attacks. Da wird kein Zertifikat benötigt. Es gibt aber Techniken um die Gefahr so eines Angriffes zu mindern. Zum Beispiel HSTS oder noch besser im Browser den HTTPS only Modus aktivieren.

 

[Der_Dicke82]

Weil sich beides nicht gegenseitig ausschließt.

Verstehe ich, aber um dein Beispiel mit der Post zu nehmen, ist der verschlüsselte Brief deutlich wichtiger als der vertrauenswürdige Überbringer.

Am besten natürlich beides!

vertrauenswürdigen VPN Anbieter

Da Frage ich mich immer, woher ich das wissen soll? Und wahrscheinlich kann man es auch nicht wissen wer vertrauenswürdig ist.
Spätestens bei staatlichem Druck ist noch fast jeder eingeknickt.
Und bei den großen VPN Unternehmen erwarte ich wenig Idealismus.
Eigener ist eventuell eine Option, da ich in einem sehr autokratischen Land lebe ist aber selbst der Provider nicht vertrauenswürdig.

Ein unverschlüsseltes WLAN kann ich nicht vertrauen

Ich wusste noch das es hier um ein unverschlüsseltes WLAN geht. Ich dachte es geht um ein WLAN im Ferienhaus mit Verschlüsselung.
Falls ich mich da geirrt habe, teile ich natürlich deine Meinung.

Grundsätzlich will ich aber nochmals anmerken, das die Auswahl der Apps und services die ich nutzen möchte und die Art wie ich sie nutze 2FA etc.
Einen viel größeren impact auf meine Datensicherheit hat als ein VPN. Und ich finde diese Tatsache wird hier komplett verwässert!

 

[BeBur]

Es geht um HTTPS Downgrade Attacks.

Für Seiten, die man nie zuvor angesteuert hat und wo man Daten einggibt o.ä. und wenn man den Hinweis "Unsichere Verbindung" ignoriert. Da kann man HTTPS-Only Mode z.B. bei Firefox anschalten um die Meldung extra groß zu machen, wie du ja auch geschrieben hast.
Es reicht also "Augen auf" oder eine einzelne Einstellung um die letzte Unsicherheit zu beseitigen.

 

[eigs]

Da Frage ich mich immer, woher ich das wissen soll? Und wahrscheinlich kann man es auch nicht wissen wer vertrauenswürdig ist.

Im Grunde musst du selber beurteilen wen du für vertrauenswürdig hältst. Es gibt keinen grünen Haken der ein Unternehmen, einen Verein oder eine Person allgemeingültig als vertrauenswürdig kennzeichnet. Wenn dir jemand sagt ein bestimmter Anbieter ist vertrauenswürdig, dann hält nur derjenige ihn für vertrauenswürdig. Eventuell vertraust du dieser Person, dass du dieses Vertrauen übernimmst. Du kannst aber auch anderer Meinung sein da du möglicherweise einen anderen Informationsstand hast oder dir andere Werte wichtiger sind.

Den DNS Server und die Zertifizierungsstellen wählst du auch nach vertrauen aus. Wenn du bemerkst, dass der DNS Server falsche Antworten liefert oder die Zertifizierungsstelle ständig Zertifikate an nicht berechtigte ausstellt, dann hätten die dein Vertrauen verspielt und du würdest doch bestimmt auch den DNS Server wechseln bzw. das Stammzertifikat löschen.

Ich dachte es geht um ein WLAN im Ferienhaus mit Verschlüsselung.

Wenn es verschlüsselt ist können andere Personen die das Passwort haben angreifen.

Und ich finde diese Tatsache wird hier komplett verwässert!

Das liegt daran weil wir das Thema durch falsche Annahmen nicht abschließen konnten.