Schützt VPN auch im eigenen LAN?
Hallo zusammen,
mich interessiert mal, ob ich durch die Nutzung eines VPN-Clients (in meinem Fall Nord VPN, als lokalen Client auf meinem Notebook installiert) auch vor Angriffen im eigenen Netzwerk geschützt bin.
Also greift ein etwaiger Angriff (mit Wireshark etc...) bereits bevor meine Daten an den VPN-Proxy gehen, weil sie im Rahmen des LANs abgegriffen werden oder greift die Verschlüsselung bereits quasi auf meinem Notebook, sodass auch ein Angreifer der im gleichen Netz nur auf verschlüsselte Daten trifft?
Ich hoffe ich hab verständlich erklären können, wie ich das meine.
Danke im Voraus!
4 Antworten
Kommt drauf an, wo dein VPN-Client läuft.
Wenn er auf dem Router läuft, schützt er nur den Verkehr außerhalb des Routers, also nicht im LAN.
Wenn er auf dem lokalen Rechner läuft, schützt er sämtlichen Verkehr, für den er konfiguriert ist - also in der Regel allen Verkehr nach und von außerhalb des LAN. Packet Sniffer im LAN sehen dann nur bzw. immerhin noch, dass der lokale Rechner mit dem VPN-Knoten kommuniziert, können aber nicht in die Pakete hineinschauen (vernünftige Verschlüsselung vorausgesetzt). Hängt also von der Konfiguration ab.
mich interessiert mal, ob ich durch die Nutzung eines VPN-Clients (in meinem Fall Nord VPN, als lokalen Client auf meinem Notebook installiert) auch vor Angriffen im eigenen Netzwerk geschützt bin.
Der Datenverkehr zwischen Deinem VPN-Client und dem VPN-Server ist verschlüsselt. Im LAN ist also nur verschlüsselter Datenverkehr von Dir sichtbar.
Also greift ein etwaiger Angriff (mit Wireshark etc...) bereits bevor meine Daten an den VPN-Proxy gehen, weil sie im Rahmen des LANs abgegriffen werden oder greift die Verschlüsselung bereits quasi auf meinem Notebook,
Der VPN-Client verschlüsselt. Die Anwendung (also z. B. der Browser) gibt die Daten an den VPN-Client, der verschlüsselt und schickt die Daten über die Netzwerkschnittstelle raus.
VPNs sind quasi verschlüsselte Tunnel durch das Internet. Bei korrekter Konfiguration läuft sämtlicher Verkehr vom eigenen Rechner zum VPN-Server und dann vom VPN-Server zum Ziel. Damit können wir zwei Dinge erreichen:
- Alle angesprochenen Server glauben mit dem VPN-Server zu kommunizieren und so kann man seinen Standort verbergen bzw. bewusst einen anderen Standort vorgaukeln um zB deutsches Netflix auch aus dem Ausland zu benutzen.
- Da sämtlicher Verkehr nur über den VPN-Server läuft kann der Provider nicht sehen mit welchen Servern man kommuniziert und so lässt sich die deutsche Vorratsdatenspeicherung austricksen. Genau dies schützt auch vor einigen Hackangriffen da wir so keine Ressourcen nutzen die uns ein potentiell Schädlicher DHCP-Server anbietet.
Dazu sollte man aber auch einige Dinge richtig konfigurieren und dafür sorgen, dass aller Verkehr durch das VPN läuft und es muss sichergestellt sein, dass immer ein vertrauenswürdiger DNS-Server verwendet wird! So kann man zumindest Man-in-the-Middle Angriffe verhindern.
Was ein VPN nicht kann ist es uns vor allen Angriffen zu beschützen. So kann ein VPN nicht verhindern, dass ein eine SPAM-Email mit einem potentiell schädlichen Anhang empfangen oder sogar öffnen.
Außerdem schützt es nicht vor Angriffen wie Phishing, XSS, CSRF und vielen anderen!
In unserem privaten WLAN-Netzwerk müssen wir auch nicht vor potentiell falschen DNS-Daten oder MITM-Angriffen geschützt werden bzw. sollte dies doch der Fall sein, dann ist bereits einiges schiefgelaufen und nur das VPN wird uns auch nicht mehr helfen!
Um eine Webseite anzusprechen erfolgend sehr viele Schritte. Ermitteln der Router MAC-Adresse mit ARP, DNS-Abfragen, Verbindungaufbau, Kommunikation mit dem Ziel-Protokoll (HTTP, IMAP, SMTP, ...).
Das VPN baut einen Tunnel von deinem PC zum VPN-Server auf der verschlüsselt ist. Im Tunnel läuft dann zB wieder eine verschlüsselte Kommunikation mit dem Webserver (HTTPS).
Das ganze hilft aber nicht viel wenn ich dir mit meinem Bad-DNS falsche IP-Adressen für Dienste wie Google, Amazon, etc. liefere!
Also ist VPN-kaufen nicht das Allheilmittel - du musst auch deinen PC entsprechend konfigurieren, dass ich dir nicht per DHCP einen Bab-DNS unterschiebe, etc.
Du solltest erstmal die Netzwerkgrundlagen lernen und dann wird dir einiges klarer: https://www.youtube.com/watch?v=M5c9HdaQqh0&list=PLG49S3nxzAnmpdmX7RoTOyuNJQAb-r-gd&index=10
In 9 von 10 Fällen ist ein VPN keine Hilfe sondern nur etwas weswegen du dir fälschlicher Weise einredest in Sicherheit zu sein...
Ein VPN im eigenen Netzwerk ist unnötig - sollte da einer die Möglichkeit haben dich anzugreifen dann ist es schon viel zu spät. In öffentlichen Netzwerken macht ein VPN eventuell sinn aber auch nicht zum Zeitung-Lesen sondern nur dann wenn man sich da in Schützenswerte Dinge einloggt (Email-Account, PayPal, Amazon, ...).
Vielen Dank für die ausführliche und aufschlussreiche Antwort!!
Jein, die Daten kann man abfangen, verschlüsselt sind sie aber
Hallo Mark,
speziell zu 1) und 2): Das war auch so mein Verständnis, aber impliziert das nicht, dass mein Rechner (A) zunächst alle Daten an den Router (B) schickt und dieser dann erst mit dem VPN-Server (C) kommuniziert? Darum frage ich mich: An welcher stelle findet genau die Verschlüsselung statt? bereits zwischen A und B oder vielleicht erst zwischen B und C? Und was wird genau verschlüsselt? Kann man beispielsweise herausfinden, welche IP auf welchen Seiten gesurft hat?