Warum sollte man den Tor-Browser nicht mit einem VPN nutzen?
Guten Morgen,
Ich verfolge schon länger einen YouTuber der sich diverse Dinge im Darknet anschaut. Dadurch habe ich über die Jahre eine Interesse an diesem Thema entwickelt. Öfters liest man ja, man soll Tor nicht mit einem VPN nutzen. Selbst hier auf gutefrage wurde schon mehrmals davon abgeraten.
Mein Sohn arbeitet bei einem VPN-Anbieter und er kann diesen Punkt nicht ganz nachvollziehen, denn:
Angenommen, man hat einen vertrauenswürdigen VPN (wovon es wahrlich nicht viele gibt) und man hat diesen richtig konfiguriert, so bringt dieser eine Absicherung für den Fall, dass jemand etwas damit macht, was die Sicherheitsfunktionen des Tor-Browsers aushebelt. Es soll durchaus möglich sein, dass der Tor-Browser die echte IP preisgibt, beispielweise durch Zero-Day Exploits (fragt mich bitte nicht, was das ist). Durch Verwendung einer solchen Sicherheitslücke hätte der Angreifer dann die IP-Adresse. Wenn man einen VPN verwendet, dann hat der Angreifer lediglich die IP-Adresse des VPN-Betreibers.
Ist dieser Punkt nicht prinzipiell richtig?
5 Antworten
Warum sollte man den Tor-Browser nicht mit einem VPN nutzen?
Meines Wissens mit der Argumentation, dass man dabei gute Chancen hat, die Konfiguration zu versauen.
Inhaltlich macht ein zusätzlicher VPN nur in Ausnahmefällen Sinn, daher wird dem normalen User davon abgeraten. Wenn man weiß, was man tut, kann man davon auch abweichen. Aber das ist hier bei dir offensichtlich nicht der Fall (wie du ja selbst geschrieben hast) - ob dein Sohn weiß, was er tut kann und will ich aus der Ferne nicht beurteilen. Seine Argumentation lässt mich aber eher zweifeln.
Ich verfolge schon länger einen YouTuber der sich diverse Dinge im Darknet anschaut.
Die meisten dieser YouTuber haben nahezu keine Ahnung, wovon sie reden - das mal vorausgeschickt.
Zur inhaltlichen Fragestellung: Wenn man unterstelle, der Angreifer (wer denn eigentlich?) hätte einen real ausnutzbaren 0-Day-Expliot im TBB (der btw. locker eine sechsstellige Summe wert wäre) und würde den gegen dich einsetzen, kann der Angreifer sehr viel mehr Informationen über das verwendete System auslesen, als nur die IP-Adresse. Und wenn du davon ausgehst, dass der Angreifer das lokale System kompromittiert hat, kommt er im Regelfall auch weiter und darüber dann auch an die echte IP.
Wenn man ernsthaft mit einem gezielten Angriff rechnet, muss man schon lokal kapseln und die Arbeitsumgebung von direkten Netzwerkzugriff abschneiden. Dann ist ein reiner Standard-Torbrowser aber nicht mehr unbedingt das mittel der Wahl, dann managed man den Netzwerkzugriff separat - entweder innerhalb des Systems über VMs oder gleich physisch mit separater Hardwarefirewall zwischen Arbeitsumgebung und Tor-Daemon bzw. VPN-Client. Da kann man dann natürlich auch VPN und Tor hintereinander schalten.
Das ist aber alles nichts für normale User. Für normale User reicht TAILS in Kombination mit der höchsten Sicherheitsstufe im Torbrowser (und ein bisschen Verstand beim Klicken). Alles darüber hinausgehende ist Spielerei, bei der man sich im Regelfall eher nicht funktionierenden Mist zusammenfrickelt und dabei den Blick für die echten Risiken verliert.
Im Prinzip ja, wobei man eher sagen müsste "drei VPNs". Denn während du dich bei einem (externen) VPN in der Regel mit einem Server verbindest und dann von dort aus ins Internet, läuft der Traffic bei Tor in der Regel über drei Hops, sprich du verbindest dich mit dem Entry-Node (welcher zwar deine eigene IP kennt, nicht jedoch das Ziel deiner Anfrage, sprich die besuchte Webseite), von dort wird die Anfrage an einen Middle-Node weitergereicht (der nur den Entry-Node und den Exit-Node kennt, aber weder deine eigene IP noch das Ziel der Anfrage), und der Middle-Node leitet deine Anfrage wiederum an den Exit-Node weiter (welcher zwangsläufig das Ziel der Anfrage kennen muss, aber als Herkunft nur den Middle-Node kennt, nicht jedoch den Entry-Node oder deine eigene IP). Schon das zeigt, dass Tor in der Standardconfig eine erheblich höhere Sicherheit bietet als jeder einfache VPN-Anbieter. Dazu kommt neben diverse anderen Sicherheitsfeatures, die der Torbrowser selbst mitbringt die Tatsache, dass selbst bei einem VPN-Anbieter, der drei Hops anbietet, alle drei Hops von der selben Organisation betrieben werden. Wird diese Organisation kompromittiert, sind deine drei Hops für den Arsch. Bei Tor hingegen werden -zumindest in der Theorie- die Server von vielen verschiedenen, voneinander unabhängigen Organisationen und Privatpersonen betrieben.
Ich würde immer einen VPN zusätzlich benutzen. Du hast zwar viele Tor Knoten dazwischen und bist deshalb sehr gut abgesichert, aber manchmal kann einer der Knoten auch von Regierungen oder sonst wem gehostet sein. VPNs, die nicht Open Source sind und sowieso nichts über's System nachweisen, sind wirklich 0 vertrauenswürdig. Ein VPN macht dich in 99 % der Fälle nicht anonym. Dennoch ist es sicherer, so meine Meinung, nochmal eine extra Leiter dazwischen zu setzen. Man sollte aber bedenken, dass man trotzdem nicht unauffindbar ist und wirklich gar nicht anonym. Man wird schneller gefunden, als man denkt. Nur ein Tipp am Rande: Illegales zu tun, ist unschön. Deshalb brauchst du dir auch keine Sorgen machen, wenn du im Darknet nichts Illegales tust. Das Darknet selbst ist nicht illegal. Und selbst wenn dein Sohn bei einem VPN-Anbieter arbeitet, hat er womöglich keinen Zugriff auf alle Systeme, Software, usw. Er wird dir niemals bei einem so großen Unternehmen + so vielen Servern, das ganze Vertrauen mit Garantie geben können.
Ich selbst nutze den Tor-Browser nicht mal. Ich frage nur aus interesse, da man ja immer wieder davon liest und auch in den Kommentaren des genannten YouTubers öfters mal hitzige Diskussionen über das Thema Tor und VPN entstehen.
Das Thema VPN ist umstritten. Besonders bei den meisten Anbietern, die eigentlich fast alle Anbieter sind, ist ein VPN mehr Last als Sicherheit. Mein Statement dazu steht ja bereits in der Antwort
Es soll durchaus möglich sein, dass der Tor-Browser die echte IP preisgibt, beispielweise durch Zero-Day Exploits
Der Browser muss das sogar, denn er nutzt lediglich ein Protokoll zur Kommunikation. Und innerhalb des Protokolls ist es unumgänglich, dass die kommunizierenden Endgeräte wissen, wohin sie die Daten zu übertragen haben. Es geht also gar nicht ohne die IP-Adresse!
Wie soll denn von einem Rechner eine Anfrage in das Tor-Netzwerk übertragen werden, wenn der nächste Node nicht mit seiner IP angesprochen werden kann?
Ein VPN verändert jetzt doch höchstens den Weg vom eigenen Rechner zum angesprochenen Tor-Node und schaltet hier noch einen Fremddienstleister dazwischen.
Der Trick ist am Ende dass bei Tor nur der erste Knoten deine IP kennt, er kennt allerdings nicht das Ziel. Der letzte Knoten kennt nur das Ziel aber nicht deine IP.
TOR wird oft mit 3 Nodes konfiguriert womit in diesem Setup der Entry Node die IP des Exit Nodes nicht kennt.
Wenn man nicht weiß, wie man Tor und VPN richtig aufsetzt, sollte man das nicht machen.
Etwas zu dem Thema von den Machern von Tor
https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN
Es spricht an sich so direkt nichts dagegen.
Der Grund warum aber von TOR+VPN abgeraten wird ist weil TOR das VPN defakto unnötig macht. Exploits mal außen vor und selbst da kann man sich auch ohne VPN noch dagegen schützen wenn man weiß wie.
Sofern man TOR jetzt als vollständigen Ersatz für ein VPN sieht dann ist das VPN zum einen unnötig und eigentlich kein VPN Anbieter garantiert zu 100% dass er deine Daten nicht mitspeichert. In so fern wird von der Community das kommerzielle VPN eher als Risiko gesehen weil der VPN Anbieter das tracken kann. Zudem könnte der VPN Anbieter auch in das TOR Netzwerk eingreifen in dem er dem Tor Client nur die Entry Nodes zeigt die er will.
Somit kann das VPN theoretisch die Zahl der sichtbaren Entry Nodes verringern.
Es gibt dann noch ein paar technische Punkte womit ein VPN theoretisch einige Programme überlisten könnte einzelne Pakete nicht über TOR zu routen und somit den Sinn und Zweck von TOR komplett aushebeln. Aber dazu müsste der VPN Client schon ordentlich in das Routing des Computers usw eingreifen und sich eher wie ein Schadprogramm verhalten, also das wäre dann schon vorsatz.
Hat der Tor-Browser sozusagen ein integriertes VPN?