VPN vs. Proxy aus geblocktem Land

[geimist]

Hallo zusammen,

ich bin an eurem Schwarmwissen interessiert

Folgende Situation: Freunde von uns leben in einem Land, wo demnächst VPNs unter Androhung drakonischer Strafen verboten werden sollen. Natürlich gibt es doch hin und wieder die Notwendigkeit, vertrauliche Daten austauschen zu müssen.

Was mich interessiert:

1. sind VPN-Verbindungen immer erkennbar? Speziell, wenn sie z.B. über den Port 443 laufen? Oder wird das am Datenmuster erkannt?
2. ist ein Proxy auf meinem Webserver (z.B. Glype) eine Alternative?
   Man in the middle Angriffe sollten doch am geänderten SSL-Zertifikat erkennbar sein, oder etwas nicht?
3. Gibt es Alternativen?

 

[Ulfhednir]

Zu 1.) Gute Firewallsysteme sollen mittels DPI einen VPN möglicherweise erkennen können. Um das zu Umgehen verwenden einige einen zusätzlichen Proxy, z.B. https://en.wikipedia.org/wiki/Shadowsocks

2.) Wenn dem Client kein Zertifikat untergejubelt wird, sollte der Browser bei einer man-in-the-middle allergisch reagieren.

3.) Sensible Daten in einem kennwortverschlüsselten VeraCrypt-Container ablegen und den Container zum Download bereitstellen.
Dabei ist es dann prinzipiell egal, ob per HTTP oder HTTPS verwendet wird. Wenn ich komplett paranoid wäre, würde ich die Datei dann in einer Bilddatei verstecken. Das funktionierte zumindest bei Zip-Archiven ohne Probleme.
https://websetnet.net/de/how-to-hide-files-in-a-jpg-picture/

 

[geimist]

Vielen Dank schonmal für deine Gedanken.

1.) schaue ich mir mal an

2.) Anders würde ja ein Man in the middle nicht funktionieren, oder? Ich meine, die Zertifikatskette wäre doch definitiv unterbrochen, bzw. würde nicht mehr mit meinem Server übereinstimmen. Richtig?

3.) gute Idee

 

[ottosykora]

kann etwas berichten:
Land A:
nicht sehr high tech, alles verboten aber wohl nur wenig Zeit um auch alles zu kontrollieren
hier haben wir VPN von aussen zu einem Server im Büro aufgebaut (Synology DS spielt den VPN Server) , aber nur wenn es nötig war um dort Zugriff auf das Netzwerk zu haben wegen Wartung etc., also kurze Zeit jeweils
Verbindungen von Büro zu woanders stehenden Servern mit SSL, die Zerts ändern hier oft
Gelegentlich zu lange VPN Verbindung, von meiner Seite aus gestartet, gekappt, ging aber am nächsten Tag wieder
Interessant auch, SIP Verbindung nach aussen konnte jeweils 24h verwendet worden, dann wurde es unterbrochen und konnte aber nach einigen Tagen wieder für genau 24h aufgebaut werden (war auch verboten). Egal, die dafür vorgesehenen DECT Telefone wurden vom Zoll mit einem Schredder pulverisiert.



Land B:
etwas mehr high tech und etwas mehr Energie bei den Lauschern
kleiner Cisco-Meraki Router baut eine VPN 'nach hause' auf bei Bedarf, wird dann aber ausgesteckt wenn Arbeit fertig. Als physical wird hier nur mobil Phone Netzwerk verwendet. Am Anfang gab es einige Fingerzeige wenn es mal ins 'normale' Internet eingesteckt wurde, deshalb jetzt nur mobile Router, da scheint es niemanden zu stören oder ist zu kompliziert für die Jungs der Behörde dort.
Normaler Zugriff auf Server ausserhalb geht auch mit SSL und Zerts die oft ändern, dann noch persönliche Karten der Mitarbeiter etc