vpn Schützt vor Angriffen?

[casalx]

Hallo,

ich nutze openconnect, eine cisco kompatible Version von Anyconnect.
Die Frage ist wieviel sicherer dieser VPN Zugang gegenüber einer normalen
HTTPS Verbuindung ist.

Wenn ich in einem offen Wlan befinde, wie z.b. im Bahnhof, und ich dann eine https Verbindung zu
meiner Bank aufbaue, dann ist die Verbindung zwar verschlüsselt, aber MIM Attacken sind auch
mit https möglich und funktionieren. Also baue ich zuerst eine VPN Verbindung auf, um mich dann erst
mit der Bank zu verbinden.

So, jetzt soll das ja im Banhofsnetz "sicher" sein. Die Frage ist nun, warum soll hier keine
MIM Attacke möglich sein, da ich ja bei openconnect auch nichts andere mache als eine https Verbindung
aufzubauen. Warum soll es für einen Angreifer jetzt schwerer sein, sich zwischen mir und dem VPN Server
einzunisten?
Also wie sicher ist VPN wirklich, und gibt es erfolgreiche Angriffe?

Gruß

 

[hominidae]

...weil bei der VPN Verbindung die jeweiligen Seiten durch gegenseitige Zertifikate abgesichert sind...auf mehreren Ebenen.
Beim einfachen HTTPS muss nur das Zertifikat der Gegenstelle zum root-Zertifikat in Deinem Browser passen.

Wenn Die Zertifikate des VPN aber nicht sicher verwahrt werden, dann ....

 

[DSmon]

Ja, und wenn zwischen VPN Server und dem Server der Bank jemand lauscht, hat man das selbe Problem wieder ...
Das schwächste Glied der Kette ist nunmal immer das schwächste.

 

[ara1]

Der Unterschied liegt darin dass es wesentlich wahrscheinlicher ist dass man an einen Rogue AP gerät als dass auf Provider-Ebene einer MIM spielt.

 

[DSmon]

Hälst du es für wahrscheinlicher an ein Class 2 Cert zu kommen als auf dem Weg der Route einen manipulierbaren Knoten zu finden?
Das, wo man heute doch weiß, wo der ganze Traffic entlang geroutet wird
Hinzu kommt, dass ich auch einen vertrauenswürdigen VPN Anbieter brauche. Er sitzt ja auch dazwischen.

 

[HabNeFritzbox]

Da Router wie Fritzbox VPN anbieten oder auch manche NAS, kann man sein VPN auch zu Hause betreiben wenn man unterwegs an Hotspots ist, um dann alles verschlüsselt zu haben, zumindest bis nach Hause.

Damit solltest schon sicher sein mit eigener VPN Verbindung. Es gibt Seiten die Verschlüsseln nur Login wie z.B. Ebay, der Rest läuft da unverschlüsselt.

Ob ein Hotspot geschützt ist oder fremde dran/drin sind weiß man nicht, also VPN schon gute Idee.

Kannst dir ja aus Spaß mal mit einem Notebook ein unverschlüsseltes WLAN an Zentralen Ort aufmachen mit Namen "Telekom", loggen sich bestimmt viele automatisch ein. Und dann wäre es ein einfaches ganze Verkehr zu loggen, blocken oder umzuleiten ect.

 

[hominidae]

Ja, und wenn zwischen VPN Server und dem Server der Bank jemand lauscht, hat man das selbe Problem wieder ...
Das schwächste Glied der Kette ist nunmal immer das schwächste.

Naja, das Szenario einen VPN-Provider zu nutzen dient halt nur dazu *diese* Srecke abzusichern und vor allem die eigene IP zu verschleiern.
Wenn Du Angst hast, dass jemand MiM mit Deiner Verbindung zur Bank spielt, dann hol Dir einen Bank-Zugang mit Zertifikat, statt nur mutual-SSL.

 

[DSmon]

Ich habe keine Angst davor
Ist mir schon klar, habe auch selber ein VPN mit mehreren Clients laufen. Nur ging es dem TE um den Zugriff auf seine Bank.
Ich sehe https mit einem Class 2 Cert nicht viel weniger sicherer in einem offenem WLan als mit zusätzlichem VPN.

 

[hominidae]

Hmm, der Meinung bin ich für diesen konkreten Fall auch....ich hatte den TE aber auch so verstanden, dass es eine prinzipielle Frage zum Vergleich einer VPN-Verbindung zu einem *eigenen* Server und einer https Verbindung ging.