debianuser4782 hat geschrieben: 14.08.2020 12:27:07
... nun durchringen können, tor, openvpn, gufw und dns-crypt-proxy von meinem qemu-kvm Host fern zu halten, bis ich genauer verstehe, was diese Programme an einer debian-Grundinstallation verändern, bzw bis ich diese Programme besser kontrollieren kann. Ich halte diesen Schritt auch für vernünftig, da gerade diese Programme, die an der Schnittstelle zum Internet werkeln, ...
Ein bisschen kann ich was dazu sagen. Keines der Programme bastelt an der Schnittstelle zum Internet rum. Die Schnittstelle für Programme ist das verbundene Netzwerk-Interface und der Kernel, der das Interface handelt. Die Programme verändern insofern die Grundinstallation, dass beim installieren solcher Pakete eigene Binaries und ggf. zusätzlich Libs, Konfigurationsdateien und vielleicht auch Man-Page-Files installiert bzw. angelegt werden. Bis dahin ist das alles unkritisch.
Tor installiert einen eigenen Proxy, über den der Torbrowser anstatt über 80/443 seine Daten ins Tornetzwerk sendet. Das bedeutet aber nicht, dass ein normaler Browser nicht trotzdem ganz normal über 80/443 surfen kann. Tor bedeutet auch nicht, dass sich timesyncd oder dns oder mailserver oder mailclients nicht trotzdem ganz normal mit dem Web-Service verbinden. Das heisst, wer sich tor installiert, aber alles andere lässt wie es ist und wie gewohnt bedient, ist auch der Meinung, wenn er tagsüber im Sonnenschein auf dem Marktplatz steht und dann seine mitgebrachte Kerze ausbläst, es wäre nun so dunkel, dass man ihn nicht mehr sieht.
OpenVPN läuft üblicherweise auf einem Server als Daemon, ein Client kann einen Tunnel adhoc herstellen oder auch persistent als Daemon. OpenVPN erstellt also nur peer-to-peer einen Tunnel zwischen zwei ausdrücklich dafür bestimmten Geräten. Dazu etabliert es eigene virtuelle Interfaces, mit denen Programme dann anstatt des normalen Interfaces kommunizieren. Zwischen den beiden Peers ist alles verschlüsselt, das nennt man landläufig dann Tunnel. Eine OpenVPN-Verbindung ist nie wahllos zwischen Geräten möglich, sondern immer nur zwischen 2 konkret bestimmten Peers, die mit Cert/Key ihre Verbindung und das Gequatsche authentifizieren und sichern. Der normale Internettraffic kann -wenn man will- davon völlig unbehelligt weiterlaufen. Interessant ist hier die Erkenntnis, dass auch zu einem VPN-Provider nur ein verschlüsselter Tunnel zwischen 2 Geräten hergestellt wird. Das heisst, sein ganzes Surfgequatsche ist hinter dem VPN-Provider wieder nur normaler Internet-Traffic, einschließlich der dazugehörenden Browser-Cookies, seines Fingerprints, seiner Surface-Identifikation. Sehr sinnig das alles.. *fg*
gufw ist meiner Einschätzung nach das klassische Beispiel eines Programmes für die User, die nicht wissen, dass sie es eigentlich gar nicht brauchen und es deswegen einsetzen. Das fällt für mich in die Kategorie
"So sinnvoll wie ein Kropf"... dann besonders, wenns auch noch hinter dem DSL-Rrouter eingesetzt wird. Wer nicht konkret gegenprüfen kann, was die gufw tut und wie sorgfältig sie es tut, für den schafft sie nur ein Gefühl von Sicherheit. Man fühlt sich besser, wenn man was für die Sicherheit getan hat, auch wenn man gar nicht erklären kann, was. Und wer die Wirksamkeit der gufw konkret prüfen kann, der verzichtet auf dieses Programm und erstellt sich einen maßgeschneiderten Paketfilter mit iptables oder nftables.
Zu dns-crypt-proxy kann ich nicht viel sagen. Wenn es aber das ist, was ich vermute, nämlich DNS über https, dann verzichte ich liebend gerne darauf, weil ich denke, dass das meinem Interesse an Datenschutz konkret zuwider läuft. Ich habe das in meinem Browser jedenfalls konkret und vorsätzlich deaktiviert.
jm2c