[solved] internet traffic verschluesseln ueber root server

[krolik26]

hallo leute,

wie schon aus meinem titel ersichtlich ist,
moechte ich gerne mein http traffic (vielleicht auch einige anderen dienste, wie z.b. icq, msn und mail)
verschluesselt über mein Gentoo root-server übertragen. sprich: mein root-server soll proxy / tunnel sein.
ich hab mich natuerlich vorher gruendlich ueber das thema informiert,
aber leider konnte ich mir einige fragen nicht selbst beantworten,
weshalb ich mich auch hier an euch wende. evtl kann mich hier jemand darueber aufklaeren.

mein erster gedanke war, ein Proxy-server auf mein rooty zu installieren,
HTTP-proxy wuerde nicht in frage kommen, weil es keine verschluesselung hat. (ausser https?)

danach viel mir noch ne loesung mit Sock's-proxy.
nach gruendlichem lesen von RFC's & Wiki zum thema Socks, konnte ich aber leider nichts ueber verschluesselung erfahren.
frage 1: ist Socks 5 protokoll verschluesselt, oder haengt es vom proxy-server ab,
bzw. von der methode wie man das protokoll anwendet,
also ueber normalen proxy-server oder ssh-tunnel. (beim ssh-tunnel bin ich mir sicher dass die verbindung verschluesselt wird...)

frage2: falls ich was ueberlesen hab oder einfach das RFC nicht verstanden hab,
und falls das SOCKS 5 verschluesselt ist, stellt sich dann die frage, welchen proxy ich nehmen soll,
ich habe einige zur auswahl gefunden:
a) nylon klein & simple
b) dante

zu a): dieser proxy hat mir sofort gefallen,
allerdings hab ich leider die authentifiezierung bei diesem programm vermisst.
kann mir jemand sagen ob es sowas hat, wenn nicht, wie man dann sowas einrichten kann.
zu b): maechtiger proxy, wahrscheinlich schon zuviel fuer meine beduerfnisse. hat dafuer eine authentifiezierung mit pam. hat jemand schon erfahrung mit?

nach einigen recherchen kam ich auch auf ein ssh-tunnel als moeglicher ansatz fuer mein vorhaben, das auch von openssh angeboten wird.
vorteil bei diesem ansatz: ich brauche keine zusatz software auf dem server zu installieren.
problem: ich muss den ssh-tunnel von client-seite einrichten, oder doch nicht?...
frage3: gibt es eine moeglichkeit ein ssh-tunnel von der server-seite einzurichten
(damit ich nur im Browser mein server als Socks-proxy angeben brauche), und gibt es die moeglichkeit dort eine authentifizierung einzubauen.


naechste moeglicheit: openvpn
kann ich mir gut vortstellen.
vorteil: vpn-verbindung auf der client-seite einzurichten ist nicht schwer (zumindest unter Win). wird verschluesselt.
nachteil: ich muss die verbindung immer zuerst aufbauen, um anonym zu surfen.
beim verbindungs-abbruch, was manchmal zu haeufig geschieht, muss ich die verbindung dann ebenfalls neustarten,
was man gegenueber einen eingetragenen Socks-proxy nicht braucht.

frage4: wenn ich openvpn auf meinem server einrichte, muss ich dann auch noch ein proxy auf dem server einrichten?
den wie ich das vpn-prinzip verstanden hab, steht mir dann einfach nur ein "inerner"-netzwerk zwischen client und server zur verfuegung,
aber den weiterleitungs-service muss ich ja dann noch auf dem server einrichten, oder nicht?
falls ja, dann hab ich es doppelt-gemoppelt. denn wenn der proxy schon von sich aus ne verschluesselung unterstuetzt,
wozu brauch ich dann ne vpn?


die authentifizierungs moeglichkeit ist fuer mich sehr wichtig,
da ich mein proxy/tunnel nur privat nutzen moechte, und nicht offen haben will.
iptables kommen leider nicht in frage, weil ich wie schon erwaehnt auch von anderen orten den zugriff brauche, und meine ip ist eh dynamisch...
am besten mit virtuellen benutzern, also keine user aus der shell, eher aus irgend einer db/config/etc...


ich habe mir natuerlich auch andere loesungen angeschaut, wie z.b. den einsatz von Tor oder JAP.
allerdings moechte ich es aus folgenden gruenden nicht verwenden:
1. es ist nicht flexibel genug fuer mich, sprich: ich muss es jedesmal installieren.
da ich aber von ueberall ein anonymen zugriff brauche (auch wenn ich unterwegs bin) kommt es nicht in frage,
da einige rechner einfach nicht die privelegien dazu haben eine software zu installieren.
2. die verbindung ist langsamer als die von meinem server, weil die verbindung von jemanden "gesponsort" wird.
3. die verbindung wird mit einem "jemand" aufgebaut, sprich: zu keiner vertraunswuerdigen quelle.
(auch wenn die verbindung verschluesselt wird, und dieser jemand kriegt nur "encrypted"-packete von mir.
ich bleibe leider weiter bei meinem paranoiden prinzip: ich traue keinem ausser meinem rechner&server)


wie ich es mir vorgestellt habe: ich richte mir einfach im Browser oder im sonstigem programm mein server als Proxy ein,
gebe benutzername&passwort ein, und die verbindung wird verschluesselt zu meinem server uebertragen,
von dort aus wird es natuerlich "plain-text" an das ziel weitergeleitet,
die antwort wird von meinem server empfangen, verschluesselt und wieder an mich gesendet.
damit z.b. mein provider das traffic nicht mitlesen kann.
ist es machbar? hat evtl. jemand nen tip oder auch gleich ne loesung fuer mich?


folgende seiten habe ich mir zu diesem thema gefunden & durchgelesen:
http://de.gentoo-wiki.com/Anonym_Surfen <- Tor
https://forums.gentoo.org/viewtopic-t-269815.html <- Tor
https://forums.gentoo.org/viewtopic-t-527493.html <- ssh-tunnel / tsocks
http://thesmithfam.org/blog/2006/07/27/setting-up-a-socks-server-with-ssh/ <- ssh-tunnel
http://ubuntu.wordpress.com/2006/12/08/ssh-tunnel-socks-proxy-forwarding-secure-browsing/ <- ssh-tunnel
http://www.linux.com/article.pl?sid=06/09/05/190250 <- ssh-tunnel

gruss
b166er

[think4urs11]

Deinem Anforderungsprofil nach (sollte möglichst immer überall funktionieren, am besten ohne Extra Aufwand und auf Rechnern auf denen keinerlei Software nachinstalliert werden kann) würde ich zu etwas wie CGIProxy raten.

- wird auf deinem Server als https://mein.server.de/bis_hierhin_und_nicht_weiter/nph-proxy.cgi installiert
- egal wer den Traffic deines Clients mitprotokolliert er wird nur genau diesen Aufruf sehen, alles andere läuft innerhalb des SSL-Tunnels ab
(zwischen dem Client an dem du sitzt und deinem Server - von deinem Server zum eigentlichen Ziel natürlich weiterhin ganz normal)
- sollte für praktisch alles was http ist funktionieren
- Authentisierung gegen deinen Server nach Belieben - du kannst alles nutzen was apache zu bieten hat bis hin zu einem Clientzertifikat mit Ablaufdatum 48h und 40-stelliger Passphrase - nur mal so wg. der Paranoia erwähnt *g*

Wenn du aber einen richtigen Tunnel brauchst wirst du nie darum herumkommen diesen vom Client zum Server hin aufzubauen, wie soll es auch anders gehen... der Server kann ja schlecht erahnen wo du gerade bist
(ja ok, Server 'anklingeln' un dieser baut dann rückwärts einen Tunnel auf ginge evtl. aber das ist mehr Krampf als sinnvoll und im Zweifelsfall funktioniert es nicht weil du z.B. gerade hinter einem NAT, einem transparentem Proxy oder weiß der ... sitzt)

Im einfachsten Fall reicht dazu putty, das muß unter Windows nicht installiert werden da nur 1 .exe
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

[krolik26]

WoW! ist echt ne klasse idee!
werde ich wahrscheinlich auch verwenden. leider aber suche ich eine transparente loesung, auch fuer andere dienste/protokolle.
natuerlich kann ich statt icq, den jabber nehmen (was ich auch demnaechst machen werde)
und bei mail, von IMAP auf IMAP-TLS umsteigen. (werd ich auch bald machen)
trotzdem wuerde ich gerne in erfahrung bringen,
welche meiner vorschlaege am besten fuer meine anforderung passt.
und vorallem interessieren mich die loesungen auf meine fragen

trotzdem danke fuer den super tip!

gruss
b166er

[schmutzfinger]

Totaler Unfug! Anonym browsen kannst du mit JAP oder Tor. Alles was du vorschlägst bringt imho überhaupt garnix.
Ich würde sogar soweit gehen und sagen das du damit auf einen Schlag Anonymität verlierst. Mit deiner dynamischen IP kommst du hier im Forum jeden Tag mit ner anderen IP vorbei. Solange du kein Cookie hast wirst du nicht erkannt, man kann nur rausfinden wo du ungefähr wohnst und welchen Provider du hast. Wenn du auf einmal jeden Tag mit der selben IP kommst braucht man nichtmal Cookies/Login um dich zu erkennen.
Bei Tor und JAP kommen viele über einen Ausgang, du wolltest deinen Server allein nutzen... Ok vielleicht noch 2 Freunde oder 5. Mal ehrlich wird es schwer sein dich an deiner IP und deinem Browser zu erkennen?

Soviel zum Thema des Threads. Verschlüsselung zum Proxy ist auch fragwürdig. Sagen wir du hast nen Socks proxy für ICQ weil du nicht willst das irgendwer mitliest. Denn du vertraust ja nur deinem Server und deinem Desktop und keinem der Netze, durch die sich die Pakete bewegen. Das dumme ist nur das auch bei Verwendung von nem Proxy dein Server unverschlüsselte Pakete an andere ICQ-Kontakte und den ICQ-Server schickt. Wo ist denn jetzt der Unterschied ob es gleich der Client macht? Außer das es schwerer umzusetzen ist ... Ich würde sogar so weit gehen zu sagen das bei Verwendung eines Proxys noch mehr Leute mitlauschen könnten weil die Route nichtmehr optimal ist.
Sagen wir du chattest mit einem Freund in der gleichen Stadt über ICQ, der hat vielleicht sogar den gleichen Provider und sitzt im selben Subnetz. Jetzt kann das Gespräch nur von deinem Provider belauscht werden. Mach das über den Proxy in einer anderen Stadt/im Netz eines x-ten Providers. Jetzt haben Provider 1-x zwei Verbindungen zu routen, eine verschlüsselte und die selbe nochmal unverschlüsselt. Ok also haben wir jetzt auf einmal x Provider, die mithören könnten.

Und das beste ist das jeder an der IP sieht wer du bist. Vielleicht kann man die IP von deinem Server sogar rückwärts auf deine Domain auflösen. Dann muss man nur noch whois fragen und man kenn deinen Namen und weiß sogar wo du wohnst. Es lebe die Anonymität!

[krolik26]

ui, ja stimmt. hast auch vollkommen recht!
sorry, sorry sorry!

hab mich mal wieder falsch ausgedrueckt

ich moechte eigentlich nur meine verbindung von DSL verschluesselt auf/von meinen server weiterleiten.
ja das stimmt, dass man von aussen die ip von meinem server sieht, ist aber fuer mich nicht schlimm.
mir gehts nur um die komplette verschluesselte verbindung zwischen mir und meinem server,
dass ich dann quasie nur ueber diese verschluesselte verbindung ins internet gehe.
mir ist schon sehr wohl bewusst, dass der server die packete danach entschluesselt (plain-text)
an den ziel-server weiterleiten muss. das soll auch ruhig geschehen.

nochmal sorry, falls ich es falsch erklaert hab.
gaebe zu der begriff "anonym" ist zwei deutig in dem thema.
ich meinte eigentlich "anonym" mit verschluesselten-packeten
die zwischen meinem DSL und server stattfinden, damit sozusagen nicht gesnifft werden kann.
und das mit anderen routen & providern, dass diese dann plain-text lesen, ist mir auch bewusst,
ist aber wiegesagt nicht das problem.

hoffe mich hat jetzt jeder verstanden,
bzw. ich habs richtig erklaeren koennen

trotzdem vielen dank fuer dein beitrag,
evtl. wird manch-anderem klar,
wieso es nicht anonym ist (was aber auch nicht mein vorhaben ist).

ps: hab jetzt auch das thema des beitrages geaendert.
um keine weitere verwirrung anzustiften

gruss
b166er

[b3cks]

[STiGMaTa_ch]

[think4urs11]

Eine Stelle an der das ganze Sinn macht ist z.B. um auch von Kunden/Lokationen/etc. aus die sehr restriktive URL-Filter einsetzen trotzdem noch an (evtl. in dem Moment sehr wichtige) Daten/Seiten ranzukommen.
Mit anonym hat es weniger zu tun, mehr mit umgehen/unterlaufen der lokalen Security.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

[xraver]

[schmutzfinger]

[Haldir]

[Carlo]

[think4urs11]

[Haldir]

[think4urs11]

[krolik26]

ooohh jee.
erstmal vielen dank fuer eure antworten.
ich sehe schon, ich hab bei meinem glueck ein heisses thema angestossen.
wie man da schoen sagt: "Frag 100 Leute und Du bekommst 100 Antworten"
eigentlich waere ich schon sehr gluecklich mit,
wenn man einfach nur kurz jemand meine fragen beantwortet haette
oder wenigstens, ob SOCKS verschluesselt uebertraegt,
dann haett ich mir einfach schnell den "nylon" aufm server aufgespielt, und ich waere gluecklich

aber nun ja, wer noch ma seine meinung dazu abgeben moechte.
dann bitte schoen. ich lese gerne zu

gruss
b166er

ps: ich moechte keine hacken, ich habe auch keine boesen absichten,
ich will auch nichts illegales mit emule/torrent & co. saugen.
(hab zuhause eh keine kino-leinweind mit super Sound system,
und aufm 17' Monitor mit alten kopfhoerern werd ich mir sowas nicht antuen. da gehe ich lieber ins kino.
spielen tue ich schon seit langem nicht, bin nur ein einfacher php-programmierer, und begeisterter Gentoo user. mehr nicht.)
was ich will, ist einfach nur mein traffic-in/out (nicht nur http) bis zu meinem root-server verschluesseln. und am besten so einfach wie moeglich.

danke

[think4urs11]

[krolik26]

vielen dank fuer die schnelle und kurze antwort.

ich werd dann wahrscheinlich ein ssh-tunnel mit putty bauen, oder eine vpn einrichten.
muss ich mir noch ueberlegen was leicht und flexibel ist.

danke