Werden eingehende IP-Adressen zu den VPN Servern gespeichert (und ggf. rausgegeben)?

[Hoever]

Ist es möglich, eingehende IP-Adressen zu den VPN Server herauszufinden? Falls ja, werden die herausgegeben (z.B. auf Behördenwunsch)?

Beispiel:
Benutzer A verbindet sich aus Russland zum VPN Standort Erfurt. Die Polizei weiß, dass Benutzer A aus Russland kommt und kennen die IP-Adresse von seinem VPN Server. Also stellen sie eine Anfrage bei euch und dem ISP vom Standort Erfurt (hier: Keyweb AG), um alle eingehenden IP-Adressen (meistens sind das die echten IP-Adressen) zu erhalten, um damit (für den sehr unwahrscheinlichen Fall) die eine eingehende IP-Adresse aus Russland zu erhalten (wir gehen jetzt mal davon aus, dass sich tatsächlich nur einer aus Russland verbunden hat). Schließlich möchten sie ja nichts unversucht lassen und gehen alles mögliche durch.

Würde das so durchgehen, bzw. würdet ihr oder der ISP alle eingehenden IP-Adressen zu den jeweiligen VPN Servern rausgeben (falls diese denn geloggt werden, was ja eigentlich der Fall sein müsste, weil irgendwie muss man ja auf die Server zugreifen; ähnlich wie beim Aufruf einer Website)?

 

[kafka]

Meines Wissens nach kann nichts herausgegeben werden, da eine interne VPN-IP vergeben wird auf den Servern und nicht die Echte.
Bedeutet aus deiner echten IP 123.123.123. wird die interne VPN-IP (für die PP Server) 0.8.15.
Es kann also nicht mehr wirklich abgeleitet werden wer was macht.

Allerdings kann durch eine Instanz die "von oben" schaut den Netzverkehr filtern - dazu können sich Behörden, ohne überhaupt den VPN Provider zu befragen oder zu informieren Zugang zum Server direkt verschaffen respektive über remote. Dann können die Behörden durchaus durch Timeouts das zurück verfolgen, wurde auch schon einige Male hier besprochen. Das ist aber ein Anwendungsszenario für ein wirkliches "High Target", weil aufwendig.

Perfect-Privacy ist insoweit eine ganz normale Firma. Sie muss (und gibt) Daten heraus die sie hat, allerdings verbietet ihr (noch) niemand einfach nichts zu loggen und zu protokollieren. Und die Aussagen bspw. in dem Interview vor einigen Jahren sind die Nutzer von PP auch soweit im Gros normale Leute die sich einfach dem klassischem "Überwachungskapitalismus", worunter auch DNS Protokollierungen der ISP fallenm entziehen möchten.

 

[Rainer]

Ist es möglich, eingehende IP-Adressen zu den VPN Server herauszufinden? Falls ja, werden die herausgegeben (z.B. auf Behördenwunsch)?

Beispiel:
Benutzer A verbindet sich aus Russland zum VPN Standort Erfurt. Die Polizei weiß, dass Benutzer A aus Russland kommt und kennen die IP-Adresse von seinem VPN Server. Also stellen sie eine Anfrage bei euch und dem ISP vom Standort Erfurt (hier: Keyweb AG), um alle eingehenden IP-Adressen.........

In der Praxis werden solche Ermittlungen von speziellen Polizei-Dienststellen erledigt, die dann beim jeweiligen Rechenzentrum anfragen, z.B. Keyweb AG, und erwirken, alle ein- und ausgehenden Verbindungsdaten vom VPN-Server protokolliert werden - nicht der Inhalt, aber die IP-Adressen. Durchaus mögllich, dass das die Rechenzentrem sowieso schon machen, um z.B. Angriffe abzuwehren, Sicherheit im Betrieb zu gewährleisten. Den Inhalt kann man immer noch ausleiten lassen, fraglich was der einem nützt, wenn die Daten verschlüsselt sind, z.B. https.

Siehe auch Sky ECC, wo in Frankreich ein Hoster über "mehrere Jahre" sogar alle Verbindungsdetails (Inhalte) auf Verlangen der französischen Behörden mitgeschnitten u. diese an die Behörden ausgeleitet hat. Übrigens nicht nur blind von Außen, sondern live detection. Man musste, was auf dem Server passiert! Und ja, wir sprechen hier über die Inhalte, nicht wie von mir oben beschrieben das mildere Szenario, wo durch die Verbindungsdaten aufgezeichnet werden.

Vor Jahre hatten hier im PP Forum Nutzer argumentiert, selbst das Aufzeichnen von Verbindungsdaten (IP-Adressen) wäre für ein Rechenzentrum aufgrund der Datenmenge "unmöglich". Dies sei absolute Quatsch und Panik-Macherei. Tja - getäuscht! Das Argument fand ich vor 10 Jahren schon lächerlich. Leider gibt es diese Beträge nicht mehr, weil das PP-Forum irgendwann zurückgesetzt wurde.

Zurück zu deiner Frage:

eine Instanz die "von oben" schaut den Netzverkehr filtern - dazu können sich Behörden, ohne überhaupt den VPN Provider zu befragen oder zu informieren Zugang zum Server direkt verschaffen respektive über remote. Dann können die Behörden durchaus durch Timeouts das zurück verfolgen, wurde auch schon einige Male hier besprochen.

Da wird es in Zeiten weltweiten Terrorismus etliche Angriffsszenarien geben. Wäre ja lächerlich bis aberwitzig, wenn ersthaft spezialisierte Ermittlungsbehörden die interne Kommunikations-Umleitung (Ex-IP in den VPN-Server, Interne-IP-des-Servers, Ext.IP-des-Servers) nicht korrelieren könnten. Und wenn man gar nichts kann, dann wenigstens durch schlichte Time-Outs, also gewisse IP-Adresse von Außen nicht mehr durchleiten um zu schauen, welche eingehende IP-Adresse weiterhin "durch den Server" nach Außen kommuniziert. Lächerlich, wenn das nicht möglich wäre.

Ich denke sogar, dass der VPN Anbieter es nicht merken kann, wenn man einen Server im RZ infiltriert, d.h. live beobachten kann. Siehe Sky ECC. Sky ECC hat es auch nicht gemerkt, über Jahre hinweg. Das Rechenzentrum war natürlich eingeweiht.

Da man im Verborgenen arbeitet, wird man 08-15 Geschichten nicht verfolgen, aber wenn es um schwerwiegende Kriminalität, Drogenhandel etc. geht, dann werden sich Staaten nicht durch VPN Anbieter ausbremsen lassen.

Nachtrag: Möglichst anonym eine E-Mail schreiben, eine ggf. provokative Internet-Bewertung verfassen, einen Tausch-Zirkel für Musik betreiben, im Usenet etwas hochladen, gegenüber einem normalen Webseiten-Betreiber unentdeckt bleiben, das ist alles Kleinkram. Dageben kann ein VPN schützen.

 

[theoth]

Mich würde ja mal interessieren, wie gut diese "Spezialisten" in den Dienststellen sind.
Ich habe nicht den Eindruck, daß es die besten Leute zum Staat zieht; das war zu Kaisers Zeiten mal so...
Kenne persönlich mehrere, die bestimmt nicht dort arbeiten, weil sie gerne Herausforderungen im Job suchen.

 

[Rainer]

Mich würde ja mal interessieren, wie gut diese "Spezialisten" in den Dienststellen sind.

Zum einen nimmt der Staat als Beamte ja nicht "jeden" auf, man durchläuft aufwendige Bewerbungs-und Bewährungsprozesse. Bis man Beamter wird, vergehen Jahre! Beamter kann nicht jeder werden. Daher genießen Beamte bestimmte Privilegien: z.B. PKV oder Pension. Diesen "sozialen Schutz" bekommt man natürlich nicht geschenkt, sondern man "begleicht" diese Vorteile mit einer geringeren Besoldung/Bezahlung. Soll heißen:
- Beamte, die gut/ sehr gut qualifiziert sind, verdienen beim Staat weniger.

Kenne persönlich mehrere, die bestimmt nicht dort arbeiten, weil sie gerne Herausforderungen im Job suchen.

So ist es!
Je nach inneren Einstellung gibt es aber durchaus einfrige Staatsdiener, d.h. fleißige Beamte, die Spaß an ihrem Job haben und auch "mehr leisten wollen". Es ist also durchaus möglich oder üblich, dass bei bestimmten Ermittlungstätigkeiten der Ehrgeiz eines Beamten geweckt wird, schließlich arbeitet man für eine gute Sache - für die Sicherheit des Staates, für den Schutz der Bevölkerung, für Gerechtigkeit. Ich denke das ist auch die Motivation, bspw. bei der Polizei anzufangen. Da geht es gar nicht um die soziale Sicherheit - man ist ordnungsliebend und interessiert sich für Sicherheit und Regelwerke. Das ist durchaus ehrenvoll und verdient Anerkennung. Aber klar ist auch: Wer eigene "Herausforderungen" liebt und gerne "sein eigenes Ding" durchzieht, der wird nicht beim Staat anheuern.

In unsicheren Zeiten, schwache Automobilindustrie, Kriegs-Angst, akute Bedrohungen aus Russland, hybride russische Kriegsführung, bekommt der Staat aber wieder mehr Bewerbungen. Und der Staat bietet einen weiteren Vorteil: gute Kombi mit der eigenen Familienplanung. Fazit: Der Staat bleibt als Arbeitgeber attraktiv.

Mich würde ja mal interessieren, wie gut diese "Spezialisten" in den Dienststellen sind.

Das hängt dann auch davon ab, welche z.B. finanziellen Mittel man den Dienststellen überlässt, mit welchen Gesetzen man was machen darf. Siehe Sky ECC: In Frankreich darf man in einem Rechenzentrum jahrelang Server "überwachen" / live detection betreiben.

Man kann IT-KnowHow aber auch zukaufen, sich beraten lassen, Beamte schulen lassen, eigenen Experten ausbilden, die das Wissen weitergeben. Daher sind wir in Deutschland ja auch auf Amerika angewiesen, weil der BND allein unser Land nicht schützen kann - wir brauchen und nehmen die Unterstützung anderer Länder an, was sicherlich auch unerlässlich ist.

Man sollte Ermittlungsbehörden daher nicht unterschätzen.
Auch gut funktionierende Geheimdienste sowie deren internationale Vernetzung sind für einen funktionierenden Staat und unser Land unerlässlich

 

[Honk]

Meines Wissens nach kann nichts herausgegeben werden, da eine interne VPN-IP vergeben wird auf den Servern und nicht die Echte.
Bedeutet aus deiner echten IP 123.123.123. wird die interne VPN-IP (für die PP Server) 0.8.15.
Es kann also nicht mehr wirklich abgeleitet werden wer was macht.

Der ISP kann durchaus die domestic IP den Nutzers sehen.

Es gibt hier einen Beitrag, der sehr gut erklärt, warum ein 2er-Hop sinnvoll ist. Leider habe ich diesen Beitrag nicht gespeichert, es war eine zweiteilige Antwort auf eine bestimmte Frage und der erste Teil ist ein Plädoyer für Multihopping. Vielleicht kann der Poster den ersten Teil hier nochmal posten.

 

[Honk]

Der ISP kann durchaus die domestic IP den Nutzers sehen.

Das sollte heißen: Der ISP kann die IP-Adresse des ersten Hops sehen, die intern vergeben IP spielt hier keine Rolle.
Mit Trackstop wird etwas schwieriger für den ISP, ein zweiter Hop ist hier aber der sicherste Weg.

 

[theoth]

Die ganze Diskussion ist natürlich akademisch, denn es nutzt dem ISP nichts.
Da auch auf port 443 vpn möglich ist, ist es sogar für den ISp unverdächtig, es sei denn er macht Packet-inspection.
Warum sollte er das ohne Grund tun?

Evtl. strafrechtlich relevante Verbindungen gehen zunächst mal auf die Ausgangs-IP des VPN-Providers zurück.
Strafverfolgungsbehörden müßten also erstmal juristisch die Möglichkeit erhalten, den VPN-Provider zur Mitarbeit zu verdammen, was wiederum bei ausländischen Standorten ziemlich aufwendig/unmöglich sein dürfte.

Ich glaube nicht, daß z.B. Moskau mit dem Westen kooperieren würde und auch bei anderen Standorten habe ich meine Zweifel.
Kommt eine Kaskade hinzu, wird es nochmal komplizierter; dann müssen schon drei Staaten eng zusammenarbeiten.
Und was ist bei zwei Kaskaden...?

Zwar sind die Leute bei den Strafverfolgungsbehörden vermutlich besser ausgebildet, als die meisten unserer Abgeordneten, aber trotzden dürfen auch dort jede Menge Pfeiffen untergekommen sein, denen z.B. der Unterschied zwischen ipV4 und ipV6 nicht klar ist.

Hier im Forum gab es ja mal eine Bemerkung dazu, daß z.B. bei Filesharing noch nie ipV6 adressen angemahnt wurden. Das ging zumindest damals alles unerkannt über die Bühne...

 

[Rainer]

Ich glaube nicht, daß z.B. Moskau mit dem Westen kooperieren würde und auch bei anderen Standorten habe ich meine Zweifel.

Man muss nicht unbedingt kooperieren:

1. Einschränkung: Unterscheiden muss man, ob der jeweilige VPN Server via live detection "überwacht" wird, d.h. was auf dem Server genau passiert, d.h. zugeordnet werden kann, welche eingehende Verbindung welche ausgehende Verbindung verursacht. Wenn z.B. ein VPN Anbieter überwiegend alle Server bei einem Hoster betreibt, dann ist die Überwachung noch wesentlich einfacher, da die Server oft "physisch" gar nicht im jeweiligen Exit-Land stehen, sondern dort nur per IP-Transit ausgeleitet werden. D.h. Server-Anbieter X hat physisch gar keine Server in Russland stehen, da die Kosten, Infrastruktur u. Sicherheit dem entgegenstehen ==> und die Verbindungen werden dort nur als länderspezifische IP-Adresse "ausgeleitet". Das hat NICHS damit zu tun, ob ein Server nur "virtual" betrieben wird oder tatsächlich alleine betrieben wird. Die Server stehen z.B. alle in Frankreich. Der Kunde kann das von Außen entweder gar nicht oder kaum erkennen. Hier ist eine Überwachung der Server erleichtert möglich. Der Sinn einer Kaskade durch unterschiedlich physisch-gelagerter Server, so wie man sich diese als Nutzer von Außen vorstellt, ist damit nicht mehr gegeben.

2. Einschränkung: Ein globaler Überwacher analysiert den Datenverkehr nicht physisch "vor" und "nach" dem Server, er kann den Datenverkehr auch an großen Transit-Stellen / Knotenpunkten aus überwachen und so sämtliche Verbindungen dem jeweiligen VPN Server zurechnen. Eine Zusammenarbeit mit dem Exit-Land, z.B. russland, ist nicht erforderlich. Das alleinige Einbindungen eines Russ-Servers bringt keine Anonymimtät im engeren Sinne. Das kann sicherlich keine normale Behörde. Anders herum: es ist notwendig, um unsere westlichen Ländern Schutz zu bieten, z.B. russische Aktivitäten aufzudecken etc.

Die ganze Diskussion ist natürlich akademisch, denn es nutzt dem ISP nichts.

Nachtrag: Da hast du natürlich recht. Wenn es um Anonymität gegenüber dem ISP geht, dann ist man mit einer zusätzlichen Kaskade immer gut aufgestellt.

 

[nul-v2]

Vollständigkeitshalber will ich sagen, das schon öfters erwähnt wurde, das PP die server tatsächlich in dem Land vor Ort hat und nicht irgend eine exit Adresse (da es mit Sicherheit Anbieter gibt, die dein Szenario haben und nur so tu, als wenn es unzählige Server in allen Ländern der Welt gibt. Wer 2+3 ohne Taschenrechner zusammen bekommt weiß natürlich auch, das solche Server sehr viel Geld kosten + sehr viel Personal für Wartung... anfällt. Und das angeblich für 1,49 oder so pro Monat. Wer es glaubt).

 

[Rainer]

Vollständigkeitshalber will ich sagen, das schon öfters erwähnt wurde, das PP die server tatsächlich in dem Land vor Ort hat und nicht irgend eine exit Adresse

Genau das hatte ich auch so in Erinnerung - allerdings dafür, dass die PP-Server decidated Server sind, also mit eigener Hardware laufen und nicht primitiv leicht überwachbare Virtuelle Server-Instanzen (Belege habe ich dafür auf der PP-Seite nicht mehr für gefunden, früher hat PP das beworben, wenn es noch jemand sieht, bitte verlinken). Wobei man bedenken muss, dass die Server von SkyECC auch dedicated-Server waren und eine problemlose Überwachung per live detection möglich war, und das über 2-Jahre hinweg, ohne das es irgendein Server-Admin von SkyECC bemerkt hätte . Das lässt sehr tief blicken, wie in Sicherheit vertraut wird, bis ein 'öffentlich' gewordener Fall beweist, was alles möglich ist. Mit virtuellen Instanzen, wie von PP eben nicht verwendet, ist Anonymität/Vertraulichkeit für mich nicht gegeben.

Und meiner Meinung nach nein: existierende dedicated-Server, heißt allerdings nicht, dass der Server "physisch" im jeweiligen Land stehen "müssen". Wie gesagt, selbst über Routing der Server, kann man das nicht zweifelsfrei überprüfen, da es interne Verbindungen des gleichen Hosters/RZ zwischen Haupt-Rechenzentrum X und deren einzelnen Locations/Ländern, wo der IP-Exit erfolgt, gibt. Soll heißen: Hoster X betreibt eigene Netze/Transit, mehrere Standorte, vernetzt diese intern. Soll heißen: Ist es der gleiche große Hoster mit sehr vielen Standorten, muss man auf die Angabe des Hosters vertrauen, das die Server auch da "physisch" stehen, wo sie stehen sollen. Im Zweifelsfall hat man für sich als Kunde mehrere Hoster zur Auswahl .

Und das angeblich für 1,49 oder so pro Monat. Wer es glaubt).

Sehe ich auch so. PP holt schon das Beste raus und ist kein Billig Anbieter.

Ich persönlich nutze PP im Prinzip rein wegen Geoblocking und im öffentlichen Wlan. Dafür würde streng genommen ein Billig-Anbieter reichen. Dann hätte ich allerdings nicht die Vorteile von PP wie z.B. den SSH-Manager und eben das zusätzliche Vertrauen, dass keine z.B. virtuellen Server verwendet werden. Bei einem extrem billigen VPN Anbieter hätte ich da meine Zweifel und nach andere Nachteile, wie ggf. überlastetere Server mit Capchas...

 

[Rainer]

Dafür würde streng genommen ein Billig-Anbieter reichen.

Ich wollte schreiben: Dafür reicht mir kein Billig-VPN-Anbieter, weil.....

 

[hallowelt2]

Genau das hatte ich auch so in Erinnerung - allerdings dafür, dass die PP-Server decidated Server sind, also mit eigener Hardware laufen und nicht primitiv leicht überwachbare Virtuelle Server-Instanzen (Belege habe ich dafür auf der PP-Seite nicht mehr für gefunden, früher hat PP das beworben, wenn es noch jemand sieht, bitte verlinken).

VPN Server Standorte und Status | Perfect Privacy

Perfect Privacy hat für Sie Premium VPN Server in mehr als 20 Ländern zur Verfügung gestellt ✓ Jetzt schnell & anonym mit allen Kontinenten verbinden!

www.perfect-privacy.com

Gleich im Text ganz oben