Anonym im Internet – geht das? Virtuelle private Netze

Virtuelle private Netze verstehen - Private Netze

Vielleicht haben Sie es schon einmal bemerkt, dass die IP-Adresse, die Sie lokal bei sich am Computer verwenden eine andere ist als diejenige, mit der Sie im Internet unterwegs sind. Der Grund dafür ist, dass Sie sich zu Hause in Ihrem privaten Netzwerk aufhalten. Alle Ihre Geräte haben IP-Adressen, die nur innerhalb dieses privaten Netzes Gültigkeit besitzen. Im Internet erscheinen die Adressen zu keiner Zeit.

Was aber geschieht, wenn wir mit einem unserer Geräte ins Internet gehen? Zwischen unserem Heimnetzwerk und dem Internet sitzt der Router. Falls wir eine Internet-Seite aufrufen, ist er dafür verantwortlich, die IP-Adresse aus dem privaten Netzwerk in eine Internet-IP-Adresse umzuwandeln, die Anfrage zu stellen und das Ergebnis dann an den Aufrufer zu geben. Den Vorgang der Adressumwandlung nennt man im Fachjargon Network Address Translation, oder kurz NAT. Der Router schafft es dabei übrigens, dass alle Geräte des privaten Netzes unter derselben Adresse im Internet erscheinen. Die Rückzuordnung ist aber natürlich eindeutig und geschieht über die Portnummer – wäre sie nicht eindeutig, könnten Sie nie mit zwei Geräten zeitgleich in das Internet.

Sie können über den Befehl "ipconfig" und die Seite www.myip.is selbst verifizieren, dass sich die private und die im Internet genutzte IP-Adresse voneinander unterscheiden. Nachfolgendes Bild zeigt die verwendeten Adressen meines Rechners. Das Kommando "ipconfig" hatte ich bereits hier genutzt und erkläre ich daher nicht weiter.

In der Menge aller möglichen IP-Adressen sind mehrere Adressbereiche speziell für die Nutzung in privaten Netzen reserviert. Dazu gehört zum Beispiel der Bereich von 192.168.0.0 bis 192.168.255.255. Diese Adressen werden für Rechner im Internet nicht vergeben, sind im Internet nicht sichtbar und werden von den Knoten im Internet auch nicht weitergeleitet – falls doch einmal irgendjemand im Internet versehentlich die Adresse nutzen würde. Damit ist es kein Problem, wenn zwei private Netze jeweils dieselben IP-Adressen nutzen. Es wird niemals zur Kollisionen kommen.

Private Netze kann man sich zusammenfassend also als in sich abgeschlossene Netze vorstellen, unabhängig vom Internet und von allen anderen privaten Netzen.

Virtuelle private Netze

Nun stellen wir uns vor, dass wir zwei weit voneinander entfernte Rechner in ein gemeinsames privates Netzwerk packen wollen. Beispielsweise wollen wir einem Bekannten Zugriff auf unsere Musiksammlung geben oder mit ihm gemeinsam ein Computerspiel spielen. Da wir die betroffenen Rechner nicht an das selbe Kabel bringen, müssen wir sie virtuell, d.h. per Internet, zusammenbringen. Wir erschaffen ein sogenanntes virtuelles privates Netzwerk (kurz: VPN). Dabei nutzen wir das Internet quasi als Datenkabel. Die Datenpakete, die zwischen den zwei Rechnern des virtuellen privaten Netzwerks ausgetauscht werden müssen, schicken wir einfach über das Internet. Wir packen die Datenpakete also schlicht noch einmal in Datenpakete, versehen sie mit der Internet-IP-Adresse des Bekannten und schickt sie auf die Reise. Das nennt man "tunneln", da wir bildlich gesprochen einen Tunnel zwischen den beiden privaten Rechnernetzen durch das Internet aufgebaut haben, über den wir die privaten Datenpäckchen schleusen. Die äußeren Pakete sind für den Transport über das Internet, die inneren sind der Datenaustausch im privaten Netz.

Und damit nicht jeder sieht, welche privaten Datenpakete da über das Internet wandern, verschlüsselt die VPN-Software das Ganze. 

Neben der Musiksammlung und dem gemeinsamen Spielen kann derjenige, auf dessen privates Netz wir per VPN zugreifen, uns auch einen Internetzugang anbieten. Und damit wird es aus Sicht der Anonymität interessant.

Virtuelle private Netze aus Sicht der Anonymität

Sehen wir uns diesen Fall genauer an. Wir verbinden uns also mittels eines virtuellen privaten Netzwerks zu einem Anbieter, der uns in seinem Netz einen Internetzugang bereitstellt. Dies bedeutet, wir sind mit der IP-Adresse seines Routers im Internet unterwegs. Unsere eigene Internet-IP-Adresse taucht lediglich beim Austausch der VPN-Pakete in den Logdateien des Providers auf – und da der Inhalt der Pakete verschlüsselt ist, kann unser Provider keinerlei Aussagen darüber treffen, was dort denn nun über die Leitung wandert.

Damit haben wir bereits einen möglichen positiven Seiteneffekt eines VPN. Es gibt in letzter Zeit vermehrt Provider, die gezielt eine Analyse des Datenverkehrs durchführen und bei Anwendern, die beispielsweise über Peer-to-Peer Netzwerke Dateien austauschen, die Bandbreite bewusst drosseln. Dies ist bei Nutzung eines VPN nur schwer möglich.

Ein weiteres Problem erledigt sich ebenfalls mit dem Einsatz eines VPN. Wenn wir uns an die Technik des anonymen Proxy zurückerinnern, hatten wir dort die Schwierigkeit, dass Browser-Plugins möglicherweise unaufgefordert unsere echte IP-Adresse senden. Bei Einsatz eines VPN ist das nicht mehr möglich, da ohne Ausnahme die gesamte Internet-Kommunikation über das virtuelle Netz läuft.

In der Praxis ausprobiert

Nach diesem doch recht umfangreichen theoretischen Teil wird es höchste Zeit, das Ganze einem Praxistest zu unterziehen. Eines vorweg: das Einrichten eines VPN erfordert in der Regel die Installation einer Software. Sollten Sie dabei Bedenken haben, können Sie mit einer virtuellen Umgebung arbeiten. Die nachfolgend eingesetzte Software können Sie aber auch problemlos wieder deinstallieren.

Für unseren Praxistest reicht ein kostenloses VPN-Angebot. Diese Angebote sind werbefinanziert oder von ihrer Geschwindigkeit bzw. ihrem Volumen her beschränkt. Wenn Sie gezielt nach Angeboten mit der Suchmaschine Ihrer Wahl suchen, werden Sie eine ganze Reihe von Anbietern finden. Ich habe mich nachfolgend für http://www.securitykiss.com/ entschieden. SecurityKISS erlaubt in der kostenlosen Variante ein Volumen von 300 MB pro Tag – mehr als genug für unsere Zwecke.

Öffnen wir also deren Webseite und starten den Download. Anschließend beginnen wir mit der Installation. Falls dabei Ihr Virenscanner anschlägt, müssen Sie ihn für ein paar Minuten deaktivieren. Keine Angst - die Software ist garantiert virenfrei.

Nach erfolgreicher Installation startet sich die Anwendung direkt und zeigt eine angenehm übersichtliche Oberfläche.

Über den Button zur Serverauswahl rechts unten öffnen wir nun eine weitere Maske, in der uns eine Menge an Servern zur Auswahl angeboten werden. Mit der Auswahl des Servers legen wir automatisch auch fest, aus welchem Land wir unsere Internet-Anfragen absetzen. Wir wählen versuchsweise "Los Angeles" und starten mit "Connect" den VPN Verbindungsaufbau. Nach einigen Sekunden wechselt der Status der Anzeige von "Disconnected" auf "Connected". Daraufhin können wir ein Browserfenster öffnen und uns mit unserer neuen IP-Adresse in das Internet stürzen.

Um zu verifizieren, ob wir nun tatsächlich mit einer anderen Internet-IP-Adresse unterwegs sind, bemühen wir http://www.ip-secrets.info. Die Seite http://www.ip-secrets.info/trace.php zeigt die Herkunft unserer IP-Adresse – und in der Tat ist es Los Angeles.

Da wir nun amerikanische Surfer sind, können wir auch Angebote nutzen, die nur für Amerika bestimmt sind. Prominentes Beispiel ist das Video-Portal Hulu, das einige kostenlose Filme anbietet.

Vollständig anonym?

Ein VPN-Zugang scheint nach dem bisher Gesehenen das Mittel der Wahl, um in jedem Fall anonym zu bleiben. Aber wen wundert's - einige kleinere Haken hat die Sache dann doch.

• Falls die VPN-Verbindung unerwartet zusammenbricht, kann es sein, dass wir urplötzlich doch mit unserer IP im Netz sind. Ist nämlich der Tunnel weg, leitet unser Router alle Anfragen wie gewohnt direkt ins Internet.
• Wir müssen dem VPN-Anbieter vertrauen. Denn zum einen kennt er unsere echte Internet-IP. Zum anderen kann er natürlich unserer Aktivitäten haarklein mit protokollieren. Viele Anbieter versprechen natürlich, nur minimale Aufzeichnungen zu führen. Ob das allerdings stimmt, weiss man nicht. Und auch hier gilt: bei schweren Straftaten wird der VPN-Anbieter zur Aufklärung beitragen.

SecurityKISS schreibt beispielsweise zum Thema Protokollierung:

Wir speichern den Verbindungs-/Trennungszeitpunkt, IP-Adressen und das Übertragungsvolumen, um die Verwendung durch die Benutzer zu kontrollieren.

Detaillierte Logbücher werden nach 10 Tagen automatisch gelöscht. Die einzige Information, die für eine längere Zeit gespeichert wird, ist das Gesamtvolumen.

Die Königsklasse: Verkettung anonymer Dienste

Ist damit auch die VPN-Lösung aus Sicht der Anonymität eine Sackgasse? Nun, falls wir mit einem einzelnen VPN noch immer nicht ganz anonym sind, können wir uns eines einfachen Tricks bemühen: wir verketten die bisher kennengelernten Techniken.

Wir können beispielsweise über ein VPN in das Internet gehen und dort einen anonymen Proxy nutzen, um darüber dann zu surfen. Natürlich achten wir darauf, dass sowohl VPN-Anbieter als auch anonymer Proxy in verschiedenen Ländern stehen. Die dadurch erreichte Anonymität ist zwar theoretisch noch auszuhebeln, praktisch aber nicht mehr aufzudecken.

Weiterhin denkbar ist es, einen Rechner per VPN in das Internet zu bringen, um dann darüber ein weiteres VPN zu nutzen. Dieses VPN im VPN hat den Vorteil, dass der erste VPN-Anbieter zwar unsere originale Internet-IP-Adresse kennt, jedoch keine Ahnung hat, wohin wir surfen. Der zweite VPN-Anbieter wiederum weiss zwar, wohin wir surfen, sieht jedoch nur die Internet-IP-Adresse des ersten VPN-Anbieters. Kombiniert mit einer geschickten Länderwahl sind wir damit auf der sicheren Seite.

Sie sehen, es sind wirklich beliebige Kombinationen aus VPN und anonymen Proxy denkbar. Es handelt sich lediglich um eine Geld- und Geschwindigkeitsfrage. Je mehr Dienste sie koppeln, umso langsamer und teurer wird das Ganze. Problematisch könnte es werden, falls die kombinierten Dienste bezahlt werden wollen – schließlich wollen wir anonym bleiben und können daher schlecht überall unsere Kreditkartendaten hinterlegen. Aber dies ist ein anderes Thema.