Gegen Netzsperren: Mit VPN, Psiphon, Tor und Snowflake ins freie Internet
Anti-Zensur-Tools wie Psiphon oder Snowflake-Proxys ebnen Nutzern bei Netzsperren den Weg ins unzensierte Internet. Wir erklären die Technik dahinter.
(Bild: Romolo Tavani / shutterstock.com)
- Ronald Eikenberg
Findige Programmierer haben diverse Methoden entwickelt, um Netzsperren auf internationale Websites zu umgehen, wie sie derzeit etwa in Russland vorliegen. Betroffene können so weiterhin auf die gewünschten Inhalte zugreifen. VPN-Dienste sind zwar eine schnelle, aber nicht immer die beste Wahl. Mit Anti-Zensur-Tools wie Psiphon oder Tor und Snowflake ist auch unter schwierigen Bedingungen ein Zugriff aufs freie Netz möglich.
VPN-Dienste
Wenn Zugriffe auf bestimmte VPN-Dienste gesperrt sind, gibt es Ausweichmöglichkeiten zu VPN-Diensten von Unternehmen und Initiativen gegen Zensur. Außerdem kann man VPN-Tunnel in Eigenregie aufsetzen, beispielsweise über SSH zu Root-Servern im Ausland.
Kommerzielle VPN-Angebote sind eingeschränkt empfehlenswert. Zwar baut man mit VPN vom eigenen Internetzugang einen verschlüsselten Tunnel zum VPN-Server des Anbieters in einem beliebigen Land auf. Doch es bleibt ein Knackpunkt: Man muss dem Anbieter vertrauen.
Abstand nehmen sollte man deshalb von Gratis-Angeboten, denn hier gilt der alte Grundsatz „Wenn Du nicht der Kunde bist, dann bist Du die Ware“. Im besten Fall ist der Gratiszugang ein Lockversuch, um Kunden für kostenpflichtige Abos zu gewinnen, im schlechtesten Fall interessiert sich der Anbieter für die übertragenen Daten.
Bei Peer-to-Peer-VPNs wie Urban VPN erkauft man sich den Gratiszugang damit, dass man die eigene Internetverbindung mit anderen Nutzern teilt. So verwischt man zwar die eigenen Spuren, hinterlässt aber die eines anderen Nutzers. Spendenfinanzierte Gratisdienste wie RiseUp VPN wollen hingegen freie Kommunikationswege schaffen, die nicht von Unternehmen oder Regierungen kontrolliert werden.
Bei den kostenpflichtige Diensten ist es grundsätzlich eine gute Idee, sich an jede zu halten, die sich über die Jahre einen guten Ruf aufgebaut haben und nicht mit aggressiven Rabattaktionen auf sich aufmerksam machen. Ende 2021 haben wir elf VPN-Anbieter miteinander verglichen, die eine Verbindung über das besonders für den mobilen Einsatz geeignete WireGuard-Protokoll ermöglichen. Einen soliden Eindruck haben dort zum Beispiel AzireVPN, IVPN und Mullvad hinterlassen.
Anti-Zensur-Tool Psiphon
Bei der Umgehung von Internetzensur stößt VPN allerdings schnell an seine Grenzen. Mittels Traffic Fingerprinting ist der VPN-Verkehr sogar dann identifizierbar, wenn er unübliche Ports nutzt. Dann helfen spezialisierte Dienste und Tools weiter, auch in restriktiven Netzen eine Verbindung aufzubauen.
Die quelloffene Anti-Zensur-Software Psiphon probiert mehrere Verbindungswege und Server durch, bis die Verbindung schließlich steht. Zu den Verbindungswegen zählen ein VPN-Verfahren (L2TP mit IPsec), HTTP-Proxy und Obfuscated SSH (OSSH), welches darauf ausgelegt ist, nicht über Fingerprinting identifizierbar zu sein.
Der Psiphon-Client kennt immer nur so viele Serveradressen wie nötig, damit die vollständige Liste nicht öffentlich bekannt wird. Psiphon ist kostenlos nutzbar, die Geschwindigkeit ist auf 2 Mbit/s beschränkt, was aber zum Surfen ausreicht. Zudem gibt es moderate Werbung. Mehr Speed und Werbefreiheit kosten wenige Euro. Die Zugangs-Apps gibts auf https://psiphon.ca für Windows, macOS, Android und iOS.
Internationale Sender wie BBC und Deutsche Welle (DW), die von den Netzsperren unmittelbar betroffen sind, empfehlen Psiphon, um ungehindert auf deren Nachrichtenangebote zugreifen zu können. In die DW-App „Breaking World News“ ist Psiphon gar direkt integriert: Schaltet man in den Einstellungen „Proxy aktivieren“ ein, kommuniziert die App über das Anti-Zensur-Netz und ist so auch in Ländern nutzbar, die den Zugriff auf DW blockiert haben.
Tor zur Welt
Maximale Privatsphäre schafft am ehesten Tor: Zwischen Client und Internet wird der Traffic durch drei zufällig ausgewählte Relays geschleust, die jeweils nur die nächste Zielstation kennen, nicht aber die vollständige Route. Der Tor-Client verschlüsselt den Netzwerkverkehr mehrschichtig für die einzelnen Relays, damit jede Zwischenstation nur die Informationen sieht, die sie braucht. Kritisch ist der Exit Node, der den Tor-Verkehr ins normale Internet leitet: Auch er weiß zwar nicht, für welchen Nutzer er gerade arbeitet, doch er kann den Traffic Richtung Internet mitlesen und manipulieren.
Deshalb sollte man bei der Tor-Nutzung ausschließlich verschlüsselte Dienste nutzen, etwa das transportverschlüsselte HTTPS-Protokoll beim Surfen. Gibt ein Nutzer Daten freiwillig oder unbeabsichtigt einem Dienst im Internet preis – etwa, indem er sich irgendwo mit einem Account einloggt, der zuvor auch schon ohne Tor genutzt wurde, ist die Anonymität dahin. Weitere Hintergründe zum Tor-Browser liefert der Artikel Tor-Browser als sicherer Zweitbrowser.
Snowflake gegen Tor-Sperren
Durch weltweit verteilte Exit Nodes kann Tor lokale Zensurmaßnahmen umgehen – die Verbindung mit dem Tor-Netzwerk lässt sich aber durch das gezielte Blockieren von Ports verhindern. Dagegen hilft der Einsatz sogenannter austauschbarer Übertragungsarten (Pluggable Transports), die den Tor-Traffic zum Beispiel als Surfverkehr tarnen. Solche Übertragungsarten kann man in den Einstellungen des Tor-Browsers unter „Bridges“ aktivieren, man hat die Wahl zwischen Meek-azure, Obfs4, und Snowflake.
Bei Snowflake kann jeder mithelfen: Installiert man etwa die Browser-Erweiterung für Chrome oder Firefox, wird der eigene PC zum Snowflake-Proxy, über den Tor-Nutzer in restriktiven Ländern wie Russland eine Verbindung zum Tor-Netz herstellen können. Je mehr freiwillige Helfer es gibt, desto schwieriger können die Verbindungen blockiert werden: Jeder Proxy hat eine eigene IP-Adresse, die ein Zensor auf seine Blacklist setzen muss, oft sind diese auch noch dynamisch. Ständig kommen neue Proxy-IPs hinzu oder werden ungültig – es ist kaum möglich, sie alle zu sperren.
Der Proxy leitet ausschließlich verschlüsselten Tor-Traffic durch, der Internetverkehr des Tor-Nutzers kommt weiterhin bei den Exit Nodes raus. Der Proxy-Betreiber hat also keinen juristischen Ärger zu befürchten, da die angefragten Websites nicht über seinen Anschluss abgerufen werden und er damit auch nicht in Verbindung gebracht werden kann.
Den Tor Browser gibt es für alle verbreiteten Betriebssysteme: Windows, macOS, Linux, Android und iOS. Wer seinen digitalen Fußabdruck auch auf dem lokalen Rechner so gering wie möglich halten möchte, kann zu dem Live-Linux Tails greifen, das standardmäßig bereits über Tor mit dem Internet spricht.
Alternative DNS-Server
Nicht immer ist es nötig, den kompletten Internetverkehr umzuleiten, um Zensurmaßnahmen zu umgehen. In manchen Fällen werden Web-Zugriffe nur anhand von Filtern in DNS-Resolvern zensiert. Fragt der PC oder das Smartphone nach einer gesperrten Domain, antwortet der Resolver, dass er die Domain nicht kennt oder liefert eine falsche IP-Adresse.
Dann genügt es, einen anderen DNS-Server einzustellen, zum Beispiel den zensurfreien DNS-Server von Digitalcourage oder auch den Google-DNS. Wer das Mitlesen des DNS-Verkehrs verhindern will, richtet eine verschlüsselte DNS-Kommunikation ein (DNS-over-HTTPS, DoH oder DNS-over-TLS, DoT). Neuerdings lässt sich die DNS-Kommunikation auch anonymisieren.
(rei)