Wie funktioniert eigentlich Gardion?

Gardion VPN schafft Transparenz: Technische Details zur Funktionsweise von Gardion.

Stand: December 2021

Fazit

Was ist ein VPN haben wir schon beschrieben. In diesem Wissens-Artikel geht es um die Funktionsweise von Gardion VPN+. Wir schaffen mit diesem sich ständig weiterentwickelnden Artikel Transparenz in einem Gebiet, dass an Intransparenz kaum zu überbieten ist: Dem VPN-Markt.

Vision Gardion

Gardion will es Menschen ermöglichen, das Internet selbstbestimmt zu nutzen. Das schließt natürlich eine sichere Nutzung mit ein. Ohne Sicherheit ist Privatheit unmöglich.

Das Problem

Durchschnittliche Konsument:innen wissen nicht, was genau zwischen ihrem Smartphone und dem Internet passiert. Und selbst wenn Sie wüssten wieviel Tracking und bösartiger Verkehr dort stattfindet, so haben Sie aktuell keine einfach Möglichkeit etwas dagegen zu tun. Browser-Erweiterungen, wie etwa uBlock Origin, lösen das Problem nur im Browser. Pi-Hole filtert den gesamten Netzwerkverkehr, setzt beim Nutzer aber erhebliche technische Fähigkeiten voraus und funktioniert auch nur an einem Ort.

Lösung

Gardion VPN+ löst das Netzwerkfilter-Problem auf allen Ebenen und ist einfach für Laien zu benutzen. Dazu installieren Sie die WireGuard-App auf Ihren Geräten. Sobald Sie das Gerät dann mit Gardion verbunden haben, fließt jeglicher Netzwerkverkehr nur noch verschlüsselt ins Internet und unsere Server blockieren Tracking und Schadsoftware.

Designziele Gardion

  • Nutzt ausschließlich Dienste aus Deutschland. Das hat zwei Vorteile:
    • Damit unterliegen Ihre Daten den weltweit strengsten Datenschutz-Regeln und Sie können sicher sein, dass wir sorgfältig damit umgehen
    • Damit schließen wir den in anderen Ländern gesetzlich vorgeschriebenen Zugriff (in Amerika etwa der CloudAct) auf Ihre Daten aus.
  • Vollständig Open-Source, d.h. es wird keine Software eingesetzt, die nicht im Quellcode einsehbar ist
  • Möglichst einfache Routen: Dies gewährleistet maximale Geschwindigkeit und Sicherheit im VPN
  • Aufwändige Filterung auf DNS-Ebene: So gewährleistet Gardion VPN+ wirkliche Privacy im Internet
  • Wesentlichen Teile unseres System werden in 2022 öffentlich gemacht.
    • Damit werden wir weltweit das erste kommerzielle quelloffene VPN
    • Unsere Nutzer und Sicherheitsforscher können sich ein Bild von unserer Technik machen und diese auf Schwachstellen untersuchen

Was bisher geschah…

Im Dezember 2020 sind wir mit einer Container-basierten Filterlösung gestartet. Diese Lösung erzeugte ein eigenes Routing- und Filtersystem für jedes Gerät. Der Vorteil dieses Ansatzes lag in der relativ einfache Umsetzung, der Nachteil im erheblichen Ressourcen-Verbrauch. Jedes Filtersystem hat einige GB an Speicher verbraucht, so dass selbst ein großer Server schnell an seine Grenzen kam.

Von Ende 2020 bis Ende 2021 haben wir mit Förderung durch das Bundesministerium für Bildung und Forschung eine radikal neue Architektur entwickelt. Diese Architektur setzt auf eigens angepasste DNS-Server, die den Verkehr wunschgemäß pro Endgerät unterschiedlich filtern können. Damit wurde das Routing des VPN-Verkehrs durch das System deutlich vereinfacht. Damit können wir jetzt unbegrenzt viele Nutzer aufnehmen und absichern.

System-Management

Die Errichtung eines so skalierungsfähigen Systems ist komplex. Nach einem Auswahlverfahren haben wir uns für den quelloffenen Werkzeugkasten der Firma HashiCorp und gegen Kubernetes entschieden.

Die Werkzeuge Nomad, Consul und Vault im Cluster wie Terraform und Ansible für die erstmalige Einrichtung ermöglichen es unserem Team innerhalb weniger Minuten einen neuen Gardion-Cluster zu starten. Durch die Wahl dieses Werkzeugkastens sind wir auch recht unabhängig vom Hoster und können nach überschaubaren Anpassungen auf allen Anbietern hosten.

Diese sehr moderne Herangehensweise hat mehrere Vorteile für unsere Kunden:

  • Sollte ein Rechenzentrum von einem ausländischen Anbieter gekauft werden, können wir recht leicht den Anbieter wechseln
  • Eventuelle Kompromittierungen lassen sich kurzfristig beseitigen, da sich die gesamte Infrastruktur innerhalb weniger Minuten neu “erzeugen” lässt
  • Dieser “Software-Defined-Networking”- zusammen mit “Infrastruktur-as-a-servcie”-Ansatz bietet interessierten Experten maximale Transparenz; jede Änderung am Gardion-System ist dokumentiert und versioniert.

Verkehrsfluss

Der Fluß des VPN-Netzwerkverkehrs durch das System lässt sich am besten anhand des folgenden Diagramms beschreiben. Die linke Spalte bildet von oben nach unten den Strom des Netzwerkverkehrs von einem Endgerät, etwa einem Smartphone, in das Internet ab.

“Wireguard-Tunnel” beschreibt den abhörsicheren Verkehr per Wireguard-VPN Tunnel zwischem dem Endgerät und den Terminator-Servern bei Gardion. Diese terminieren die VPN-Verbindung und reichen den Netzwerkverkehr aus dem Tunnel weiter an den Exit-Node. Dieser leitet den Verkehr durch nach Frankfurt, an den größten Internetknoten der Welt.

Die Antwort des angesprochenen Dienstes fließt in umgekehrter Reihenfolge durch die Systeme von Gardion.

IPv6

Stand heute ist das System auf IPv4 ausgelegt. IPv6 aus externer Sicht werden wir zeitnah nachlegen, IPv6 im VPN-Tunnel sobald wir eine ausreichende Filterqualität sicherstellen können. Die meisten IP-basierten Filterlisten sind noch auf IPv4 ausgerichtet.

Image Description