Microsoft Edge Secure Network

Im Frühjahr habe ich das erste mal davon erfahren, dass auch Microsoft im Edge Browser ein "Secure Network" einführen möchte. Da musste ich doch mal nachschauen, was Edge hier wie macht und speziell ob es nur ein HTTP-Proxy-Tunnel ist oder alle Pakete des Edge, z.B. auch WebRTC durch den Tunnel laufen.

Diese Seite beruht auf einer Analyse vom 30. Apr 2022, als das Feature noch "Preview" ist.

Microsoft Marketing

Der erste Einstiegspunkt ist ein Artikel bei Microsoft:

Laut Beschreibung gibt es dann im Menü einen Punkt "Secure Network", den ich aber nach jedem Start der Edge explizit anschalten muss.


Quelle: Microsoft

Zudem muss ich mich mit einem Microsoft Konto anmelden, denn nur die ersten 1 GB/Monat sind frei und Microsoft muss das ja nachhalten. Die Daten werden dann über einen Proxy bei CloudFlare geführt. Das Internet sieht also nur eine Source-IP-Adresse von CloudFlare.

Hinweis: Die Funktion ist am 30.4 nicht mal im Edge Insider-Prorgramm auf https://www.microsoftedgeinsider.com/de-de/  enthalten. Ein Release-Datum kenne ich noch nicht.

Sicherheit

Laut Microsoft ist der Tunnel verschlüssel und daher sei die Verbindung entsprechend sicher. Allerdings brauchen Sie kein Spezialwissen, um dies zu durchschauen.

  • Der Tunnel ist ein HTTPS-Tunnel
    Damit ist klar, dass das Teilstück von ihrem Browser zum Eingangstor von CloudFlare verschlüsselt ist. Ihr Internet-Provider sieht also nur, dass Sie zu einer IP-Adresse von CloudFlare surfen und solange noch kein TLS 1.3 genutzt wird, kann der Provider auch den Zertifikatsnamen sehen und so zumindest erkennen, dass Sie den Microsoft Service nutzen. Es dürfte für weniger demokratische Staaten also kein Problem sein, diese Verbindungen entweder nur zu erkennen und auf ihre Person zu verknüpfen oder gleich zu unterbinden.
  • Proxy-Kaskade
    Firmen und noch weniger demokratische Staaten können aber auch TLS-Verbindungen aufbrechen, wenn Sie auf dem Client ihre eigene RootCA installiert haben.  Das gilt natürlich auch für unbekannte Clients in Internet-Cafes. Dann kann der Betreiber des Proxy sogar alles mitlesen
  • CloudFlare sieht auch die Zugriffe
    Die verschlüsselt angekommenen Daten werden von CloudFlare natürlich entschlüsselt, um Sie dann an die gewünschte Ziel weiter zu leiten. CloudFlare muss also zumindest die DNS-Auflösung für ihren Client durchführen und sieht auch den TLS-Handshake zum eigentlichen Ziel. Das sind schon sehr viele Metadaten. Wenn die Verbindung selbst dann noch unverschlüsselt ist, ist es nur wenig sicherer als direkt per HTTP zu kommunizieren.
  • Matching auf User statt IP
    Da Sie sich als Nutzer aber mit einem Microsoft Konto anmelden müssen, kann CloudFlare aber auch Microsoft ihr Surfverhalten direkt auf das genutzte Konto zuordnen. Kaum jemand wird ein zweites "Microsoft Konto" für den sicheren Zugriff anlegen. Wer hier verborgen agieren will, sollte eher einen CloudProxy nutzen, der z.B. per Bitcoin oder anderen verschleiernden Zahlungsmethoden bezahlt wird.
  • Nur HTTP im Browser
    Zuletzt funktioniert das alles natürlich "nur" im Edge-Browser per HTTP und entsprechend für "Apps" im Browser. Der Name "Secure Network" finde ich daher irreführend, da es wohl kein VPN ist, welches meinen kompletten Computer versteckt sondern nur die Browser-Sessions im Edge. Wer daneben andere Programme nutzt, hat keinen Schutz.

Insofern erschließt sich mir der Nutzen und die Zielgruppe der neuen Funktion nicht ganz

  • Laien und Familien
    Diese Personen könnten die Funktion sehr einfach nutzen aber ob sie alle den Edge Browser nutzen und dann noch dran denken die Funktion einzuschalten? Meist sind sie auch was ihre eigene Sicherheit betrifft eher gutgläubig.
  • IT-Fachleute und Mitarbeiter
    Ich denke, dass diese Personen recht genau überlegen, auf welchem Gerät sie welchen Zugriff nutzen. Vielleicht surfte ein Mitarbeiter über diese Funktion in der Mittagspause auf Job-Portalen. Der Arbeitgeber kann aber den Zugriff über die Firewall vermutlich schnell sperren oder die Nutzung als Missbrauch und Umgehungsversuch der Schutzmaßnahmen einstufen und damit
  • Geoblocking-Umgehung
    Um über Edge auf einem Streaming-Portal einen Film zu sehen, der im aktuellen Land nicht verfügbar ist, dürften 1 GB Volumen nicht attraktiv sein.
  • Schützenswerte Personen (Whistleblower, Kritiker, etc.)
    Ich bin sehr sicher, dass diese Personen sich auf dem genutzten Endgerät sicher nicht mit einem Microsoft Konto anmelden werden. Sie werden andere bewährte Wege wie z.B. TOR-Netzwerke oder VPN-Provider o.ä. nutzen.

Vermutlich profitieren nur Microsoft und CloudFlare durch die zusätzlich gewonnenen Daten über das Surfverhalten oder man hat versucht, eine Funktion einzubauen, die Apple unter dem Namen "Private Relay" vor einigen Monaten bereitgestellt hat

Wireshark und Fiddler

Sobald ich in meinem Edge oder EdgeInsider die Funktion erreichen kann, werde ich natürlich darin auch mit Microsoft Teams arbeiten und mittels Wireshark, Fiddler u.a. Tools analysieren, wie "dicht" dieses Secure Netzwerk ist. Mich interessiert insbesondere ob z.B. Fiddler sich "dazwischen" klemmen kann, das dann auch für einen staatlichen Proxy oder Firmenproxy mit SSL-Inspection gelten würde. Mit der Nutzung von Audio/Video per WebRTC ist interessant, ob auch der UDP-Kanal durch den Tunnel gezwungen wird oder dran vorbei geht. Ein Bypass würde zwar die Qualität sicher verbessern, speziell wenn zwei Personen im gleichen Netzwerk miteinander kommunizieren aber auf der anderen Seite ist es dann nicht sehr schwer über den Weg echte IP-Adresse und damit den Standort und mehr in Erfahrung zu bringen.

 

Weitere Links