Privacy
- Wat niemand over je mag weten
VPN en DNS-lek
Als je bent verbonden met binnen-of buitenlandse VPN-servers, gebruiken die meestal (automatisch) de fysiek dichtstbijzijnde DNS-servers van Open DNS of Google Public DNS zodat je ISP of een sniffer niet weten welke domeinen/ip-adressen je zoekt. Toch kan het voorkomen dat de DNS-servers van je ISP worden gebruikt. Dan heb je een lek, die de boel ook nog flink kan vertragen. Testen kan op http://www.dnsleaktest.com/ Het zou eerder gebeuren in Windows, maar ook Linux en MacOs zijn niet immuum. Daarom zou het het verstandig zijn de standaard DNS-resolving handmatig aan te passen :
Ga naar systeemvoorkeuren/netwerk/airport of ethernet/DNS en maak copie van IP-adres(sen) om ergens te bewaren, voor je die vervangt door de twee IP-adressen van (bv) Open DNS, 208.67.222.222 en 208.67.220.220. Klik op OK en herstart computer. Als je (een of extra) VPN op je router hebt, dien je dit (ook) in de settings-pagina van router te doen. DNS-verkeer via Open DNS kun je ook encrypten: Download DNSCrypt for Mac via http://opendns.github.io/dnscrypt-osx-client/of DNSCrypt for Windows https://github.com/opendns/dnscrypt-win-client
Nu heb ik wat vragen.
1. Ik heb gelezen op https://www.bestvpn.com/blog/5184/4-ways-to-prevent-a-dns-leak-when-using-vpn/ dat er nog een stap nodig is, namelijk het veranderen van je dynamisch IP in een statische. Nu lijkt me deze verandering op zich geen probleem voor desktops, maar laptops moeten ‘on the road’ toch een dynamisch adres toegewezen kunnen krijgen? Ik hoop dat iemand hier iets zinnigs over kan zeggen.
2. Als onder 1. genoemde wilt realiseren op Mac-desktop/laptop, verondersteld in netwerk/airport(of ethernet)/TCP/IP/Configureer IPv4, doe je dat dan “ Via DHCP met handmatig adres” of “Handmatig”? En dan? Overigens heb ik IP6 uitgeschakeld, want dat zou veiliger zijn.
3. Er wordt beweerd dat maliceuse websites een DNS-lek kunnen uitlokken door expres traag te reageren, waarna er zou worden teruggevallen op je ISP-DNS-resolvers, en dat de site zo je IP-adres zou kunnen achterhalen en/of zou kunnen aanvallen. Maar DNS-resolving gebeurt toch buitenom de site die je bezoekt ?
4. M.b.t. DNSCrypt. Als je verkeer in een vpn-tunnel zit, dan is het verkeer, incl. dns-resolving toch al automatisch encrypted ? Even dacht ik daarom dat het ging om encryptie van de DNS-resolving van de VPN-server zelf, maar in Tunnelblick (vpn-client for Mac) zijn de IP adressen van alle vpn-servers al ingevoerd. Dus waarom dan DNS-Crypt ?
5. Mijn VPN service heb ik opgezegd omdat deze best duur was en ik het idee had dat ze de service zelf afnamen bij het veel goedkopere EarthVPN (dat hun diensten ook 'doorverkoopt' en wereldwijd heel veel servers heeft). Nu overweeg ik als service-provider EarthVPN (N-Cyprus; €2,04 p/m bij een jaarplan en wist iedere 24 uur logs), maar ben best geschrokken van de discussie op http://www.reddit.com/r/VPN/comments/1kuhps/earthvpn_as_a_nonus_alternative_to_pia/ (original post), http://vpnsecurityreview.tumblr.com/post/59920711273/were-sorry-earthvpn-or-nope-youre-wrong-or-how en http://www.reddit.com/r/VPN/comments/1lhu16/earthvpn_security_part_2/ Ik heb geen verstand van certificaten, dus wie/wat moet ik nou geloven? Heeft iemand ervaring met Earth VPN?
Ga naar systeemvoorkeuren/netwerk/airport of ethernet/DNS en maak copie van IP-adres(sen) om ergens te bewaren, voor je die vervangt door de twee IP-adressen van (bv) Open DNS, 208.67.222.222 en 208.67.220.220. Klik op OK en herstart computer. Als je (een of extra) VPN op je router hebt, dien je dit (ook) in de settings-pagina van router te doen. DNS-verkeer via Open DNS kun je ook encrypten: Download DNSCrypt for Mac via http://opendns.github.io/dnscrypt-osx-client/of DNSCrypt for Windows https://github.com/opendns/dnscrypt-win-client
Nu heb ik wat vragen.
1. Ik heb gelezen op https://www.bestvpn.com/blog/5184/4-ways-to-prevent-a-dns-leak-when-using-vpn/ dat er nog een stap nodig is, namelijk het veranderen van je dynamisch IP in een statische. Nu lijkt me deze verandering op zich geen probleem voor desktops, maar laptops moeten ‘on the road’ toch een dynamisch adres toegewezen kunnen krijgen? Ik hoop dat iemand hier iets zinnigs over kan zeggen.
2. Als onder 1. genoemde wilt realiseren op Mac-desktop/laptop, verondersteld in netwerk/airport(of ethernet)/TCP/IP/Configureer IPv4, doe je dat dan “ Via DHCP met handmatig adres” of “Handmatig”? En dan? Overigens heb ik IP6 uitgeschakeld, want dat zou veiliger zijn.
3. Er wordt beweerd dat maliceuse websites een DNS-lek kunnen uitlokken door expres traag te reageren, waarna er zou worden teruggevallen op je ISP-DNS-resolvers, en dat de site zo je IP-adres zou kunnen achterhalen en/of zou kunnen aanvallen. Maar DNS-resolving gebeurt toch buitenom de site die je bezoekt ?
4. M.b.t. DNSCrypt. Als je verkeer in een vpn-tunnel zit, dan is het verkeer, incl. dns-resolving toch al automatisch encrypted ? Even dacht ik daarom dat het ging om encryptie van de DNS-resolving van de VPN-server zelf, maar in Tunnelblick (vpn-client for Mac) zijn de IP adressen van alle vpn-servers al ingevoerd. Dus waarom dan DNS-Crypt ?
5. Mijn VPN service heb ik opgezegd omdat deze best duur was en ik het idee had dat ze de service zelf afnamen bij het veel goedkopere EarthVPN (dat hun diensten ook 'doorverkoopt' en wereldwijd heel veel servers heeft). Nu overweeg ik als service-provider EarthVPN (N-Cyprus; €2,04 p/m bij een jaarplan en wist iedere 24 uur logs), maar ben best geschrokken van de discussie op http://www.reddit.com/r/VPN/comments/1kuhps/earthvpn_as_a_nonus_alternative_to_pia/ (original post), http://vpnsecurityreview.tumblr.com/post/59920711273/were-sorry-earthvpn-or-nope-youre-wrong-or-how en http://www.reddit.com/r/VPN/comments/1lhu16/earthvpn_security_part_2/ Ik heb geen verstand van certificaten, dus wie/wat moet ik nou geloven? Heeft iemand ervaring met Earth VPN?
Reacties (10)
Neem een abbo bij Mullvad, zodra je deze installeert dan maak je automatisch gebruik van hun eigen DSN servers waardoor lekken niet meer mogelijk is. Je kunt tevens aanvinken om de verbinding te verbreken als je VPN offline is/gaat.
+ maakt deze gebruik van Obsproxy.
Mullvad bewaard trouwens helemaal geen enkele logfiles.
En je kunt kiezen uit vier server locaties: Germany, Netherlands, Sweden, en U.S.
https://mullvad.net/en/
https://mullvad.net/en/faq/
Mullvad is hier geloof ik meerdere malen besproken. :-)
+ maakt deze gebruik van Obsproxy.
Mullvad bewaard trouwens helemaal geen enkele logfiles.
En je kunt kiezen uit vier server locaties: Germany, Netherlands, Sweden, en U.S.
https://mullvad.net/en/
https://mullvad.net/en/faq/
Mullvad is hier geloof ik meerdere malen besproken. :-)
Door Anoniem:
Mullvad is hier geloof ik meerdere malen besproken. :-)
Mullvad is zweeds, Mullvad is hier geloof ik meerdere malen besproken. :-)
vertrouwen wekkend nieuws over zweden,,
! http://falkvinge.net/2011/09/05/cable-reveals-extent-of-lapdoggery-from-swedish-govt-on-copyright-monopoly/
! http://webwereld.nl/overheid/79825-frankrijk-en-italie-werkten-samen-met-nsa (+zweden)
03-11-2013, 12:41 door
Mira
Ik weet dat Mullvad populair is onder gebruikers van dit forum, althans vaak wordt aangeraden, maar ze hebben geen servers in landen waar ik (ook) vpn-servers wil gebruiken, en dat is in veel meer landen in Europa, waaronder Engeland om BBC te kunnen zien, plus min. één in Zuid-Amerika. Ik heb tientallen aanbieders bekeken, uiteraard ook gekeken naar privacy-policy en dan blijven er bijzonder weinig over: ZorroVPN, VPNArea en EarthVPN.
De link naar cyberguerrilla geeft voornamelijk info mbt Windows. Overigens, Tunnelblick kun je zo instellen dat als de VPN verbinding wegvalt, direct de verbinding met internet wordt verbroken. Het gaat me dus meer om andere vormen van ontstaan van een DNS-lek, als die zouden bestaan, bijvoorbeeld door ‘uitlokking’.
Niemand een antwoord op een van mijn vragen ?
De link naar cyberguerrilla geeft voornamelijk info mbt Windows. Overigens, Tunnelblick kun je zo instellen dat als de VPN verbinding wegvalt, direct de verbinding met internet wordt verbroken. Het gaat me dus meer om andere vormen van ontstaan van een DNS-lek, als die zouden bestaan, bijvoorbeeld door ‘uitlokking’.
Niemand een antwoord op een van mijn vragen ?
Voor TOR wordt de volgende setting in de FireFox browser gedaan:
Open “about:config” en accepteer de waarschuwing. Zoek naar “network.proxy” en zet “network.proxy.socks_remote_dns” op true.
Open “about:config” en accepteer de waarschuwing. Zoek naar “network.proxy” en zet “network.proxy.socks_remote_dns” op true.
Door Anoniem:
vertrouwen wekkend nieuws over zweden,,
! http://falkvinge.net/2011/09/05/cable-reveals-extent-of-lapdoggery-from-swedish-govt-on-copyright-monopoly/
! http://webwereld.nl/overheid/79825-frankrijk-en-italie-werkten-samen-met-nsa (+zweden)
Door Anoniem:
Mullvad is hier geloof ik meerdere malen besproken. :-)
Mullvad is zweeds, Mullvad is hier geloof ik meerdere malen besproken. :-)
vertrouwen wekkend nieuws over zweden,,
! http://falkvinge.net/2011/09/05/cable-reveals-extent-of-lapdoggery-from-swedish-govt-on-copyright-monopoly/
! http://webwereld.nl/overheid/79825-frankrijk-en-italie-werkten-samen-met-nsa (+zweden)
Ja Mullvad is inderdaad Zweeds, net als de "piraten" van The pirate bay, waar ook veel instancies op tegen zijn en
de website liever offline zien gaan.
Waar het echter allemaal om draait is of de mensen erachter zijn te vertrouwen.
De twee mensen achter Mullvad zijn laten we ze maar internet activisten noemen die een handel hebben opgezet om een en
ander te omzeilen. Dus in de goede zin van het woord. Niet alles uit Zweden is daarom gelijk slecht, en wil ook lang niet zeggen dan ze met instancies als de NSA, FBI of CIA onder een deken steken.
Dan gaat de discussie over Tor, dan over Mullvad, en dan over................?
Welke dienst hier ook voorbij komt het is ook nooit goed, en iedere dienst is gelijk niet meer geloofwaardig sinds Eward Snowden?
We zijn inderdaad dat de NSA (en derden) veel moeite doen om alles te onderscheppen, want niet inhoud dat gelijk alle
diensten (VPN's) en software verdacht is.
Het zou je dan ook meer sieren als je komt met harde bewijzen tegen Mullvad, want daar hebben we het dan ook over.
Zolang je dat niet kunt, moet de deze mensen ook niet beoordelen, en aankomen met linkjes die niks met hun te doen
hebben. Linkjes over spionage praktijken en mogelijkheden zijn er in overvloed te vinden. Ze zijn genoeg mensen op deze
aarde die het beste met indereen voor hebben, en om ze over een kam te strijken vind ik echt niet kunnen.
Je spreekt je niet echt uit over Mullvad, dus daar kunnen we dan ook zeer kort over zijn, maar het lijkt er wel veel op
dat je daarom Mullvad ook gelijk afkeurt, gebaseerd op de twee links.
En aan de andere kant kun je je ook afvragen hoe interresant het voor de NSA zou zijn als ze al je gewone dagelijkse
surfgegevens over een VPN zouden kunnen achterhalen?
Hmmm, vertrouwen we dan echt helemaal niks meer? Zo nee, zet dan je eigen VPN maar op.
Maar ook met het opzetten van een eigen VPN ben je er nog nog niet, want wie controleerd je chips op je hardware?
Ben je in staat om alle update's voor je O.S. te onderzoeken?
En zo draaien we steeds in cirkeltjes rond.
Door Mira: Ik weet dat Mullvad populair is onder gebruikers van dit forum, althans vaak wordt aangeraden, maar ze hebben geen servers in landen waar ik (ook) vpn-servers wil gebruiken, en dat is in veel meer landen in Europa, waaronder Engeland om BBC te kunnen zien, plus min. één in Zuid-Amerika. Ik heb tientallen aanbieders bekeken, uiteraard ook gekeken naar privacy-policy en dan blijven er bijzonder weinig over: ZorroVPN, VPNArea en EarthVPN.
De link naar cyberguerrilla geeft voornamelijk info mbt Windows. Overigens, Tunnelblick kun je zo instellen dat als de VPN verbinding wegvalt, direct de verbinding met internet wordt verbroken. Het gaat me dus meer om andere vormen van ontstaan van een DNS-lek, als die zouden bestaan, bijvoorbeeld door ‘uitlokking’.
Niemand een antwoord op een van mijn vragen ?
De link naar cyberguerrilla geeft voornamelijk info mbt Windows. Overigens, Tunnelblick kun je zo instellen dat als de VPN verbinding wegvalt, direct de verbinding met internet wordt verbroken. Het gaat me dus meer om andere vormen van ontstaan van een DNS-lek, als die zouden bestaan, bijvoorbeeld door ‘uitlokking’.
Niemand een antwoord op een van mijn vragen ?
EarthVPN = locatie = Cyprus
http://webwereld.nl/beveiliging/79976-cyprus-blijkt-geheime-britse-aftapkolonie
05-11-2013, 16:14 door
Mira
Jakkiderrie !!! Maar al die kabeltjes op het plaatje in de link lopen van/naar Zuid-Cyprus (=van Griekenland), twee lopen er naar/van Noord-Cyprus (=van Turkije) waar EarthVPN is gezeteld.
VPN servers en services: Zweden misschien niet, Nederland '' niet, Duitsland '' niet, Vs niet, Engeland '' niet, Cyprus ook al niet,.. '' niet. Servertje, dienstje ergens in Azië, midden Oosten of Zuid Amerika dan?
Zomaar een vraagje aan alle deelnemenden in deze post, wat is het nuttige en meest praktische doel voor jullie om gebruik te maken van een VPN service?
Geen plagerige open deur vraag maar een vraag om erachter te komen wat het doel is en wat daarbij de hoogste prioriteit heeft.
Mij af vragend voor de èn èn types, zou je niet beter ten minste twee vpn services (achter elkaar) moeten gebruiken? Vpn's van of in landen die geen natuurlijke partners van elkaar zijn?
Loop je eigenlijk niet de kans dat het middel zwaarder wordt (tijdrovender) dan het praktische doel? Je ruilt immers (waarschijnlijk) de ene focusgroep (bedrijfsleven) in voor de andere focusgroep (overheden), digitale 'sluiers' maken nou eenmaal heel nieuwsgierig. Ik vind ook dat privacy een recht is dat je niet zou hoeven te verdedigen (of uit te leggen).
Maar wat zit er verder achter? Journalist? Werkend voor een NGO in gebieden waar rechtszekerheid wat minder vanzelfsprekend is? Voornemen om GreenPeace opvarenden te bevrijden? (daar ben ik voor).
Als het wat basaler ligt ten overvloede nog eens gezegd (verwar een zeker pragmatisme niet met nihilisme svp); kieper eens die smartphone inclusief (veel te duur) abbonnement, je social media accounts en je standaard (slecht voor je privacy) habits eens over de schutting (uitzonderingen maken werkt niet), dat scheelt al enorm voor je reguliere privacy en geeft wat minder kopzorgen.
Maar, inderdaad, àls je het doet, doe het dan goed, en dat gaat verder dan vertrouwen op de helderst blauwe ogen van één enkele aanbieder alleen.
Ik blijf de vpn topic's met belangstelling (en hopelijk steeds meer inzicht) volgen.
Zomaar een vraagje aan alle deelnemenden in deze post, wat is het nuttige en meest praktische doel voor jullie om gebruik te maken van een VPN service?
Geen plagerige open deur vraag maar een vraag om erachter te komen wat het doel is en wat daarbij de hoogste prioriteit heeft.
Mij af vragend voor de èn èn types, zou je niet beter ten minste twee vpn services (achter elkaar) moeten gebruiken? Vpn's van of in landen die geen natuurlijke partners van elkaar zijn?
Loop je eigenlijk niet de kans dat het middel zwaarder wordt (tijdrovender) dan het praktische doel? Je ruilt immers (waarschijnlijk) de ene focusgroep (bedrijfsleven) in voor de andere focusgroep (overheden), digitale 'sluiers' maken nou eenmaal heel nieuwsgierig. Ik vind ook dat privacy een recht is dat je niet zou hoeven te verdedigen (of uit te leggen).
Maar wat zit er verder achter? Journalist? Werkend voor een NGO in gebieden waar rechtszekerheid wat minder vanzelfsprekend is? Voornemen om GreenPeace opvarenden te bevrijden? (daar ben ik voor).
Als het wat basaler ligt ten overvloede nog eens gezegd (verwar een zeker pragmatisme niet met nihilisme svp); kieper eens die smartphone inclusief (veel te duur) abbonnement, je social media accounts en je standaard (slecht voor je privacy) habits eens over de schutting (uitzonderingen maken werkt niet), dat scheelt al enorm voor je reguliere privacy en geeft wat minder kopzorgen.
Maar, inderdaad, àls je het doet, doe het dan goed, en dat gaat verder dan vertrouwen op de helderst blauwe ogen van één enkele aanbieder alleen.
Ik blijf de vpn topic's met belangstelling (en hopelijk steeds meer inzicht) volgen.
Door Mira: Jakkiderrie !!! Maar al die kabeltjes op het plaatje in de link lopen van/naar Zuid-Cyprus (=van Griekenland), twee lopen er naar/van Noord-Cyprus (=van Turkije) waar EarthVPN is gezeteld.
So what?
De drie letterige aftap/opsporingsdiensten kunnen best de glasvezel aftappen, maar ze zien dan alleen maar jibber jabber
of te wel geencrypte data voorbij komen waar ze niks aan hebben.
Dus daarom hebben we encryptie, met andere woorden waar maken jullie je druk om?
Dat ze misschien achter 80 jaar in staat zijn om de data weer te decrypten?
Mochten er ondanks nog mensen zijn die het niet vertrouwen gebruik dan Tor over je VPN, maar zelfs zo ver ga ik niet.
Een VPN alleen is naar mijn idee dan best voldoende om uit handen van de NSA, FBI, en CIA, en anderen te blijven.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
