image

XS4ALL kijkt of het Nederlandse vpn aan klanten kan aanbieden

vrijdag 23 maart 2018, 13:47 door Redactie, 26 reacties

XS4ALL gaat onderzoeken of het de Nederlandse open source vpn Let's Connect aan klanten kan aanbieden, zo laat initiatiefnemer Rogier Spoor van SURF in een interview met de Stichting Internet Domeinregistratie Nederland (SIDN) weten. In januari won Let's Connect nog de Internet Innovatie Award 2018, een prijs voor vernieuwende en belangwekkende Nederlandse internetinitiatieven.

Via een virtual private network (vpn) is het mogelijk om het internetverkeer via een versleutelde tunnel naar een andere computer te laten lopen. Het wordt gebruikt om verkeer op bijvoorbeeld open wifi-netwerken te beschermen, censuur te omzeilen en het surfgedrag voor de eigen internetprovider af te schermen. Ondanks de noodzaak wordt er nog te weinig gebruik gemaakt van een vpn, aldus Spoor. "Het zou dan ook mooi zijn als meer partijen een vpn aanboden. Stel je voor dat de NS een vpn aanbiedt, als een soort zorgplicht voor de onveilige wifi in de trein!"

Een reden dat partijen geen vpn aan hun gebruikers aanbieden bleek vooral met de kosten te maken te hebben. "Er zijn wel verschillende opensource-oplossingen, zoals OpenVPN. Die werken heel goed voor een kleine groep gebruikers, maar zodra je opschaalt naar een grotere groep, moet je toch een commercieel pakket kopen", merkt Spoor op. Daarop werd besloten om op basis van OpenVPN iets nieuws te gaan ontwikkelen dat ook voor een grote groep gebruikers is te gebruiken.

Het SIDN fonds steunde de ontwikkeling van Let's Connect met 75.000 euro. Daarnaast wist Spoor via andere sponsoren nog eens 50.000 euro op te halen. Inmiddels zijn de server en apps voor alle platformen ontwikkeld, behalve voor iOS. Die moeten aan het einde van dit jaar klaar zijn. Verder zijn de server en architectuur doorgelicht en de Windows-app is al geaudit. De overige apps worden later dit jaar geaudit.

Er wordt nu nagedacht over de manier waarop de apps worden verspreid. Waarschijnlijk zal dit via een onafhankelijke stichting gebeuren. De opensourcecode is ondergebracht bij The Commons Conservancy, een stichting zich bezighoudt met de governance van open sourcesoftwareprojecten. Op dit moment wordt Let's Connect! door SURF aangeboden onder de naam eduVPN. "De ambitie is om van eduVPN dé VPN-standaard voor het onderwijs van te maken. We hopen dat meerdere landen het gaan gebruiken. Verder gaat XS4ALL dit jaar nog onderzoeken of ze Let's Connect! kunnen aanbieden aan hun klanten", aldus Spoor.

Reacties (26)
23-03-2018, 14:03 door Anoniem
Straks levert elke Isp een Vpn verbinding,om zo haar klanten een soort van"privacygevoel" te geven. Denk dat dit over 2 jaar geen vraagstuk meer is,maar standaard onderdeel van het pakket die dan weer 5 euro duurder wordt.
23-03-2018, 14:29 door Anoniem
XS4ALL geeft de klanten een Fritz!Box. Deze kun je uitstekend als VPN gebruiken.
Dan een adblocking nameserver aangeven en je bent meteen verlost van reclame (niet alles) en bekende trackers.
23-03-2018, 15:22 door Anoniem
Ach ach ach ze bedoelen het zo goed maar de implementatie is weer om naar huis te schijven.

Waarom geen IPSec naar interne diensten van XS4all (mail, dns, serviceportal,etc) met de optie om het VPN endpoint ook als proxy te gebruiken. IPSec zit standaard in elk Windows//iPhone/Andriod en zo kun je tenminste veilig je mail ophalen en voorkom je geknoei met dns en dat mensen van buitenaf toegang krijgen tot de serviceportal of de mailboxen.

Niet vertrouwelijk verkeer kan ook buiten de VPN om gaan, dat is vaak veel sneller.
23-03-2018, 16:26 door Anoniem
Een nieuw verdienmodel.
23-03-2018, 16:30 door Anoniem
Door Anoniem: Ach ach ach ze bedoelen het zo goed maar de implementatie is weer om naar huis te schijven

Aan de rest van je rant te lezen verwacht ik dat je het woordje NIET bent "vergeten".
23-03-2018, 17:32 door Anoniem
xs4all=>KPN=>NCSC
23-03-2018, 17:37 door Anoniem
Anoniem @ Vandaag, 14:29 door Anoniem
Hoe doe ik dat?

Met geen mogelijkheid krijg ik een .ovpn geimporteerd.
23-03-2018, 18:42 door Anoniem
Kijken?

Als nederlandse provider een vpn oplossing aanbieden is snake oil met de sleepnetwet die providers verplicht alles open te breken en hun mond daarover te houden.

Een nederlandse vpn slaat daarom echt helemaal nergens op, dat is ronduit totale misleiding van klanten.

Als je nu nog een vpn erbij wil hebben dan zal je daarvoor buiten de westerse wereld moeten zijn want daarbinnen wordt alles opengebroken en gedeeld.

De andere kant opkijken, verplicht!
23-03-2018, 18:52 door Anoniem
Door Anoniem:Waarom geen IPSec
Omdat ovpn over tcp 443 minder wordt tegengehouden.
23-03-2018, 19:11 door Anoniem
Door Anoniem: XS4ALL geeft de klanten een Fritz!Box. Deze kun je uitstekend als VPN gebruiken.
Dan een adblocking nameserver aangeven en je bent meteen verlost van reclame (niet alles) en bekende trackers.

Ja... en toch is het best lastig die te configureren om ook internet<>fritzbox<>internet te doen.

Een stappenplan daar zou al veel helpen.
23-03-2018, 20:36 door Anoniem
Door Anoniem: XS4ALL geeft de klanten een Fritz!Box. Deze kun je uitstekend als VPN gebruiken.
Dan een adblocking nameserver aangeven en je bent meteen verlost van reclame (niet alles) en bekende trackers.

Je verkeer moet dan eerst naar het modem thuis en dan weer terug naar de provider en de rest van het net.

Als je een 5 Mbit 0,6 Mbit ADSL lijntje hebt zal het er niet echt sneller van worden. En het endpoint van de tunnel kan door de minder frisse bedoeling van de WiFi leverancier in China (of waar je ook op vakantie bent) als bedrijf worden gezien zodat het een interresant doelwit wordt, die fritzbox van je...
23-03-2018, 21:48 door Anoniem
Ik vind het wel bijzonder dat Rogier Spoor van SURF iets roept over wat XS4ALL van plan zou zijn. Zijn deze uitspraken door de redactie van Security.nl geverifieerd bij XS4ALL?
24-03-2018, 10:09 door Anoniem
Deze ontwikkelingen zorgen er natuurlijk voor dat VPN straks een criminele optie is die wordt verboden door de Haagse stasi, want terroristen gebruiken VPN. Ze gebruiken trouwens ook auto's en toiletten...
24-03-2018, 12:07 door Anoniem
Door Anoniem: XS4ALL geeft de klanten een Fritz!Box. Deze kun je uitstekend als VPN gebruiken.
Dan een adblocking nameserver aangeven en je bent meteen verlost van reclame (niet alles) en bekende trackers.
Ik ben niet zo kapot van die VPN in de Fritz!box eerlijk gezegd. Volgens bepaalde websites - en op grond van de informatie die door Snowden is gegeven - heeft de NSA deze VPN al lang en breed gekraakt.

Beter is het om OpenVPN te gebruiken.
24-03-2018, 12:28 door Anoniem
Door Anoniem: Anoniem @ Vandaag, 14:29 door Anoniem
Hoe doe ik dat? Met geen mogelijkheid krijg ik een .ovpn geimporteerd.
Als je wilt weten welke VPN de voorkeur heeft qua veiligheid, en zonder dat de NSA binnen kan komen lopen, dan moet je dit even doornemen. Zover ik heb kunnen nagaan wordt er in de Fritzbox geen OpenVPN gebruikt.
Die FRITZ!Box unterstützt VPN-Verbindungen nach dem IPSec-Standard mit ESP, IKEv1 und Pre-Shared Keys
Meer info dus over welke VPN je wel moet nemen lees je hier:
https://www.ivpn.net/pptp-vs-l2tp-vs-openvpn

Uit de documentatie (zie link) blijkt dat je zeker IPsec moet vermijden. Uit uitgelekte documentatie van Snowden is gebleken dat de inlichtingenorganisatie NSA op nog onbekende wijze je verkeer over IPsec IKE kan ontsleutelen.

Wat je moet vermijden is dus een VPN die:

1. op PPTP
2. op L2TP/IPsec
3. op IPsec IKEv2 zijn gebaseerd.

De beste VPN, qua veiligheid is een VPN die gebaseerd is op OpenVPN. Uit de documentatie van XS4ALL blijkt dat ze in ieder geval de beste willen kiezen.
24-03-2018, 13:58 door Anoniem
Door Anoniem:
Wat je moet vermijden is dus een VPN die:

1. op PPTP
2. op L2TP/IPsec
3. op IPsec IKEv2 zijn gebaseerd.

De beste VPN, qua veiligheid is een VPN die gebaseerd is op OpenVPN. Uit de documentatie van XS4ALL blijkt dat ze in ieder geval de beste willen kiezen.

Och het is maar een kwestie van tijd of OpenVPN staat ineens ook op zo'n lijstje om te vermijden. Zo gaat het
immers altijd. Bovendien, wat boeit het of de NSA je VPN kan ontsleutelen, daar zou ik totaal niet mee zitten hoor.
(maar ik gebruik mijn VPN ook niet voor criminele doeleinden)
24-03-2018, 19:23 door Anoniem
Door Anoniem:
Door Anoniem:
Wat je moet vermijden is dus een VPN die:

1. op PPTP
2. op L2TP/IPsec
3. op IPsec IKEv2 zijn gebaseerd.

De beste VPN, qua veiligheid is een VPN die gebaseerd is op OpenVPN. Uit de documentatie van XS4ALL blijkt dat ze in ieder geval de beste willen kiezen.

Och het is maar een kwestie van tijd of OpenVPN staat ineens ook op zo'n lijstje om te vermijden. Zo gaat het
immers altijd. Bovendien, wat boeit het of de NSA je VPN kan ontsleutelen, daar zou ik totaal niet mee zitten hoor.
(maar ik gebruik mijn VPN ook niet voor criminele doeleinden)
Helaas moet ik je daarin helemaal gelijk in geven. Er is namelijk een soort wapenwedloop aan de gang door de geheime diensten. Dus wat nu een goede versleuteling is, kan het misschien morgen niet zijn. Maar ik zou niet wanhopen, want er staat altijd wel een organisatie klaar om met een beter antwoord terug te slaan.
24-03-2018, 21:47 door Anoniem
Ze claimen hun code openbaar aan te bieden maar hun github kent alleen “artwork”?
25-03-2018, 12:44 door Anoniem
@ Anoniem 21:48

Let's Connect VPN is een project van XS4ALL en SURF samen.
25-03-2018, 17:01 door Anoniem
Door Anoniem: Ze claimen hun code openbaar aan te bieden maar hun github kent alleen “artwork”?
Heb je wel gezocht?

https://github.com/eduvpn
https://www.eduvpn.nl/

De repo met enkel artwork is een toevoeging voor de bovenstaande software:
https://github.com/letsconnectvpn/artwork

Het is een HTTP interface met o.a. SAML koppeling om de OpenVPN server/client te beheren. Binnen universiteiten is SAML een veelgebruikte standaard.


Door Anoniem:
Door Anoniem:
Door Anoniem:
Wat je moet vermijden is dus een VPN die:

1. op PPTP
2. op L2TP/IPsec
3. op IPsec IKEv2 zijn gebaseerd.

De beste VPN, qua veiligheid is een VPN die gebaseerd is op OpenVPN. Uit de documentatie van XS4ALL blijkt dat ze in ieder geval de beste willen kiezen.

Och het is maar een kwestie van tijd of OpenVPN staat ineens ook op zo'n lijstje om te vermijden. Zo gaat het
immers altijd. Bovendien, wat boeit het of de NSA je VPN kan ontsleutelen, daar zou ik totaal niet mee zitten hoor.
(maar ik gebruik mijn VPN ook niet voor criminele doeleinden)
Helaas moet ik je daarin helemaal gelijk in geven. Er is namelijk een soort wapenwedloop aan de gang door de geheime diensten. Dus wat nu een goede versleuteling is, kan het misschien morgen niet zijn. Maar ik zou niet wanhopen, want er staat altijd wel een organisatie klaar om met een beter antwoord terug te slaan.

Onzin! Dan daarbij gebruikt eduVPN / Let's Connect gewoon OpenVPN als backend.
Dan daarbij gebruikt de Overheid wel vaker OpenVPN. Zie bijvoorbeeld: https://openvpn.fox-it.com/

De Nederlandse Overheid heeft geen belang bij onveilige OpenSource Software, en al helemaal niet op dit soort infrastructureel niveau, gezien ze het zelf gebruiken (zonder geheime patches).


Door Anoniem:

Als nederlandse provider een vpn oplossing aanbieden is snake oil met de sleepnetwet die providers verplicht alles open te breken en hun mond daarover te houden.

Een nederlandse vpn slaat daarom echt helemaal nergens op, dat is ronduit totale misleiding van klanten.
Het is maar net wat voor bescherming je nodig hebt. Dat XS4ALL dit doet is een dienst voor zijn klanten voornamelijk om wifi hotspots (en beheerders daarvan) niet te hoeven vertrouwen. Hier is een NL VPN meer dan genoeg voor.

Als je nu nog een vpn erbij wil hebben dan zal je daarvoor buiten de westerse wereld moeten zijn want daarbinnen wordt alles opengebroken en gedeeld.
Wat voor schimmige dingen doe je dan? Niet alles wordt namelijk zomaar getapt, dus ook niet gedeeld. Ik acht de kans zeer klein dat mijn verkeer over een kabelgebonden tap gaat, en enkel daardoor ongecontroleerd naar buitenlandse diensten verstuurd kan worden.

Ik heb al mijn servers binnen de EU staan, met VPN verbinding onderling. Als ze mij willen tappen doen ze hun best maar. Ik acht de kans 0 dat diensten mij specifiek moeten hebben. Vanaf wifi maak ik altijd VPN verbinding naar thuis. Ik vertrouw mijn ISP net zoveel als een willekeurige VPN dienst.

Een VPN afnemen in een niet westers land is mogelijk slechter voor je privacy. Wat zijn je rechten in dat land? Wat zijn de rechten van inlichtingendiensten van dat land? Wat is de kans dat je daar getapt wordt? Vertrouw je die diensten meer dan onze zwaar gecontroleerde?

Geef je liever je data aan de een of de ander? Beetje hypocriet?
26-03-2018, 19:54 door Bati
Door Anoniem: xs4all=>KPN=>NCSC

Euh en wat bedoel je hiermee?
27-03-2018, 16:06 door Anoniem
Bovendien, wat boeit het of de NSA je VPN kan ontsleutelen, daar zou ik totaal niet mee zitten hoor.
(maar ik gebruik mijn VPN ook niet voor criminele doeleinden)

En omdat jij dat vindt, moeten we allemaal maar genoegen nemen met een 'slechte implementatie'? Dat is nu eenmaal vaak het probleem, de domme massa bepaald.
28-03-2018, 00:27 door Anoniem
Ik snap de keuze voor OpenVPN niet zo, het nu Britse FOX-IT heeft 8000 regels code aan moeten passen voordat het geschikt was voor gebruik binnende de Nederlandse overheid en ook maakt deze variant geen gebruik meer van OpenSSL meer. Ze hebben er flink aan moeten sleutelen. De gewone OpenSSL staat erom bekend vaak lek te zijn; tot 3 maal toe was er een POODLE aanval op mogelijk, Heartbleed, etc, etc.

Dan is een Layer4 VPN in de vorm van SSH een betere keuze. Evengoed alleen een executable nodig zonder interfaces of admin rechten. Is 8192 Bit RSA dan 100% waterdicht? Waarschijnlijk niet, maar er zullen minder spelers op het wereldtoneel zijn die het effectief kunnen kraken. Dat geld ook voor IPSec: er bestaat een gerucht dat men jaren geleden geprobeerd heeft het OpenBSD ontwikkelteam dat aan IPSec werkte, te infiltreren. Hoewel dat opgemerkt werd is het aannemelijk dat het anno 2018 toch gelukt is.

Wat dat betreft is het naïef om te denken dat er versleuteling bestaat die door geen enkele partij op aarde ontcijfert kan worden. De vraag is met welke VPN kan wie wat lezen en wie is daarbij nog het meest te vertrouwen. En als VPN verkeer gelezen kan worden, is het dan wel nog beschermd tegen manipulatie: is integriteit welk nog gewaarborgd? Bij TLS en MITM certificaten moet daar een vraagteken bij gezet worden.

Xs4all zou beter IPSec (voor site-to-site vanaf depandance, vakantiewoning, etc, etc) en SSH over poort 80 (mobiele verbindingen vanaf hotels buitenland, etc, etc) kunnen aanbieden. In de meeste gevallen is dan ook geen app nodig (behalve als alles behalve web geblokkeerd is en men met een smartphone wil internetten).
13-03-2019, 21:48 door Anoniem
Dus wat kan de leek het best als vpn nemen?
13-03-2019, 21:55 door Anoniem
Deep Guard van F-Secure, de beveiliger van XS4ALL blokkeert Letsconnectclient_exe als malware
04-10-2019, 12:44 door Anoniem
Ook de nieuwe-nieuwe-ouwe-getrouwe CEO van KPN houdt vast aan het opheffen van XS4All als zelfstandige business unit. Het zou toch mooi zijn wanneer straks alle KPN-klanten die er internettoegang afnemen Let's Connect (kunnen) krijgen (voor 1 euro / maand)!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.