Je kunt wel een ander DNS dan die van je ISP instellen, maar je verkeer komt altijd langs je ISP. Dat kan niet anders, je verbinding loopt eerst van jouw meterkast naar je ISP. Als je geen VPN gebruikt, kan je ISP zien welk DNS-request jouw PC verstuurt. Als je wel VPN gebruikt, dan ziet je ISP een DNS-request naar je VPN-server.

Ik denk niet dat je helemaal hebt begrepen wat DNS is.

DNS is het 'telefoonboek' van het internet. Je zoekt er mee op welk ip adres bij een bepaalde domeinnaam hoort. Het heeft weinig met het versleutelen van je verbinding te maken, en je verbinding loopt ALTIJD via je internetprovider.

Met een VPN kun je die verbinding versleutelen zodat je internetprovider niet kan zien wat je doet. Met een andere DNS server kun je enkel aan een ander 'telefoonboek' informatie vragen, maar dit heeft geen impact op wat jouw provider wel en niet kan zien van je verkeer.

Je hebt misschien over VPN en het aanpassen van je DNS gehoord in een verhaal over piraterij. De enige reden dat DNS aanpassen een ding is bij het als dan niet legaal downloaden via the pirate bay, is dat nederlandse interntproviders deze site blokkeren door met hun DNS servers het IP adres van een geblokkeerde site niet te leveren. Dat los je dus op met een andere DNS server. Nogmaals, dit heeft geen effect op je privacy.

Of een DNS provider gebruiken die DNS-over-TLS (poort 853) ondersteund. Dan zan alle requests encrypted. Daarbij dan ook DNSSEC gebruiken om te valideren of aan de waarde niet gesleuteld is. Voor de rest de DNS service vertrouwen...

Ken je DNSCrypt? Met een programma als dnscrypt-proxy kan je eenvoudig al je DNS verkeer versleutelen.

https://github.com/jedisct1/dnscrypt-proxy/wiki/installation

Ken je AIVD ? Die lacht om dit soort capriolen.

Het is afhankelijk van de VPN technologie hoeveel de ISP kan zien. Bij de beste VPN implementaties ziet de ISP alleen dat er een versleuteld pakket naar de VPN provider verstuurd wordt, maar kan de inhoud van het pakket niet zien. Helaas is er uit de omvang, timing en richting van de pakketten wel informatie te halen over wat je met je VPN doet. (Niet meelezen, maar er is wel te achterhalen of een specifieke webpagina wel of niet bezocht wordt.)

De ouders van veiligheid heten wantrouwen en voorzichtigheid. Vergeet dat nooit.
Jodocus Oyevaer

Uit de pakket grootte zou je kunnen afleiden of het een DNS request is, maar achterhalen of een specifieke webpagina wel of niet bezocht wordt twijfel ik erg aan. Daarvoor moet de ISP het unencrypted verkeer in de tunnel moeten kunnen lezen en dat gaat niet lukken.

@TS

DNS verkeer is in pricipe niet versleuteld en kan je ISP dus zien welke DNS requests je doet ook al gebruik je de DNS van je ISP niet. Je ISP kan onder normale omstandigheden ook de inhoud van je verkeer zien mits dit niet versleuteld is. Dus toen nu.nl nog niet redirecte naar https en gewoon http verkeer was kon je provider je DNS requests zien en ook welke artikelen je inhoudelijk las. In de huidige situatie kan je ISP nog wel je DNS requests zien maar niet meer inhoudelijk de pagina's die je las.

Indien je een VPN gebruikt op de juiste manier zet je een versleutelde verbinding op naar je VPN provider, als dat gebeurt op FQDN (hostname) en niet op IP adres dan kan je ISP dat DNS request zien en dat er een verbinding is tussen jouw computer en de computer van je VPN provider, daarna ziet je ISP in principe niks anders dan versleutelde pakketten over de lijn gaan.

Je kan gemakkelijk testen welke DNS je gebruikt via bv: https://www.dnsleaktest.com/ .
Ga zonder VPN naar die site en doe de test, start je VPN en doe de test nogmaals. In het eerste geval zal je (normaal gesproken) de DNS van je ISP zien en in het tweede geval moet je de DNS van je VPN provider zien.

In het tweede geval ziet je ISP dus niet welke sites je bezoekt.

Wie weet doen ze dat, maar degenen die werkelijk weten wat de AIVD kan of niet kan , lopen dat niet op een forum lopen rond te toeteren.

Die laatste zin hangt volledig af wat je over je VPN stuurt. Als ik voor alle name resolving de DNS server van mijn VPN provider gebruik, en dat verkeer wordt vanuit de gedefinieerde VPN policy over de VPN verstuurd, dan ziet die ISP niet de inhoud van DNS requests. De VPN verbinding (al dan niet in tunnelvorm) is niet open te breken door de ISP, althans dat zou zo moeten zijn. Het enige dat mijn ISP ziet is dat er wat versleuteld verkeer over de lijn wordt gestuurd naar mijn VPN provider. Wat dat verkeer is weet hij niet. Misschien kan hij op basis van metadata wat gokken, of misschien is het verkeer dat ik zelf genereer om traffic analysis te bemoeilijken.

Er is een nieuwe service met een DNS verschenen die beweert sneller te zijn dan welke DNS dan ook. Er is tevens rekening gehouden met de privacy. Ik stuur dit bericht maar even door ter kennisgeving.
https://www.bleepingcomputer.com/news/technology/cloudflares-1111-dns-service-makes-the-internet-more-private-and-faster/

Zo lang als het land, dat ons allen zo veilig zou moeten houden, het land van de "bold & the free", alleen maar geïnteresseerd is om de grootste bad hacker te kunnen zijn, kunnen we aan client zijde doen wat we willen.

Het wordt er voor een flink gedeelte, schat ik, aan de server en provider/VPN- zijde toch niet veel veiliger op.

De belangrijkste Big Tech data verzamelaars hebben via een "gag order", onder geheimhouding dus, al een overeenkomst met NSA en consorten & alle overige diensten van de "nine eyes" om al uw data netjes op verzoek af te geven aan hen.

Als deze "geborkte" situatie niet verandert, verandert er helemaal niets en is alles "kunst voor de kunst" en "een beetje gerotzooi in de marge van total control".

Denk aan het recente facebook Camebridge Analytica experiment. Denkt u nu echt dat dit echt stopt? Ze gaan ongezien en ongestoord toch verder op dezelfde weg, ondanks alle loze beloften. Als de dienst "red-handed" gesnapt wordt, mompelen ze wat van "Het kost nog zeker jaren en jaren om het anders te kunnen doen, zoals de heer M.Z. zelf toegaf, maar ondertussen.

"Voor winst gaat alles opzij, ook alle moraal en ethiek".

Alle gegevens over Bitcoin gebruik(ers) gaan via de Amerikaanse dienst naar Wiesbaden en in de EU doet Frankrijk met een speciale EU dienst, de controle en regulatie. De machthebbers geven geen millimeter macht meer uit handen. Eerder nog blazen ze alles op! Maakt u zich geen illusies.

Degenen die dit aansturen vertonen psychopathische machtswellust. Dit zijn geen gewone mensen zoals u en ik. Macht maakt corrupt en absolute macht absoluut. Het opereert als een slang, charmant, glibberig, steeds liegend, onbetrouwbaar en dodelijk als het nodig is. Het spreekt met "gespleten tong". Koester geen slang aan uw boezem ook niet in digitaal opzicht. Maar hoe je te beschermen. Ik zou het echt niet weten. Niets doen is echter nooit een optie.

Jodocus Oyevaer

Zelfs met DNScrypt voorkom je het grootste probleem niet namelijk dat ergens je DNS plaintext over het internet moet naar een server die het resolved. Dus zelfs als de overheid niet weet wat je precies doet dan weten ze zeker dat je naar een bepaalde site gaat.

Je kunt uit de volgorde van request en reply-pakketten (bij benadering) de grootte van de paginabody en het aantal en de grootte van de media-bestanden (javascript, css, plaatjes, enz) afleiden. Je kunt dat dan vergelijken met een pagina die je zelf gedownload hebt. Dit werkt maar voor een paar handenvol webpagina's waar je mee vergelijkt.

Ik gebruik al de dns servers van de vpn provider,niet die van Ziggo in mijn geval.
Dus heb twee vliegen in een klap.

Ik heb daar eigenlijk maar 1 woord voor 'lulkoek' maar dat zou niet aardig zijn en ik vind dat we elkaar al teveel afzeiken hier. Je weet niet hoe groot het javascript. css en plaatjes zijn dus wat jij schetsts gaat je in de praktijk niet lukken, zeker niet voor de ISP;er die mogelijk alleen weet dat je een DNS request gedaan hebt.

Je mixt wat zaken. Je IP-adres en telefoonnummer "bewaren" (wie is wanneer eigenaar van) is geen traffic analyses.

Er is verder geen "bewaarplicht" voor metadata, behalve als deze valt onder een tap (op "persoon", of in de toekomst "kabelgebonden"). Een DNS provider heeft geen bewaarplicht wie wanneer welk domein opvraagt. Of dat nou DNS via een publieke (zoals Google 8.8.8.8), VPN-provider of je ISP is, maakt niet uit.

Over welke "bewaarplicht" heb je het?


Een ISP mag niet uit eigen overweging zijn klanten "tappen". Als IT-er (van een orga) mag je alleen "tappen" zodra dat een vereiste is om de gebruikte diensten te debuggen (waarbij je toestemming hebt).

Kunnen en mogen zijn 2 zaken. ISP's binnen Nederland doen dat niet zomaar. Diensten gebruiken uit het buitenland geeft je minder garantie op privacy, gezien NL dienstverleners zich aan de NL-wet moeten houden.

Ik zou me meer zorgen maken om mensen die open/free wifi aanbieden, dan de ISP er achter (alleen in NL, niet eens alle EU landen). Een toegevoegde relatie zonder bewijs van vertrouwen (man in the middle). Hierom is een VPN van belang, en zodra je op bezoek gaat in landen waar ISP's niet te vertrouwen zijn.

NL-ISP vs India VPN-provider. Who do I trust? Not the latter!

@Anoniem 17:44

Natuurlijk mag een ISP geen fratsen uithalen die wettelijk verboden zijn, het door mij geschetste scenario was alleen ter verduidelijking wat kan en mogelijk is m.b.t. DNS/VPN waar TS om vroeg, niet wat toegestaan is. Je opmerking over open WIFI is terecht, feitelijk is dan het open WIFI netwerk je ISP.

Ik vind dat deze topics altijd erg overdreven worden. Privacy is gewoon goed in nederland. Maar kan altijd beter. Maar vele van de posters denken alleen aan zich zelf en willen geen verantwoorden te nemen, maar vooral willen zeuren. Maar vergeten de wittebusjes in de straat.....

Ik kan tegen die personen ga eens kijken in landen waar je echt geen privacy hebt en kom dan eens terug naar ons mooie nederland. ....

https://www.security.nl/posting/555580/Kabinet+wil+bewaarplicht+van+ip-adressen+en+telefoonnummers

DNScrypt is meer iets voor naieve securityfreaks die blind varen op de term "crypt".

Ja exact. En hoe heeft die wet van doen op je DNS of VPN? Nul punt niets. De vraag was: "hoe DNS/VPN onder bewaarplicht uit komt". Het antwoord is: DNS of VPN valt niet onder de "bewaarplicht van wie wanneer eigenaar was van een IP".

Zoveelste tool die hetzelfde doet. Draai zelf je resolver op een VPS, die je benaderd via een VPN. Dan kan je ook meteen een NTP server draaien en deze ook benaderen via de VPN.