Menu
Een complete gids voor Virtual Private Networks (VPN's)

Een complete gids voor Virtual Private Networks (VPN's)

Er zijn maar weinig locaties waar ik echt vertrouw op een rechtstreekse verbinding met internet. Ik doe niet eens dingen als internetbankieren of inloggen op mijn Bitwarden vanaf mijn werk omdat de verbinding open is (niet beveiligd met een wachtwoord/encryptie) en dus veel vatbaarder voor aanvallen van een buitenstaander. Mijn thuisverbinding is waarschijnlijk het veiligst omdat ik het persoonlijk heb ingesteld en kan controleren, maar zelfs dan biedt de modem die onze ISP levert en tevens dienst doet als wifi-router niet de best mogelijke beveiliging.

Dit is waar Virtual Private Networks in het spel komen. Als ze correct worden gekozen en ingesteld, garanderen ze ons een veilige, privé en vaak anonieme verbinding met het open internet. Dit betekent dat we vrij kunnen browsen zonder beperkingen en zonder toezicht. Voor het grootste deel zullen degenen die dit lezen geen serieuze reden hebben om toezicht te vermijden, maar mensen hebben recht op privacy en mogen niet worden bespied. Al is het maar door de sysadmin voor de gratis wifi bij Starbucks. Het probleem komt neer op het kiezen van een VPN die aan uw behoeften voldoet. Sommige bieden veel locaties over de hele wereld, andere een geweldige prijs en geweldige prijzen per jaar. Ik heb de neiging om te zoeken naar en gebruik te maken van de providers die de beste privacy, veiligheid en anonimiteit bieden, zelfs als dat betekent dat ik iets meer moet betalen. Vaak kunnen de goedkopere providers alleen zulke geweldige prijzen bieden omdat ze hun servers inpakken en zich niet "echt" zorgen maken dat ze al te privé zijn. Dus laten we eens kijken vanuit het perspectief van iemand die eersteklas beveiliging, spyproof privacy en een hoge mate van anonimiteit nodig heeft door enkele van de providers te gebruiken waarvan ik heb onderzocht dat ze de beste zijn op deze gebieden.
Zie: De beste en meest betrouwbare VPN-services voor uw privacy op Privacy-Tools.nl

Idealiter willen we een provider die niet is gevestigd in een van de "5 Eyes-landen" (https://www.privacyinternational.org/press-release/51/privacy-international-launches-international-campaign- grotere transparantie rondom). Dit betekent dat het niet kan worden gevestigd vanuit Canada, de Verenigde Staten, het Verenigd Koninkrijk, Australië of Nieuw-Zeeland vanwege hun overeenkomst om zonder veel vragen informatie met elkaar te delen. Ze hebben meestal inlichtingendiensten (zoals de NSA en GCHQ) die een behoorlijke hoeveelheid datamining en bewaking van de individuen in hun land doen voor "zaken van nationale veiligheid". Ik zou u ook willen waarschuwen om weg te blijven van alles wat wordt vermeld in de "14 Eyes-landen" als u op deze provider vertrouwt voor uw persoonlijke veiligheid. De provider die u kiest, moet ook GEEN optie bieden voor een speciaal IP-adres. Gedeelde IP's zijn strikt de beste keuze als u maximale anonimiteit wilt, omdat het uw inkomende IP niet uitkiest en overeenkomt met het uitgaande IP-adres van de VPN. Moeilijker te loggen/traceren, maar zeker niet onmogelijk.

Geaccepteerde betaalmethoden zijn ook een overweging die u niet lichtvaardig moet nemen. U wilt natuurlijk niet met uw PayPal of creditcard betalen als u op zoek bent naar volledige anonimiteit. Goed gemengde bitcoin die niet naar u terug linkt, contant per post en PaySafeCards zijn allemaal betaalmethoden die als zeer anoniem worden beschouwd als ze correct worden uitgevoerd. Versleuteling en protocollen aangeboden door het VPN-bedrijf moeten ook worden overwogen voordat u een aankoop doet. U zult vaak de term "Military Grade Encryption" zien wanneer u op zoek bent naar een goede provider. Over het algemeen betekent dit alleen dat ze AES-256- en 4096-bits RSA-sleutels gebruiken, maar het is belangrijk om te controleren of ze Perfect Forward Secrecy en goede curven voor ECHDE-sleutels bieden (http://vincent.bernat.im/en/blog/2011-ssl -perfect-forward-secrecy.html , https://www.perfectforwardsecrecy.com/ , https://safecurves.cr.yp.to/).

Als u wat dieper in de providers duikt terwijl u rondkijkt, moet u de serverlocaties bekijken die ze aanbieden en kijken of ze zich in rechtsgebieden bevinden waarmee u graag verbinding maakt. Dit zou een goed moment zijn om te zien of een van de sites waarmee u verbinding wilt maken alleen in bepaalde landen werkt (zoals Hulu, Pandaora, Netflix, enz.). Zoals ik hierboven al zei met SSL-certificaten en hoe je kunt controleren of de site sterke HTTPS-standaarden implementeert, moet je ook de site van de VPN-provider controleren om te zien wat voor soort SSL ze gebruiken. Als ze geen A-score krijgen, zou ik ervoor waarschuwen ze niet als provider te gebruiken, omdat het aantoont dat ze duidelijk ofwel niet de tijd kunnen nemen om een ​​goede SSL-score te behalen (al is het maar voor de promotie) of dat ze zijn niet deskundig genoeg om het te bereiken; een feit dat erop zou kunnen wijzen dat hun service wordt opgehouden door bergen valse claims. Het is ook goed om te zien wat voor soort protocollen ze promoten en niet alleen wat ze ondersteunen. De meeste goede providers zullen op zijn minst een client voor Windows verzenden en hebben extra functies zoals killswitches en firewalls om DNS/IP-lekken te stoppen. Er zijn echter een paar providers die ik heb gezien die zeiden dat verbinding maken via L2TP de beste optie was, terwijl dat absoluut niet het geval is. Om meer te lezen over de verschillende protocollen, kunt u deze link bekijken: https://www.ivpn.net/pptp-vs-ipsec-ikev2-vs-openvpn-vs-wireguard/

Hieronder staan ​​beoordelingen van de 4 VPN-providers die ik heb gebruikt en vertrouw. U kunt ook deze link bekijken naar een website (voorheen Google Doc) die is gemaakt door ThatOnePrivacyGuy. Het documenteert veel meer providers dan alleen deze 3, maar is iets dat mijn beslissingen heeft ondersteund om deze bedrijven te promoten.

IVPN

Om de persoonlijke beoordelingen te beginnen, heb ik besloten om voor de VPN-provider te gaan die ik sinds begin 2013 gebruik. IVPN, oorspronkelijk opgericht in Malta maar onlangs de overstap naar Gibraltar vanwege veranderende privacywetten, is toegewijd aan uw privacy. Ze bieden 12 landen en in totaal 19 servers vanaf april 2016, wat een vrij klein netwerk is in vergelijking met veel andere providers. Ik ben echter blij met de locaties die ze hebben gekozen. U kunt de volledige lijst met locaties hier bekijken: https://www.ivpn.net/status. Ze brengen zichzelf op Twitter op de markt als "IVPN is een online privacy- en beveiligingsservice", wat voor mij een stap hoger is dan al het gepraat over militaire versleuteling en niet-registratie dat in de VPN-gemeenschap maar al te veel de ronde doet. Ze vermelden heel duidelijk in hun privacybeleid (https://www.ivpn.net/privacy) welke informatie wel en niet wordt vastgelegd. Het leuke van verbindingen met IVPN-servers is hun multihop-technologie, waarmee je verbinding kunt maken via twee afzonderlijke IVPN-servers voordat je het open internet opgaat. Dit geeft u als gebruiker meer anonimiteit, aangezien beide servers zouden moeten worden gecompromitteerd om uw identiteit in gevaar te brengen; tenzij ze natuurlijk loggen hebben ingeschakeld. Hun administratieteam liet me ook weten dat alle VPN-servers vanuit RAM draaien, dus alles wat geschreven is, is slechts tijdelijk voordat het wordt gewist. Als gebruiker kan ik dit niet bevestigen, maar ik vertrouw hun woord wel. Hopelijk is dat geen misplaatst vertrouwen. De gebruikte coderingsprotocollen worden openlijk uiteengezet in hun "18 vragen om uw VPN-serviceprovider te vragen" -antwoorden op hun ondersteuningspagina (https://www.ivpn.net/knowledgebase/108/Answers-for-18-Questions-to-ask -uw-VPN-serviceprovider.html). Ze stellen dat ze AES-256 gebruiken met 4096-bits RSA-sleutels over de hele linie, die ze beschouwen als "paranoïde versleuteling". Ik zou graag willen weten wat hun gedachten zijn over post-kwantumcryptografie. Toen ik door hun OpenVPN-bestanden keek die aan de gebruiker waren gegeven om te downloaden, kon ik vaststellen dat ze TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-DSS-WITH-AES-256- gebruiken CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA voor de TLS-coderingssuite, zodat u er zeker van kunt zijn dat Perfect Forward Secrecy WEL bestaat op IVPN. Ze gebruiken het hoogste coderingsniveau dat momenteel mogelijk is voor OpenVPN (afgezien van het toestaan ​​van DSS en SHA1 voor oudere klanten), dus dat is een goede zaak. U kunt de gebruikte codering zelf bevestigen door de .ovpn-bestanden van hun website te downloaden en ze in een teksteditor te openen, maar dit bevestigt niet dat dezelfde standaarden worden gebruikt via hun eigen apps. Maar echt, waarom zouden ze dat niet zijn?

Wat betreft betaling en prijsstelling, IVPN is zeker aan de hogere kant met $ 100 USD voor een jaarabonnement. Maar ze bieden PayPal, Bitcoin en contant geld per post aan, dus er zijn twee mogelijk anonieme betalingsmethoden en een zeer eenvoudige en vernieuwende methode (PayPal). Hun abonnementen geven toegang tot alle servers, wat een leuke afwisseling is van de VPN-providers die hun abonnementen opsplitsten op basis van een heleboel verschillende factoren, zoals snelheid, serverlocaties, enz. Registreren was eenvoudig en ze vroegen niet meer dan een e-mail, wachtwoord en mijn betaling. Dat betekende dat er geen identificatiegegevens hoefden te worden verstrekt. IVPN biedt ook maandelijks een warrantkanarie als een manier om te zeggen: "Hé, we hebben geen gag-orders van de overheid ontvangen" en een hele sectie van hun website gewijd aan het vrijwel 100% anoniem zijn terwijl je achter een VPN zit. Ik stel voor dat je het eens bekijkt, ik heb veel van mijn eigen kennis uit deze beschrijvingen gehaald: https://www.ivpn.net/privacy-guides

Als laatste opmerking heb ik veel verificatie gedaan met hun administratieteam over PGP-gecodeerde e-mail (best geweldig dat ze vrij lange gesprekken met mij hebben gevoerd in een gecodeerde vorm), dus ik heb veel persoonlijk vertrouwen in het bedrijf. Maar dat ik veel persoonlijk vertrouwen heb, geeft je niet het startsein om hen ook een deel van je vertrouwen te geven. U moet uw eigen onderzoek doen en uw eigen vragen stellen om er zeker van te zijn dat zij het bedrijf zijn dat aan uw behoeften voldoet. Ik prijs ze enorm voor het werk dat ze doen, maar ik leg niet al mijn eieren in één mand. Ik ben in de loop der jaren erg tevreden geweest met hun service, maar ik merk dat het in een zeer competitieve markt moeilijk is om één VPN-service bovenaan te vermelden.

Mullvad

Deze herschrijving van de Mullvad-recensie kwam voort uit ernstige veranderingen in hun bedrijf in de afgelopen 2 jaar sinds ik begon met het schrijven van dit artikel.

Mullvad is een provider die ik nu beschouw als "no bullshit". Ze schetsen heel duidelijk hun service, bedrijf en praktijken op hun website zonder enige van de "Security Threater" -praten over Military Grady Encryption en ZERO-registratiepraktijken. Om te beginnen beweert hun website: "Voor maximale veiligheid gebruiken we fysieke, bare-metal servers (geen virtuele servers) die worden beheerd en ofwel eigendom zijn van of gehuurd worden door ons in zorgvuldig geselecteerde datacenters." Ik hoefde ook niet rond te graven om deze informatie te krijgen. Het is zeer handig geplaatst op hun pagina Functies en is gemakkelijk toegankelijk voor iedereen die hun website bezoekt. Ze vermelden ook heel expliciet de codering die in de verbindingen wordt gebruikt:

  • Onze gegevensversleuteling is AES-256
  • Al onze OpenVPN-servers gebruiken 4096-bits RSA-certificaten (met SHA512) voor serververificatie
  • Al onze OpenVPN-servers gebruiken 4096 bit Diffie-Hellman-parameters voor sleuteluitwisseling
  • Al onze OpenVPN-servers gebruiken DHE voor perfecte voorwaartse geheimhouding
  • OpenVPN-re-keying wordt elke 60 minuten uitgevoerd

Ik ben van mening dat het zo duidelijk op hun website vermelden van deze informatie een groot pluspunt is voor hun vermogen om de VPN-bullshit te doorbreken en de lezer gewoon de feiten te geven. Daar houden ze echter niet op. Hun functiepagina legt ook uit dat Mullvad-accounts geen van uw gegevens nodig hebben om zich te registreren; niet eens een e-mailadres. Je vult gewoon een CAPTCHA in en het genereert een reeks tekens die zowel als gebruikersnaam als wachtwoord voor verbindingen wordt gebruikt. Dit, evenals een overvloed aan andere informatie met betrekking tot de gegevens die ze wel en niet verzamelen en opslaan, kunt u het beste hier lezen: https://mullvad.net/en/help/no-logging-data-policy/

Als u wat dieper op hun website duikt, zult u zien dat zij, net als IVPN, hier soort "Privacygidsen" publiceren: https://mullvad.net/en/help/guides/. Hoewel deze gidsen niet zo "all-inclusive" lijken te zijn als die gepubliceerd door IVPN, zijn ze nog steeds een geweldige bron om op hun website te vermelden. Ze zijn ook een van de eerste providers die ik heb uitgecheckt om het WireGuard-protocol voor verbinding te ondersteunen. Hoewel het momenteel alleen beschikbaar is voor Linux, implementeert WireGuard enkele nette cryptografie die verder gaat dan alleen eenvoudige AES-256 en 4096 bit RSA - namelijk: "Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, en veilige vertrouwde constructies ." Het is geweldig om elliptische curve-cryptografie te kunnen gebruiken met VPN-verbindingen.

Een punt dat ik van bijzonder belang vond op hun bloggedeelte van hun website, is hun werk aan Post-Quantum Cryptography en de introductie van een VPN in de toekomst die de imposante dreiging van Quantum Computing zou kunnen weerstaan ​​(https:// mullvad.net/en/blog/2017/12/8/introducing-post-quantum-vpn-mullvads-strategy-future-problem/). Het is echt geweldig om te zien dat een provider vooruitkijkt naar de toekomst, niet voor hun eigen geldgewin, maar voor de privacy en veiligheid van hun klanten. Ik geloof dat dit werk, parallel aan het werk dat ProtonMail doet met veilige e-mail, cruciaal is bij het ontwikkelen van technologie die de minima overtreft om verder te gaan.

Cryptostorm

Ten slotte komen we bij een provider waar ik pas rond september 2015 echt naar ben gaan kijken. Ik was nog steeds erg tevreden over IVPN maar mijn abonnement liep af, wat weer een lang proces betekende van het anonimiseren van een betaalmethode en ik wilde om ervoor te zorgen dat het bedrijf dat ik zou blijven steunen de meeste sterren kreeg in mijn persoonlijke beoordelingen van mijn 'online winkelen'. Ik had verbazingwekkende dingen gehoord over het CS Network en wilde dieper ingaan op wat ze allemaal inhielden dan alleen maar door hun site te bladeren, zoals ik een paar jaar geleden eerder had gedaan.

Het eerste dat opvalt als je naar de website van Cryptostorm gaat, is wat velen zien als een puinhoop die moeilijk te volgen, moeilijk te lezen, maar enigszins aantrekkelijk is. Het is anders dan alle andere providers en bijna onprofessioneel; maar dat gevoel van verschil lijkt me dichterbij te brengen. Een beetje zoals hoe Mullvad zo rechttoe rechtaan en minimalistisch was, vertelt het vreemde karakter van de website van Cryptostorm een ​​verhaal van diversiteit. Om te beginnen zijn ze een bedrijf dat "een beetje" is gevestigd in IJsland, maar al hun financiële zaken afhandelt vanuit Quebec in Canada (ze hebben niet echt een duidelijke locatie - zou dit het niet moeilijk maken om een ​​dagvaarding te geven naar hen?). IJsland is een goed op privacy gericht land om in te worden opgenomen (hoewel ze nergens een centraal kantoor hebben) en ik heb altijd van .is-domeinen gehouden.

Navigeren door hun website was behoorlijk moeilijk om de informatie te krijgen die je misschien zou willen bij het kiezen van een provider, dus ging ik naar hun IRC om een ​​aantal van mijn vragen beantwoord te krijgen. Ik was niet bekend met op tokens gebaseerde authenticatie voordat ik rondvraag en een meer gedetailleerd antwoord kreeg, maar voor zover ik weet, vervangt het gebruikers-/pasauthenticatie door een gegenereerd token dat vóór gebruik moet worden gehasht. Dit token is willekeurig; hashen maakt het nog meer willekeurig. De server mag dus helemaal geen informatie over de gebruikers hebben als ze betalen met geanonimiseerde Bitcoin (wat de voorkeursbetaalmethode is die ze aanbieden). De codering die wordt gebruikt, bevindt zich niet duidelijk op hun site, dus je moet iets dieper graven en naar hun GitHub gaan om de .ovpn-configuratiebestanden zelf te bekijken. Dit is wat er wordt weergegeven:

ns-cert-type server
auth SHA512
cipher AES-256-CBC
replay-window 128 30
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
tls-client
key-method 2
#log devnull.txt
#verb 0
#mute 1


De gebruikte versleuteling lijkt zeer hoogwaardig te zijn met behulp van DHE voor perfecte voorwaartse geheimhouding, 256-bit AES en SHA512. Dit geeft echter niet aan hoe groot de RSA-sleutels zijn die worden gebruikt. Nadat ik contact had opgenomen met een van de beheerders over de gebruikte codering, was dit de antwoord-e-mail die ik ontving. Laat je echt de kwaliteit zien die Cryptostorm biedt wanneer ze bereid zijn om in dit niveau te gaan om voor hun klanten te zorgen.

Een huidig ​​werk in ontwikkeling voor Cryptostorm dat het risico op correlatieaanvallen of de mogelijkheid dat uw IP ooit wordt gelekt, encryptiesleutels gecompromitteerd of identiteit wordt blootgesteld, ernstig zou verminderen, staat bekend als Voodoo. Je kunt hier meer over dat opkomende idee lezen op de GitHub-pagina: https://github.com/cryptostorm/voodoo.network

Wat een Warrant Canary betreft, biedt Cryptostorm er geen en lijkt er ook geen plannen voor te hebben. In plaats daarvan bieden ze een "Privacy Seppuku Pledge", wat hun manier is om te zeggen dat we zullen afsluiten, de servers zullen wissen, alles zullen verwijderen en dood zullen spelen voordat we informatie over onze klanten opgeven.

Over het algemeen heb ik veel vertrouwen in de service van Cryptostorm en ben ik er zeker van dat een persoon, met een gematigd dreigingsmodel, maximale beveiliging, privacy en anonimiteit zou kunnen krijgen door hun VPN te gebruiken. Ze zijn als de nerd voor in de klas die ongelooflijk slim is, maar heel moeilijk om mee om te gaan en te begrijpen. En dat vind ik een goede zaak!

Zie: De beste en meest betrouwbare VPN-services voor uw privacy op Privacy-Tools.nl