Ik overweeg een versleutelde verbinding te gebruiken, maar hoe doe ik dat?
Wat moet ik bijvoorbeeld bij mijn Fritz!Box instellingen invullen bij “Resolved Names of the DNS server?” Zie screenshot.
En zijn er nog ander instellingen die ik moet aanpassen?
Ik heb namelijk hier nog geen kaas van gegeten …
Wie kan mij helpen, ik heb een Fritz!Box 5490
Bij “Resolved Names of the DNS Server” vul je in: dns.freedom.nl
Dat is in principe alles. Let op dat dit geen functie is om al je verkeer te versleutelen, het betreft alleen DNS verkeer dat dan versleuteld is.
Als je wilt voorkomen dat er in sommige situaties toch nog onversleuteld DNS verkeer over de lijn gaat, zet je het vinkje bij “Allow fallback….” uit.
Los van het “doen” om dat het “kan” worden ingesteld…
Wat is een reden om op een connectie van Freedom, secure DNS te doen vanaf de Fritz van/naar/op de nameservers van Freedom ?
Freedom kan prima blijven zien wat/wie queries zijn.
Partijen die er tussen zitten, bijv. de belichter. Hoewel ik moet toegeven dat de risico’s allemaal zeer beperkt zijn. Desalniettemin gebruik ik ook gewoon DNS-over-TLS, meer uit principe.
Dank je.
Dat het misschien veiliger is?
Hoewel ik nu ahv van het antwoord van WoSp concludeer dat het wellicht overbodig is omdat het de DNS van Freedom is.
Het zou anders zijn als de DNS van Google is of van KPN …
Wat de redenen kunnen zijn om het te doen, staat hier aardig omschreven.
In mijn beleving, is het niet overbodig.
Helder: omdat het leuk is/kan (concludeer ik dan).
Terzijde: ik snap de schwung van “omdat het wel beter zou zijn” want anders zou het niet bieden… toch ?
Verder moet iedereen zelf weten wat die waarom wel of niet doet en er altijd wel wat te bedenken is om (n)iets in te stellen.
Thx… ik zie Intranet als minimaal risico tenzij ook te beveiligen tegen Freedom('s MiM partijen).
Encryptie komt ook weer met haar prijs zoals performance, latency (UDP vs TCP; ook bij de provider). In het geval van de Fritz stoort mij dat het een (af)gesloten box is.
@anon0224 U behoort blijkbaar tot de club “Ik heb niets te verbergen”
Ik heb ook een duur slot in de achterdeur. Anderen vinden dat weer geld verspillen.
Weer anderen zeggen, het trekt inbrekers aan.
Er zijn ook mensen die de naam van hun hond als wachtwoord op de wifi gebruiken.
Het is een keuze, niet de mijne.
Het mooiste zou zijn als je de FRITZ!Box aan de WAN kant zelf een verbinding zou kunnen laten maken met een VPN dienst. Dan is al je verkeer van al je devices op het internet versleuteld.
Maar helaas lijkt dat niet mogelijk.
Er zit wel een VPN functie in de FRITZ!Box, maar die werkt (als ik het goed begrepen heb) alleen als je van buitenaf op je home network (LAN kant) wilt komen.
Daarom heb ik een abonnement op een VPN dienst waar ik tot 5 devices (PC, laptop, smartphones) versleuteld en dus met verborgen IP-adressen het internet op ga.
Het enige wat zichtbaar is, is het ip-adres van de VPN dienst en die van mijn FRITZ!Box.
Heb ik iets te verbergen? Ja, heel veel! Ook voor Freedom, omdat die op verzoek van justitie al mijn verkeersgegevens moet overleggen. En door de sleepwet hoef je niet eens verdacht te zijn.
1984 is een roman, niet een handleiding!
Alleen DNS verkeer versleutelen?
Dan kan behalve jij en de DNS server niemand zien van welke domeinnaam (website) je het IP-adres opvraagt.
Vervolgens ga je met dat IP-adres onversleuteld de website bezoeken?
Of mis ik iets?
Tot welke club ik hoor is niet aan jou om te duiden.
Ik vroeg mij hier puur af waarom iemand secure DNS - buiten dat 't leuk kan - in een eigen omgeving zou willen aanzetten.
Belangrijk is, vind ik, dat “opties” een eigen keuze zijn en niet omdat anderen een voorziening (on)zinnig vinden.
Dat ligt eraan of de webserver https verkeer accepteert (of zelfs afdwingt), wat tegenwoordig wel redelijk de standaard is geworden. Maar zelfs als dat zo is, is nog steeds voor een meekijker te zien van/naar welk IP-adres je verkeer loopt, alleen niet de data zelf die heen en weer gaat (dat is versleuteld). Overigens, als je op http binnenkomt en de site wordt naar https geforceerd d.m.v. een redirect, gaat die initiële redirect wel onversleuteld over de lijn en is dus de bezochte site te achterhalen. Je kan in veel browsers ook instellen dat alleen https verbindingen gemaakt mogen worden, dan voorkom je dit. Maar, dan zijn websites die nog geen https ondersteunen dus ook onbereikbaar.
Als je DNS-over-TLS gebruikt en de server waar je uiteindelijk naar toegaat https ondersteund, zou voor iemand die jouw internet verbinding kan tappen zichtbaar zijn:
Alternatief is inderdaad een VPN waar je al je verkeer over heen gooit. Dan is in bovenstaande situatie bij de 3e stap alleen een verbinding naar een IP (en poort) van de VPN dienst zichtbaar. Vervolgens gaat alle andere data over die tunnel en is dus voor tussenliggende partijen niet zichtbaar. Maar, die data is dan wel weer zichtbaar voor die (buitenlandse?) commerciële VPN aanbieder. En in geval van een VPN aanbieder met een server in Nederland, moet die ook gewoon aan de NL wetgeving voldoen en maakt het dus geen enkel verschil. Bij een buitenlandse VPN kan je bovendien weer gedoe krijgen met geo blocking en het zal je internet verbinding vertragen. Ik ben dus niet zo’n fan van dergelijke diensten, het is naar mijn mening meer schijnveiligheid. Beter gewoon internet afnemen bij een zo betrouwbaar mogelijke aanbieder….Freedom bijvoorbeeld 
Ik maak gebruik van MUllvad VPN (Zweeds), met een Quantum Secure Connection en Multihop.
Voor de uitgaande VPN server heb ik een Nederlandse gekozen. Op die manier heb ik geen last van geo-blocking. Een enkele keer wel van websites die bekende IP-adressen van VPN diensten blokkeren.
Soms kies ik tijdelijk een uitgaande server in de Verenigde Staten om content te bekijken die voor Nederlandse bezoekers wordt geblokkeerd.
De snelheid neemt logischerwijs inderdaad af. Volgens Speedtest is mijn native snelheid rond de 940 Mb/s en met VPN wordt dat 640 Mb/s. Bedenk dat mijn VPN verkeer bij Mulvadd door twee servers wordt geleid (multihop), één in Zweden en één in Nederland.
Maar, wat heb je hier nu mee bereikt? Je uitgaande hop is Nederlands en moet dus gewoon voldoen aan dezelfde wetgeving als elke andere Nederlandse ISP en kan net zo goed getapt worden als elke andere Nederlandse verbinding. Je verkeer loopt daarnaast ook nog eens over Zweden en dus de autoriteiten daar zouden je verkeer ook kunnen tappen. Als je een uitgaande server in de USA gebruikt, kan je ook nog eens daar getapt worden. En bovenal, je gooit al je verkeer ook nog eens langs een extra commerciële partij als Mullvad. Nee, dit gaat je echt geen extra privacy brengen, in tegendeel.
De uitgaande server krijgt zijn informatie van de eerste en is dus al versleuteld. Het IP-adres dat binnenkomt op de uitgaande server is die van de eerste. Dus al het verkeer op de uitgaande server is niet direct te herleiden naar mijn eigen prive adres. Daar zijn ook de gegevens van de eerste server voor nodig en die staat niet in Nederland.
“Mullvad does not collect user data. Mullvad is based in Sweden and none of the Swedish regulations (Swedish legislation relevant to us as a VPN provider | Mullvad VPN) can force VPN providers to secretly collect traffic-related data.”
Een uitgaande server in de Verenigde Staten is inderdaad een veiligheidsrisico. Maar als ik die gebruik is het niet vanwege veiligheid, maar om tijdelijk in Nederland geblokte content te kunnen bekijken.
Het internet verkeer gaat direct vanuit mijn PC al versleuteld het internet op. Mullvad is dus geen extra partij, maar de enige partij die iets met mijn data zou kunnen doen. Maar als ze die data zouden misbruiken, ondermijnen ze direct hun eigen bestaansrecht en kunnen de tent wel sluiten. Mullvad ondergaat geregeld onafhankelijke beveiligings audits.
En ja, ik schenk Mullvad mijn (gecalculeerd) vertrouwen. Vanwege de Nederlandse wetgeving weet ik in iedergeval zeker dat mijn verkeersgegevens bij mijn internet provider niet geheim zijn.
Omdat er een sleepwet aan komt.
De lijn naar Freedom is geen eigen omgeving.
Wat gaan ze zien, als ze ergens onderweg af tappen.
De verleiding is heel groot, om de data voor alles en nog wat te gebruiken.
Je verkeer gaat door een apparaat uit een raar land waarvan achteraf blijkt dat het afgetapt was.
En de EU wil graag super CA worden, wat dan weer een bedreiging is van dit systeem.
Alleen al je verkeer tussen Mullvad en jouw Freedom verbinding (als je Mullvad vertrouwt het minst spannende deel) is gegarandeerd versleuteld, daarna kunnen ze dit niet meer garanderen (tenzij ze alles naar niet versleutelde services blokkeren, maar dat lijkt me sterk). Als de service waar jij mee communiceert geen versleutelde communicatie accepteert, is het stuk tussen Mullvad en die service gewoon onversleuteld (net zoals dat je Mullvad er niet tussen had zitten), zet daar een tap op en je hebt alles. En ja, die uitgaande server in Nederland (en het netwerk waar die in staat) moet precies aan dezelfde wetten en regels voldoen als Freedom, dat Mullvad in Zweden zit doet daar niks aan af. Groot verschil is nu wel dat Mullvad de Nederlandse netwerkleverancier kiest, in plaats van jij. En ik durf best te stellen dat de kans dat daar een keer een tap op komt groter is dan op je eigen verbinding, juist VPN diensten worden namelijk ook vaak gebruikt voor schimmige zaken door mensen die denken dat ze dan niet te pakken zijn, de kans dat je een keer bijvangst bent wordt daarmee alleen maar groter. Uiteraard is dan jouw uiteindelijke IP nog verborgen, maar als het ze om jou gaat dan zal Mullvad jouw IP en de gegevens die ze over jou hebben ook gewoon moeten verstrekken. Grote kans dat je identiteit ook al is af te leiden uit de getapte gegevens. Ik heb een aantal keer meegemaakt dat we gedwongen zijn klantgegevens te verstrekken (en een tap toe te staan), daar ga je, mits politie en justitie hun dossier op orde hebben, weinig tegen inbrengen en als gebruiker die getapt wordt merk je daar ook helemaal niks van totdat je opgepakt en/of aangeklaagd wordt. Het is voor de dienstverlener namelijk strafbaar om derden (incl. de klant!) te informeren over de opgevraagde gegevens of de tap, om zo het onderzoek niet in gevaar te brengen. En over de gevolgen als je je daar niks van aantrekt wordt je nog even extra duidelijk geïnformeerd zodra die situatie zich voordoet. 
Dergelijke VPN diensten spelen alleen maar in op angst en verdienen daar flink geld aan. Weinig tot geen toegevoegde waarde, zeker niet bij een Nederlandse breakout.
Natuurlijk, ik heb geen illusies. Als ik werkelijk verdacht zou worden van criminele of terroristische activiteiten hebben de opsporingsdiensten voldoende middelen om uiteindelijk toch mijn internetverkeer af te tappen. Maar dat is gericht op mijn persoon (of internetaansluiting).
Als crimineel of terrorist zou ik zeker niet op de betrekkelijke veiligheid van VPN diensten vertrouwen.
Wat ik niet wil is dat Jan en alleman moeiteloos in mijn internetverkeer kan zitten grasduinen. Niet alleen de overheid, maar ook sommige commerciële instanties.
Ja, als mijn internetverkeer de VPN servers van Mullvad onversleuteld (het nog weinig voorkomende niet-https) verlaat is de inhoud af te tappen, maar niet direct mijn IP-adres. Dat tappen betreft dan al het verkeer naar een specifieke website of server. Dat is dus niet al het verkeer van mijn internetaansluiting.
De verkeersgegevens die door de Zweedse Mullvad servers gaan zijn (volgens hen) niet beschikbaar voor anderen en de verkeersgegevens die vervolgens door de Mullvad server in Nederland gaat, laat niet het IP-adres van mij zien. Die is namelijk al afgeschermd door de server in Zweden.
Analoog aan een goed slot op mijn voordeur. Een inbreker zou evengoed kunnen inbreken, maar dat is nog geen reden om dan de deur maar open te laten staan
Voorbeeld: Ik kom helaas nog geregeld mailservers tegen die onversleuteld communiceren met andere mailservers of alleen zulke oude ciphers ondersteunen die inmiddels zo lek zijn als een mandje. Iets spannender dan de website van de lokale vereniging die je bezoekt. En dat dat schandalig is, dat ben ik met je eens, maar het gebeurd. Hoewel je op het hele traject van een mail tussen jou en ontvanger maar beperkte invloed heb, heb ik als het er op aankomt dan toch liever dat Freedom dat in theorie kan inzien (zijnde een partij waar ik er behoorlijk zeker van ben dat die daar geen misbruik van gaan maken) dan dat een of andere (vage) partij in Zweden, waarvan ik zo snel geen namen en rugnummers kan vinden, dat doet. Mochten ze daarmee hun naam beschadigen, hebben ze morgen weer een “nieuwe” dienst de lucht in gegooid met een hele andere naam (bij wijze van spreken). Wil je dan ook nog eens je recht halen, moet je naar de Zweedse rechter. Maar ieder zijn ding zullen we maar zeggen.
En dit is slechts een voorbeeld dat je ook weer kan afvangen door geen eigen mailserver te draaien, maar al je mail te versturen over een versleutelde verbinding naar bijv. de Freedom/Soverin mailservers en die het verder te laten afhandelen. Waar het om gaat: helaas is nog niet 100% van het internet verkeer versleuteld, denk bijv. ook aan “slimme” apparaten in huis, gaat dat allemaal versleuteld? Daar gaat je VPN dienst niks aan veranderen en voor verbindingen die wel versleuteld zijn, geeft het ook geen meerwaarde, want die waren al versleuteld: alsof je je deur voorziet van een driepuntssluiting met politiekeurmerk veilig wonen en je daarna nog een ketting met hangslot om je hele huis (en deur) heen gooit.
