Beveiligingsgat in vpn's met port forwarding legt ip-adressen gebruikers bloot

Alle vpn-protocollen kunnen een kwetsbaarheid hebben waarbij een aanvaller die van dezelfde dienst gebruikmaakt gemakkelijk het ip-adres van zijn doelwit kan achterhalen wanneer ze via bijvoorbeeld BitTorrent met elkaar verbinden.

De kwetsbaarheid is ontdekt door vpn-aanbieder Perfect Privacy. Het bedrijf noemt het beveiligingsgat Port Fail. Het probleem doet zich voor bij vpn-providers die port forwarding aanbieden. Een aanvaller zal gebruik moeten maken van dezelfde vpn-dienst als zijn doelwit en moet ook het exit-ip-adres van zijn doelwit kennen. Dat is bijvoorbeeld te achterhalen door in de swarm van eenzelfde Torrent als het doelwit te gaan zitten.

Daarna is het zaak voor de aanvaller om te verbinden met dezelfde vpn-server en port forwarding in te schakelen op een port naar keuze. Vervolgens moet de aanvaller het slachtoffer verleiden op een voor de aanval geprepareerde server te komen, bijvoorbeeld door een plaatje vanaf die server te embedden in een site. Wanneer het doelwit dan naar het adres van de vpn-server gaat via de specifieke geopende port, leidt de server het verkeer naar de aanvaller en vanwege de port forwarding komt het ip-adres zo bij de aanvaller terecht. Het doelwit verbindt immers met zijn eigen ip-adres met de vpn-server.

Perfect Privacy zegt de methode getest te hebben bij negen grote vpn-providers waarvan er vijf de kwetsbaarheid hadden. Deze zijn van tevoren op de hoogte gesteld en de gaten moeten inmiddels gedicht zijn. Een van die vpn-providers, Private Internet Access, dankt Perfect Privacy voor hun schappelijkheid in de vorm van een beloning van 5000 dollar in het kader van zijn Whitehat Alert Security Program. Dat schrijft Torrentfreak. Het is niet volledig duidelijk hoe wijdverspreid het beveiligingsgat is. "We kunnen met geen mogelijkheid alle vpn-providers testen", stelt Perfect Privacy.

Door Mark Hendrikman

Redacteur

Feedback • 27-11-2015 11:02
63 • submitter: CriticalHit_NL

27-11-2015 • 11:02

63 Linkedin

Submitter: CriticalHit_NL

Lees meer

Private Internet Access gaat code van vpn-clientsoftware open source maken Nieuws van 19 maart 2018
Vpn-provider PIA trekt zich terug uit Rusland na inbeslagname servers Nieuws van 12 juli 2016
Nieuw ontdekte malware richt zich op back-ups van iOS en BlackBerry Nieuws van 7 december 2015
Releasegroepen weten 4k-content van Netflix en Amazon te kopiëren Nieuws van 30 november 2015
'Gebruik tweetrapsauthenticatie en vpn bij publieke wifi-hotspots' Nieuws van 18 november 2015
Hollywood claimt PopcornTime.io en YTS offline gehaald te hebben Nieuws van 4 november 2015
Cisco neemt OpenDNS over voor circa 570 miljoen euro Nieuws van 30 juni 2015
Vpn-dienst Hola neemt maatregelen tegen misbruik netwerk Nieuws van 2 juni 2015
Opera laat Android-app nu ook dataverbruik bij wifi terugdringen Nieuws van 26 mei 2015
Onderzoekers vinden opnieuw problemen met ssl Nieuws van 20 mei 2015
Meer producten en artikelen
Netwerk en systeembeheer Bittorrent Vpn

Reacties (63)

-Moderatie-faq
63
62
54
2
0
0
Wijzig sortering
194673
27 november 2015 11:10
Na dit artikel 2 keer doorgelezen te hebben ben ik toch de bron maar gaan lezen want ik kon weinig volgen van dit relaas.
Het wordt in de bron voor mij duidelijk. Om iemand zijn IP te achterhalen pas je een truc toe zodat de client verkeer stuurt naar de VPN server op een poort die iemand anders geforward heeft naar zijn IP. Omdat in je routing table een /32 staat voor het IP van de VPN server zelf wordt het verkeer dus niet getunneld maar blijkbaar geforward naar de attacker.
Volgens mij is de fix ook vrij simpel, extra laagje NAT ("hide nat"). Kwestie van een niet goed doordachte , slecht geconfigureerde setup.
Henk Poley
@19467327 november 2015 11:31
Het lijkt wel alsof alle port forwarding instellingen globaal gedeeld waren. Omdat Attacker wil port forwarden aan zijn eind, gaat mijn client die regel overnemen en dat zelf ook doen?

[Reactie gewijzigd door Henk Poley op 27 november 2015 12:00]

194673
@Henk Poley27 november 2015 11:37
Ja zoiets begrijp ik er wel uit. Ik had als VPN provider denk ik sowieso client-to-client verkeer of verboden, of achter een extra NAT laag gezet. Ik vind dit een best kwalijke fout van de VPN providers overigens.
Henk Poley
@19467327 november 2015 11:56
Hmm.. nogmaals lezend zit het denk ik zo:

Je hebt een VPN actief. Je programma's kunnen dan nog steeds met alle IP adressen verbinden, maar dat gaat (vrijwel) altijd via de VPN-versleuteling. De uitzondering is het IP adres van de VPN server zelf.

Iemand kan een poort op de uitgang (exit) van de VPN reserveren (port forwarding). Dit om binnenkomende verbindingen mogelijk te maken. Als je nu verbind met die poort op de uitgezonderde VPN server zelf, dan ga je dus buiten de VPN-versleuteling om via jouw eigen IP adres uitzondering. Je komt dan buitenom aan op de port forwarding die aan de aanvaller doorgegeven wordt.

Dat uitgezonderde IP adres moet open staan, omdat jouw VPN client-programma naast jouw andere programma's draait, en zelf toegang moet hebben. Daardoor hebben al jouw programma's toegang tot dat IP buiten de VPN om.

Dit misbruik werkt enkel als het IP van de VPN server waar je mee verbind, ook het IP is waar verbindingen de VPN verlaten. Zodra de uitgang (exit) van het VPN ergens anders is dan waar jouw VPN client mee verbind, dan zal de ene uitzonderings IP nooit matchen met het IP waar port forwardings op staan.

Aan de client kant zou een firewall die applicaties speciaal toegang kan geven, dit probleem ook kunnen oplossen. (*) Ook zou IP+poort routering filters kunnen helpen. Lijkt mij vrij uitzonderlijk dat een aanvaller de ene inkomende poort van de VPN, die dus al gebruikt wordt, zou kunnen reserveren voor port forwarding ;).

(*) Edit: hoewel een VPN hier natuurlijk niet specifiek tegen beschermd, zou het open laten van zelfs die ene uitgezonderde IP+poort combinatie in een onthullings-aanval misbruikt kunnen worden. Een geavanceerde aanvaller zit op de doorvoer van een aantal VPN verbindingen, waaronder die van jou. Maar kan niet zien wat er overheen gaat (want VPN). Door gericht clients via die IP+poort, buiten de VPN om, verbinding te laten maken geef je vanzelf aan wat jouw IP is. Dit is wel een James Bond stijl aanval, waarbij je toch ernstig nijpend gezocht wordt en er te veel VPN gebruikers zijn om gewoon alle gebouwen binnen te vallen -_- (misschien heb je dan meer problemen dan een lekkende VPN)

Er zou geen enkele uitzondering moeten zijn, als je programma's binnen de VPN zitten. Enkel de VPN client moet gewone verbindingen door de 'old gateway' kunnen maken.

[Reactie gewijzigd door Henk Poley op 27 november 2015 12:37]

matthijskooijma
@Henk Poley27 november 2015 14:10
Volgens mij klopt dit als een bus!
eheijnen
@Henk Poley27 november 2015 17:57
Dit is het artikel van Perfect Privacy. Zij hebben dit ontdekt.
https://www.perfect-priva...ers-with-port-forwarding/
matthijskooijma
@19467327 november 2015 11:59
Het probleem is volgens mij dat het voor de VPN provider niet op client-client verkeer lijkt, omdat het verkeer niet *door* de VPN tunnel gaat, maar eromheen (vanwege de route op de victim client). En het idee van een port forward is om verkeer van het internet naar de (in dit geval attacker) VPN client door te sturen, wat de VPN provider ook doet. Alleen in dit specifieke geval zorgt dat ervoor dat er dus een IP adres "lekt".
InsanelyHack
@19467327 november 2015 11:37
Ok maar wat ik me dan afvraag wat bereik je ermee? Je weet dan als bv content beschermheer van de filmindustrie dat iemand ingelogd zat op een VPN server en dat die VPN server ook illegaal torrents aan het downloaded was. Maar het is een VPN server dan heb je toch feitelijk geen bewijs omdat het een veel naar 1 relatie is toch ?
matthijskooijma
@InsanelyHack27 november 2015 11:59
Het punt is dat je het *echte* IP adres van de VPN-gebruiker weet, dus kun je achterhalen *wie* een illegale dienst gebruikt (bijvoorbeeld).
InsanelyHack
@matthijskooijma27 november 2015 12:11
Nee dat is dus niet waar. VPN gebruiken is niet illegaal het geeft alleen een vermoeden.
Stel 3 man downloaden torrents via de VPN server en 1 man doet dat niet die is wat anders aan het doen dan kan je dus in feite wel ieders eigen ip adres achterhalen maar je weet dan nog niet wie illegaal wat heeft gedownload want als ze gaan kijken wie torrents download dan zien ze het ip adres van de van server. Ze kunnen alleen nagaan dat jij die VPN dienst gebruikt, waarvoor is nog een raadsel.

Edit woordje VPN voor dienst gezet want dat woordje is cruciaal.

[Reactie gewijzigd door InsanelyHack op 27 november 2015 14:17]

Maurits van Baerle
@InsanelyHack27 november 2015 13:45
Hij zegt toch ook niet dat VPN's illegaal zijn? Hij zegt dat VPN's gebruikt kunnen worden voor illegale zaken juist omdat ze privacy zouden moeten bieden. Als het echte IP achterhaald kan worden dan biedt het dus geen bescherming.

Als jij dus een VPN gebruikt om een bepaalde nieuwsaite te lezen die jouw overheid verboden heeft kun je daardoor in de problemen komen.
InsanelyHack
@Maurits van Baerle27 november 2015 13:56
Dat kunnen ze niet zien. Ze kunnen alleen zien dat jij die VPN server gebruikt en ze kunnen zien dat iemand die aangesloten zit op die VPN server die illegale nieuwssite leest. Of jij dat bent is niet te bewijzen.
mrdemc
@InsanelyHack27 november 2015 14:07
Pff, je hebt geloof ik wel moeite met het artikel of niet?
Dankzij dit truukje is het dus wel degelijk mogelijk om het IP van de gebruiker te achterhalen, ipv het IP van de VPN-server. Lees ook even het bericht van angelina in 'nieuws: Beveiligingsgat in vpn's met port forwarding legt ip-adressen gebruikers bloot'

Daar gaat ook het hele artikel over...

[Reactie gewijzigd door mrdemc op 27 november 2015 14:08]

InsanelyHack
@mrdemc27 november 2015 14:13
pff volgens mij lees jij niet wat ik al heel de tijd beweer en mij niemand nog van heeft kunnen overtuigen is het feit dat men niet kan nagaan wat je doet. Ze kunnen alleen een trucje uithalen om jouw adres te achterhalen. Kunnen ze zien door die truck dat jij een middels de VPN een torrent poort gebruikt ?
mrdemc
@InsanelyHack27 november 2015 18:22
Excuus heb ik je inderdaad verkeerd begrepen.

Het kan echter wel. Want het truukje is op basis van een website die wordt bezocht. Stel je koopt een advertentie in op een illegale website en je plaatst die link alleen daar, dan kun je het echte op koppelen aan die gebruiker en die website. Maar het kan ook zijn dat een organisatie als de VS, VK of Australische politie een website overneemt en inde lucht houdt en daarop deze link plaatst. Etc. :)
matthijskooijma
@mrdemc27 november 2015 14:14
Volgens mij snapt toet-toet het artikel prima (en had ik het niet begrepen). Zie ook mijn reactie hieronder.

[Reactie gewijzigd door matthijskooijma op 27 november 2015 14:14]

matthijskooijma
@InsanelyHack27 november 2015 14:13
Goed punt, toet-toet! Je kunt inderdaad wel het echte IP adres van een VPN-gebruiker achterhalen, maar je kunt vervolgens niet zien welke uitgaande verbindingen via de VPN server bij welke VPN gebruiker horen, dus het herleiden van "illegale activiteiten" wordt niet zonder meer mogelijk door dit probleem.

Het blijft natuurlijk zo dat veel VPN-diensten adverteren met anonimiteit, en dit probleem daar afbreuk aan doet, maar het is inderdaad minder zwaar dan het in eerste instantie zou kunnen lijken.
InsanelyHack
@matthijskooijma27 november 2015 14:32
Gelukkig eindelijk iemand die me begrijpt ;-)

En dan nog ... wat is het verschil ... de bewaarplicht is nu wel afgeschaft maar er is een kans dat die terugkomt en wat was het verschil met toen het er nog was ? Toen konden ze ook al nagaan dat je VPN diensten gebruikte want de ISP was verplicht "Meta" data bij te houden waaruit bleek dat je een VPN sessie opzette naar partij X dus zo heel spannend vind ik dit nu ook weer niet. Sterker nog... onder water zijn er duistere machten die dat toch wel weten dat je dat doet.
angelina
@19467327 november 2015 12:09
Op de originele pagina van perfect privacy staat een stapsgewijze beschrijving. Vond ik veel makkelijker lezen dan het tweakers bericht:

1. Victim is connected to VPN server 1.2.3.4
2. Victim’s routing table will look something like this:
0.0.0.0/0 -> 10.0.0.1 (internal vpn gateway ip)
1.2.3.4/32 -> 192.168.0.1 (old default gateway)
3. Attacker connects to same server 1.2.3.4 (knows victim’s exit through IRC or other means)
4. Attacker activates Port Forwarding on server 1.2.3.4, example port 12345
5. Attacker gets the victim to visit 1.2.3.4:12345 (for example via embedding <img src=”http://1.2.3.4:12345/x.jpg”> on a website)
6. This connection will reveal the victim’s real IP to the attacker because of the “1.2.3.4/32 -> 192.168.0.1” vpn route.
FreshMaker
@InsanelyHack27 november 2015 15:09
Ja en? Ga ook effe verder met je analyse waaruit blijkt dat je een torrent poort gebruikt en de nieuwste CD aan het downloaded bent van Marco Borsato want dat zijn namelijk de dingen die je zou willen maskeren. Nogmaals anonimiteit is dus niet meer waar bij een VPN dienst want dat ip adres is te achterhalen maar of je nu actief bent met torrents, use-net of babbelt met je IS vriendin dat kan niemand nagaan.
Je draaft iets te ver door
De essentie is niet zozeer WAT je aan het doen bent, maar DAT je zichtbaar kan worden.
In dit geval interesseert de CD de aanvaller niets, hij wil jouw systeem, evt een botnet of andere aanval ( spionage )
Maar wederom vind ik het weer een lek die van veel toevalligheden in elkaar steekt.
( ja, het moet gefixed worden, daar niet van )
Maar stap één achterhaal IP exitadres, hiervoor moet jij de actieve gebruiker zover krijgen dat hij dezelfde dienst gaat gebruiken, zoals torrent / irc
* FreshMaker gebruikt de vpn alleen maar om direct verkeer te maskeren op mijn mobiel, mijn surf en syncgegevens wil ik niet 'openbaar' voor de wifi aanbieder onderweg
Torrents gebruik ik persoonlijk minimaal, en thuis gebruik ik dezelfde VPN alleen als ik mezelf 'even' wil indekken omdat de site geen NL verkeer toestaat
Daarhoudt volgens mij voor veel gebruikers het gevaar al op, als je alleen maar de eigen handelingen doet ( journalist plaatst zijn artikel vanuit China, Frankrijk of N-Korea ) dan kom je niet in aanraking met IRC / Torrents -> geen ipadres / vpn aanbieder

Mijn werkgerelateerde verbinding is een één op één connectie et de bedrijfsserver, dus die staat vanuit firewall / policy ( werkethiek ) al niets anders toe dan het 'gewone' gebruik.

Dus de eerste laag van bescherming ben je zelf, als je niet wilt dat je 'bekend' wordt, moet je je niet inlaten met vreemden op IRC oid
InsanelyHack
@FreshMaker28 november 2015 00:53
Waar gaat het nu om?
1 Om de gebroken belofte van anonimiteit die VPN service providers als spellingpoint verspreiden of,
2 de mogelijke kwetsbaarheid te achterhalen welke activiteiten je evt aan het doen bent?
Ik denk dat dit artikel alleen maar 1 kan bewijzen. Punt 2 geloof ik niet in want mensen die juist een VPN service nemen zijn niet zo dom om zomaar via een tentoongestelde URL of wat dan ook hun exit-adres prijs te geven.

Ik denk dat mensen een VPN server nemen omdat ze soms bepaalde zaken willen maskeren voor het publiek en daar verandert helemaal niks aan dus een artikel wat gemakkelijk mensen op het verkeerde been zet.
FreshMaker
@InsanelyHack28 november 2015 02:31
Is het een vraag ? Of een opmerking ?

Voor jouw anonimiteit in het gevaar is, is er een flinke stap te nemen.
Zoals je in jouw 2e punt aangeeft, iemand die puur anoniem wil blijven ( waarbij ik dan twijfel of een consumer service wel de aangewezen partij is ) zal zichzelf zoveel mogelijk indekken, lokaal als in zijn externe acces.
Een journalist die vanuit China opereert zal eerder een VPN pakken die hem direct naar zijn ( gecontroleerde ) bedrijfsserver leidt, dan PIA te nemen.
Mocht je toch kiezen voor zo'n aanbieder, zul je er een moeten nemen met véél gebruikers ( ipsharing is een oppervlakkige veiligheid, maar 'veilig' door aantallen )

Wil je echt anoniem zijn, zul je bij een macdonalds op de hotspot moeten gaan, met een stevig beveiligde device, waar je ook de nodige maatregelen hebt genomen om niet terug te herleiden naar jouw persoon hardwareID, macadressen en (misschien) zelfs het gebruikte OS.

Je moet op een bepaald moment de keuze maken ver HOE anoniem je wilt zijn, ivm hetgeen je uitspookt.
( zie underground netwerk wat gisteren bekend werd, wat in de beleving van de misbruikers ook ontracable zou zijn, en silkroad vorig jaar )
Biermeester
27 november 2015 11:09
Als alle vpn-protocollen deze kwetsbaarheid hebben, waarom hadden dan maar 5 van de 9 aanbieders deze kwetsbaarheid?

Kan iemand hier een lichtje op schijnen voor mij? :)

edit: Ik denk dat ik het nu snap, dankzij SaintK's post.

[Reactie gewijzigd door Biermeester op 27 november 2015 11:13]

Aggror
@Biermeester27 november 2015 11:11
Wellicht hadden deze VPN aanbieders het probleem zelf al gevonden en opgelost aan hun kant.
sebastienbo
@Aggror27 november 2015 11:16
Ik vind het ook verwarrend dat ze spreken over VPN protocollen
Een VPN protocol en VPN dienst of aanbieder zijn toch twee verschillende dingen?

Ik heb het gevoel dat men spreekt over de VPN diensten en niet over de protocollen (pptp, openvpn,ssh,..)
GlowMouse
@Biermeester27 november 2015 11:13
De VPN-provider moet port forwarding toestaan.

Je moet nooit op een enkele methode vertrouwen wanneer je je identiteit geheim wilt houden. Een strak afgerichte firewall maakt je immuun voor deze aanval.
goarilla
@GlowMouse27 november 2015 12:12
Ik denk niet dat er veel mensen zijn die uitgaand verkeer met als origine het vertrouwde LAN blokkeren.
Martin.Air
@Biermeester27 november 2015 11:17
Het is een probleem wanneer je als [client 1] verbind met een geforwarde port van [client 2].

Dan kan de verbinding binnen het netwerk blijven (typ maar eens je eigen externe IP adres in vanaf je thuis netwerk in 9/10 gevallen verbind je dan met je router zijn interne interface). Hierdoor gaat [client 1] nooit het netwerk uit en verbindt dus met zijn eigen IP.

Dit is op te lossen door te forceren dat je altijd eerst het netwerk uit gaat, en daarna pas kan verbinden met "interne" adressen.
WhiteDog
27 november 2015 11:17
Als je graag een VPN hebt kan je ook voor een paar euro een VPS huren en daar zelf een VPN-box van maken. Je kan hem nog delen met een paar anderen en voor andere zaken gebruiken.
RoestVrijStaal
@WhiteDog27 november 2015 11:25
Moet je wel je VPS goed configureren en bijhouden. Gaat ook niet over 1 nacht ijs met set it and forget it.
JapyDooge
@RoestVrijStaal27 november 2015 12:13
True, maar met pfSense op een VPS is het kinderspel om op te zetten en up-to-date te houden.
RoestVrijStaal
@JapyDooge27 november 2015 12:18
Moet je wel verstand hebben van POSIX / BSD, waar functionaliteit bij sommige commands in de Linux wereld ontbreekt (zoals bijv. bij grep ¹ ² )

Of wat te denken van systemd?

[Reactie gewijzigd door RoestVrijStaal op 27 november 2015 13:27]

analog_
@RoestVrijStaal27 november 2015 15:28
pfsense is bsd (geen systemd)/web-based met een update knop. Kind kan de was doen.
Henk Poley
@WhiteDog27 november 2015 12:44
Dan heb je dus precies dit probleem. Tenzij je meerdere IP adressen hebt op de VPS. En het VPN server programma zo instelt dat het IP waar jouw client naar verbindt verschilt van het IP waar de VPN server de openbare verbindingen naar buiten laat gaan. Danwel geen port-forwarding toe staat.

Edit: derp, het is natuurlijk een stuk lastiger voor een aanvaller om ook op jouw VPN server in te loggen. Feit blijft dat naar je VPS verbindingen buiten de VPN om gemaakt kunnen worden door jouw programma's door de IP uitzondering-regel.

[Reactie gewijzigd door Henk Poley op 27 november 2015 12:51]

mxcreep
@WhiteDog27 november 2015 19:52
Als je die vpn voor anonimiteit wilt is dat toch nutteloos, die vps is zo weer herleidbaar naar jou.
My Tec Master
27 november 2015 11:11
PIA _/-\o_ Goed gebaar, het laat zien dat het loont om dit soort dingen te onderzoeken. Bedrijven horen hier juist blij mee te zijn. Ik wist overigens niet dat PIA zo groot was dat ze makkelijk 5000 euro konden weggeven. Dacht dat de VPN, Seedbox boertjes vaak maar kleine bedrijfjes waren.

Goed dat dit gedicht is, zie anders heel hollywood dit soort dingen gebruiken om IP-adressen te achterhalen.

[Reactie gewijzigd door My Tec Master op 27 november 2015 11:11]

TotallyNealz
@My Tec Master27 november 2015 11:56
De VPN buisiness heeft de afgelopen jaren een enorme vlucht gemaakt. Ook omdat de prijzen vrij laag zijn geworden.
Ik heb persoonlijk het gevoel dat het aantal klanten van de grotere VPN providers(PIA, HideMyAss, IPVanish TOrGuard) in de honderdduizenden, zoniet miljoenen ligt. PIA heeft bijvoorbeeld meer dan 3000 servers in meer dan 20 landen. PIA Servers
Van Jan 2013 tot Jan 2015 is het aantal servers van 250 naar 2500 gegroeid.
Dat de buisiness lucratief is zie je wel aan dat de aanbierders als paddestoelen uit de grond schietten.

Ik ben overigens zelf ook sinds kort bij PIA en ben er best tevreden over. 5 devices permenent connected voor iets van 3,50 per maand. En ik merk in het dagelijks gebruik eigenlijk niet dat ik via VPN verbonden ben. Haal Vaak dicht bij mijn max bandwidth (120Mbit).
My Tec Master
@TotallyNealz27 november 2015 12:06
Hier merk ik ook bijna geen verschil haal dan wel geen 120mbit. Bedankt interessant om te zien dat is inderdaad een enorme groei in 2 jaar tijd. Hoe zit het eigenlijk met de beveiliging van VPN servers? Ja verkeer van bijvoorbeeld gmail of een bank gaat over SSL, maar is een VPN provider helemaal te vertrouwen? (ook Titan_Fox vraagt zich hetzelfde af zie ik, ook voor mij is dat eigenlijk nog belangrijker).

[Reactie gewijzigd door My Tec Master op 27 november 2015 12:07]

TotallyNealz
@My Tec Master27 november 2015 13:05
Je maakt verbinding met een PIA server via een versleutelde verbinding. Zo uit mn hoofd kun je kiezen uit AES128, AES256 en Blowfish algoritmen. Op deze manier is het voor je ISP niet zichtbaar wat voor data er over je verbinding gaat.
Vanaf de VPN server naar buiten hangt het van de verbinding met je eindserver af of je verbinding beveiligd is. Maar als je bijvoorbeeld een SSL verbinding met je bank maakt is deze tussen bank en VPN alleen SSL en tussen jou en de VPN SSL in AES. Jou ISP kan dus nooit zien wat je doet. ( ervanuit gaande dat de AES encryptie niet zo makkelijk te kraken is :) ) En aangezien PIA claimt geen logs te houden, kan verkeer normaal gesproken niet direct gekoppeld worden aan jou persoon. Natuurlijk ook omdat er meerdere inkomende verbindingen onder 1 IPadres naar buiten gaan.
My Tec Master
@TotallyNealz27 november 2015 13:55
Goede uitleg, dankjewel. Dus PIA als provider zou dan vanwege SSL ook niks kunnen zien? Of is het beter om bankzaken maar niet over de VPN te doen?
l99030607l
@My Tec Master27 november 2015 12:53
Zolang een VPN dienst geen logbestanden bewaard zijn ze wel te vetrouwen. PIA beweerd dat ze geen logs bijhouden, aan de klant de vraag of die het geloven ( hetzelfde als je bijvoorbeeld je passwords opslaat in een passwordmanager ) ik heb wek vertrouwen in PIA heb daarom ook een jaarabbonnenment genomen
Rudie_V
@My Tec Master27 november 2015 11:20
Hollywood kan net zo goed via de rechter bij de VPN provider aankloppen voor de gegevens van een VPN IP.
My Tec Master
@Rudie_V27 november 2015 11:42
Zoals Loki en Stefan al zeggen locatie en geen logs bemoeilijkt dat. Ook gebruiken de meeste providers het IP adres voor meerdere gebruikers waardoor het helemaal lastig wordt om iets aan een gebruiker te koppelen. Volgens mij hoeven ze juist geen logs te maken omdat het geen ISP is. Het is wat onduidelijk, maar inderdaad de meesten zeggen geen logs bij te houden. zie bijvoorbeeld :https://www.privateinternetaccess.com/pages/privacy-policy/ geen logs.
loki504
@Rudie_V27 november 2015 11:24
Hij Ja en jij denkt dat het zo makkelijk gaat als je provider in rusland staat? Deze vervolgens gelinkt is aan een vpn in noord korea. Denk dat ze dan snel klaar zijn en de volgende gewoon een dreig brief sturen.

[Reactie gewijzigd door loki504 op 27 november 2015 11:26]

Rudie_V
@loki50427 november 2015 14:34
Dan moet je wel zeker weten dat je VPN provider in zo'n land staat en dat het geen enkele verbintenis heeft met europa en amerika.
Het in het artikel genoemde perfect privacy heeft VPN servers in europa, amerika en nog meer landen daarbuiten. Als je foute dingen doet zou ik het geen fijn provider vinden gezien ze onder het europese en amerikaanse recht vallen.
https://www.perfect-privacy.com/serverstatus/
Gomez12
@loki50428 november 2015 00:14
Dit is allemaal leuk bedacht, maar wat denk je dat dit met je bandbreedte doet?

Je gaat hier gewoon tegen snelheid van het licht (richting rusland en weer naar noord-korea en weer naar de eindsite en dat hele geintje terug) aanlopen, daarnaast heeft noord-korea nou niet het snelste internet.

Ja, technisch kan het maar ik verwacht niet dat je er een stabiele 1 mbit verbinding op krijgt
StefanTs
@Rudie_V27 november 2015 11:27
Verschillende van deze diensten houden geen logs bij, claimen ze in ieder geval. Als ze geen gegevens hebben om te overhandigen houdt t snel op.
Gomez12
@StefanTs28 november 2015 00:09
Ik vermoed dat er veel hangt op de definitie van logs...

Een grote organisatie kan niet zonder logs/metingen werken. Als jij 5000 servers hebt draaien dan kan je niet gaan zitten wachten tot je klanten gaan piepen dat het niet werkt.

En als er een server uitknalt zal je toch echt verkeer moeten herrouteren maar dan moet je wel weten welk verkeer.

Logs bestaan er in 1001 vormen, maar ik durf te wedden dat er geen 1 partij is die echt nul logs bijhoudt, het is alleen de vraag of wat er in de bijgehouden logs staat relevant is qua gebruikersgegevens
194673
@StefanTs27 november 2015 11:39
VPN providers vallen gewoon onder de ISP wet en dienen logs bij te houden als deze providers zich binnen de EU of USA bevinden. Daarbuiten ben ik er niet zeker van.
StefanTs
@19467327 november 2015 12:04
Hoe kom je daar precies bij? Heb je een bron?

Ik kan je overigens wel zekerheid geven over buiten de EU/VS, daar hebben ze eigen wetgeving en wensen ze ons veel succes met onze wetgeving.
Rudie_V
@StefanTs27 november 2015 14:25
https://www.bestvpn.com/b...ing-in-the-united-states/
Unlike Europe with its draconian Data Retention Directive, the United States does not have a mandatory data retention law. However, if an ISP or VPN provider does retain any data relating to its customers (i.e. it keeps logs) then according to the Stored Communications Act it is required to hand these over on receipt of a court order from a law enforcement agency. In addition to this, if investigators or prosecutors are able to identify an individual, they can require a VPN company to keep records of that individual’s on-line activity, credit card payments etc. for a limited amount of time (90 days, renewable for another 90 days).
Europese VPN privers zullen zich gewoon aan de europese bewaarplicht moeten houden. Maar hoe dat na het ongeldig verklaren van deze wet precies zit weet ik ook niet.
https://www.bestvpn.com/b...ention-directive-invalid/
Titan_Fox
27 november 2015 11:56
Al met al vind ik het nogal omslachtig om zo achter iemands IP te komen. Zelf zit ik bij AirVPN en maak (zover ik weet) geen gebruik van port forwarding. Geen idee of ik dan kwetsbaar ben. Zou fijn zijn als er een lijst was van VPN aanbieders die dit lek inmiddels hebben gepatcht.

Ik vraag me af of het voor kwaadwillenden dan ook mogelijk is om je verkeer te ontsleutelen. Ik maak gebruik van een VPN vanwege de encryptie mogelijkheden. Dat anderen mijn IP adres weten vind ik iets minder spannend, maar misschien is dat wel ietwat naïef van me.

[Reactie gewijzigd door Titan_Fox op 27 november 2015 11:56]

Anoniem: 146875
@Titan_Fox27 november 2015 12:15
Nee bij AirVPN ben je niet kwetsbaar. Op het forum van AirVPN wordt vrij uitgelegd hoe Perfect Privacy dit de wereld in brengt als een grote bug terwijl dit toch echt basis kennis van een VPN is. Er zijn twee oplossingen:

- Je maakt verbinding met een VPN met IP 1.2.3.4. Vervolgens gaat al je verkeer via een ander IP adres, 2.3.1.1

- Firewall op de server: blokkeer port forwarding van poorten die de client niet zelf heeft ingesteld.

Een van bovenstaande oplossing is voldoende, gerenomeerde VPN providers zoals AirVPN of Mullvad hebben dit allebei al jaren geimplementeerd, AirVPN al vanaf het begin.

Het probleem is dat VPN niet langer een niche markt is maar dat iedereen die een VPS kan inrichten een VPN provider kan worden. En dan krijg je dit soort problemen.
Titan_Fox
@Anoniem: 14687527 november 2015 13:23
Heel erg bedankt voor de tekst en uitleg; voor mij is deze materie nog erg nieuw en heb ik mij er nog niet goed in verdiept. Thanks ! :Y)

Ik heb bij mij de zogeheten 'Network Lock' ingeschakeld in de AirVPN client in Ubuntu. Zo worden alle verbindingen die niet via de VPN lopen geblokkeerd. Zou dan toch veilig moeten zijn ?

[Reactie gewijzigd door Titan_Fox op 27 november 2015 13:24]

zvbhvb
@Titan_Fox27 november 2015 17:11
Je client lekt niets maar je router als er een andere poort gebruikt wordt dan diegene die gebruikt zou moeten worden om eenverbinding te maken met een van de servers van je vpn provider.Een (thuis) router met een opensource OS waarbij je veel meer controle hebt over het eenen ander zou veel kunnen voorkomen.Zon router alsbepaalde Asus modellen gebaseerd geven je de mogelijkheid om via iptables/ipset dezelfde network lock toe te passen als diegene die jij aan haalde.

http://asuswrt.lostrealm.ca/features

https://airvpn.org/asuswrt/
zvbhvb
@Anoniem: 14687527 november 2015 17:04
Waarom zou je poortforwarding gebruiken? Iemand die een webserver thuis op het lan heeft draaien zou in het kader van het artikel mischien beter af zijn met een webserver die gehost wordt en al danniet in een vps draait.Als extra beschermingslaag zou een (thuis)router die een goed ondersteunde opensource OS zoals OpenWRT,Tomato draait een beter geschikte keuze zijn.Je kunt dan op de router ook een network lock implementeren.
zvbhvb
27 november 2015 13:41
Op de volgende site kun je een lek gemakkelijk testen:

https://ipleak.net/

Met Airvpn was niets aan de hand.
Marctraider
@zvbhvb27 november 2015 13:55
Dit gaat volgens mij over iets heel anders. Waar jij aan refereert is een DNS leak.
zvbhvb
@Marctraider27 november 2015 16:25
Als je dns gelekt wordt en er komt Ziggo uit de bus is er niet veel meer "bescherming" over.Al heb je in een strikte zin wel gelijk.
MadEgg
27 november 2015 11:44
VPN is een Virtual Private Network. Private zegt genoeg. Het concept VPN-aanbieder is daarom al direct misbruik van de techniek. Het idee is dat je met andere clients op hetzelfde (virtuele) netwerk zit, waardoor je dus hogere eisen aan die medegebruikers stelt en ze ook meer vertrouwt.

Dat je als je op hetzelfde VPN zit als iemand anders, je vervolgens dingen over deze persoon te weten kunt komen vind ik niet direct alarmerend. Een VPN-server dien je voor jezelf, of je bedrijf op te zetten en dus niet te delen met mensen die je niet kunt vertrouwen.

Jammer dat VPN's te vaak als proxy-server misbruikt worden tegenwoordig. Een proxy-server regelt precies datgene wat de meeste gebruikers van dit soort VPN's verwachten: een matige vorm van anonimiteit en toegang tot resources waar je anders geen toegang toe zou hebben, bijvoorbeeld omdat je werkgever, je school of je overheid dit blokkeert.
Brahiewahiewa
@MadEgg27 november 2015 12:52
You're missing the point: een heleboel mensen gebruiken VPN om illegale content te kunnen downloaden zonder dat brein & consorten hun identiteit kunnen achterhalen. Met deze kwetsbaarheid kun je het oorspronkelijke IP-adres achterhalen, waardoor je uiteindelijk een postadres krijgt waar de "rekening" heen kan
robbinwehl
27 november 2015 16:21
Redelijk oud nieuws..
iptables zo instellen dat forwarding niet mogelijk is en het probleem is opgelost.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee