Proton brengt Stealth-vpn-protocol uit voor Windows

De Windows-versie van Proton VPN krijgt ondersteuning voor Protons eigen Stealth-protocol. Dat moet het mogelijk maken om te verbergen dat gebruikers een vpn-dienst gebruiken, in tegenstelling tot protocollen als OpenVPN en Wireguard.

Proton bevestigt de komst van het Stealth-protocol naar Windows in een persbericht, schrijft onder meer Neowin. Het protocol werd in 2022 geïntroduceerd door Proton, maar was tot op heden alleen beschikbaar op Android, iOS en macOS. Stealth kan het vpn-verkeer volgens Proton vermommen als regulier netwerkverkeer. Zo kunnen gebruikers bijvoorbeeld lokale censuur of vpn-blokkades van internetproviders omzeilen.

De mobiele versie van Proton VPN krijgt daarnaast een optie om het appicoontje te verbergen, meldt Proton op dinsdag. Gebruikers kunnen die bijvoorbeeld vervangen door het icoon van een rekenmachine, weerdienst of notitieapp. Dat moet gebruikers helpen als hun telefoon wordt afgenomen en doorzocht, bijvoorbeeld in autoritaire landen.

Correctie, 20.58 uur - Het artikel noemde eerder dat Stealth gebruikt kan worden om anti-vpn-maatregelen van diensten te omzeilen. Proton positioneert het protocol echter vooral als een manier om vpn-blokkades van internetproviders te omzeilen, of vpn-verkeer te verbergen in landen waar het gebruik van een vpn verboden is. Het artikel is hierop aangepast.

IT-banen

Reacties (37)

Stijnvi 6 augustus 2024 20:20

Zo kunnen gebruikers anti-vpn-maatregelen van websites en andere diensten omzeilen.

Op Android is "Stealth" al beschikbaar, en daar werd ik ook gewoon de toegang tot websites geweigerd helaas. Volgens mij hebben de grootste websites inmiddels een lijst met bijna alle VPN IP-adressen, waardoor je gewoon een IP-block krijgt.

the_stickie @Stijnvi • 6 augustus 2024 20:31

Het is ook "onmogelijk" versleuteld verkeer "onzichtbaar" te verpakken. Wat ze in feite doen (althans zover ik snel kon vinden) is alle verkeer in een tls tunnel stoppen op poort 443, zodat dit sterk lijkt op regulier, versleuteld, https (web) verkeer. Een gemiddelde 'en route' firewall zal dat laten passeren. Eentje die wat geavanceerdere linkanalyse of header- of zelfs packetinspection doet, heeft snel door dat dit geen regulier https verkeer is en kan vervolgens gaan blocken.
De kans hierop bij 'normale' providers en hotspots is nagenoeg 0 (door de kost). In netwerken waar controle over de gebruikers een doelstelling is (ik denk aan bijv China) is dit zeker een mogelijkheid.

Hun breakout IP kunnen ze inderdaad sowieso niet verstoppen, dus zodra dit op een blacklist belandt is dat 'verstoppen' waardeloos.

wiezalditzijn @the_stickie • 6 augustus 2024 20:43

Zouden ze de breakout IP niet simpelweg kunnen “verstoppen” in een IP van Amazon? Die reset bijv. Als je de server reset (als je geen static IP hebt natuurlijk)

Je kan moeilijk al het verkeer van Amazon blokkeren?

the_stickie @wiezalditzijn • 6 augustus 2024 20:51

Ik denk dat VPN bedrijven als heel wat IP hoppen, zowel in het IP waarop je connecteert als op het IP van de breakout. Maar je kan dat niet zomaar continu doen, want je beïnvloedt daarmee andere lopende verbindingen.

Je kan je afvragen waarom een webserver iets moet serveren aan een IP dat gelinkt is aan andere webservices (niet end-users dus). Dus ja, je kan zomaar 'alle' AWS IP's blocken...

Creesch @the_stickie • 7 augustus 2024 07:28

Er zijn verschillende redenen waarom een connectie via een AWS ip legitiem kan zijn.

Het zou daadwerkelijk een gebruiker kunnen zijn die via een virtuele workstation aan het werk is.

Maar ook zaken zoals crawlers (beetje afhankelijk van het soort of je die wil).

Het zou zomaar ook wel een VPN endpoint kunnen zijn maar dan vanuit een bedrijfsnetwerk.

Het blokkeren van hele ip ranges is dan ook een behoorlijk paardenmiddel waar je al snel ongewenste bij effecten hebt.

Je wil dit dan ook veel gerichter doen dan "alle cloud providers" blokkeren.

[Reactie gewijzigd door Creesch op 7 augustus 2024 07:29]

the_stickie @Creesch • 7 augustus 2024 08:43

Ik denk dat dat afhangt van de doelstellingen.

Dykam @wiezalditzijn • 6 augustus 2024 21:40

Veel sites hebben alle IPs van de grote cloudproviders iig. op een speciale lijst staan. Soms een blacklist, vaak een lijst waardoor je constant tegen captcha's aan loopt.

Triblade_8472 @the_stickie • 6 augustus 2024 21:10

Proton VPN’s Stealth protocol allows users to fly under the radar, escaping deep packet inspection (DPI) and other internet filters.

https://vpnoverview.com/n...ectable-stealth-protocol/

Ze doen echt wel wat meer dan simpelweg tubnelen over tls.

Alle soorten verkeer hebben een soort vingerafdruk. Zo kunnen verschillende typen verkeer herkend worden. Hieronder valt tls/ssl natuurlijk ook. Wellicht heeft vpn een typische snelheid waarmee pakketjes worden verstuurd. Websites browsen of YouTube hebben ook weer andere timings en groottes van pakketjes. (btw, youtube kan apart herkend worden)

Denk aan packet length, session rate en nog veel meer.

the_stickie @Triblade_8472 • 6 augustus 2024 21:34

Dank voor de link! Ik haal er jammer genoeg niet echt uit wat ze méér doen dan alles door een TLS verbinding te duwen die lijkt op https verkeer...
Ze spreken zelf van obfuscation en

a new, undetectable VPN protocol that can bypass most firewalls and VPN blocking methods.

your Proton VPN connection will be almost completely undetectable

Zolang het werkt en een deel gebruikers VPN kan gebruiken die dat voorheen niet konden, is het een vooruitgang. Misschien wel één van tijdelijke aard... juist de veelheid aan 'fingerprint' methodes maakt het imo "onmogelijk" verkeer te (blijven) verstoppen.

[Reactie gewijzigd door the_stickie op 7 augustus 2024 00:37]

BytePhantomX @the_stickie • 7 augustus 2024 08:42

Als het gebruiken van port 443 hetgene is dat het stealth maakt, dan kun je dat ook prima met Wireguard doen. Configureer het over UDP 53 en geen netwerk dat het zal blokkeren, tenzij ze heel geavanceerde maatregelen nemen.
Ik dacht dat je dit bij andere providers ook kon configureren, maar degene die ik zo snel even opzochten hadden dit niet of niet meer.

the_stickie @BytePhantomX • 7 augustus 2024 08:44

DNS-traffic is heel sporadisch en met kleine datavolumes - heel anders dan VPN. Ietwat DPI haalt dat er zo uit...

Mitchelllll @the_stickie • 6 augustus 2024 23:21

Klopt het, even voor mij als leek, dat vpn’s nu hun nut verliezen?

the_stickie @Mitchelllll • 7 augustus 2024 00:29

Neen absoluut niet. VPN's kunnen op verschillende manieren ingezet worden, en geen van hen wordt zwakker door de introductie van Stealth.

Een Virtual Private Network is (mits goed geconfigureerd) ook werkelijk dat: een niet af te luisteren netwerk over het publieke internet - ALS het tot stand komt.
Sommige netwerkuitbaters, providers, overheden... hebben namelijk niet graag dat ze niet kunnen zien wat jij allemaal doet (denk China of een high security netwerk bij een overheid) - die proberen dus actief het opzetten/gebruiken van VPN's te detecteren en blokkeren.
Stealth maakt net dat detecteren moeilijker - De VPN wordt vermomd als verkeer tussen een gebruiker en simpele webpaginas. Alleen is dat moeilijker maken niet onfeilbaar, dat is de point van mijn eerdere post.

honey @the_stickie • 7 augustus 2024 11:39

Het actief blokkeren valt wel mee hoor. Een vriendin zit nu in China voor een paar maanden en ze kan alles bekijken, gebruiken en bezoeken via de standaard VPN die ze op daar op de uni gebruiken. Dus, heel actief is de overheid nu weer niet. Misschien dat het per regio kan verschillen.

Mitchelllll @the_stickie • 7 augustus 2024 14:25

Bedankt. Lekker simpel uitgelegd. Zo’n vpn opzetten is niet voor elke ziel weggelegd denk ik. Ik ben op dit moment nog erg druk met jonge kinderen en werk, maar over een paar jaar wil ik me hier echt in gaan verdiepen. Het klinkt niet gemakkelijk.

Niet Henk @the_stickie • 7 augustus 2024 13:25

Volgens mij doen ze net wat meer dan dat, want simpelweg alles over TLS gooien op poort 443 is precies wat SSTP doet, en dat hebben we al sinds 2007, is ingebouwd in Windows, en ook wordt aangeboden door sommige VPN boeren.

OpenVPN kan ook gebruik maken van TLS en poort 443, en doet dit vaak standaard.

Wat meer recente dingen zijn OBFS4, wat je kan combineren met o.a. OpenVPN om te zorgen dat het niet duidelijk is uit het verkeer dat het om een VPN tunnel gaat.

Ik gok dat Proton ofwel iets vergelijkbaars met OBFS4 doet, ofwel er moeite in steekt om te zorgen dat het verkeer zich voordoet als ander, legitiem verkeer om te zorgen dat het met packet inspectie alsnog op normaal verkeer lijkt. Anders is deze Stealth-techniek niets wat niet al jaren standaard is.

Stetsed @Stijnvi • 6 augustus 2024 20:59

Het artikel heeft het hier fout, het gaat over hoe de connectie wordt gemaakt, het is ook stealth protocol zoals zij dat noemen. Dus het is bedoelt om te connecteren waar het probeert te blokeert te worden. Dus staat ook in de announcement die ze hebben gegeven,

"Proton’s unique anti-censorship protocol, Stealth, comes to Windows, disguising VPN traffic as normal internet traffic, making it almost impossible to detect when someone is using a VPN"[1]

Dit is dus meer te vergelijken met iets zoals ShadowSocks of iets in die richting dan iets wat aan de andere kant content probeert te unlocken, en ik kan je ook vertellen da gaat ook nooit echt werken want providers houden gewoon lijsts met IP's bij, je kan dit als kat en muis spel doen door steeds nieuwe IP's te gebruiken maar dat is niet waar dit bedoelt voor is.

Ik denk dat dit niet goed verwoordt is met "Zo kunnen gebruikers anti-vpn-maatregelen van websites en andere diensten omzeilen.", want het gaat helemaal niet om waar je naartoe gaat(een website, streaming service etc), het gaat over het maken van de connectie daar naartoe en dingen zoals DPI tegen te gaan. Als ik protons blog als bron gebruikt dan lijkt het gebruik te maken van een obfuscated TCP tunnel om te lijken op reguliere web traffic[2]

@AverageNL Misschien is het beter om te verwoorden met "Zo kunnen gebruikers netwerk blokkades omzeilen die gebruik maken van deep packet inspectie en andere analyze methodes"

1. https://www.reddit.com/r/..._anticensorship_features/

2. https://protonvpn.com/blog/stealth-vpn-protocol/

[Reactie gewijzigd door Stetsed op 6 augustus 2024 21:00]

Auteur

AverageNL Nieuwsredacteur @Stetsed • 6 augustus 2024 21:02

Thanks! We hebben elkaar net gekruisd, maar ik heb dit inderdaad nét aangepast na een forumpost met dezelfde opmerking. Ik heb het inmiddels dus anders verwoord (en de correctie onderaan de tekst kenbaar gemaakt)

thatent

@Stijnvi • 6 augustus 2024 20:35

Dit Stealth-protocol verandert enkel de manier waarop je een VPN-verbinding opzet. Het verandert niks aan hoe je door sites die je bezoekt gezien wordt. Op sommige netwerken, en in sommige landen, wordt het opzetten van een VPN-verbinding actief tegengewerkt. Dit protocol tracht VPN-verkeer te vermommen als gewoon verkeer (wrs over poort 443) en het idee is dat je in zulke gevallen toch nog een VPN-verbinding kunt opzetten.

Stijnvi @thatent • 6 augustus 2024 20:40

Ik snap die gedachte, maar het artikel zegt expliciet:

Zo kunnen gebruikers anti-vpn-maatregelen van websites en andere diensten omzeilen.

thatent

@Stijnvi • 7 augustus 2024 07:44

Het artikel is aangepast :-)

Munchie @Stijnvi • 6 augustus 2024 20:39

Ik denk dat je verkeerde verwachtingen hebt van het Stealth protocol. Het protocol is ervoor gemaakt om blokkades te omzeilen van het toestel naar de VPN server (dit gebeurt via Wireguard en TLS). Dat kan een lokale blokkade zijn, bijvoorbeeld op een netwerk van een bedrijf of een openbaar WiFi netwerk. Of een blokkade door de ISP. Dit staat volledig los van een website die het IP adres van de VPN server heeft geblokkeerd. Daar gaat dus het Stealth protocol niks aan veranderen.

[Reactie gewijzigd door Munchie op 6 augustus 2024 20:43]

Stijnvi @Munchie • 6 augustus 2024 20:41

Het artikel meldt expliciet:

Zo kunnen gebruikers anti-vpn-maatregelen van websites en andere diensten omzeilen.

cold_as_ijs @Stijnvi • 6 augustus 2024 20:52

Misschien verder lezen dan het artikel. Proton geeft zelf aan dat dit niet bedoeld is tegen anti vpn maatregelen van sites/streaming maar om de anti vpn maatregelen van autoritaire regimes te omzijlen
https://protonvpn.com/blog/stealth-vpn-protocol/

w.w.p.

@Stijnvi • 6 augustus 2024 20:27

Je schrijft Stealth tussen aanhalingstekens. Gaat het om Proton stealth? Heb je het alleen met sites gemerkt of ook met bijvoorbeeld streamingdiensten?

Stijnvi @w.w.p. • 6 augustus 2024 20:36

Ja het gaat inderdaad om de Stealth functie van Proton VPN. Ik heb overigens ook het Proton Unlimited abonnement.
Ik heb het probleem specifiek bij fansale.de gehad, een ticket website, die dus bots zal weren. Maar Ticketswap en Ticketmaster staan het wel toe.

Bij Amazon Prime (mijn enige streamingdienst) heb ik geen probleem, maar die baseert volgens mij de beschikbare selectie op je thuisadres, waardoor je locatie geen verschil maakt en ze dus niet zo veel om een VPN geven.

hbt68 6 augustus 2024 20:17

een app icon verbergt toch niet de app id, wel erg simpel gesteld

Stijnvi @hbt68 • 6 augustus 2024 21:06

Met alle respect, maar een politieagent of douanemedewerker is vaak echt niet voldoende technisch onderlegd om dat uit te zoeken.

Maar in het zoekveld van de app-drawer "VPN" intypen of door je homescreen bladeren kunnen ze natuurlijk wel.

Frame164 @Stijnvi • 6 augustus 2024 22:04

Bij de politie en douane werken ook ervaren ICTers net als in iedere andere organisatie waar expertise nodig is. Er is geen enkele organisatie te bedenken waar alle medewerkers op alle gebieden onderlegd zijn.

Stijnvi @Frame164 • 6 augustus 2024 22:07

Zeker waar. Maar dit is natuurlijk niet bedoeld om het te verhullen voor digitale opsporing. Dit is simpelweg om het te verbergen bij een "on-the-spot" controle zoals bijvoorbeeld bij een staandehouding of bij een douanecontrole op het vliegveld (of natuurlijk strenge ouders).

Bor Coördinator Frontpage Admins / FP Powermod @Stijnvi • 6 augustus 2024 21:57

In landen met totalitaire regimes hebben ze daar gewoon software voor

De politie / douane "doet niet zo maar iets".

Unknowntje @hbt68 • 6 augustus 2024 20:19

Je ouders zullen niet zover kijken tenzij ze wat slimmer in IT zijn, mijn ouders hebben geen flauw benul als er apps zijn verborgen

hbt68 @Unknowntje • 6 augustus 2024 20:24

ouders vallen onder "bijvoorbeeld in authoritaire landen."
wel aparte gedachte om je ouders om de tuin te moeten lieden

willieverhoef @Unknowntje • 6 augustus 2024 21:03

Als je dit voor je ouders doet, dan ben je verkeerd bezig denk ik

Stijnvi @willieverhoef • 8 augustus 2024 00:30

Dat hoeft echt niet hoor. Tegenwoordig zijn er genoeg routers waarmee het heel makkelijk is websites te blokkeren. En helaas zijn er nog steeds te veel ouders die daar volledig in doorslaan.
Dus een VPN installeren om voor je ouders te verbergen wat je doet is niet per definitie slecht.

Gijs007 6 augustus 2024 20:33

Zijn er ook opensource VPN's die een stealth functie hebben?
Heb inmiddels gemerkt dat firewalls met DPI mijn Wireguard VPN kunnen blokkeren.

Op dit item kan niet meer gereageerd worden.

Proton brengt Stealth-vpn-protocol uit voor Windows

Lees meer

Interview met Proton-ceo Andy Yen

IT-banen

Reacties (37)

Sorteer op:

Weergave: