Keezel: Hollandse 'privacyrouter' laat steekjes vallen

Introductie

Voordat het over de eigenschappen van de Keezel kan gaan, moet eerst duidelijk zijn waar we het eigenlijk over hebben. Die vraag is niet moeilijk te beantwoorden. De Keezel is een draagbare, draadloze wpa2-router die OpenWRT draait en van een accu is voorzien. Ondersteuning voor ethernet of 4g kan via een dongle, die aan de aanwezige usb-poort gehangen kan worden, maar het apparaat is voornamelijk bedoeld om verbinding te maken met een bestaand draadloos netwerk. Bijvoorbeeld bij een onbeveiligd netwerk in een hotel of café zou er met een Keezel alsnog een veilige verbinding tot stand gebracht kunnen worden. Het apparaat kan daarnaast gebruikt worden om bijvoorbeeld een smartphone op te laden en zo de rol van powerbank vervullen. Aan de softwarekant komen er nog enkele andere functies bij kijken, zoals een standaard aanwezig vpn en een bètafunctie voor het blokkeren van advertenties. Dat is, in een notendop, de Keezel.

Het idee voor het apparaat begon in 2015. In juli van dat jaar begon het Keezel-team een campagne op Indiegogo, met als oorspronkelijk doel 60.000 dollar op te halen. Dat doel was binnen vier dagen bereikt en inmiddels heeft de Keezel meer dan een miljoen dollar opgehaald. De router is bedacht door een Amsterdamse start-up, die is opgericht door Aike Müller en Friso Schmidt, en nu uit zeven personen bestaat. De massaproductie van de router begon eind vorig jaar en inmiddels krijgen backers de eerste exemplaren binnen.

Er zijn verschillende varianten van de Keezel te koop, die alleen verschillen op het gebied van vpn-voorzieningen. Het uitgangspunt is dat alle varianten standaard van een vpn zijn voorzien. De 'basis'-variant heeft een prijs van 139 dollar, een beperkte snelheid van 0,5Mbit/s en een kleinere selectie aan beschikbare servers. Daarnaast zijn er 'premium'-varianten, die hogere snelheden en meer servers bieden. Daarvan zijn er drie versies met vpn-contracten van een of twee jaar, of 'onbeperkt'. Die kosten respectievelijk 169, 209 en 469 dollar. Als een 'premium-'dienst verloopt, vallen gebruikers automatisch terug op 'basic'.

Nieuw idee?

Een draadloze router met vpn is niet nieuw. Ook zijn er alternatieven met vergelijkbare functies als de Keezel te vinden, neem bijvoorbeeld de Ierse InvizBox of de controversiële Anonabox. Het zou echter overdreven zijn om te zeggen dat de markt wordt overspoeld door draagbare ‘privacyrouters’. Omdat verschillende varianten hier en daar de kop opsteken, leek het ons een goed idee om er eens eentje van Nederlandse makelij onder de loep te nemen.

Waarom en voor wie?

Een andere vraag die meteen opkomt bij een product als de Keezel, is waarom iemand er een zou aanschaffen. Volgens de makers kunnen daar verschillende redenen voor zijn. Zo stellen ze dat internet allerlei gevaren herbergt, van hackers tot kwaadaardige websites en phishing. Ook komt privacy steeds meer in het geding in een online omgeving. De Keezel moet gebruikers beschermen door een vpn te gebruiken, door advertenties en bekende kwaadaardige sites te blokkeren, en door publieke, onbeveiligde wifinetwerken te omzeilen door een eigen netwerk te gebruiken. Daarnaast kan de Keezel dienstdoen als thuisrouter en zo alle aangesloten ‘iot-apparaten beschermen’. Een bijkomend voordeel zou zijn dat geblokkeerde content toegankelijk is, bijvoorbeeld door geo-blocking via het vpn te omzeilen. Een laatste pluspunt is de powerbankfunctie. Of de genoemde voordelen ook daadwerkelijk hout snijden, blijkt in de rest van deze review.

Op welke doelgroep richt de Keezel zich?

De korte beschrijving van het apparaat roept meteen een aantal vragen op. Niet meteen makkelijk te beantwoorden is de vraag voor wie de Keezel eigenlijk is gemaakt. In de eerste plaats moeten dat personen zijn die veel op weg zijn of op verschillende plekken werken. Anders zou het onnodig zijn om de Keezel van een grote accu te voorzien en de functie als powerbank aan te prijzen.

Een andere rol die het zwarte ding vervult, is die van een ‘veilig’ apparaat. Je maakt immers een eigen wifinetwerk aan en maakt standaard gebruik van een vpn-verbinding, die onder meer het onderscheppen van communicatie moeilijk maakt en anonimiteit biedt. De beoogde gebruiker is zich dus op een bepaald niveau bewust van veiligheid en privacy. Bovendien moet hij bereid zijn daarvoor te betalen.

Een derde eigenschap van de Keezel is dat alles vrij ‘dicht’ zit, zowel hardware- als softwarematig. Op dat laatste punt moet wel aangemerkt worden dat het flashen van een eigen besturingssysteem tot de mogelijkheden behoort. Het dichttimmeren van het apparaat is begrijpelijk en vervult een functie, het moet namelijk eenvoudig en voor iedereen te gebruiken te zijn. Dat bereik je niet met allerlei verschillende knoppen, aansluitingen en instellingen. De keuze om de Keezel van een vaste selectie aan vpn-providers te voorzien, is verdedigbaar omdat dit het gebruiksgemak voor bepaalde personen kan verhogen. De beslissing om geen ruimte te bieden voor een eigen vpn en configuraties sluit echter ook een grote groep potentiële gebruikers uit.

De beoogde gebruiker is daarom iemand die een eenvoudige oplossing zoekt en niet zelf aan de slag gaat met het configureren van een vpn of thuisrouter.

De binnen- en buitenkant

Het formaat van de Keezel is vergelijkbaar met dat van een grote muis. Ook de vorm, ovaal met een gebolde bovenkant, komt enigszins overeen met dat van het pc-accessoire. Een minder ingewijde zou het apparaat voor een groot uitgevallen Apple-muis kunnen aanzien. De 'koepel' van de Keezel wordt gevormd door een zwarte behuizing van glimmend plastic. Die is vrij gevoelig voor vingerafdrukken, wat sommige gebruikers als een nadeel kunnen ervaren. Een zilveren strook aan de basis van de Keezel bevat de enige twee fysieke aansluitingen: micro-usb en usb. Aan de onderkant van het apparaat bevindt zich alleen de knop voor het in- en uitschakelen. Die is voorzien van een led die blauw is bij het starten en groen wordt zodra er verbinding met een netwerk is gemaakt. De volledige router weegt ongeveer 220 gram, waarmee hij relatief zwaar in de hand ligt. Door de gebruikte materialen en het gewicht geeft de bouwkwaliteit een goede indruk en voelt de Keezel niet 'goedkoop' aan.

Gebruikers die de Keezel bestellen, ontvangen daarnaast een zwart hoesje. Het is een hardshell-hoesje dat stevig aanvoelt en naast de Keezel plaats biedt aan een meegeleverde usb-naar-micro-usb-kabel. Daarmee is het apparaat op te laden en kan er bijvoorbeeld een smartphone aan verbonden worden om de router te gebruiken als powerbank.

Aan de binnenkant is de Keezel voorzien van een Allwinner A20-soc, die in 2012 door het Chinese bedrijf werd geïntroduceerd. De soc heeft twee ARM Cortex A7-kernen, die draaien op 1GHz. Verder is er een Mali 400MP2-gpu aanwezig. Het werkgeheugen van de Keezel bedraagt 512MB en er is 4GB opslag. De wifi-chipset is in staat om verbinding te maken op 2,4 en 5GHz, en ondersteunt wifi b, g en n. Het gewicht van het apparaat komt voornamelijk van de 8200mAh-accu, die genoeg capaciteit bezit om een volle dag mee te gaan. Tijdens het gebruik van de Keezel was het in ieder geval niet nodig om constant het niveau van de accu in de gaten te houden en kon er zo nodig ook een smartphone mee worden opgeladen. Het opladen van de accu zelf kan door zijn capaciteit vrij lang duren, meestal een volledige nacht.

Software en gebruik

Het is de bedoeling om de Keezel te gebruiken als je bijvoorbeeld op reis bent en jezelf op een hotelkamer moet zien te vermaken. Met een druk op de knop aan de onderkant start het apparaat. Tussen het indrukken van de knop en het daadwerkelijk verbinding kunnen maken met het netwerk zitten over het algemeen ongeveer veertig seconden. Vervolgens kun je met een smartphone, tablet, laptop of ander apparaat met een draadloze verbinding het wifi-netwerk van de Keezel op.

Eenmaal verbonden is het mogelijk een captive portal op te roepen door naar de url keezel/ te gaan. Deze geeft toegang tot de webinterface van de Keezel, waarmee alle nodige functies te bedienen zijn. De hoofdfunctie van de pagina is erop gericht om verbinding te maken met een bestaand draadloos netwerk, in het geval van het voorbeeld is dat het netwerk van het hotel. Via de interface zijn de logingegevens in te voeren en kan er verbinding gemaakt worden.

Daarbij liepen we bij het gebruik van de Keezel tegen een aantal problemen aan. Zo duurt het vrij lang voordat er een lijst met beschikbare netwerken getoond kan worden. Als er verbinding gemaakt moet worden met een enkel netwerk, lukt dat meestal wel. Als er echter wel problemen zijn bij het verbinden, kan dat al snel gaan irriteren.

Het tweede probleem is in onze ogen een van de grootste mankementen van de Keezel. Soms is het namelijk onmogelijk om verbinding met een draadloos netwerk te krijgen. De getoonde foutmelding biedt in dat geval niet veel uitleg en adviseert alleen om een ander netwerk te kiezen, en noemt als mogelijkheid dat het bereik onvoldoende is. Het kiezen van een andere vpn-locatie leek in sommige gevallen uitkomst te bieden, net als het opnieuw starten van het apparaat. Doordat er echter geen andere output wordt getoond, is het lastig om achter de oorzaak van het probleem te komen.

Een derde punt is dat de captive portal via een onbeveiligde verbinding wordt opgeroepen, waardoor verstuurde wifi-wachtwoorden theoretisch te onderscheppen zijn. Het is geen dealbreaker, maar voor een apparaat dat beveiliging belooft, toch een slordigheid. Het Keezel-team heeft dan ook laten weten aan een oplossing te werken. Als er eenmaal verbinding is, werkt deze over het algemeen stabiel. Uiteraard is het mogelijk om het netwerk van de Keezel te voorzien van een eigen ssid en wachtwoord. Daarbij is de enige suggestie een wachtwoord te kiezen van meer dan acht karakters, wat voor de gemiddelde gebruiker wellicht net te weinig handvatten biedt.

Een andere functie van de webinterface is het kiezen van een vpn. Het is niet mogelijk om de vpn-verbinding uit te schakelen, dus er kan alleen gekozen worden uit werelddelen, landen en steden. Keezel werkt samen met drie vpn-aanbieders: PureVPN, ProXPN en Le VPN. Dat laatste is een van oorsprong Frans bedrijf dat in Hongkong is gevestigd en dat claimt geen logs bij te houden. Ook is het toegestaan om p2p-verkeer via de dienst te gebruiken. PureVPN is eveneens in Hongkong gevestigd en claimt eveneens een 'no logging'-beleid te hebben. ProXPN heeft een Nederlands kantoor en ook hier is een beleid aanwezig waarbij geen gegevens worden opgeslagen. Toch zijn het geen bekende vpn-diensten, waardoor het moeilijk te schatten is of de partijen daadwerkelijk te vertrouwen zijn. Door de drie diensten te combineren, is het volgens het Keezel-team mogelijk om verbinding te maken met 1250 servers in 160 landen. Tijdens het gebruik van de Keezel leverde het selecteren van servers op verschillende locaties geen problemen op.

De verbinding zelf was wel problematisch. Zo lukte het nooit om een snelheid van meer dan 20Mbit/s te halen, ongeacht de snelheid van het 'achterliggende' netwerk. Dit is echter ook aangegeven op de Keezel-pagina, waar staat dat gebruikers van de premium-versie snelheden tussen de 4 en 20Mbit/s kunnen verwachten. Voor de 'basic'-versie geldt een maximale snelheid van 0,5Mbit. Over het algemeen was de snelheid toereikend voor internetgebruik en het kijken van streams, maar met snelheden die variëren van 4 tot 20Mbit/s kan het soms lastig worden om volledig gebruik te maken van de aanwezigheid van een snel netwerk. Het gebruiken van het vpn voor het kijken van bijvoorbeeld het Amerikaanse Netflix-aanbod was evenmin mogelijk, omdat de dienst de aanwezigheid van het vpn detecteerde.

Andere functies en meerwaarde

Het dashboard van de Keezel biedt nog toegang tot enkele andere functies. Zo is er momenteel een bètafunctie voor het blokkeren van advertenties, die standaard uitstaat. Het blokkeren van advertenties gebeurt op basis van dns. Het Keezel-team claimt dat het apparaat beschermt tegen phishing door kwaadaardige sites te blokkeren, maar beschrijft niet hoe deze functie werkt. Verder is er een mogelijkheid voor het inschakelen van 5GHz-netwerken en het automatisch opnieuw verbinden. Ook het instellen van vpn via tcp behoort tot de mogelijkheden.

Een tweede bètafunctie draagt de naam 'Keezel to Keezel'. Daarmee is het mogelijk om één apparaat thuis neer te zetten om vervolgens met een ander exemplaar verbinding te maken en zo een tunnel naar het thuisnetwerk op te zetten. Dit lijkt echter een vrij dure oplossing, die ook op een andere manier te realiseren is, maar dat geldt niet voor elke gebruiker.

Een opvallend gebrek aan de Keezel is een simkaartslot. Het zou voor de hand liggen dat het apparaat van een 4g-kaartje voorzien kan worden om niet afhankelijk te zijn van bestaande netwerken. Op de redactie werd dit dan ook vaak verondersteld als de functie van het apparaat werd uitgelegd. Het is wel mogelijk om via een 4g-dongel een dataverbinding tot stand te brengen, net zoals als met een usb-ethernetadapter een bedrade verbinding tot stand kan worden gebracht. Tijdens het gebruik was het toch vaak nodig om een hotspot met een smartphone aan te maken, om vervolgens de Keezel te verbinden en dat netwerk weer te gebruiken op een laptop.

Volgens de Keezel-makers is een ander gebruiksscenario voor de kleine router dat deze thuis dienstdoet als vpn-portaal voor bijvoorbeeld de Chromecast of andere mediaspelers die geen mogelijkheid bieden voor het instellen van een vpn. Het klinkt als een goede oplossing, maar in de praktijk blijkt dat het gebruik binnenshuis is gelimiteerd door de vormgeving. Door het gebrek aan antennes is het bereik niet geweldig. Ook zijn er andere routers die dezelfde functie stukken beter vervullen voor minder geld, waardoor het gebruik van de Keezel als thuisrouter niet als een toevoeging aanvoelt. Dat neemt niet weg dat het voor sommige gebruikers alsnog een mogelijkheid kan bieden, doordat het gebruik vrij eenvoudig is.

Waarom een Keezel als ik al een vpn heb?

De grote vraag die de Keezel vrijwel meteen opwerpt, is de vraag waarom het apparaat nodig is als er toch al een vpn op je smartphone of laptop staat. Een gewoon vpn voorziet een gebruiker namelijk ook van een encrypted tunnel en biedt opties als serverselectie. Dat is een lastige vraag, waarop de makers van de Keezel een antwoord hebben bedacht. Zo zou de Keezel meteen verbinding met een vpn maken in tegenstelling tot een reguliere vpn-dienst, waardoor er altijd een versleutelde tunnel is. Met een traditioneel vpn is het mogelijk om informatie te laten uitlekken via een side channel, aldus de makers. In dat scenario is echter sprake van een zeer toegewijde aanvaller, die ook op andere manieren communicatie kan onderscheppen.

Een tweede argument is dat er geen software nodig is die geconfigureerd moet worden. Hoewel dat waar is, is het installeren en gebruiken van een vpn-app ook voor de gemiddelde gebruiker geen onmogelijke opgave. Wat wel houtsnijdt, is dat het niet nodig is om op elk afzonderlijk apparaat een vpn-app te installeren. Voor de individuele gebruiker geldt dat hij misschien twee of drie apparaten bij zich draagt, maar voor groepen van twee of meer personen kan de Keezel een handige toevoeging zijn. Ook is er geen restrictie voor het aantal tegelijkertijd verbonden apparaten.

Een derde argument is het blokkeren van ads. Ook hiervoor geldt weer dat het vrij gemakkelijk is een groot aantal apparaten tegelijk te beschermen, maar voor individuele apparaten zijn er genoeg applicaties die hetzelfde bereiken. Tot slot claimen de makers dat de Keezel het gebruik van het vpn scheidt van de gebruiker. Doordat de vpn-dienst wordt afgenomen via de Keezel, ziet de provider alleen een Keezel-id. Dit klopt, maar ook hiervoor zijn bijvoorbeeld anonieme vpn-diensten te vinden.

Conclusie

De Keezel is duidelijk bedoeld om te worden meegenomen en als 'veilige' draadloze router dienst te doen. Er zijn echter een paar problemen. Zo wordt als er sprake is van een enkele gebruiker de meerwaarde ten opzichte van een degelijke vpn-applicatie op een smartphone of laptop niet duidelijk genoeg. De toegevoegde veiligheid van een aanvullend draadloos netwerk als tussenstap is aanwezig, maar voor de gemiddelde vpn-gebruiker minimaal. Tijdens de testperiode was het toch vaak eenvoudiger om zelf een vpn aan te zetten dan de Keezel tevoorschijn te halen. Dat neemt niet weg dat de router voor groepen een uitkomst kan zijn.

Daarnaast is het een bruikbaar apparaat voor mensen die privacy willen, maar daar niet veel voor willen doen. Ook dan is de Keezel echter geen uitstekende kandidaat. Dat heeft ermee te maken dat hij nog te vaak problemen vertoont met het verbinden met een netwerk. Een apparaat dat zich op een dergelijke doelgroep richt, moet met zo min mogelijk problemen werken. Wellicht dat toekomstige versies van de Keezel of de bijbehorende software daar verandering in kunnen brengen.

Daar komt bij dat het geen goedkoop apparaat is. Vooral in combinatie met een vpn-abonnement zijn er al snel alternatieven te bedenken die minder duur zijn. Hoewel het 'levenslange' abonnement bestaat, is het de vraag hoe lang dit echt meegaat. De constatering dat er betere alternatieven zijn, geldt ook als we de functies van de Keezel individueel bekijken. Wil je een powerbank, dan zijn er betere opties te vinden. Wil je een thuisrouter met vpn en adblocker, dan is ook dat te realiseren. Over de vpn-functie hebben we het al gehad. De som van de afzonderlijke delen is gewoonweg niet groot genoeg om de Keezel te rechtvaardigen. Daarmee lijkt het een oplossing die zoekt naar een probleem.

Dat neemt niet weg dat het Keezel-team de uitvoering van het project goed heeft aangepakt. Het ontwerp is esthetisch en de menu's zijn doordacht. Daardoor is het een aantrekkelijk gadget, dat waar dan ook de aandacht zal trekken. Misschien is er daadwerkelijk een doelgroep voor de Keezel, maar die bestaat niet uit doorgewinterde tweakers.

4. Software en gebruik
5. Andere functies en meerwaarde
6. Conclusie
70Reacties

Multipage-opmaak

Reacties (70)

Verwijderd 22 maart 2017 19:09

Ik ben zelf niet actief in de tweakers community maar als oprichter van Keezel wil ik mij toch graag even mengen in de discussie.
Een heel uitgebreid en kritisch review en dat verwacht je niet anders als je tweakers een apparaat voor een review ter beschikking stelt. De meeste mensen in deze community kunnen de functionaliteit van Keezel repliceren, nabouwen of anders oplossen. Wij zijn daarom heel blijk met jullie feedback. Onze doelgroep zijn vooral mensen die dat niet kunnen of die een oplossing willen die out of the box werkt. Wij willen informatiebeveiliging juist voor deze mensen toegankelijk maken.

Wij proberen gebruiker feedback zo snel mogelijk te verwerken. Keezel update zichzelf over the air wanneer je hem aanzet.
De in de review genoemde tijd die het kost om WiFi netwerken te scannen zijn wij op dit moment aan het reduceren en dit zal in de volgende versie een stuk korter zijn voor de gebruiker. Daarnaast hebben we in de huidige versie een bug gevonden die verbindingsproblemen kan geven. De fix zal binnenkort worden uitgerold.

Wat ik graag duidelijk wil maken is onze keuze om http te gebruiken voor de Keezel web app (captive portal). Natuurlijk is TLS beter maar ik sta nog steeds achter de keuze gezien de originele use case voor de Keezel. Voor de duidelijkheid: De UI is alleen te bereiken vanuit de clients die met de Keezel access point zijn verbonden. Dit is een WPA2 beveiligde link met een wachtwoord dat je zelf hebt gekozen en jij bent de enige die dit netwerk gebruikt.
Waar het echt interessant wordt en wat de hoofdreden is waarom wij naar TLS kijken is als je de Keezel met bv collega's deelt of met IoT apparaten die je niet vertrouwt. Hier is het zinvol om de UI af te schermen met een wachtwoord en de verbinding met https te beveiligen. Helaas is dit geen triviale onderneming:
* De UI op de Keezel is een http server en https activeren betekent dat je een certificaat met de geheime sleutel op de Keezel moet installeren. Hoe het niet moet en wat veel IoT apparaten juist wel doen is om een sleutel mee te leveren vanuit de fabriek. Dit is vaak een sleutel die gedeeld is op alle apparaten. Als eentje wordt onderschept kun je alle verbindingen breken.
* Voor privacy redenen genereert de Keezel alle sleutels (en zijn device ID) bij het eerste opstarten en bij een factory reset. Wij kunnen natuurlijk ook certificaten genereren (self signed) maar die geven bij de gebruiker alarmerende meldingen in de browser.
* De enige ‘goede’ manier om dit te doen zijn individuele certificaten die in alle browsers werken. Wij hebben naar 'let’s encrypt’ gekeken maar toepassen ervan is een hack gezien zij publieke domains moeten verifiëren, maar 3 maanden geldig zijn en strikte quota's per domain hanteren. Een aantal CA’s slapen gelukkig niet en werken aan IoT oplossingen voor uitdagen als de onze. Deze oplossingen zijn helaas nog nieuw en niet goedkoop. Wij werken eraan en kijken dat wij het gaan inzetten waar nodig.

Ik hoop dat bovenstaande info het eea duidelijk maakt. Ik probeer onze keuzes niet zozeer de verdedigen maar toe te lichten. Ik nodig jullie graag uit om hierover mee te denken of andere keuzes die wij hebben gemaakt te achtervragen. Hier of op support@keezel.co.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 15:00]

OruBLMsFrl @Verwijderd • 22 maart 2017 21:53

Let's encrypt ondersteunt ook subdomeinen. Je zou iedereen een <random>.mykeezel.co hostnaam kunnen geven bij de initiële installatie van iedere Keezel. Niet de Keezel ID ivm privacy. Daar dan via Let's encrypt een certificaat voor aanvragen. Je ziet dit bij steeds meer zaken in de cloud, denk ook aan <bedrijfsnaam>.onmicrosoft.com, Synology geeft ook iedere nas een eigen DNS naam als ik me niet vergis.

De captive portal techniek ondersteunt al specifieke URL's, dus je kunt die dan meteen als https landing page gebruiken. Het is wat extra configuratiewerk en het maakt de initiële setup waarschijnlijk wat langer, maar wel te doen lijkt me?

Verwijderd @OruBLMsFrl • 22 maart 2017 22:17

Dank voor het meedenken. Individuele sub domains is hoe we dit van plan zijn om op te lossen. Let's encrypt werkt met sub domains maar de quota's zijn op hooft domain niveau.

OruBLMsFrl @Verwijderd • 22 maart 2017 22:24

Het schaalt nog redelijk natuurlijk omdat die limieten per week zijn. Je kunt ook meerdere hoofddomeinen aanmaken: mykeezel10.co t/m mykeezel99.co. Dan kun je maximaal 90x20 certificaten registreren per week, mag toch genoeg zijn

Spockz @Verwijderd • 23 maart 2017 10:58

Als de keezel het zou ondersteunen om naar mijn eigen l2tp/IPSec vpn server te connecten zou ik hem zo kopen.

GeeBee 22 maart 2017 07:50

Ik ben een beetje huiverig geworden voor die "levenslang"- abonnementen.
Veel mensen realiseren zich niet dat dit niet betekent "voor de rest van hún leven", maar "voor de rest van de economische levensduur van deze specifieke versie van dit ene apparaat".

badillus @GeeBee • 22 maart 2017 11:09

en dat niet alleen, het ook beperkt tot de bestaansduur van de fabrikant. Op een gegeven moment hebben ze er meer kosten aan dan dat het opbrengt en dan gaat vast snel de stekker eruit.

Bender @GeeBee • 22 maart 2017 13:36

Ik denk dat veel vpn providers er ook van uit gaan dat in de toekomst dataverkeer en serverkracht zo goedkoop is, dat het verwaarloosbaar is geworden als kostenpost maar ze wel een grote clientbase hebben.

carnager 22 maart 2017 12:25

Hier een gebruiker van het eerste uur (nou ja, eerste, maar wel een van de eerste lichtingen in ieder geval).
Heb redelijk wat feedback gegeven aan de ontwikkelaars, met praktijktests en stap voor stap ondervindingen, en er zijn inmiddels al een aantal firmware updates doorgevoerd voor het apparaat.

Waar ik hem voor gekocht heb is vooral voor buiten de deur, niet voor thuis.
In de praktijk is het met meerdere apparaten namelijk bij hotels nog wel eens zo, dat je maar een van die apparaten tegelijk kunt verbinden door gebruik van een unieke code. Meer apparaten kost dan geld (of minstens gedoe.)
Dan is het lekker om het via de keezel af te vangen: verbind en authenticate door de keezel heen zodat al je apparaten inclusief chromecast enzovoorts die zelf niet eens zouden kunnen authenticaten gewoon online zijn.

Ookal is er al veel opgelost, de huidige firmware kampt nog steeds met enkele problemen..
Bijvoorbeeld:

Helaas is het gebruik van de 5GHz band nog niet zonder problemen. Hij wil regelmatig niet verbinden op deze netwerken en heb het zelfs zover gehad dat hij in een repeat loop kwam waarbij hij steeds probeerde te verbinden op het 5GHz netwerk, dat niet lukte en weer opnieuw ging proberen, waarbij tussentijds ook de link naar mijn mobiel verbrak waardoor er geen speld tussen te krijgen was om hem weer op een ander netwerk te configureren, totdat ik buiten bereik van het betreffende 5GHz netwerk was (of dat deze was uitgezet.) en daarna niet vergeten de opgeslagen data van dit netwerk even via de webinterface te deleten anders kom je bij terugkomst in hetzelfde loopje terecht.

Ook gaat hij in omgevingen met tientallen WiFi netwerken nogal eens protesteren, zelfs al zit je naast de accesspoint waarop je de keezel probeert te verbinden. En dan heb ik het over de 2.4GHz band.
Volgens de accesspoint lijst zijn sommige netwerken dan zelfs bijna buiten bereik qua signaalsterkte - zelfs al zit je er bovenop dus(!)
En sommige netwerken worden gewoon niet gelist, hoe vaak je ook refresht. Terwijl die netwerken op andere apparaten gewoon tevoorschijn komen.

In de praktijk is de usecase dus doorgaans prima voor het doel waarvoor ik hem heb genomen.
Maar om hem even aan te slingeren bij de Mac, Starbucks of Pathé, is succes alles behalve gegarandeerd.

NB. Is het WiFi verbind traject geslaagd, dan is het vervolgens heel simpel en functioneel. Zo ben je gewoon verbonden langs een IP van land naar keuze.
Performance zoals genoemd in het artikel is helaas mondjesmaat zelfs met het bijkomende abonnement.
De praktijk van 4-20Mbit/s klopt wel aardig.
Voor downloaden / uploaden hoef je het dus niet te doen.
Maar om via een netwerk waar een aantal bekende diensten / poorten zijn dichtgetimmerd toch gewoon te kunnen streamen / chromecasten bij voorbeeld, is het toereikend en prima.
Al met al heb ik dus geen spijt van de investering, al hoop ik dat er nog meer verbeteringen zullen worden doorgevoerd naar mate de tijd vordert.
Richting December evalueer ik dan wel eens, of ik er weer een jaartje premium tegenaan smijt.

Pware01 @carnager • 22 maart 2017 13:16

Helder,

Gebruiken in Hotels niet thuis

Juliuth @carnager • 22 maart 2017 13:35

Top! Bedankt voor de info

SED 22 maart 2017 09:32

Persoonlijk vond ik dit een rare review. Goed vanuit het bekijken van de technische aspecten maar ronduit vreemd over het toepassingsgebied/doelgroep
Uit de indiegogo inschrijving bleek een ruime belangstelling voor de features. Daar reageerden met name mensen op die naar een zeer gebruiksvriendelijk apparaat zochten. Niet nadenken maar aanzetten, inloggen op beschhikbare wifi en aan de slag op een veilige wijze.

Vergelijkingen met alternatieve VPN diensten die je zelf kunt opzetten is dan wat zinloos. Die zijn namelijk niet zo laagdrempelig voor velen.
Tussenzinnetjes die terloops even de gebruikte vpn diensten onderuit halen ( PureVpn is beslist geen onbekende in tegenstelling tot de vaststelling van de auteur in de review) en die over de kwaliteit van het apparaat gaan doen ook afbreuk aan de review.

Wat voorbeelden:
Zwaar in de hand liggend... 220 gram voor een router..wie draagt die de hele tijd?
Onbreken van Simslot, er is een dongle aan te sluiten voor diegenen die 4G wensen. Apparaat nog duurder maken door toevoeging van mifi is niet zinvol.
"niet makkelijk te beantooworden is de vraag voor wie de kiezel gemaakt is"... dat is een open deur: kijk naar indiegogo inschrijvers..

Terecht is natuurlijk kritiek op de probleemloze werking. Als je een apparaat maakt juist voor die doelgroep dan moet het ook gewoon werken.
Die onversleutelde verbiding is ook erg amateuristisch.

FreshMaker @SED • 22 maart 2017 09:51

Persoonlijk vond ik dit een rare review. Goed vanuit het bekijken van de technische aspecten maar ronduit vreemd over het toepassingsgebied/doelgroep
Uit de indiegogo inschrijving bleek een ruime belangstelling voor de features. Daar reageerden met name mensen op die naar een zeer gebruiksvriendelijk apparaat zochten. Niet nadenken maar aanzetten, inloggen op beschhikbare wifi en aan de slag op een veilige wijze.

Vergelijkingen met alternatieve VPN diensten die je zelf kunt opzetten is dan wat zinloos. Die zijn namelijk niet zo laagdrempelig voor velen.
Tussenzinnetjes die terloops even de gebruikte vpn diensten onderuit halen ( PureVpn is beslist geen onbekende in tegenstelling tot de vaststelling van de auteur in de review) en die over de kwaliteit van het apparaat gaan doen ook afbreuk aan de review.

Wat voorbeelden:
Zwaar in de hand liggend... 220 gram voor een router..wie draagt die de hele tijd?
Onbreken van Simslot, er is een dongle aan te sluiten voor diegenen die 4G wensen. Apparaat nog duurder maken door toevoeging van mifi is niet zinvol.
"niet makkelijk te beantooworden is de vraag voor wie de kiezel gemaakt is"... dat is een open deur: kijk naar indiegogo inschrijvers..

Terecht is natuurlijk kritiek op de probleemloze werking. Als je een apparaat maakt juist voor die doelgroep dan moet het ook gewoon werken.
Die onversleutelde verbiding is ook erg amateuristisch.

Met vrijwel alle vpndiensten krijg je apps / plugins om het direct te regelen op je device.
Op de IOSdevices is het meen ik zo simpel als een linkje klikken, certificaat VPN toestaan, en klaar.

Android zijn vaak apps met alle instellingen al voorgekauwd.
Elke aanbieder heeft een enorme FAQ staan, hoe men de settings handmatig kan doen.
Misschien niet voor iedereen 'toegankelijk' maar moet er dan echt bij elke stap een handje vastgehouden worden ( soms lijkt het van wel )

Als je een alles in één apparaat koopt, daar is echt wel markt voor, dan moet het 100% kloppen.
De nadelen worden dan uitvergroot, als ik een ubuntu installeer, ga ik er vanuit dat mijn printer niet werkt, of dat ik lastig RDP kan gebruiken.
Doe ik een windows10 install, denk ik daar niet bij na, het MOET werken.
Vandaar dat Windows een adviesprijs heeft, en Ubuntu een community

SED @FreshMaker • 22 maart 2017 10:23

Die apps met diensten vergen een aantal stappen die veel mensen niet eens willen zetten.
Uitzoeken welke VPN dienst betrouwbaar is.
De app toegang geven tot allerlei essentiele onderdelen van je phone om te kunnen werken: vertrouwen hebben in een app die diep ingrijpt.
Apps zijn voor smartphones, Kiezel is voor elk apparaat geschikt, laptop, desktop, tablet etc..
Er zijn dus heel veel mensen die zich niet in alle zaken willen verdiepen en liever vertrouwen op een product dat al dat werk voor je doet: gebruiksgemak. Dat mag wat kosten als het goed werkt. en betrouwbaar is: daar doet de review echter geen uitspraak over!

[Remmes] @SED • 22 maart 2017 20:52

Een aantal stappen zoals inloggen, nou nou wat moeilijk toch weer, da moet je ook doen met de Keezel lijkt me. Dit ding werkt als een VPN het dan vergelijken met andere VPN diensten is dan niets mis mee, de basis versie van $140 heeft max 0,5Mbit/s wat om te janken is voor die prijs, That said, vind ik het ding opzich wel wat hebben, alleen is het een flinke smak geld, en met dit soort fundings is het altijd maar afwachten hoe het zit met garantie etc.

[Reactie gewijzigd door [Remmes] op 22 juli 2024 15:00]

aloft @[Remmes] • 22 maart 2017 21:11

Het pluspunt van Keezel (en andere 'privacy routers') is dat je connectie met het publieke Wifi netwerk via 1 punt loopt. Veel semi-publieke Wifi punten (zoals in hotels) limiteren het aantal devices tot 1 of 2 per gebruiker. Als ik dan met mijn laptop, tablet, telefoon en e-reader aankom, dan werkt 50 % van de apparaten niet.

Daar zijn natuurlijk als tweaker legio zelf oplossingen voor te bouwen. Maar dat zal de doelgroep van Keezel niet zijn.

Ik ben benieuwd hoe het werkt, of ze inderdaad die captive portal in alle gevallen goed kunnen 'vangen' via de 'http://keezel' login.

Maar eerst moeten ze maar eens uitleveren. De verzending van Keezels naar de backers gaat behoorlijk langzaam en ze geven weinig openheid over de voortgang en planning.

BelJoost 22 maart 2017 14:55

De NetAidKit doet ook vpn. Je kan zelf een vpn provider kiezen; bijvoorbeeld je eigen OpenVPN server thuis. Je kan hem kant en klaar kopen of zelf de firmware op een Gl.inet flashen.

SpiceWorm 22 maart 2017 06:48

Dus als je onderweg in de semi publieke ruimte via je chromecast video's wil streamen waarvan een aanvaller niet mag weten dat je ze kijkt, én niks van internetbeveilig weet moet je dit apparaat kopen.

Voor alle andere usecases lijken mij mooiere oplossingen.

Bizar trouwens dat het login wachtwoord cleartext door de lucht gaat, zit er geen wachtwoord op het gehoste wifi netwerk?

Moderators: hoe is deze reactie offtopic of overbodig?

[Reactie gewijzigd door SpiceWorm op 22 juli 2024 15:00]

ExIT @SpiceWorm • 22 maart 2017 07:13

Het probleem zit tussen de Keezel en het Captive portal van het hotel denk ik (ontvangende netwerk, waarvoor Keezel dus enkel HTTPS moet afdwingen van het hotel inlogformulier. Zonder eigen cert dus, zoals ik hierboven dacht en schreef).

Je Keezel zelf zal wel WPA bieden op het uitzendende netwerk neem ik aan.

Maar zélfs met TLS tussen de Keezel en het Captive portal is het doodeenvoudig om iemand een oor aan te naaien in een hotel; maak je eigen portaal-kloon, kopieer het hotel SSID en zend sterker uit of dichter bij je slachtoffer. Volledige proof-of-concept hier: https://platis.solutions/...hotspots-captive-portals/

[Reactie gewijzigd door ExIT op 22 juli 2024 15:00]

djwice

@ExIT • 22 maart 2017 08:11

Dus de Keezel zou wellicht eerst het verkeer via de DNS poort moeten routeren over VPN, daar deze vaak wel open staat op die hotel hotspots

Verwijderd @ExIT • 22 maart 2017 12:24

gaat dit ook op voor de ziggo hotspots ? want dan zijn er nogal wat mensen in Nederland die eenvoudig slachtoffer kunnen worden.

Zaffo @Verwijderd • 22 maart 2017 14:51

Nee, Ziggo hotspots maken geen gebruik van een captive portal maar van WPA2 enterprise. Ofwel, je logt in met naam en wachtwoord op de wifi.

Edit: opzich moet het mogelijk zijn om een eigen hotspot op te zetten met een Radius blackhole erachter. Ik ben benieuwd. (maar offtopic)

[Reactie gewijzigd door Zaffo op 22 juli 2024 15:00]

sugarlee89 22 maart 2017 06:32

En een abbonnement moeten afsluiten en 500kb brrrrr.

mszwolle @sugarlee89 • 22 maart 2017 10:08

Dit was mijn eerste gedachte. Geen goedkoop abonnement en ook geen goedkoop apparaat, en dan een maar halve megabit krijgen. Je moet toch wel heel graag je internetgebruik willen verbergen om dit bruikbaar te noemen.

carnager @mszwolle • 22 maart 2017 12:02

Zonder abonnement (dus alleen het apparaat) is 500kbit/s.
Wil je sneller, dan zit je dus wel aan een abonnement.
Al is dit meer een soort prepaid: je koopt een periode en loopt die periode af verval je automatisch weer in de gratis 500kbit/s.

HollowGamer 22 maart 2017 08:09

Dit lijkt me niks, je mag het ding overal mee naartoe slepen en dan is het maar even afwachten hoe stabiel de Wifi/VPN verbinding is. Het is ook erg duur, zeker als er VPN providers zijn waar je voor 8 euro in de maand geen snelheidscap hebt, eenvoudige apps/tools krijgt, en je meestal ook uit een ruime keuze in servers kan kiezen.

Het standaard blokkeren van ads is ook niet altijd fijn. Dat vind ik btw. jammer om daar niks over te lezen, hoe worden deze geblokkeerd? Ghostery blokkeert ook ads, maar verkoopt wel je userdata door.

Tevens mis ik een lijst met de VPN providers, zie bijvoorbeeld https://privacytoolsio.github.io/privacytools.io/, staan ze daar tussen?

[Reactie gewijzigd door HollowGamer op 22 juli 2024 15:00]

kozue @HollowGamer • 22 maart 2017 08:52

Hoe de adblocker werkt staat wel in het artikel: gewoon een dns-blacklist, die dus een heel domein van een advertentiebedrijf naar 127.0.0.1 routeert.

Me_Giant

@HollowGamer • 22 maart 2017 11:04

Keezel werkt samen met drie vpn-aanbieders: PureVPN, ProXPN en Le VPN.

FreshMaker @HollowGamer • 22 maart 2017 09:41

Ik vermoed dat ze hun "eigen" VPN gebruiken, en niet nog eens een externe partij.
Een beetje vpnserver heb je zo opgezet, vandaar de realtief 'hoge' prijs van het apparaat zelf.

Is wel iets voor te zeggen, je kunt dan makkelijk de service opschalen, als je echt veel gebruikers zou krijgen.
Bij een derde partij zit je altijd op onzekere snelheden, omdat ook die weer 'inkopen' bij anderen

Hupegel 22 maart 2017 08:42

Zelf heb ik dit apparaat een tijdje gevolgd omdat ik interesse heb in VPN. Vooral voor op vakantie. Nu heb ik het idee dat ik net zo goed direct een VPN abbo zou kunnen afsluiten en op de IPad en Laptop zetten. Klopt dat? En zo ja, en dat is de hamvraag, bij wie kan ik dan het beste een VPN abbo afsluiten? Ik hoop dat dit niet teveel off-topic is, maar ik zal vast niet de enige zijn met deze vraag en ik ben benieuwd naar jullie reacties.

i-chat @Hupegel • 22 maart 2017 09:00

andere optie die ik heel erg zie gebeuren is dat er een rasberry pi variant komt die veel goedkoper en veel meer aan te passen is... maar zelfs als dat niet zo is... waarom zou je je niet gewoon een bestaande minirouter kopen waar al openwrt support voor is... alles wat men hier laat zien kan al tijden in openwrt ... het geld dat je bespaart kun je beter aan een betrouwbare anon-vpn partij besteden.

FreshMaker @Hupegel • 22 maart 2017 09:42

Zelf heb ik dit apparaat een tijdje gevolgd omdat ik interesse heb in VPN. Vooral voor op vakantie. Nu heb ik het idee dat ik net zo goed direct een VPN abbo zou kunnen afsluiten en op de IPad en Laptop zetten. Klopt dat? En zo ja, en dat is de hamvraag, bij wie kan ik dan het beste een VPN abbo afsluiten? Ik hoop dat dit niet teveel off-topic is, maar ik zal vast niet de enige zijn met deze vraag en ik ben benieuwd naar jullie reacties.

VPN: Het grote VPN discussietopic

alle info die je wilt

[Reactie gewijzigd door FreshMaker op 22 juli 2024 15:00]

ExIT 22 maart 2017 06:22

Klinkt alsof de "bescherming" net als de advertentieblokkade werkt met DNS, kortom, de gebruikelijke verzameling van domeinen. Net als een Pi-hole. Alles verpakt in een linux distro met een hip webinterface-sausje. Zonde dat ze hier TLS vergeten waren. Lossen ze vast op met Let's Encrypt als ze slim zijn. Dat accepteren de clients zonder waarschuwingen van een self-signed certificaat, maar is niet het "logistieke" of financiele blok aan je been zoals een ouderwetse.

Al met al; geinig, maar niet voor een Tweaker. Met wat afwerking van de ruwe randjes in de software (verbindingsproblemen en feedback hiervan) vast iets voor een leek die met het idee van privacy bezig is, maar niet meer wil doen dan inloggen op een hotel portaaltje.

Maar je kunt ook gewoon een laptopje meenemen met een willekeurig router distro in een VM/Dualboot. Ook i.c.m. meerdere devices. Zelfde gemak na de eerste configuratie, meer vrijheid indien gewenst later en dus toekomstbestendiger in het algemeen. Én dat kan prima voor hetzelfde geld of minder zelfs, zonder abbo's.

Edit; maar het is wel een mooi doosje om te zien :-)

[Reactie gewijzigd door ExIT op 22 juli 2024 15:00]

MadEgg @ExIT • 22 maart 2017 09:10

Zonde dat ze hier TLS vergeten waren. Lossen ze vast op met Let's Encrypt als ze slim zijn. Dat accepteren de clients zonder waarschuwingen van een self-signed certificaat, maar is niet het "logistieke" of financiele blok aan je been zoals een ouderwetse

Van welke hostname dan? Je bent on-the-go en hebt geen vast IP en ook geen vaste hostname. Sterker nog, als je via je mobiel verbinding maakt heb je een prive-IP en ga je dus geen certificaat krijgen omdat je op je telefoon geen port forwarding in kan stellen en je LE dus niet kunt gebruiken.

Die certificaten zijn de grootste faal in het hele HTTPS-gebeuren, zeker met alle enorme afschuwelijke waarschuwingen die je krijgt voor niet vertrouwde certificaten. De insteek is altijd verkeerd geweest. De verbinding is niets minder veilig bij een ongeldig certificaat, je weet alleen niet met wie je communiceert. Feitelijk weet je dat met LE-certificaten ook niet, die zijn zo eenvoudig om te krijgen.

Ik snap in ieder geval precies waarom TLS weggelaten is: het levert meer problemen en ongeruste gebruikers op dan het oplost.

SED @MadEgg • 22 maart 2017 10:27

De verbinding tussen kiezel en bijv phone is bekend en beheersbaar. (zelfs met vast ip als je wilt) De verbinding tussen kiezel en wifi is het flexibele en oncontroleerbare deel.
De secure verbinding tussen kiezel en je eigen apparaat mag geen probleem vormen.

MadEgg @SED • 22 maart 2017 10:36

Dat heeft er ook niets mee te maken.

Let's Encrypt geeft SSL certificaten uit aan publieke hostnames, niet aan IP-adressen. Om een hostname te hebben moet je deze registreren en naar je IP-adres laten wijzen. Met een dynamisch IP-adres zou dat misschien nog te regelen kunnen zijn met behulp van DynDNS of iets in die trant. Echter, dan ben je bij je telefoon (dat wordt sowieso lastig aangezien veel mobiele providers je een intern IP-adres geven wegens schaarste in de IPv4 adresruimte), nog niet bij de Keezel.

Om je hostname te valideren bij Let's Encrypt moet je een controleerbare webserver draaien op poort 80. Dat betekent dus dat als het verkeer op poort 80 al aankomt bij je telefoon, die telefoon het verkeer ook moet doorsturen naar je Keezel. Daarvoor is een port forward nodig, en de meeste telefoons ondersteunen dat niet. Dat betekent dus dat Let's Encrypt je hostname niet kan valideren en daarmee dus ook geen certificaat uitgeeft.

Daarmee is Let's Encrypt geen optie: als het al technisch haalbaar zou zijn is er dermate veel configuratie voor nodig dat 99.9% van de gebruikers afhaakt. En bovendien moet dat elke 3 maanden, langere certificaten geeft LE niet uit.

De enige eenvoudig te configureren optie voor HTTPS in de webinterface is dus een self-signed certificaat, maar dat werkt ook niet aangezien je browser dan enorme veiligheidswaarschuwingen geeft en 99.9% van de gebruikers zich daardoor uit het veld zal laten slaan. Daarmee ook geen oplossing.

Daarmee schieten de SSL cerficaten dus volledig hun doel voorbij. Encryptie zou voorop moeten staan, en dat zou niet zonder meer veiligheidswaarschuwingen moeten opleveren. Het is van den zotte dat een verbinding die via HTTP gemaakt wordt zonder morren geaccepteerd wordt door je browser maar een verbinding die wel encryptie gebruikt maar zonder CA-signed certificaat enorme veiligheidswaarschuwingen oplevert. True, idealiter wil je beide, maar encryptie zonder validatie is altijd nog beter dan geen encryptie én geen validatie.

SED @MadEgg • 22 maart 2017 10:46

Dat vast ip adres is iets wat je zelf als probleem zag.

e bent on-the-go en hebt geen vast IP en ook geen vaste hostname.

Ik heb het ook niet over let's encrypt maar over het opzetten van een secure conncetie tussen de keezel en je aparaat. Dat is in basis absoluut niet moeilijk te realiseren.
Eventueel incl self signed certificaat wat je bij installatie van de keezel op je apparaat moet accepteren.

MadEgg @SED • 22 maart 2017 11:06

Het is ook een probleem. Je hebt op je Keezel, noch op de verbinding met je ISP (zoals een telefoon), een vast IP publiek IP-adres. Misschien in sommige situaties wel maar meestal niet.

Als je in ieder geval een dynamisch publiek IP-adres is is daar met behulp van diensten als DynDNS een weg omheen te vinden. Dat is ook een stap extra die veel gebruikers niet zullen nemen. En dat publieke IP-adres is bij veel mobiele providers ook niet aan de orde.

Je hébt natuurlijk een secure connectie tussen je apparaat en de Keezel, overigens. Die wordt met WPA2 beveiligd en dat is tot nu toe veilig genoeg. Het artikel (en ook ExIT) bekritiseren de afwezigheid van TLS op de verbinding met je "captive portal" op de Keezel. Dat is mijns inziens niet terecht: daar TLS gebruiken vereist een valide certificaat en dat is niet praktisch haalbaar. Bovendien heb je het dan over communicatie ván je apparaat naar het andere eind van de verbinding, de Keezel, welke al beveiligd is middels WPA2. De enige die er inzicht in kan krijgen in de Keezel zelf en daar was het dan ook aan gericht, dus dat is geen probleem. Daarmee is HTTP ruim voldoende.

edit:
WPA2/PSK is waardeloos geïmplementeerd, ik zeg niets meer

[Reactie gewijzigd door MadEgg op 22 juli 2024 15:00]

SED @MadEgg • 22 maart 2017 11:11

Mits die wpa2 key uniek is voor elke keezel connectie en niet hadrcoded oid.

MadEgg @SED • 22 maart 2017 11:58

Ik neem aan dat je de PSK (Pre-Shared Key) bedoelt - WPA2 werkt met AES waarbij de key onderhandeld wordt tussen client en access point en daarmee niet voorspelbaar is. De PSK zou inderdaad hard-coded kunnen zijn.

Dat betekent niet dat de communicatie tussen client en access point daarmee onderschept kan worden, dat betekent alleen dat ongeauthoriseerde clients toch verbinding met het access point kunnen maken omdat de PSK bekend of voorspelbaar is. Daarmee is de versleuteling tussen access point en een andere client nog niet onveilig - die sleutel wordt onderhandeld en is daarmee niet af te leiden uit de PSK of de eigen onderhandelde encryptiesleutel.

Alsnog is daarmee het verkeer tussen een client en het captive portal op de access point niet te onderscheppen.

Een vaste of voorspelbare PSK is wél een veiligheidsrisico om andere redenen: door je zonder toestemming aan te melden op een access point is het mogelijk om bijvoorbeeld via onveilige protocollen andere clients te benaderen. Ook is het mogelijk om DHCP aan te bieden of IP-adressen te spoofen, om zo te proberen om verkeer te ontvangen wat niet voor je bestemd is. Een goede work-around daarvoor is Client Isolation waarbij elke client effectief op een apart VLAN geplaatst wordt en dus op geen enkele manier met de andere clients kan communiceren, alleen met het internet. Ik weet zo niet of de Keezel standaard aan client isolation doet, dat zou een waardevolle feature zijn voor de doelgroep van deze router.

edit:
WPA2-PSK is waardeloos geïmplementeerd, ik zeg niets meer

[Reactie gewijzigd door MadEgg op 22 juli 2024 15:00]

SED @MadEgg • 22 maart 2017 14:39

Lees dit even, scheelt een hoop tekst.
https://www.howtogeek.com...l-vulnerable-to-snooping/

MadEgg @SED • 22 maart 2017 14:57

Interessant. En schokkend. Ongelooflijk dat hier dus geen Diffie–Hellman bij betrokken is - na alle ophef over WEP ging ik daar eigenlijk vanuit.

Het wordt tijd voor een nieuw draadloos authenticatieprotocol, blijkbaar.

* MadEgg schakelt gauw zijn wifi uit en prikt de UTP-kabel weer in

UPPERKEES @ExIT • 22 maart 2017 12:05

Let's Encrypt moet toch om de 90 dagen een refresh krijgen? Dan zou je ook bij de clients die CA moeten vernieuwen, of zie ik dat verkeerd? Lijkt mij niet ideaal.

Loekie

@UPPERKEES • 22 maart 2017 21:42

Dat hoeft niet, de LE-certificaten worden met een (inmiddels) vertrouwd root-certificaat ondertekend. Je vertrouwen in het root-certificaat bepaald dat je ook vertrouwd wat er mee ondertekend is. De 90 dagen termijn maakt dat deze certificaten voor domein-validatie ideaal zijn, als je domein niet meer gevalideerd kan worden duurt het max 90 dagen voordat je met een ongeldig certificaat geconfronteerd wordt. Dat is een stuk beter dan 1-5 jaar.

MadEgg @Loekie • 22 maart 2017 22:16

De CA hoeft niet vernieuwd te worden nee, maar het certificaat op de Keezel wel. En dat gaat vrij lastig te configureren worden voor de gemiddelde gebruiker - LE wil dat je een publieke hostname valideert door een webserver op poort 80 te draaien, en dat gaat in de gemiddelde situatie waarin de Keezel gebruikt wordt lastig worden.

Loekie

@MadEgg • 23 maart 2017 01:32

Sure, voor een mobiel apparaat dat hoogst zelden een publiek IP heeft gaat dit niet werken. Dit ging meer specifiek om het renewen van certificate store op client, die met LE dus niet vernieuwd hoeft te worden.

Op dit item kan niet meer gereageerd worden.

Keezel Review

Introductie

Nieuw idee?

Waarom en voor wie?

Op welke doelgroep richt de Keezel zich?

De binnen- en buitenkant

Software en gebruik

Andere functies en meerwaarde

Waarom een Keezel als ik al een vpn heb?

Conclusie

Inhoudsopgave

Lees meer

Reacties (70)

Introductie

Nieuw idee?

Waarom en voor wie?

Op welke doelgroep richt de Keezel zich?

De binnen- en buitenkant

Software en gebruik

Andere functies en meerwaarde

Waarom een Keezel als ik al een vpn heb?

Conclusie

Inhoudsopgave

Lees meer

Reacties (70)

Sorteer op:

Weergave: