"Chat heffing" en encryption

In principe is wat jij wilt een VPN verbinding naar je huis.
Voor zover mijn kennis daarover rijkt doet dat precies (en meer) wat jij wilt.
Een proxy is meer een soort extra tussen station, en ik dacht dat tussen de proxy en de client de data niet encypted is. Maar dat kan ik mis hebben.

[Voor 34% gewijzigd door remco_k op 13-05-2011 09:12]

Ik heb er zelf ook over nagedacht. Andere mensen hebben ook al gesproken over een ssh tunnel. Om een ssh tunnel op te zetten heb je connectbot nodig, alleen krijg ik het nog niet voor elkaar om daadwerkelijk alle verkeer door die ssh tunnel te krijgen.
Net zo min trouwens als ik het voor elkaar krijg om via vpn op mijn computer thuis weer doorgestuurd te worden naar het internet...

Ik houd dit topic in elk geval in de gaten, want ik ben erg geïnteresseerd. Ik heb liever dat mijn provider denkt dat ik toch wel erg veel zit te vpn-en, dan dat ze me extra gaan laten betalen omdat ik skype of whatsapp.

Een logisch gevolg daarop zou zijn dat het VPN verkeer vervolgens door KPN wordt gezien als 'business' traffic, en ze daar de prijs net even wat hoger van gaan leggen.

Dat is mogelijk, maar ik verwacht niet dat het maken van een vpn naar thuis gemeengoed zal gaan worden onder alle smartphonegebruikers. In dat opzicht hebben tweakers wellicht een voordeel

Zou best kunnen, maar liever een hogere prijs en een volledig open verbinding, dan betalen per app.
Zo ontzettend jammer dat iPhone OpenVPN niet ondersteunt. Dat staat namelijk klaar bij mij thuis. Ach ja, simpelste oplossing is om even een Windows server te strippen en VPN voor de iPhone te laten doen. Al eerder gedaan vorig jaar. Om voetbal te kunnen streamen vanuit het buitenland. Werkt als een trein
Enige waar ik mee zit, hoe kom ik hoger dan 256 bit encryptie, zodat de huidige DPI oplossingen een probleem hebben? Want ja... Er zijn DPI appliances die ssl tunnels inflight kunnen scannen om het gebruikte protocol te achterhalen (en te blocken eventueel).

maniak schreef op vrijdag 13 mei 2011 @ 08:58:
Beste mede Tweakers,

De 'chat heffing' en de dpi van de telecom providers houdt mij bezig en kwam tot een mogelijke oplossing. Nu heb ik het eea gezocht op het Internet maar kon eigenlijk niets vinden. Wellicht dat jullie iets kunnen betekenen.

Wat ik wil is een applicatie op mijn Andriod (HTC Desire) die al mijn Internet verkeer opvangt om het vervolgens te encrypten en door te sturen naar mijn server thuis. Deze server doet alle aanvragen op het Internet en stuurt het weer encrypted terug. Zeg maar een soort encrypted proxy server.

Hoe haalbaar zou dit zijn? Is het realitisch voor een toestel zoals een Desire om internet verkeer realtime the encrypten en te decrypten?

Misschien dat iemand al een oplossing heeft gevonden.

Onlangs is bekend geworden dat KPN gebruik maakt van DPI. Deep Packet Inspection. In dat geval gaat de DPI-unit als proxy tussen jou en de server in staan. Op het moment dat je een verbinding maakt breekt hij als het ware die verbinding open en gaat binnen jouw versleutelde verbinding kijken. Een soort man-in-the-middle-attack. Een VPN verbinding maken heeft dus geen zin, de DPI-unit ziet jouw sleutels langskomen en gebruikt die om jouw netwerkstream te decrypten.

Firewalls werken hier ook mee om HTTPS verbindingen open te breken en te beveiligen tegen malware, zoals virussen via webmail.

w4rguy schreef op vrijdag 13 mei 2011 @ 09:34:
[...]


Onlangs is bekend geworden dat KPN gebruik maakt van DPI. Deep Packet Inspection. In dat geval gaat de DPI-unit als proxy tussen jou en de server in staan. Op het moment dat je een verbinding maakt breekt hij als het ware die verbinding open en gaat binnen jouw versleutelde verbinding kijken. Een soort man-in-the-middle-attack. Een VPN verbinding maken heeft dus geen zin, de DPI-unit ziet jouw sleutels langskomen en gebruikt die om jouw netwerkstream te decrypten.

Firewalls werken hier ook mee om HTTPS verbindingen open te breken en te beveiligen tegen malware, zoals virussen via webmail.

Mooi, maar er zijn (logischerwijs) nog geen appliances die dit kunnen bij encryptie hoger dan 256 bit
Wat gaan ze dan doen... Alles hoger dan 256 bit termineren?

maniak schreef op vrijdag 13 mei 2011 @ 09:37:
[...]

Dat is niet helemaal waar. Immers, de sleutel wordt niet meegestuurd. Ik stel een sleutel in op mijn server en op mijn toestel. De enige manier om de sleutel te achterhalen is om actief de encryption proberen te kraken. Een 2048bit encryption duurt wel even voordat ze die gekraakt hebben

De sleutel wordt alleen gebruikt bij het op zetten van de verbinding. Daarna is het standaard 128 bit. Heb net ff geprobeerd de link te vinden waar ik dat een paar dagen geleden las, maar ik vind hem niet meer
Ben geen netwerkman, maar ga er nou maar vanuit dat als je tunnel niet hoger dan 256b encrypted is, en die zijn er niet of ik vind geen mogelijkheid, dat het protocol gescanned wordt. Intern bij grote bedrijven gebeurt dat al lang. Kunnen ze er niet in kijken, termineren ze gewoon je verbinding

[Voor 83% gewijzigd door UltraSub op 13-05-2011 09:46]

maniak schreef op vrijdag 13 mei 2011 @ 09:37:
[...]


Dat is niet helemaal waar. Immers, de sleutel wordt niet meegestuurd. Ik stel een sleutel in op mijn server en op mijn toestel. De enige manier om de sleutel te achterhalen is om actief de encryption proberen te kraken. Een 2048bit encryption duurt wel even voordat ze die gekraakt hebben

ah, ik wist niet dat je het zo ging gebruiken, ik dacht "in-flight". Dan heb je daar inderdaad geen last van lijkt me. Het kraken daarvan is ook strafbaar volgens het wetboek van strafrecht. In jurisprudentie is gebleken dat je niet meer een verbinding persé hoeft te kraken. Als je als "hacker" weet dat je ergens niet hoort te zijn, en je bent er toch, dan hoor je weg te gaan. Ga je door, ben je strafbaar. Dit is om hacking middels bugs tegen te gaan. Stel namelijk dat je via een omweg in een admin module weet te komen heb je geen beveiliging gekraakt, maar bevindt jij je wel op verboden terrein. Vroeger was dit niet zo, waardoor hackers nog wel eens vrijuit gingen.

We moeten dus 2 dingen zien uit te vinden..
1. Hoe zit het nou precies met inloggen en encrypten van de tunnel (ik ga morgen eens zoeken)
2. Is het mogelijk zwaarder dan 256b te encrypten?

Anoniem: 140896 schreef op vrijdag 13 mei 2011 @ 09:15:
Ik heb er zelf ook over nagedacht. Andere mensen hebben ook al gesproken over een ssh tunnel. Om een ssh tunnel op te zetten heb je connectbot nodig, alleen krijg ik het nog niet voor elkaar om daadwerkelijk alle verkeer door die ssh tunnel te krijgen.
Net zo min trouwens als ik het voor elkaar krijg om via vpn op mijn computer thuis weer doorgestuurd te worden naar het internet...

Maar je krijgt je verbinding wel opgezet?

Dat klinkt namelijk gewoon als een probleem van de IP adres toewijzing. Je telefoon of computer moet een IP adres krijgen en een DNS server adres om het dataverkeer weg te kunnen sturen en te vertalen. Als je dit niet hebt gedaan, werkt internet niet.
Probeer eens te pingen via je VPN naar google door middel van een IP (8.8.8.8 = google DNS server) en via een url (www.google.nl). Als de ping met de url werkt, zou je internetverkeer moeten kunnen. Als alleen de ping via IP adres werkt, heb je geen goed DNS adres maar wel een goed IP adres. En als beide niet slagen werkt het totaal niet en moet je naar je instellingen kijken.

Ik heb net ook even gekeken naar encryptie voor VPN en dit kun je met bijvoorbeeld een MS Forefront TMG firewall server regelen die voor je de VPN echt goed kan instellen. Hiermee kun je IP en DNS mee laten uitdelen aan je apparaat en kun je een SSTP verbinding met AES encryptie die max. 256bits versleuteling geeft.

Die encryptie is zelfs door NSA goedgekeurd voor top secret informatie, dus lijkt me goed genoeg.

Kijk voor info over SSTP en die verbinding opzetten maar een op deze pagina: http://technet.microsoft.com/en-us/library/ee809077.aspx

[Voor 19% gewijzigd door TenTimes op 13-05-2011 10:19. Reden: Meer info]

UltraSub schreef op vrijdag 13 mei 2011 @ 10:01:
We moeten dus 2 dingen zien uit te vinden..
1. Hoe zit het nou precies met inloggen en encrypten van de tunnel (ik ga morgen eens zoeken)
2. Is het mogelijk zwaarder dan 256b te encrypten?

Een VPN tunnel heeft niet altijd encryptie. Een PPTP tunnel bijvoorbeeld heeft standaard geen encryptie, en is in dat opzicht niet nuttig om KPN te ontwijken. Tenzij je een SSH tunnel over je VPN opzet, dan heb je encryptie.

Echter is een L2TP VPN tunnel wel gewoon encrypted. Hoeveel bits weet ik niet, maar dat doet er ook niet zoveel toe. KPN ziet gewoon verkeer van device A naar je VPN server, maar kan dat verkeer niet inzien. Ze gaan toch echt geen encryptie doorbreken om jouw verkeer te kunnen moniteren, want:
a. niet legaal
b. hoeveel resources denk je dat dat kost om elke vorm van verkeer die encrypted is te proberen te kraken
c. ze kunnen niet alles kraken
d. dat doen ze gewoon niet

Gewoon een VPN server opzetten (L2TP of PPTP maar bij deze laatste wel zorgen voor encryptie). Of OpenVPN, maar niet elk apparaat ondersteunt dat.

Ik draai zelf de ingebouwde VPN server van Mac OS X Snow Leopard en die werkt prima.

[Voor 3% gewijzigd door thaan op 13-05-2011 10:47]

maniak schreef op vrijdag 13 mei 2011 @ 09:37:
[...]
Dat is niet helemaal waar. Immers, de sleutel wordt niet meegestuurd. Ik stel een sleutel in op mijn server en op mijn toestel.

De encrypty sleutel wordt wel meegestuurd, maar daarna in de volgende stap van de handshake wordt een neiuwe sleutel gemaakt. De sleutel die je hebt staan bevestigd alleen de identiteit van de andere kant. Bij een MITM attack zal die anders zijn, maar verder zal de verbinding wel werken.

DPI is echter geen MITM.

Als veel mensen dit gaan doen is er echter met verkeersanalyse ook in encrypte verbindingen wat af te leiden. (Zal nu nog niet gebeuren...)

b.v.:
-korte berichtjes heen, veel lange terug: http verkeer.
-Kort bericht je heen en terug... status update.
-Veel brichtjes naar veel verschillde ip's: p2p verkeer.

Overigens kost vpn ook overhead he.

Moet je wel een telefoon hebben waarop een VPN client zonder problemen werkt.

En aangezien de HTC Desire S nog niet S-Off en Geroot kan worden...

OpenVPN draait mbv jailbreak en GuizmOVPN. Nu eerst de 7 dagen trial license voor deze app goed gebruiken. Zag al wat irritant gedrag bij disable/enable. Is overigens SBSettings geïntegreerd

/edit
Zie nu pas dat deze draad in het Android forum staat. Kan die niet algemener?

[Voor 18% gewijzigd door UltraSub op 13-05-2011 11:31]

Ik ga binnenkort ook aan de slag om een openVPN verbinding op te zetten tussen mijn SGS en mijn Ubuntu Server 11.04. Ik ga hiervoor deze guide gebruiken. Mocht het lukken dan zal ik het hier melden. Mocht iemand anders het lukken m.b.v. deze guide dan hoor ik het ook graag

Robinski schreef op vrijdag 13 mei 2011 @ 10:58:
Moet je wel een telefoon hebben waarop een VPN client zonder problemen werkt.

En aangezien de HTC Desire S nog niet S-Off en Geroot kan worden...

Android heeft toch de optie voor het opzetten van een VPN verbinding in de instellingen zitten? (Bij draadloze verbindingen en netwerken)

Ik heb zelfs al een VPN verbinding gemaakt (met een PPTP tunnel) via het gsm netwerk naar mijn testnetwerk met mijn Xperia X1 met WinMo 6.1. Gewoon de ingebouwde VPN client gebruiken en daarna kun je gewoon RDPen of andere acties gebruiken.

Ik ben een weekje geleden ook maar eens gaan kijken naar VPN mogelijkheden tussen mijn thuisnetwerk en mijn HTC Desire. Op mijn server/NAS draait ubuntu met openVPN, en mijn desire draait CM6.

Na de certificaten in de telefoon geinmporteerd te hebben, heb ik een succesvolle authenticatie, maar nu heb ik geen idee wat ik allemaal moet doen om mijn telefoon ook daadwerkelijk een IP te geven en onderdeel te laten zijn van het thuisnetwerk. Iemand een idee waar een goede guide te vinden is?

Misschien kan OpenVPN een IP en DNS IP uitdelen zodat je telefoon deze meteen krijgt.

Als dit niet mogelijk is, zul je toch een DHCP service moeten draaien. Dit kan een Windows server doen en of via een freeware programma op Windows 95 t/m 7 via DHCPserver (via deze link: http://ruttkamp.gmxhome.de/dhcpsrv/dhcpsrv.htm )


Probeer anders ook eens handmatig een vast IP in te stellen. (Als dit kan)

[Voor 22% gewijzigd door TenTimes op 16-05-2011 11:36]

OpenVPN heeft een eigen pool en beheert je VPN ip's

/edit
Overigens, ik heb OpenVPN werkend, maar ik hou niet van omwegen, en ben dus aan het kijken of ik mijn VPN omgeving thuis ga beheren middels Astaro.

[Voor 67% gewijzigd door UltraSub op 16-05-2011 11:51]

Interessant, maar voorlopig niet voor mij, aangezien ik dan weer dedicated hardware nodig heb.

UltraSub schreef op maandag 16 mei 2011 @ 11:45:
OpenVPN heeft een eigen pool en beheert je VPN ip's

/edit
Overigens, ik heb OpenVPN werkend, maar ik hou niet van omwegen, en ben dus aan het kijken of ik mijn VPN omgeving thuis ga beheren middels Astaro.

Ok, ik gebruik OpenVPN niet, dus dat wist ik niet. Die Astaro ziet er wel goed uit, maar kijk wel of je kunt verbinden zonder die Roadwarrior kunt maken of dat daar een app voor Android voor is.

Als de verbinding gemaakt is, kijk dan ff wat je IP gegevens zijn (IP, subnet, gateway en DNS) en of deze kloppen met wat je uitdeelt. Vaak test ik zelf de interne toegang door RDP te gebruiken naar een computer in het netwerk.

In mijn zoektocht kwam ik het volgende tegen:
routers die openvpn ondersteunen

Daarmee kun je met aangepaste firmware van je router een openvpn servertje maken. Zo te zien staat mijn routertje er tussen, dus ik ga daar eens mee klussen. Scheelt in elk geval dedicated hardware.

nadeel is voorlopig nog wel dat je voor openvpn ook custom firmware in je android nodig hebt. Ik was eigenlijk van plan om niet te veel met CM te spelen in mijn mobiel. Achja, avondje klussen scheelt misschien ook nog wel wat batterijtijd.

thaan schreef op vrijdag 13 mei 2011 @ 10:46:
...Echter is een L2TP VPN tunnel wel gewoon encrypted. ...

Alleen over IPSec of als een versleuteling op een andere manier is geïmplementeerd. L2TP/IPSec is wel gangbaar natuurlijk.

Ik verwacht trouwens dat providers eventueel ook een 'VPN-heffing' zullen instellen.

[Voor 15% gewijzigd door begintmeta op 16-05-2011 18:07]

http://tweakers.net/nieuw...n-voor-voip-of-video.html
Dat scheelt dan in elk geval. Wellicht dat onbeperkt internet abonnementen wat duurder gaan worden, maar de noodzaak om dingen te gaan ontduiken met vpn's is straks dan weg. Fijn.
* installeert skype weer

Robinski schreef op vrijdag 13 mei 2011 @ 10:58:
Moet je wel een telefoon hebben waarop een VPN client zonder problemen werkt.

En aangezien de HTC Desire S nog niet S-Off en Geroot kan worden...

Zover als ik weet heeft android een VPN Client ingebouwd, staat ergens onder verbindingen.

SSH is toch niet gevoelig voor MITM? En zelfs al zou dat zo zijn, encrypted traffic DPI'en kost KPN heeeel veeeel resources, gaat toch nooit gebeuren. Nu bekend is dat voor een apart soort verkeer geen extra geld gevraagd mag worden, lijkt het me sterk dat VPN ook extra belast gaat worden.