Anoniem internetten op smartphones (KPN's dpi omzeilen)

Door arnoudwokke op donderdag 12 mei 2011 14:05 - Reacties (24)
Categorie: -, Views: 9.071

Zit je bij KPN, Telfort of Hi met je smartphone-abonnement? You're screwed. KPN luistert je netwerkverkeer af - al weten we nog niet in welke mate dat precies gebeurt en waarvoor de info wordt gebruikt.

Dat is niet prettig. Wie zijn netwerkverkeer anoniem wil houden, probeer ik met deze blogpost handvatten te geven. Ik probeer hier een lijstje te verzamelen van manieren om netwerkverkeer vanaf smartphones te versleutelen. Heb je aanvullingen? Zet het in de reacties, dan zal ik ze proberen op te nemen. De meeste manieren verlopen via Tor.

Ik heb niet alle manieren zelf kunnen proberen en alles is dus op eigen risico.

Alle smartphones met ondersteuning vpn (Android, Windows Mobile 6, Maemo, iOS):
VPN-SSL tunnel opzetten met een VPS in het buitenland en deze als gateway laten fungeren is ook nog een mogelijkheid. (dank EvilWhiteDragon en @jobertabma via Twitter)

Android:
Orbot (root nodig), is Android-client voor Tor, versleutelt onder meer netwerkverkeer dat via de browser, e-mailclients en chatprogramma's gaat.
Firefox + ProxyMob: ProxyMob is add-on die omleiding via Tor mogelijk maakt voor browseverkeer vanuit de mobiele versie van Firefox. Geen root nodig, werkt alleen voor browsen.
Gibberbot: Veilig chatten
Wellicht:

BlackBerry:
Afaik is beveiliging niet nodig, omdat dpi niet mogelijk is vanwege versleuteling door BlackBerry-servers. Extra beveiliging is via BES, waarbij bedrijven netwerkverkeer via eigen servers kunnen laten verlopen. Weet iemand dit zeker?

iPhone/iPad
Slackware: Heb je jailbreak voor nodig - uiteraard :) Is bovendien tamelijk ingewikkeld voor n00bs

Maemo (Nokia N900)
Tor Er is een native client voor deze nerdy smartphone. OpenVPN, eigen vpn-server nodig. Dank Prutsger voor de tip!

Symbian
YaPN Kon voor Symbian weinig vinden, wellicht komt dit een beetje in de buurt.

Windows Mobile 5/6
Traffic Compressor Is het ook niet helemaal, maar het komt in de buurt
PocketPutty port van Putty :)

Windows Phone 7
Weet iemand iets?

Volgende: CDA: doei privacy! - Update 2 05-'11 CDA: doei privacy! - Update 2

Reacties


Door Tweakers user EvilWhiteDragon, donderdag 12 mei 2011 14:12

Windows Phone 7 is screwed tot in ieder geval Mango. Zelf ook al naar zitten kijken (heb een gehackte HD2).

Voor WinMo6.x is de ingebouwde VPN client ook erg prettig, als je ergens toegang kan regelen tot een VPN server (welke stantaard in Windows XP pro, Vista en W7 zit, waarbij je vermoed ik Professional of hoger nodig hebt, maar dat is dus niet zeker)

Door Tweakers user densoN, donderdag 12 mei 2011 14:20

Hallo Arnoud,

Ik zit zelf niet bij KPN en zal hier voorlopig dus ook geen gebruik van maken, maar ik wil je toch alvast bedanken voor de tijd en moeite die je hierin steekt. Kan me voorstellen dat velen hier met alle liefde gebruik van willen maken wanneer de 'tijd rijp is'.

Door Tweakers user Pogostokje, donderdag 12 mei 2011 14:23

Per definitie zul je je verkeer moeten encrypten, anders is het te volgen. Dus, een of andere vorm van een proxy/vpn daar ontkom je niet aan, want het moet onbeveiligd ergens weer het internet op natuurlijk.

Maar, wat ik niet snap... Elke ISP kan het internetverkeer volgen en we weten dat dat gebeurt. Dat is net zo logisch als dat elke ISP ok je mail kan lezen of in je afgeschermde webpagina's kan kijken. It comes with the job.

DPI betekent alleen maar dat ze apparatuur hebben die het verkeer automatisch inhoudelijk kan beoordelen om, in dit geval, een kosten tellertje mee te laten lopen.

Zijn we nu boos omdat KPN zegt internet verkeer te volgen? Of zijn we boos omdat er mogelijk financiele consequenties aan hangen (bv betalen voor skype)?

Dat laatste lijkt het te zijn, maar de woede wordt onder de noemer van DPI uitgevochten lijkt wel. Ik denk dat 90% van de mensen niet eens weet wat DPI is en zich laten bangmaken door de term 'afluisteren'.

(nee, ik werk niet bij/voor KPN, maar ik maak mij zorgen om de manier waarop dit wordt opgepikt door de pers)

[Reactie gewijzigd op donderdag 12 mei 2011 14:28]


Door Tweakers user durkp, donderdag 12 mei 2011 14:29

Altijd handig :) gelukkig heb ik geen kpn :)

Door Tweakers user prutsger, donderdag 12 mei 2011 14:32

"Alle smartphones met ondersteuning vpn (Android, Windows Mobile 6):"

Dan moet je daar ook Maemo bij noemen. Ben toevallig een uurtje terug aan het uitzoeken geweest en de makkelijkste optie lijkt het installeren van OpenVPN en OpenVPN-widget. Zie http://maemo.org/downloads/product/Maemo5/openvpn/.

Edit: Dan heb je natuurlijk wel een VPN server nodig, dan is Tor toch makkelijker denk ik.

[Reactie gewijzigd op donderdag 12 mei 2011 14:33]


Door Tweakers user jjwa, donderdag 12 mei 2011 14:35

Gaat door veel van deze anti-DPI methodes de latency niet significant omhoog, waardoor we er zelf al voor zorgen dat VOIP gebruiken best onprettig kan gaan worden?

Door Tweakers user Raizio, donderdag 12 mei 2011 15:02

bij BES, gaat het alsnog via RIM/Blackberry Servers, alleen is BES een tussenstop voor Exchange etc.

Bron: Zelf recentelijk moeten installeren op een mailserver.

Door Tweakers user Zpottr, donderdag 12 mei 2011 15:27

Alle smartphones met ondersteuning vpn (Android, Windows Mobile 6, Maemo):
iOS heeft uiteraard ook ingebouwde ondersteuning voor VPN.

Door Thomas van Amerongen, donderdag 12 mei 2011 15:28

@Pogostokje wie zegt dat iedereen het al eens was met het inzicht van ISP's in het door jou genoemde verkeer? Opvolgend, en je weet zelf waarschijnlijk ook dat het gebruik van VPN's vaak zat worden gebruikt voor allerlei online activiteiten door mensen voor wie het toe doet.

De manier waarop de pers het oppakt is idd niet handig. Helaas is DPI niet nieuw, er zijn reeds meerdere niet mobiele operators in de wereld wie DPI toepassen. Kijk hiervoor bijvoorbeeld naar Canada: All Major Canadian ISPs Slow Down P2P Traffic

Door Tweakers user Apache, donderdag 12 mei 2011 15:41

Gaat het verkeer, wanneer je via vpn connect op bvb je iphone, al niet per definitie over die vpn? Waardoor je helemaal gene jailbreak nodig hebt?

Bvb mijn router met dd-wrt gebruik ik als vpn server voor mijn iphone, als ik surf terwijl de vpn connectie actief is gaat het verkeer dan niet gewoon via mijn inet connectie thuis en zo naar mijn telefoon, aangezien ik ook gewoon zaken binnen mijn thuis netwerk kan bereiken op da tmoment.

Door Tweakers user i-chat, donderdag 12 mei 2011 16:07

Apache schreef op donderdag 12 mei 2011 @ 15:41:
Gaat het verkeer, wanneer je via vpn connect op bvb je iphone, al niet per definitie over die vpn? Waardoor je helemaal gene jailbreak nodig hebt?

Bvb mijn router met dd-wrt gebruik ik als vpn server voor mijn iphone, als ik surf terwijl de vpn connectie actief is gaat het verkeer dan niet gewoon via mijn inet connectie thuis en zo naar mijn telefoon, aangezien ik ook gewoon zaken binnen mijn thuis netwerk kan bereiken op da tmoment.
die vraag is giga simpel te beantwoorden... verbind maar eens met je vpn (over 3g) en ga dan naar whatsmyip ...

Door Tweakers user Pogostokje, donderdag 12 mei 2011 16:19

@thomas van amerongen :
Ik zei niet dat iedereen het er mee eens is, ik weet wel zeker dat dat niet zo is zelfs. Maar dat het gebeurd is bekend, zeker bij mensen die er om geven, en toch staand daar de nieuwssites momenteel niet vol mee. Dat is dan toch raar? Het bewijst in zekere zin dat er veel napraters zijn die over KPN vallen op basis van wat de pers nu schrijft, maar eigenlijk niet weten wat er precies aan de hand is.

edit: typo

[Reactie gewijzigd op donderdag 12 mei 2011 16:21]


Door Flappie, donderdag 12 mei 2011 16:58

Wie zegt dat Hi en Telfort ook DPI gebruiken?
Ik zit zelf bij Telfort en Telfort heeft gewoon zijn eigen data netwerk. Ik ben benieuwd naar jouw bron! :)

Door Tweakers user dutch_warrior, donderdag 12 mei 2011 17:02

i-chat schreef op donderdag 12 mei 2011 @ 16:07:
[...]


die vraag is giga simpel te beantwoorden... verbind maar eens met je vpn (over 3g) en ga dan naar whatsmyip ...
Bij openvpn is dit afhankelijk van de mainier waarop je je VPN hebt geconfigureerd, ik gebruik al langer OpenVPN op mijn N900 om te verbinden naar een OpenVPN server op een pfSense machine.
Aan de openvpn server kant kan je gewoon de redirect gateway optie instellen zie ook:
http://manoftoday.wordpress.com/2006/12/03/openvpn-20-howto/

Leuke blogpost dit trouwens, is wel goed als meer mensen bekend raken met de mogelijkheden om hun verkeer te beschermen, want ik denk niet dat alleen legitieme bedrijven DPI toepassen.

[Reactie gewijzigd op donderdag 12 mei 2011 17:05]


Door Tweakers user BasieP, donderdag 12 mei 2011 19:28

om orbot werkend te krijgen heb je OF een firefox plugin nodig, of cyanogen mod draaien met iptables.
In dat laatste geval kan je al je internetverkeer over tor netwerk laten lopen.
Dat eerste is alleen leuk voor browsen, maar je twitter app (om een voorbeeld te noemen) stuurt zijn data over de normale weg.
Ditzelfde voor whatsapp, waar het uiteindelijk om begonnen is.

Door Tweakers user mae-t.net, donderdag 12 mei 2011 19:56

Flappie schreef op donderdag 12 mei 2011 @ 16:58:
Wie zegt dat Hi en Telfort ook DPI gebruiken?
Ik zit zelf bij Telfort en Telfort heeft gewoon zijn eigen data netwerk. Ik ben benieuwd naar jouw bron! :)
Telfort misschien dan wel, maar Hi is al sinds het prille begin in de jaren '90 van KPN geweest. Eerst als handelsnaam voor het ATF3-netwerk vlak voordat het opgeheven werd, en later voor de goedkopere/hippere GSM abonnementen en toestellen.

Door Tweakers user Xudonax, donderdag 12 mei 2011 21:58

Flappie schreef op donderdag 12 mei 2011 @ 16:58:
Wie zegt dat Hi en Telfort ook DPI gebruiken?
Ik zit zelf bij Telfort en Telfort heeft gewoon zijn eigen data netwerk. Ik ben benieuwd naar jouw bron! :)
Helaas, het Telfort netwerk is sinds eind maart volledig over naar KPN wat betreft het beheer. Dus goede kans dat het Telfort verkeer ook sinds eind maart DPI kado krijgt :(

Door Flappie, donderdag 12 mei 2011 22:27

Xudonax schreef op donderdag 12 mei 2011 @ 21:58:
[...]

Helaas, het Telfort netwerk is sinds eind maart volledig over naar KPN wat betreft het beheer. Dus goede kans dat het Telfort verkeer ook sinds eind maart DPI kado krijgt :(
Klopt, Telfort is wel van KPN maar Telfort bedient een andere "markt" en heeft een gescheiden datanetwerk. Als het mobiele internet van Telfort eruitligt kunnen KPN abbonees wel internetten. Tevens wel eens mijn telefoon als modem gebruikt en alles verloopt via het Telfort netwerk (heb ook een Telfort IP adres).

Door Tweakers user Apache, donderdag 12 mei 2011 23:08

i-chat schreef op donderdag 12 mei 2011 @ 16:07:
[...]


die vraag is giga simpel te beantwoorden... verbind maar eens met je vpn (over 3g) en ga dan naar whatsmyip ...
Net getest, ik krijg het IP te zien van mijn vaste connectie, er is ook een optie bij vpn die noemt: send all traffic.

Maw alle verkeer is met een iphone heel makkelijk te routen door een VPN server die dan encrypted verloopt.

Door Tweakers user Paradox, vrijdag 13 mei 2011 10:07

En wat mijn vraag is.. hoe blijft je batterij hieronder. ik neem aan dat het weer extra is bovenop het normale internet verkeer....

[Reactie gewijzigd op vrijdag 13 mei 2011 10:07]


Door Boozt, zaterdag 14 mei 2011 00:31

Alle smartphones met ondersteuning vpn (Android, Windows Mobile 6, Maemo, iOS):
VPN-SSL tunnel opzetten met een VPS in het buitenland en deze als gateway laten fungeren is ook nog een mogelijkheid.
1) Kun je ook een vpn verbinding opzetten met je android toestel en mijn router (met build-in vpn server, DrayTek Vigor 2920n) die vervolgens naar het internet connecteert?

2) wat doet een permanente vpn verbinding met je batterij-leven?

Door Tweakers user i-chat, zaterdag 14 mei 2011 15:14

2) wat doet een permanente vpn verbinding met je batterij-leven? ... in principe heb je natuurlijk geen permanente verbinding nodig,

- maar vpn verkeer (en zeker in deze) moet wel worden versluiteld - die encryptie kan in sommige gevallen door de cpu worden versneld (sommige chips hebben daar ondersteuning voor, - in dat geval zal het allemaal niet zo'n probleem zijn, MAAR als je geen hardwarematige versnellers ervoor hebt, dan kan het een zure bijt worden voor je cpu'tje... en encrypen en decrpyten kost dan behoorlijk wat ... en dat zul je merken.

kortom zaak om eerst goed te onderzoeken of jouw cpu zo'n encryptie versneller heeft.

Door Tweakers user Cartman!, dinsdag 17 mei 2011 17:01

Flappie schreef op donderdag 12 mei 2011 @ 16:58:
Wie zegt dat Hi en Telfort ook DPI gebruiken?
Ik zit zelf bij Telfort en Telfort heeft gewoon zijn eigen data netwerk. Ik ben benieuwd naar jouw bron! :)
Uh? Nee hoor... van wikipedia: "Mobiele telefonie wordt aangeboden op het netwerk van KPN."

Door TripleM, dinsdag 29 mei 2012 14:28

Je ISP is altijd "the man in the middle" dus ziet ook de setup en de handshake voor de SSL verbinding. Encrypten heeft dus in theorie geen zin. De firewalls van SonicWall kunnen gewoon je pakketjes decrypten, "monitoren" en weer encrypten zonder dat je iets door hebt. Zie ook volgende link: http://www.sb-innovation....-encrypted-traffic-23105/

Reageren is niet meer mogelijk