Computerbeveiliging - Hoe je bad guys buiten de deur houdt

OpenDNS en overheid?

20-07-2010, 05:40 door Anoniem, 21 reacties
Hallo,

via nevenstaande site kwam ik achter opendns: http://ictoblog.nl/2007/09/08/opendns-kun-je-zonder

Sinds 9/11 is iedere ISP ja verplicht om de internet gegevens van iedere gebruiker op te slaan. Voorkom ik dit door de DNS settings van OpenDNS te gebruiken?

Ik snap het verhaaltje wel dat DNS de webadressen omzet naar ip-adressen, en dan verder, en dat ik een ip adres krijg van mijn provider, en dat deze ook dns servers heeft om mijn zoekopdrachten te kunnen verwerken. Verder ben ik ook wel op de hoogte van TOR of IXquick, dus dat even ter zijde gelaten.

Ik weet niet hoe het precies in elkaar steekt, maar kan me voorstellen dat als je ingetikte adressen worden verwerkt door OpenDNS i.p.v. je ISP, je ISP dan ook geen gegevens meer over een gebruiker heeft.

Is dit correct? of hoe zit dit precies in elkaar.
Reacties (21)
20-07-2010, 10:21 door SirDice
Door Anoniem: Sinds 9/11 is iedere ISP ja verplicht om de internet gegevens van iedere gebruiker op te slaan.
Voorkom ik dit door de DNS settings van opendns te gebruiken?
Nee.
20-07-2010, 10:52 door Anoniem
Hoe wil je inloggen op een opendns netwerk zonder de verbinding van je ISP te gebruiken?
Niet.

Je kan wel een openDNS gebruiken, maar dit zorgt alleen maar voor wat lichte verwarring bij de sites die je bezoekt aangezien die een andere IP krijgen dan degene waar je ISP je aan gelinkt heeft.
Het doet niet af aan het feit dat al het verkeer nog steeds via je provider gaat.

Dus onzin om te denken dat deze dan geen beschikking meer tot je surfgedrag heeft.
20-07-2010, 10:57 door Anoniern
Ja, bij elke domeinnaam die je computer gebruikt wordt er een verzoekje gestuurd naar een DNS server, om er het bijbehorende IP-adres bij te zoeken. Meestal zijn dit dus DNS servers van je providers. Er gaat een berichtje 'waar is www.google.com?' naar je provider, en de DNS resolver antwoordt dan bijv. met '74.125.77.99', waarmee je vervolgens verbinding kan maken. Dit kunnen zij opslaan. Overigens doet DNS wel iets meer, maar dit is de belangrijkste functie.

Als je OpenDNS instelt gaat dit berichtje niet naar je provider maar naar OpenDNS. Je ISP heeft echter wel nog steeds de informatie over met welke adressen je verbinding maakt (die gaan immers over het netwerk van je ISP) en als ze je verkeer in de gaten houden, kunnen ze op zich ook nog steeds weten welke adressen je uberhaupt opvraagt.

Ook weet je vrijwel zeker dat OpenDNS nu ook je gegevens verzamelt (net als Google als je hun servers gebruikt), en moet je bedenken dat de reclame-methode van OpenDNS (hun pagina tonen als je een verkeerd adres intypt, ook wel NXDOMAIN rewriting genoemd) problemen op zou kunnen leveren met andere protocollen dan http/web, maar voor thuisgebruikers zal dit in de praktijk niet zo'n probleem zijn.

Overigens is het met een beetje onderzoek ook niet heel moeilijk om je eigen recursive server neer te zetten, zoals BIND of Unbound. Dan komen de originele queries niet van jouw computer/netwerk af. Maar nog steeds moet die het ook opzoeken, dus zal bij de eerste keer opvragen je ISP het nog steeds kunnen opslaan.
20-07-2010, 11:46 door wimbo
Voor een normale ISP is het niet moeilijk om alleen zelf maar op DNS verzoeken te reageren voor klanten en port 53 (tcp/udp) naar de rest van het Internet te blokkeren. Vele ISP's doen dat ook voor smtp (port 25). Op die manier kan je geen openDNS gebruiken en ben je aan je provider overgeleverd op het resolving vlak.
20-07-2010, 15:38 door Anoniem
"Je kan wel een openDNS gebruiken, maar dit zorgt alleen maar voor wat lichte verwarring bij de sites die je bezoekt aangezien die een andere IP krijgen dan degene waar je ISP je aan gelinkt heeft."

Volstrekte onzin.

Bij de DNS server vraag je het IP adres op welke hoort bij een website. Jouw adres verandert niet, en evenmin het adres van de website die je bezoekt. Voor een website maakt het dus geheel niet uit waar jij deze informatie opvraagt, en dit krijgt de beheerder van een website dus ook nooit te zien. Het gebruik van OpenDNS (of iedere andere willekeurige DNS server) zal dus geen verwarring veroorzaken bij website die je bezoekt, aangezien ze dit verschil niet kunnen merken.

Of jij www.security.nl nou bijvoorbeeld resolved bij OpenDNS, of ergens anders, het adres blijft gewoon 213.156.1.80 (immers zou je anders naar een ander systeem op internet gestuurd worden, waar de website niet draait).
20-07-2010, 16:23 door Loserenzo
Wanneer je OpenDNS instelt kan je provider niet meer aan de logging van zijn dns-platform zien waar jij heen surft,
tenzij zij jouw dns-requests redirecten/transleren naar hun eigen platform of botweg blokkeren zodat je gedwongen wordt hun platform te gebruiken.

Een provider kan altijd nog de pakketten van de lijn lezen, daar is niets tegen te beginnen (behalve encryptie), jouw verkeer gaat immers over hun verbindingen.

Wat belangrijk is, is om te weten wat de provider wettelijk verplicht is te bewaren, want meer bewaren kost geld en dat zullen ze dus niet doen vanwege de negatieve bussiness-case.

http://nl.wikipedia.org/wiki/Dataretentie is leuk om te beginnen met je hierop in te lezen.
of http://nl.wikipedia.org/wiki/Wet_bewaarplicht_telecommunicatiegegevens
20-07-2010, 18:31 door Sith Warrior
Het verschil is wel dat opendns een bedrijf uit de vs is, en dus verplicht zijn wat meer opening van zaken te geven in gegevens dan bijvoorbeeld je lokale provider. Ondanks dat ze data center hebben in amsterdam, en daar je requests over lopen.

Maar naast dat, open dns gebruik ik al sinds het er is, ik vind het een geweldige dienst. Ik heb zelf upc als provider en hun dns servers zijn nou niet echt om over naar huis te schrijven. Dan liggen ze weer plat, of ze zijn niet up to date. Open dns kan in principe niet plat gaat en werkt dus altijd. Het werkt constant snel (in principe is je provider dns server natuurlijk sneller, maar let wel dat is de theorie en dat is zeker in mijn geval niet de praktijk).

Plus dat ze nog aantal andere diensten hebben waar ik heel blij van geworden ben, en nu al niet meer zonder kan.
20-07-2010, 19:26 door Erwtensoep
Door Loserenzo: Wanneer je OpenDNS instelt kan je provider niet meer aan de logging van zijn dns-platform zien waar jij heen surft,
tenzij zij jouw dns-requests redirecten/transleren naar hun eigen platform of botweg blokkeren zodat je gedwongen wordt hun platform te gebruiken.

Een provider kan altijd nog de pakketten van de lijn lezen, daar is niets tegen te beginnen (behalve encryptie), jouw verkeer gaat immers over hun verbindingen.

Wat belangrijk is, is om te weten wat de provider wettelijk verplicht is te bewaren, want meer bewaren kost geld en dat zullen ze dus niet doen vanwege de negatieve bussiness-case.

http://nl.wikipedia.org/wiki/Dataretentie is leuk om te beginnen met je hierop in te lezen.
of http://nl.wikipedia.org/wiki/Wet_bewaarplicht_telecommunicatiegegevens

Ze kunnen gewoon de IP's loggen met wie je verbinding maakt hoor, volgens mij doen ze het loggen helemaal niet op DNS niveau.

VPN of iets dergelijks is hier de oplossing, maar dan kunnen ze natuurlijk wel zien dat je VPN gebruikt, en als de overheidscontrole zo de komende jaren doorgroeit kom je misschien daarvoor ergens al op een of ander verdachtenlijstje.
21-07-2010, 09:14 door Loserenzo
Door Erwtensoep:
Ze kunnen gewoon de IP's loggen met wie je verbinding maakt hoor, volgens mij doen ze het loggen helemaal niet op DNS niveau.

VPN of iets dergelijks is hier de oplossing, maar dan kunnen ze natuurlijk wel zien dat je VPN gebruikt, en als de overheidscontrole zo de komende jaren doorgroeit kom je misschien daarvoor ergens al op een of ander verdachtenlijstje.

Ja klopt, ze kunnen het wel, maar doen het niet want dat hoeven ze niet. Netflow geeft die mogelijkheid bijvoorbeeld en dat werkt op zich prima. Maar met zulke aantallen dat soort data verzamelen is onbegonnen werk, helemaal als je het ongeaggregeerd 6-12 maanden moet bewaren als ISP. Je zou sampling of aggregatie of iets dergelijks kunnen toepassen en zo een hoop data skippen, maar dan is het juridisch natuurlijk niet meer waterdicht.

Er kunnen meerdere websites op een en hetzelfde ip draaien, dus DNS-logging (of DPI) is toch ook nodig om via deze weg beter te kunnen bewijzen dat iemand een bepaalde url heeft willen bezoeken.

Maar, zoals ik ook al aangaf, is het interessant om te weten wat er nou precies bewaard moet worden van de overheid en niet wat jij denkt dat er moet. Ik geloof dat er nu (in het heel kort) email-headers en radius/dhcp logging bewaard moet worden onder de 'bewaarplicht'. Wat neerkomt op het feit dat de hele bewaarplicht een wassen neus is en alleen maar onnodig geld kost. Terug naar de originele vraag : opendns instellen helpt dus niet tegen het omzeilen van de bewaarplicht, niet dat het boeiend is, maar dat was de vraag niet.

Als Justitie echt achter je aanzit en het van de rechter mag, dan kopiëren ze trouwens al je verkeer gewoon. Dat komt door de tapplicht die elke ISP heeft en heeft weinig tot niets met de bewaarplicht te maken.

Het wachten is inderdaad tot encryptie ook in het verdachtenbankje terecht komt. (in de usa is dit al gedeeltelijk zo)
21-07-2010, 11:32 door Anoniem
Een tunnel opzetten naar een server in bijv. rusland zou een betere oplossing zijn.
Al je verkeer zal gecrypt naar de server gaan dus dat zal het enige zijn wat ze zien.
Altijd handig als je provider dingen blokkeerd die je alsnog open wilt hebben :)
21-07-2010, 15:39 door cyberpunk
Zelfs al zou je met OpenDNS de Europese bewaarplicht (een bewaarplicht die voortvloeit uit een Europese Richtlijn; Richtlijn 2006/24/EG ofwel de databewaringsrichtlijn) kunnen omzeilen, dan moet je nog rekening houden met het feit dat het hoofdkwartier van OpenDNS in aRmerika ligt. Je weet wel, "the land of the free... and something called The Patriot Act".
21-07-2010, 18:36 door Anoniem
Een compleet andere oplossing is een wifiverbinding openstellen voor publiek (eigen netwerk natuurlijk afgesloten houden). Op deze manier wordt de data vervuild met verzoeken van vreemden. Mocht je ooit tegen een rechtszaak aanlopen wordt het qua bewijslast een stuk lastiger voor het OM om aan te tonen dat jij degene was die een adres opvroeg aan een dns server. Je kan de speld kleiner maken, je kan ook de hooiberg wat groter maken.

Nog een andere oplossing (als je niet via dns wil worden gelogt) is het verzamelen van ip-adressen van website's en deze direct in je browser intikken. Op zich maakt dit natuurlijk geen bal uit, alles wat je over een lijntje stuurt kan worden gelezen. Vpn is dan idd de enige oplossing, maar dit valt natuurlijk ook te kraken (met voldoende geld en middelen...en belang). Je kan ook je auto parkeren bij mcdonalds en gebruik maken van hun netwerk. Houdt er dan wel rekening mee dat je op video staat...........


Het Orakel
22-07-2010, 01:50 door Anoniem
ik heb eens gehoord dat veel isp's bijna helemaal tot geen verkeer opslaan. omdat er dan zo enorm veel gelogd moet worden. de voledige hanshake + ieder package verkeer. dat is per ip wat je als ISP uitgeeft enorm. moet je nagaan wat een gewone gebruiker in een uurtje weg zet tel dat op naar alle gebruikers over het hele jaar. Dan ben je als ISP niet blij.

@ anonieme vraag steller: wat is de reden dat je dit wilt misschien zijn er andere mogelijke oplossingen?
15-09-2013, 15:26 door Anoniem
Ja ik weet dat dit een oud topic is en heropen deze i.p.v. er zelf één te beginnen omdat ik denk dat het wat actualiteit de aandacht verdient.

OpenDNS was een tijdje hot en gepromoot als oplossing voor een goede extra security laag of 'deken'.

Hoe staat eenieder er tegenwoordig tegenover (met de kennis van het laatste half jaar bijvoorbeeld)?
N.b. vervang 'De Overheid' eens met 'Overheden'.

Is er iemand die gebruik van OpenDNS nog een goed idee vindt?
15-09-2013, 15:59 door [Account Verwijderd] - Bijgewerkt: 15-09-2013, 16:01
[Verwijderd]
15-09-2013, 16:35 door Anoniem
Oke , extra privacy concern toelichting

Lijkt het je nog steeds een prettig idee dat al je verkeersgegevens (extra?) langs één centrale partij gaan en uitgerekend in dat 'land aan de overkant'
Veel te handig en dichtbij, al het verkeer centraal van ruim 50 miljoen klanten, reken maar dat dat voorbij trekkende verkeer gelogd of opgevraagd wordt.

Dat is overigens ook mijn bezwaar bij vpn services, een externe partij met centraal inzicht waarvan de vraag is in hoeverre je die wel kan vertrouwen (tip aanbevolen).

Had destijds al mijn bedenkingen maar gezien de ontwikkelingen van het laatste half jaar was ik benieuwd of daar anders over gedacht wordt nu (verwachtte dat eigenlijk wel).
15-09-2013, 16:42 door Anoniem
Ja maar als je dnscrypt gebruikt toch wel weer toch?.
dnscrypt hebben we niet meegenomen wat dat voor effect heeft in dit topic.
15-09-2013, 19:02 door Anoniem
Om een lang verhaal kort te maken (want ik denk dat de vraagsteller) anoniem het internet op wil zonder dat zijn ISP
kan zien wat hij doet.

Ik geloof dat de VPN van Mullvad hier wel vaker is besproken.
Dus "Anoniem" lees het bericht maar door om onder de -Datarententie wetgeving- uit te komen.

Kost je wel vijf euro per maand, maar goed dan ben je wel echt beschermd tegen AIVD, en ook tevens tegen de NSA.
Niet alle 'crypto' zoals onlangs in de media is te kraken. https://www.youtube.com/watch?v=g5rpB0LECDs

VPN
http://www.anarchiel.com/stortplaats/toon/echt_anoniem_surfen

Trouwens via Mullvad gebruik je hun VPN, en tevens hebben ze obfsproxy.

https://mullvad.net/en/


P.S. de VPN [ProXPN] uit de video van Tech News Today kun je beter niet gebruiken want in sommige landen hanteren ze wel Dataretentie. Je kunt wel kiezen uit veel landen om een verbinding te maken, maar dan moet je van elke land de Dataretentie Wetgeving gaan bestuderen.

Mullvad zit in Zweden en heeft niks te maken met onze Europese wetgeving, en ook niet met de USA, en de patriot act.
Tevens en wel heel belangrijk is dat er totaal geen gebruikers data en andere data bewaren.
16-09-2013, 16:46 door Anoniem
Door Anoniem: Om een lang verhaal kort te maken (want ik denk dat de vraagsteller) anoniem ... .

Dank voor je tip, uitleg, reactie en de links.

Ja ik vind dataretentie een naargeestig concept.
Nee ik wil niet per sé anoniem het internet op.
Ja ik vind het wel interessant, misschien doe ik het wel ooit nog eens maar heb de balans tussen extra moeite en wat het oplevert (privacy) nog niet gevonden.

Nog een keer, om een korte vraag lang toe te lichten, en daarna laat ik het voor wat het is.
Ik struinde door het archief van security.nl, zag berichtgeving over de service van OpenDNS en dacht dat daar gezien de prisma onthullingen van het laatste half jaar inmiddels wel heel anders over gedacht zou worden.

Vanuit het kader dataretentie dan eens geprobeerd

Nu weet je ISP alles van je dataverkeer èn de data-te-over-heid middels datarententie (en alle opsporingsbeambten met een 'lullig' papiertje, een geleend pasje of inlog danwel met behulp van een vriendendienst).
Op het moment dat je je dns verzoeken centraal neerlegt bij 1 commerciële extra partij die ook nog eens buiten de Europese wetgeving valt heb je er in concreto de mogelijkheid van één dataretentie partij bij.
Je deelt dan waarschijnlijk nog eens àl je verkeersgegevens met 1 extra partij buiten Europa, wie-wat-waar-en-hoe plus de rest hoef ik (hopelijk) niet toe te lichten toch?

Samengevat
Vanwege de vele ophef over Prismaatje was ik dus benieuwd of gebruikers nog wel eens stil hadden gestaan bij OpenDNS services.
Want de makkelijkste vorm van eenvoudige datarententie lijkt me om het verkeer af te vangen of op te vragen bij een dns service. En het zou me verbazen als dat niet het geval is bij dit 'bedrijf' (al dan niet met medeweten).

De proxyservices

Wanneer je gebruik gaat maken van een proxyservice heb je in principe hetzelfde probleem op een andere manier.
Je ISP heeft weliswaar geen inzage meer in je verkeersgegevens (of die worden wel heel eentonig) en ook de overheid krijgt via datarententie inzage in verkeersgegevens die alleen leiden naar het IP van de proxyservice waarvan je gebruik maakt.
Dat is mooi, opgelost, zou je denken.
Je legt dan alleen wel in plaats daarvan de inzage in al je verkeer bij een externe partij die niet onder Nederlands of misschien wel Europees recht valt en is daarmee nog moeilijker te controleren of tot de orde te roepen (als dat al kan, vraag maar eens aan je ISP wat ze verzamelen, je krijgt er echt niet zomaar antwoord op).
De vraag is of je dat aandurft, en wat je ermee opschiet. Heb je genoeg vertrouwen om al je verkeersgegevens, dataverkeer in de handen te leggen van een commercieel bedrijf in een ander land dat valt onder andere wetgeving?
Als je die gok neemt, is op zich je privacy een stuk beter gewaarborgd is dan zonder gebruik ervan,
zou je denken.

Tenzij,
het land waar de proxyservice is gevestigd niet zo vrij is of meer lijkt en zelf de nodige maatregelen (al dan niet zichtbaar) heeft genomen om meer aan dataretentie of data-surveillance te doen.
Zweden lijkt me inmiddels niet meer de ideale kandidaat daarvoor, na jaren zwaar onder druk te zijn gezet onder dreiging van het op de blacklist plaatsen van de WTO en een flinke (overheids) lobby van welbekende entertainment industrie.
Dat heeft tot gevolg gehad dat wetgeving in Zweden is aangepast met uitgebreidere bevoegdheden tot monitoring van internet verkeer. Alles natuurlijk in het kader van het bestrijden van Piraterij. Geloof jij het?
Half, dataretentie heeft een acceptabel excuus nodig, de dagelijkse winst zit hem denk ik vooral in het monitoren van gewone burgers zoals jij (?) en ik. Als de ergernis te groot wordt wil ik daar succesvol vanaf (zover is het nog niet).

Mullvad, logt niet, dat is mooi. Wordt Mullvad zelf gelogd? We weten het niet.
Zweden vertrouw ik inmiddels niet zo min als eigenlijk alle landen om ons heen (heb getwijfeld over België, België, Beeeelgië.
Nee wel IJsland of Ecuador ..).

Om een inmiddels lange toelichting af te ronden,
ikzelf zou niet vertrouwen op OpenDNS omdat het privacygevoelig dataverkeer op de verkeerde plaats centraliseert (wrong place wrong time) en je voor de beloofde veiligheid vermoedelijk betaalt met te worden gemonitord door al te groot enthousiasme uit het beloofde land.

Mullvad ziet er aantrekkelijk uit, als het in IJsland was gevestigd misschien (inmiddels ook achterhaald?).
Anoniem betalen vind ik te ver gaan en teveel moeite.
Het idee om voor 5 euro per maand in the picture te staan door het gewoon via de bank over te maken 'lijkt me nog wel wat', om een beetje terug te pesten (laat 'ze' er dan ook maar moeite voor doen om data te achterhalen) en duidelijk te laten worden dat als je van wat privacy houdt je daarmee nog niet de ambitie hebt rottigheid uit te halen.
Wat de werkelijke prijs van terugplagen (nee niet terughacken) is weet je niet, voor de volgende 'Lekken & Kabeltjes'ronde misschien.

Extra leesvoer en blonde schoothondjes :
Cable Reveals Extent Of Lapdoggery From Swedish Govt On Copyright Monopoly
http://falkvinge.net/2011/09/05/cable-reveals-extent-of-lapdoggery-from-swedish-govt-on-copyright-monopoly/

P.s. vergt de software van Mullvad minimaal gebruik van Python versie 2.7?
17-09-2013, 13:18 door Briolet
Een DSN server zoals openDNS kan alleen maar het IP adres loggen, niet naar welke pagina je gegaan bent. Een ISP kan wel elke bezochte pagina loggen en dus kan iemand daaruit reconstrueren wat je aan het zoeken was.

Als je b.v. de wikipedia bezoekt, heb je openDNS alleen nodig om hun IP adres te achterhalen. Welke pagina's je opvraagt weten ze niet, dat weet alleen je ISP die de uiteindelijke verbinding moet leggen.
17-09-2013, 13:49 door Anoniem
Het antwoord is inmiddels wel gegeven.
Anoniem surfen zit er gewoon niet in, als je online ben ben je zichtbaar. Je kan je wel aardig onzichtbaar maken maar daarmee val je misschien juist weer op. Iemand die anoniem over straat wil kan een bivakmuts opzetten, echter maakt hij zichzelf daarmee juist weer verdacht. Dit geldt vooral voor Tor. Technisch zit het vernuftig in elkaar, maar ik durf er makkelijk een paar kratten pils om te verwedden dat de NSA allang alle TOR-traffic kan de-anoniemiseren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.