Jeg driver Facebook-siden Ugens Sikkerhedstip, hvor jeg løbende kommer med små tips til IT-sikkerhed og privatlivsbeskyttelse. I september skrev en læser, Holm, en meget brugbar guide til passwordsmanagers, som jeg bragte her på siden. Nu slår Holm til igen, denne gang med en guide til VPN. Tak!
Virtual Private Network
Der findes en del værktøjer som kan beskytte dit online privatliv mod repressive myndigheder og andre ubehagelige snushaner. Et af dem kaldes for Virtual Private Network (VPN).
Men hvad er et VPN, og hvilke ting skal der tages højde for inden man vælger at benytte sådan en service?
Kort fortalt: Et Virtual Private Network (VPN) er en service, hvor man tilgår internettet via en server, som ejes af en VPN-udbyder. Normalt går internettrafikken direkte fra internetudbyderen videre til den webserver man besøger. Ved brug af VPN, bliver din IP-adresse maskeret og trafikken bliver krypteret, hvilket gør det vanskeligt for uvedkommende at følge med i hvad din internetforbindelse bliver brugt til. Hvis man sidder på et usikkert netværk (eksempelvis på en café, et bibliotek eller en lufthavn) kan man ligeledes holde sin internettrafik skjult. Desuden kan den webserver man forbinder til, kun se VPN-servicens IP-adresse og ikke den adresse som trafikken i virkeligheden kommer fra, hvilket blandt andet gør det muligt at tilgå hjemmesider som kun er tilgængelige fra et bestemt land. En VPN-service bliver også kaldt en VPN-tunnel, da man kan forestille sig at internettrafikken løber gennem en sikker krypteret tunnel ud til internettet. Således kan et VPN virke som et værn mod netcensur, FISA, sessionslogning, generel overvågning og andre orwellianske påfund.
En kommerciel VPN-service købes ofte som en abonnementsordning, hvor man mod månedlig eller årlig betaling får adgang til et antal servere, som står i forskellige lande. Der findes også gratis VPN-services – disse er dog berygtet for at tjene penge ved at sælge brugerdata til højestbydende (eller indeholde decideret malware), så dem skal man helst holde sig fra.
Nogle VPN-udbydere tilbyder et stykke software, der skal gøre det nemt at bruge deres service på tværs af enheder. Hvis der ikke medfølger en software, kan man selv konfigurere VPN-forbindelsen på sin enhed. Der vil ofte være en guide til opsætning på VPN-udbyderens hjemmeside.
Der findes et hav af VPN-services på markedet og et korrekt konfigureret VPN kan i det fleste tilfælde være med til at beskytte dit digitale privatliv. Dog er der en række problemer forbundet med VPN-services (og udbydere) som er vigtige at tage højde for inden man kobler sig op. Nogle udråber VPN som et uundværligt værktøj, andre er mere skeptiske. Der er endda folk som mener, at en VPN-service gør mere skade end gavn.
Inden man vælger at investere i en VPN-service er det derfor klogt at sætte sig ind i hvad den kan og ikke kan, hvad den bør kunne – og især – hvem der står bag den. Man bør have en kritisk tilgang og bruge tid på at researche de forskellige muligheder som findes på markedet.
Hvilken VPN-service skal jeg så vælge?
Langt hen af vejen handler det om tillid. Selvom VPN-servicen skjuler internetaktiviteten for den oprindelig internetudbyder, har VPN-udbyderen nu praktisk taget mulighed for at se, logge og manipulere trafikken. På den måde fungerer en VPN-udbyder som en slags sekundær internetudbyder. Derfor er det essentielt at kunne stole på, at den VPN-udbyder man vælger er troværdig, holder et minimum af logs, ikke sælger data til 3. part eller foretager andre ondsindede aktiviteter med internettrafikken. De fleste VPN-services har en såkaldt “no log policy”, men som bruger har man ingen chance for at vide, om de rent faktisk overholder den. Hvis man ikke kan stole på udbyderen bag en VPN-service, er det næsten bedst at lade værre med at bruge den.
En VPN-service kan højne online sikkerhed og privatliv, men den kan aldrig tilbyde anonymitet på højde med eksempelvis Tor-netværket. VPN-udbyderen kender din rigtige IP-adresse, kan se hvilke sider du besøger og gemmer i de fleste tilfælde dine betalingsoplysninger. Af samme årsag bør man undgå VPN-udbydere, som bryster sig med at kunne levere anonymitet gennem deres service – for det er ganske enkelt en løgn.
Når det er sagt, kan en VPN-udbyder gå langt for at minimere mængden af personlige data som indsamles. Eksempelvis ved udelukkende at logge den mængde data det kræves for at servicen kan fungere (og hurtigt slette den igen), ved at brugere ikke skal opgive andre oplysninger end e-mail ved oprettelse af en konto, samt at acceptere betaling med kontanter eller kryptovaluta.
Selvom en VPN-udbyder har en fornuftig logningspolitik, er det også fordelagtigt at lægge mærke til hvilket land udbyderen er baseret i. Firmaet vil være underlagt eventuelle love om tvangslogning fra det pågældende land, og det kan et salgsslogan som “we keep NO logs in order to protect YOUR privacy” ikke ændre på.
Udover VPN-udbyderens renommé, er der naturligvis også en række tekniske specifikationer som servicen bør indeholde. Da kryptering er et af hovedingredienserne i en VPN-service, skal denne selvfølgelig være stærk, og skal helst være implementeret på sådan en måde, at man som bruger ikke skal konfigurere for meget eller kan komme til at lave svage indstillinger. Nogle services tilbyder forskellige protokoller, hvor en af mulighederne helst skal være OpenVPN. Generelt skal man undgå de som kun tilbyder PPTP, da den er usikker. En god VPN bør også tilbyde Forward Secrecy som standard. Dette sørger kort fortalt for, at den krypterede trafik ikke kan brydes, selvom selve krypteringsalgoritmen bliver kompromitteret i fremtiden.
Desuden skal man være opmærksom på, at en VPN-service ikke utilsigtet lækker information. En VPN-udbyder skal helst have gode foranstaltninger mod DNS-, IP- og IPv6 læk, da disse kan være med til at afsløre den rigtige IP-adresse samt hvilke sider man besøger – på trods af man er tilsluttet et VPN.
Hvis forbindelsen til en VPN-server af en eller anden årsag pludselig forsvinder, vil man helst sørge for, at enheden ikke skifter over og bruger den normale internetforbindelse som ikke er beskyttet af VPN-servicen. Derfor har nogle udbydere implementeret en såkaldt Kill Switch i deres software, som automatisk afbryder al internetaktivitet, hvis forbindelsen til VPN-serveren skulle forsvinde.
Som tidligere nævnt har nogle VPN-udbydere udviklet software, som gør det ligetil at benytte servicen. Softwaren klarer konfigurationen, og gør det nemt at vælge hvilken VPN-server man vil bruge, skifte krypteringstype med mere. Da tillid og transparens er vigtigt i forhold til valg af VPN-service, er det et stort plus hvis denne software er open source. Ellers har man ingen chance for at vide hvad der sker med forbindelsen (eller om softwaren indeholder malware). De fleste VPN-udbydere gør deres konfigurationsfiler tilgængelige for deres brugere, så man ikke behøver bruge den software der følger med. Her kan man lave sin egen opsætning med eksempelvis OpenVPN til Linux/Windows, TunnelBrick til MacOS eller OpenVPN Connect til iOS/Android.
Når man er tilsluttet et VPN, vil hastigheden på internetforbindelsen blive mere langsom end normalt. Det skyldes blandt andet, at internettrafikken bliver krypteret og skal igennem “et ekstra lag”. Derfor skal man vælge en VPN-udbyder som kan tilbyde servere med høje hastigheder, så forsinkelsen ikke bliver alt for mærkbar.
Ingen VPN-service er perfekt og i de næste afsnit følger en kort beskrivelse af to services, som hver har fordele og ulemper (se eventuelt dette skema, som indeholder internettes mest omfattende liste over forskellige VPN-udbydere og deres services’ specifikationer).
ProtonVPN
Url: https://protonvpn.com
Ejes af: ProtonVPN AG
Land: Schweiz
ProtonVPN er skabt af folkene bag ProtonMail. De tilbyder en VPN-service, hvor man kan vælge mellem 112 servere fra 14 forskellige lande. De har en no log policy og bruger udelukkende OpenVPN protokollen. Desuden har de som standard implementeret Forward Secrecy og krypterede DNS-opslag for at forhindre læk. De tilbyder også en Kill Switch, som er tilgængelig i deres egen VPN software. Desværre findes softwaren i øjeblikket kun til Windows. Man skal ikke bruge identificerbar information ved tilmelding (blot en e-mail og et brugernavn) og man kan vælge at betale med kreditkort, PayPal eller kryptovaluta. I øjeblikket skal man sende en e-mail til ProtonVPN for at kunne betale med kryptovaluta, så denne betalingsform er endnu ikke ordentligt implementeret.
Man kan vælge mellem tre forskellige pakker. En Basic, en Plus og en Visionary, som koster henholdsvis 4$, 8$ og 24$ om måneden. Køber man den sidstnævnte, fåes samtlige features som blandet andet giver mulighed for at have 10 enheder tilkoblet samt at route VPN-trafikken gennem Tor-servere.
Pros:
– Betaling med BitCoin
– Har implementeret Forward Secrecy
– Logger ikke trafik
– Tilbyder Tor route
– Bruger (udelukkende) OpenVPN protokol
– Har implementeret ekstra beskyttelse i form af en Secure Core feature
– VPN software (kun Windows)
– Kill Switch feature
– Mulighed for at tilknytte op til 10 enheder
Cons:
– Betaling med BitCoin er besværlig
– Har endnu ikke færdigudviklet apps til andre platforme end Windows
– VPN software er ikke open source
– Gemmer betalingsoplysninger
– Er forholdsvis ny på markedet
Private Internet Access (PIA)
Url: https://privateinternetaccess.com
Ejes af: London Trust Media, Inc.
Land: USA
Private Internet Access (eller PIA) er en af de største spillere på markedet. Deres VPN-service består af 3026 servere fra 25 forskellige lande. De har en no log policy og tilbyder OpenVPN, IPSEC/L2T, PPTP protokoller samt SOCKS5 proxyer. Hvis man binder sig for 12 måneder, koster deres VPN-service 3,33$ om måneden. Man kan betale med stort set alle betalingskort samt BitCoin og man kan have op til 5 enheder tilsluttet ad gangen.
Når man opretter en konto hos PIA, kan man hente deres VPN software som virker på alle populære styresystemer og enheder. Softwaren er nem at sætte op og har en masse features såsom Kill Switch, beskyttelse mod IPv6 og DNS læk, reklame/malware blokering med mere. Man kan også vælge hvordan trafikken krypteres, så man kan balancere mellem sikkerhed og hastighed. Det er dog værd at bemærke, at softwaren ikke understøtter andre protokoller end PPTP/L2TP når den bruges på iPad, iPhone og en ikke-rooted Android og at softwaren ikke er open source.
Selvom navnet på udbyderen antyder de er fra England, så er firmaet rent faktisk baseret i USA.
Pros:
– Betaling med BitCoin
– Logger ikke trafik
– VPN software til alle platforme
– Understøtter OpenVPN protokol
– Tilbyder SOCKS5 proxyer
– Nem at sætte op og nem at bruge
– Stor brugerbase, aktivt forum og detaljerede brugerguides
Cons:
– Gemmer betalingsoplysninger
– Amerikansk virksomhed
– Tilbyder PPTP protokol
– VPN software er ikke open source
Og husk: det handler om tillid! Så tjek selv op på både VPN-servicen og firmaet bag, inden du lægger din interforbindelse i deres hænder. En VPN-service kan have fordele for dit online privatliv – men gør op med dig selv, om du er parat til at flytte tilliden fra din normale internetudbyder over til en kommerciel VPN-udbyder. Hvis du er modig (og en anelse tech-savy) kan du måske overveje at sætte din egen VPN-server op i stedet.