Een virtual private network (VPN) biedt privacy en tal van andere voordelen wanneer u verbinding maakt met internet. Op onze pagina Wat is een VPN?(nieuw venster) wordt uitgelegd wat deze technologie doet en waarom u het misschien nuttig vindt om uw eigen VPN op uw apparaat te installeren.
In dit artikel gaan we dieper in op de meer technische aspecten van hoe een VPN werkt, op een manier die voor iedereen gemakkelijk te begrijpen is.
We beginnen met enkele basisprincipes van internet en bespreken vervolgens hoe een VPN in het geheel past, gevolgd door een vraag-en-antwoordgedeelte aan het einde.
Hoe internet werkt (zonder een VPN)
Uw internet service provider (ISP) verbindt uw apparaat met internet, zodat alle gegevens tussen uw apparaat en de servers (bijv. websites) waarmee u op internet verbinding maakt via de servers van uw ISP stromen. Elk apparaat op internet krijgt een uniek nummer toegewezen, een IP-adres genoemd.
Wanneer u de URL van een website in de adresbalk van uw browser typt, stuurt uw browser een verzoek dat bekendstaat als een DNS-query naar uw ISP, met de vraag naar het juiste computervriendelijke IP-adres waarmee u verbinding wilt maken.
DNS is vergelijkbaar met een groot telefoonboek dat URL’s zoals “protonvpn.com” koppelt aan hun bijbehorende IP-adressen. Zodra uw browser het juiste IP-adres van uw ISP heeft ontvangen, initieert deze een verbinding met de website (of andere internetbron).
Wat uw ISP kan zien
Uw ISP (zoals Verizon, Vodafone of Comcast) kent het IP-adres van de router die u gebruikt en aan wiens account deze toebehoort. Deze weet ook welke websites u hebt bezocht, omdat vrijwel elke ISP ter wereld de DNS-query’s logt die deze verwerkt (samen met een tijdstempel van wanneer u de query uitvoert).
Zelfs als uw ISP de DNS-lookup niet uitvoert (bijvoorbeeld als u handmatig het IP-adres hebt ingevoerd of een DNS-dienst van derden hebt gebruikt), kan deze het DNS-verzoek nog steeds zien, omdat deze gewoonlijk niet versleuteld zijn.
In de afgelopen jaren is er een groei geweest van DNS-diensten van derden die DNS-query’s naar hen daadwerkelijk versleutelen. Dat is goed, maar uw ISP kan nog steeds zien welke website u bezoekt, doordat zelfs als de DNS-query versleuteld is, de informatie over de IP-bestemming die nodig is om uw gegevens correct te routeren dat niet is.
HTTPS is een versleutelingsprotocol dat de verbinding tussen een website en uw apparaat beveiligt. Dankzij voor een groot deel de heroïsche inspanningen van de campagne Let’s Encrypt(nieuw venster) is het gebruik van HTTPS steeds meer de norm geworden, in plaats van de uitzondering die het slechts enkele jaren geleden nog was.
Zonder HTTPS kan uw ISP alles zien wat u op een website doet. Daaronder vallen de afzonderlijke pagina’s die u bezoekt, alle betaalgegevens die u invoert en alle formuliergegevens die u indient. HTTPS voorkomt dit. Zelfs wanneer HTTPS wordt gebruikt, kan uw ISP echter nog steeds zien en loggen welke websites u bezoekt (maar niet wat u daarop doet).
En wat uw ISP kan zien, kan uw overheid ook zien.
Wat websites kunnen zien
Websites kunnen het laatste IP-adres zien in de keten van verbindingen tussen uw apparaat en de webserver. Zonder een VPN is dit het unieke IP-adres dat uw ISP aan uw router heeft toegewezen.
Websites loggen deze informatie routinematig, samen met tijdstempels, frequentie en duur van bezoeken, om te begrijpen hoe de website wordt gebruikt en hoe deze presteert. Mocht de politie een bepaalde gebruiker van die website moeten identificeren, dan is het een eenvoudige kwestie om de ISP te vragen te identificeren aan welke klant die het IP-adres heeft toegewezen.
Iemand op deze manier identificeren is natuurlijk vrij ongebruikelijk. Soms kan er zelfs juridische dwang voor nodig zijn, hoewel de meeste ISPs graag vrijwillig meewerken aan legitieme verzoeken van wetshandhavingsinstanties.
Zelfs zonder u uniek te identificeren aan de hand van uw IP-adres vertelt uw IP-adres websites echter altijd in welk land u zich bevindt, en waarschijnlijk zelfs in welke stad. Dat komt doordat ISPs IP-adressen voor thuisgebruikers meestal in blokken toewijzen aan dezelfde geografische nabijheid, en databases over waar deze IP-blokken zijn toegewezen openbaar beschikbaar zijn.
Kortom, internet is niet gebouwd voor privacy, dus u moet daar niet op rekenen wanneer u het gebruikt zoals het is.
Met een VPN
Wanneer u een VPN-app op uw apparaat gebruikt, brengt deze een versleutelde verbinding tot stand met een VPN-server. Deze verbinding wordt via internet gemaakt (dus u hebt nog steeds uw ISP nodig) en wordt vaak een “VPN-tunnel” genoemd.
Deze VPN-server handelt alle DNS-query’s af en fungeert als tussenpersoon tussen uw apparaat en internet, waarbij uw gegevens naar de juiste bestemmingen worden gerouteerd.
Wat uw ISP kan zien
Uw ISP kan zien dat u bent verbonden met een IP-adres dat toebehoort aan een server. Deze weet niet automatisch dat dit een VPN-server is, maar het vergt geen Sherlock Holmes om dat uit te zoeken, aangezien dit het enige IP-adres is waarmee u verbinding lijkt te maken.
Wat deze niet kan zien, zijn websites of andere internetbronnen waarmee u via de VPN-server verbinding maakt. Dat komt doordat de VPN-server DNS-query’s afhandelt en uw gegevens naar het juiste IP-adres routeert.
Uw ISP kan ook de inhoud van uw gegevens niet zien (inclusief gegevens over de IP-bestemming en DNS-opzoekverzoeken), omdat alle gegevens die tussen uw apparaat en de VPN-server reizen versleuteld zijn.
Dus wanneer u een VPN gebruikt, kan uw ISP niet zien welke websites u bezoekt en kan deze de inhoud van uw gegevens niet zien (zelfs niet wanneer HTTPS niet wordt gebruikt). Hetzelfde geldt voor wifi-hackers, exploitanten van routers voor openbare wifi of iedereen anders die normaal gesproken uw gegevens zou kunnen zien terwijl deze tussen uw apparaat en de bestemming reizen.
Wat websites zien
Wanneer u een VPN gebruikt, is het laatste IP-adres in de keten van verbindingen tussen uw apparaat en de webserver dat van de VPN-server. De VPN-server schermt daarom uw echte IP-adres af voor websites die u bezoekt, die alleen het IP-adres van de VPN-server kunnen zien.
Naast de duidelijke privacyvoordelen is deze functie van een VPN nuttig om uw geografische locatie te spoofen, aangezien het lijkt alsof u het internet benadert vanaf de plek waar de VPN-server zich bevindt.
Wat de VPN-server ziet
In veel opzichten neemt de VPN-provider de rol van uw ISP over. Deze handelt DNS-query’s af en kan de IP-adressen monitoren die u bezoekt.
Hoewel de verbinding tussen uw apparaat en de VPN-server door de VPN wordt versleuteld, is de verbinding tussen de VPN-server en de websites die u bezoekt dat niet. Dit betekent dat de VPN-server (net als uw ISP normaal kan) de inhoud kan bekijken van verkeer dat niet door HTTPS wordt beschermd.
Het is daarom van cruciaal belang een VPN-dienst te kiezen die betrouwbaar en veilig is.
Hoe Proton VPN privacy en transparantie waarborgt
Bij Proton is onze toewijding aan de privacy van gebruikers algemeen bekend. Proton VPN en Proton Mail(nieuw venster), de grootste versleutelde provider ter wereld, worden vertrouwd door journalisten en activisten in het veld, en we hebben een aantal stappen ondernomen om uw beveiliging en privacy te versterken:
- In tegenstelling tot de meeste ISPs bewaren we geen logs die uw privacy in gevaar kunnen brengen. Er wordt een tijdstempel bewaard van uw laatste succesvolle inlogpoging, maar die is niet gekoppeld aan het IP-adres waarmee u verbinding maakt of aan enige activiteit tijdens het gebruik van onze dienst.
- Onze apps zijn allemaal volledig gecontroleerd en open source, zodat iedereen ze kan controleren.
- Wij zijn gevestigd in Zwitserland, een land zonder banden met de door de VS geleide Five Eyes-alliantie voor massasurveillance, en met een van de sterkste gegevensprivacywetten(nieuw venster) ter wereld.
- We gebruiken alleen de meest veilige VPN-protocollen(nieuw venster), met sterke versleuteling en forward secrecy.
- Wij bieden een speciaal geharde Secure Core VPN-dienst voor degenen die deze nodig hebben.
- Onze apps bieden DNS-lekbescherming om ervoor te zorgen dat DNS-lookups uitsluitend door Proton worden afgehandeld. IPv6-lekbescherming zorgt ervoor dat er nooit gegevens buiten de VPN-tunnel worden gerouteerd.
Veelgestelde vragen
Versleuteling is een wiskundig proces dat gegevens omzet in onleesbare tekens, zodat niemand zonder de juiste sleutel er toegang toe heeft. Het is de hoeksteen van het veilig houden van uw gegevens op internet. Proton VPN gebruikt alleen de sterkste versleutelingspakketten; raadpleeg ons bericht over sterke versleuteling(nieuw venster) voor meer informatie.
AES is een symmetrisch-sleutelversleutelingscijfer dat wordt gebruikt om grote hoeveelheden gegevens in rust te beveiligen. AES-256 is AES geïmplementeerd met een sleutelgrootte van 256 bits, wat de sterkste instelling is.
AES is goedgekeurd door NIST, en de Amerikaanse overheid beveiligt haar topgeheime gegevens met AES-256. Dit heeft ertoe geleid dat veel VPN-services die AES-256 gebruiken, hun versleuteling beschrijven met termen zoals “militaire kwaliteit”. AES-256 is inderdaad zeer veilig, maar het is slechts een van de componenten die nodig zijn om ervoor te zorgen dat een VPN-verbinding veilig is.
Een VPN versleutelt uw gegevens terwijl deze zich verplaatsen tussen uw apparaat en de VPN-server, waardoor wordt voorkomen dat iemand die anders toegang tot de gegevens zou hebben (zoals uw ISP of de beheerder van een openbare router) de inhoud ervan kan zien.
Afzonderlijke “pakketten” met gegevens worden op uw apparaat versleuteld en vervolgens op de VPN-server ontsleuteld. De tunnelanalogie is een nuttige manier om over deze versleutelde verbinding na te denken.
Een VPN-protocol is de reeks instructies die wordt gebruikt om een veilige verbinding tussen twee computers tot stand te brengen (uw apparaat en de VPN-server). Er bestaan verschillende VPN-protocollen, maar Proton VPN ondersteunt OpenVPN, IKEv2 en WireGuard.
OpenVPN – Een beproefd VPN-protocol dat nog steeds algemeen wordt beschouwd als de maatstaf als het gaat om VPN-beveiliging.
IKEv2 – Een moderner VPN-protocol dat snel is en door experts ook als zeer veilig wordt beschouwd.
L2TP/IPsec – Hoewel men denkt dat het door de NSA in gevaar is gebracht, wordt dit protocol onder de meeste omstandigheden nog steeds als veilig beschouwd. Het is echter vervangen door het superieure IKEv2.
PPTP – Een zeer onveilig protocol dat sommige providers om compatibiliteitsredenen blijven ondersteunen.
WireGuard® – Een zeer nieuw VPN-protocol dat, hoewel snel en veilig (althans in theorie), nog steeds experimenteel is. Proton VPN volgt de ontwikkeling van WireGuard (nu uit de bètafase op Linux) met grote belangstelling en heeft geholpen de ontwikkeling ervan te financieren.
Meer informatie over VPN-protocollen.
Ja, maar niet al te veel. Het versleutelen en ontsleutelen van uw gegevens vereist rekenkracht, wat in theorie uw internetverbinding kan vertragen. In de praktijk kunnen zelfs eenvoudige moderne smartphones VPN-versleuteling verwerken zonder merkbare vertraging.
Een groter probleem is hoe ver uw gegevens reizen. Verbinden met een VPN-server voegt een extra “etappe” toe aan de route, wat deze onvermijdelijk vertraagt. Dit geldt met name als de VPN-server waarmee u verbinding maakt zich aan de andere kant van de wereld bevindt.
Als u echter verbinding maakt met een redelijk nabije VPN-server (bijvoorbeeld ergens in Europa als u in Europa gevestigd bent), is het onwaarschijnlijk dat u enige vertraging zult merken. Daarnaast kan onze unieke VPN Accelerator-technologie onder bepaalde omstandigheden de snelheid met meer dan 400 % verhogen en is deze bijzonder effectief bij het beperken van snelheidsverlies wanneer u verbinding maakt met geografisch verre servers.
Meer informatie over VPN Accelerator
Een andere factor om rekening mee te houden, is de “serverbelasting” van de VPN-server die u gebruikt. Dat wil zeggen: hoeveel mensen deze tegelijkertijd met u gebruiken en dus een beroep doen op de middelen ervan.
Dit is de enige reden waarom onze gratis servers, die tijdens piekuren wat druk kunnen zijn, niet altijd de snelheden toestaan die beschikbaar zijn bij gebruik van onze Plus-servers, die doorgaans minder druk zijn.
Aan elk apparaat dat met internet is verbonden, wordt een uniek nummer toegewezen om het te identificeren. De enorme uitbreiding van internet in de afgelopen jaren betekent echter dat de nummers die met het oude IPv4-systeem worden toegewezen, opraken. Snel.
IPv6 lost dit probleem op door 128-bits webadressen te gebruiken, waardoor ongeveer 2^128 (ongeveer(nieuw venster) 340 miljard miljard miljard miljard) nieuwe nummers beschikbaar komen, wat ons nog geruime tijd vooruit zou moeten helpen.
Alle moderne besturingssystemen ondersteunen IPv6, maar het grootste deel van internet gebruikt nog steeds IPv4. Als hybride compromisoplossing voor dit probleem verzendt uw apparaat verbindingsverzoeken naar websites die u bezoekt met zowel hun IPv4- als IPv6-adressen.
Als de website IPv6 ondersteunt, accepteert deze de IPv6-verbinding. Als deze alleen IPv4 ondersteunt, merkt deze de poging tot IPv6-verbinding niet eens op en initieert deze een IPv4-verbinding.
Veel VPN-apps van andere VPN-services zijn ook alleen voor IPv4 en leiden daarom alleen IPv4-verbindingen door de VPN-tunnel. Wanneer een IPv6-verbinding tot stand wordt gebracht, is de VPN-app zich daar niet van bewust en wordt de verbinding daarom door uw OS buiten de VPN-tunnel om geleid.
De website waarmee u verbinding hebt gemaakt, kan daarom uw echte IPv6-adres zien, ook al gebruikt u een VPN. Dit is een IPv6-lek.
Proton VPN-applicaties blokkeren standaard al het IPv6-verkeer om ervoor te zorgen dat dit niet gebeurt. Dit heeft geen effect op onze internetervaring.
Bij het gebruik van een VPN horen DNS-query’s via de VPN-tunnel te gaan, zodat alleen de VPN-service ze kan zien en oplossen. Er is sprake van een DNS-lek wanneer een DNS-verzoek op de een of andere manier buiten de VPN-tunnel om wordt geleid, zodat het kan worden gezien door (en meestal ook wordt opgelost door) uw ISP.
Daar zijn verschillende redenen voor, en hoewel Windows vaak de grootste boosdoener is, kan het op elk platform gebeuren. Bescherming tegen DNS-lekken lost het probleem op door firewallregels te gebruiken om ervoor te zorgen dat geen enkel verkeer uw apparaat buiten de VPN-tunnel kan verlaten.
U kunt ons volgen op sociale media om op de hoogte te blijven van de laatste Proton VPN-releases:
Twitter (nieuw venster)| Facebook(nieuw venster) | Reddit(nieuw venster) | Instagram(nieuw venster)
Ga naar proton.me/mail(nieuw venster) om een gratis Proton Mail-account voor versleutelde e-mail te krijgen
