Toen VPNs voor het eerst werden geïntroduceerd als beveiligde virtual private networks, gebruikten de meeste mensen ze voornamelijk vanwege hun beveiligingseigenschappen. In de loop der jaren is internetcensuur wereldwijd echter sterk toegenomen. Dit heeft ertoe geleid dat VPNs, en met name geobfusceerde VPNs, ook worden ingezet om deze beperkingen te omzeilen. Een groot deel van de VPN-gebruikers komt tegenwoordig uit landen met strenge internetrestricties, zoals Cuba, Rusland, China en Iran.
Dit is niet alles. Ook in westerse landen gebruiken mensen VPNs om geoblokkades te omzeilen en sites te bereiken die hun overheid als schadelijk beschouwt. Volgens een 2012-onderzoek van de Global Internet Society beschouwde 71% van de gebruikers wereldwijd hun vrije toegang tot het internet als doelwit van online censuur.
Vanaf het moment dat VPNs op deze manier werden ingezet, werden ze zelf ook een primair doelwit voor blokkering. Een van de meest recente voorbeelden is Iran, waar de overheid te midden van maatschappelijke onrust niet alleen de toegang tot groot deel van het internet blokkeerde, maar ook gericht VPN-diensten aanviel om toegang via die weg te verhinderen. Zulke ontwikkelingen hebben de internationale IT-gemeenschap ertoe aangezet nieuwe methoden te ontwikkelen voor vrije internettoegang. Een van die methoden staat bekend als obfuscated VPN: een uitbreiding op de VPN-technologie zelf.
In dit artikel bespreek ik de basismethoden waarmee VPNs worden geblokkeerd, hoe je die blokkades omzeilt, en wat obfuscated VPNs zijn en welke opties de moeite waard zijn. Laten we beginnen.
Hoe wordt internetcensuur opgelegd en wat is de invloed op VPNs?
Er zijn verschillende manieren waarop een partij een VPN kan blokkeren. Dit fenomeen valt uiteen in twee categorieën: de eerste is het blokkeren van de VPN zelf, de tweede het blokkeren van de toegang die een VPN biedt tot een bepaalde online bestemming. Die tweede methode wordt doorgaans gebruikt door websites die VPN-gebruikers als een bedreiging beschouwen en hen de toegang willen ontzeggen. Netflix is daarvan een goed voorbeeld. Om te voorkomen dat gebruikers geoblokkades omzeilen, blokkeert Netflix VPN-toegang tot hun platform. Dat doen ze door VPN IP-adressen en -reeksen op een zwarte lijst te zetten. Dit werkt op oppervlakkig niveau, maar er zijn geavanceerde VPNs die dit kunnen omzeilen.
Governments nemen echter veel verdergaande maatregelen om VPN-gebruik te blokkeren. Waar Netflix zich beperkt tot het blokkeren van IP-adressen, richten Governments zich doorgaans op de poorten van verschillende VPN-protocollen, zoals IPsec, IKEV2, PPTP en OpenVPN. Dit gebeurt meestal door op ISP-hardwareniveau een firewall in de infrastructuur te implementeren om de VPN definitief uit te schakelen. Daar blijft het niet bij: deze aanpak wordt aangevuld met het eerdergenoemde basis-IP-blokkering en geavanceerdere technieken zoals deep packet inspection, afgekort DPI.
Hoe je internetblokkades omzeilt
Er zijn veel manieren om internetblokkades actief te omzeilen. VPNs zijn de bekendste en meest betrouwbare oplossing, maar er zijn ook andere serieuze alternatieven. Dit artikel gaat niet diep in op die secundaire methoden, maar ik noem ze hier kort zodat je een basisidee hebt van wat er bestaat. Als je meer wilt weten over deze methoden en hun specifieke eigenschappen, kun je mijn andere artikel lezen over hoe je internetbeperkingen omzeilt.
Naast VPNs en hun obfuscated varianten, die we verderop in dit artikel uitgebreid behandelen, kun je ook de Tor-browser en het bijbehorende bridge-netwerk gebruiken om internetbeperkingen te omzeilen. SSH-tunneling via een VPS-server geldt eveneens als een betrouwbare methode. Proxies zijn een andere veelgebruikte manier om internetcensuur te omzeilen, al zijn ze vrij gemakkelijk te counteren. De reverse proxy-methode is echter recentelijk opgekomen en komt later in dit artikel aan bod. Daarnaast is het aanpassen van DNS een eenvoudige methode die weinig moeite kost, maar ook snel te omzeilen is. Wanneer VPN-blokkering en censuur op infrastructuurniveau worden opgelegd, werkt geen van deze oplossingen echt, en zijn obfuscated VPN-opties de enige uitweg.
Wat is VPN-obfuscatie?
VPN-obfuscatie is het proces waarbij een obfuscated VPN-server wordt ingezet om de eerdergenoemde firewalls te omzeilen die op infrastructuurniveau de toegang tot verschillende VPN-opties blokkeren. Maar hoe werkt zo'n obfuscated server precies? Een obfuscated VPN is bewust ontworpen met geavanceerde versleuteling die de datapakketten van je internetverbinding er normaal uit laat zien, alsof er geen VPN in het spel is. Met andere woorden: de kenmerken van door een VPN beïnvloede pakketten worden ingrijpend gemaskeerd, onder andere via scrambling, zodat het bestaan van een VPN op het netwerk verborgen blijft.
Een obfuscated VPN biedt betere mogelijkheden om online censuur en overheidstoezicht te omzeilen. Het voorkomt ook dat je internetprovider je dataverkeer bekijkt en afluistert. Obfuscated VPNs omzeilen bovendien de beperkingen van strenge interne netwerken, zoals die op werkplekken, universiteiten, bibliotheken en dergelijke, zodat je het netwerk gewoon normaal kunt gebruiken. Hoe effectief ze ook zijn, het is goed om te weten dat een obfuscated VPN niet alle problemen die door de genoemde firewalls worden veroorzaakt automatisch oplost. Ook met een obfuscated server is er enig aanpassen en uitproberen nodig om het goed te laten werken.
De belangrijkste methoden voor het gebruik van obfuscated VPN
Zoals eerder vermeld, zijn er verschillende soorten obfuscated VPN servers beschikbaar. Het obfuscatieproces verschilt ook per protocol. Hoewel deze variëteit aan opties op het eerste gezicht verwarrend kan lijken, is het belangrijk te beseffen dat naarmate obfuscated VPN-oplossingen harder hun best doen om hun tunnelingalgoritme te verbergen, overheden die censuur toepassen net zo hard werken om obfuscated VPNs te detecteren en te blokkeren. Die variëteit is daarom eigenlijk een voordeel: als je eerste keuze er niet in slaagt de opgelegde beperkingen te doorbreken, kun je altijd overstappen op een alternatief. Hieronder bespreek ik de bekendste en meest gebruikte obfuscated VPN-opties in 2023.
1. Tor Bridge: samenwerken voor een vrij internet
In mijn eerdere artikel over het omzeilen van internetbeperkingen noemde ik de Tor-browser, evenals varianten met VPN en proxies. Tor is een open-sourceproject, wat betekent dat de servers inclusief hun IP-adressen en poorten openbaar zijn. Elke overheid of internetprovider die je toegang tot de Tor-browser wil blokkeren, kan deze openbare poorten en IP-reeksen eenvoudig afsluiten. Tor loopt hier echter op vooruit en heeft zijn bekende bridge-technologie geïntroduceerd. Deze maakt gebruik van een peer-to-peer-model waarmee gebruikers hun gebruik van Tor kunnen maskeren.
Deze bridges staan niet publiekelijk vermeld en werken op een privé peer-to-peer-basis, waardoor het vrijwel onmogelijk is om hun IP-reeksen te achterhalen en te blokkeren. Het huidige protocol dat je Tor-gebruik maskeert, staat bekend als Obfs4, en het verbruikt nauwelijks bandbreedte, waardoor je verkeer en snelheid bespaart. Bovendien gebruikt het een volledig willekeurige packet-handshake, wat detectie uiterst moeilijk maakt.
2. ShadowSocks obfuscated servers
Shadowsocks is een speciaal geconfigureerde proxyserver met ingebouwde obfuscatieprotocollen als onderdeel van de basiscode. Shadowsocks draait op het bekende SOCKS5-protocol dat in 2012 werd geïntroduceerd door een anoniem gebleven Chinese programmeur. Destijds slaagde dit protocol erin de beroemde Chinese Great Firewall succesvol te doorbreken. Dat is een bewijs van de kracht van SOCKS5 als proxyprotocol, want de Great Firewall van China wordt algemeen beschouwd als een van de meest geavanceerde censuurapparaten ter wereld.
Shadowsocks obfuscation servers werken door je data via een verborgen derde server te routeren. Hoewel ze vaak ingezet worden om VPN-blokkades te omzeilen, bieden ze niet de beste snelheid of gegevensbescherming. Zoek daarom een andere optie als snelheid voor jou belangrijk is, of gebruik SOCKS5 in combinatie met de AEAD-codering, waarmee je data wordt versleuteld.
3. OpenVPN-obfuscatie: Scrambled/SSH
OpenVPN, zowel wat betreft zijn geavanceerde protocollen als zijn betrouwbare client, is een andere belangrijke VPN-optie en tevens een van de populairste protocollen. Hoewel het in het verleden lastig was om OpenVPN te blokkeren, kunnen overheden dit tegenwoordig net zo goed als andere gangbare protocollen. Om dit te omzeilen zijn er twee belangrijke methoden om OpenVPN te obfusceren. De eerste methode is tunneling naar de doel-VPN-server via SSL of TLS-tunnelingprotocollen. Dit is een van de methoden die de snelheid van de VPN behouden, ondanks de obfuscatie.
De tweede methode voor OpenVPN-obfuscatie is het "scrambles" van de server. Ook bekend als XOR-obscuring, gebruikt deze methode een eenvoudig bitsgewijs XOR-cijfer om het originele algoritme te maskeren en in plaats daarvan een nep-algoritme weer te geven. Hoewel deze methode op oppervlakkig niveau werkt, faalt het bij geavanceerdere firewalls. Toch gebruiken sommige mensen OpenVPN op VPS, omdat het een goede optie is voor zwakkere firewalls. Andere protocollen hebben deze scramble-aanpak ook overgenomen. Stealth VPN-protocol is een specifieke implementatie daarvan die VPN-verkeer maskeert als normaal verkeer.
4. Obfuscated VPN hosten op VPS
Als je gewend bent je eigen VPN zelf te hosten, maar je niet-obfuscated server plotseling niet meer werkt, geen paniek! Obfuscated VPN-opties kunnen ook zelf gehost worden, net als gewone VPNs. De voornaamste methode daarvoor wijkt niet af van het zelf hosten van een gewone VPN. De basisvereisten zijn een doelserver (obfuscated) en een verbindingsprotocol. Het proces bestaat uit het opzetten van een obfuscated server via Obfsproxy, OpenVPN die obfuscated is via scrambling of SSH/TLS, of Shadowsocks met het SOCKS5-protocol. Zodra dit protocol en de obfuscated server zijn geconfigureerd, hoef je het alleen nog te implementeren op de hostserver en in te stellen. Daarna heb je toegang tot je eigen obfuscated VPN.
Bewezen stabiel
Go voor een Cloudzy Debian VPS en ontvang een betrouwbare, krachtige server met een stabiel besturingssysteem dat geoptimaliseerd is voor functionaliteit.
Haal je Debian VPSWat de serverkeuze betreft is een VPS waarschijnlijk de beste optie, omdat die efficiënter is dan een traditionele server en als hostingplatform beter presteert dan een eigen computer. Als je een obfuscated VPN wilt zelf hosten via OpenVPN scramble of via Shadowsocks, overweeg dan een Cloudzy VPS-pakket. Een betaalbaar, eenvoudig in te stellen Linux VPS met minimale configuratie is alles wat je nodig hebt om je eigen obfuscated server te draaien. Cloudzy biedt meer dan 12 locaties wereldwijd met een veilige en hoogwaardige infrastructuur, zodat je altijd een server met goede latentie binnen bereik hebt, waar je ook bent.
Linux Hosting Eenvoudig Gemaakt
Op zoek naar een betere manier om je websites en webapps te hosten? Iets nieuws aan het bouwen? Of gewoon niet blij met Windows? Daarom hebben wij Linux VPS.
Haal je Linux VPSBetaalde obfuscated VPN-opties
De protocollen en obfuscated VPN-opties die we tot nu toe hebben besproken zijn allemaal open-source en gratis te gebruiken en configureren. De drie opties in dit gedeelte zijn vooraf geconfigureerde, betaalde oplossingen. Betaalde obfuscated VPN-opties zijn ideaal als je niet de tijd of de middelen hebt om je eigen obfuscated server op te zetten. Je betaalt simpelweg een klein abonnementsbedrag aan een betrouwbaar bedrijf en beschikt direct over een obfuscated VPN.
NordVPN
De eerste is de bekende NordVPN. NordVPN biedt obfuscated VPN-pakketten aan als onderdeel van zijn diensten, met goed geconfigureerde en kwalitatieve servers in de VPN-sector. De servers maken gebruik van uiteenlopende hoogwaardige protocollen, zodat je vrijwel zeker met ten minste één optie de VPN-blokkade kunt omzeilen, zonder veel moeite.
ExpressVPN
ExpressVPN is een goede betaalde optie voor versluierde VPN-diensten. Het biedt vrijwel alles wat NordVPN aantrekkelijk maakt, maar dan voor een lagere prijs en gericht op kostenbewuste gebruikers. Een opvallende functie van de versluierde VPN van ExpressVPN is dat je via een versluierde server eenvoudig een P2P-verbinding kunt opzetten voor torrenting en andere directe peer-to-peer toepassingen.
Surfshark
Surfshark is een relatief nieuwe optie voor versluierde VPN-diensten en is minder bekend dan grote namen als NordVPN en ExpressVPN. Wat het mist aan naamsbekendheid en marktervaring, compenseert het met uitzonderlijk lage prijzen voor zowel gewone VPN-pakketten als versluierde servers. Een van de opvallendste kenmerken van SurfsharkVPN is dat je na aanschaf een onbeperkt aantal actieve verbindingen voor je account krijgt, terwijl je bij ExpressVPN en NordVPN beperkt bent tot slechts 5.
Reverse proxy: de derde weg
Reverse proxies zijn technisch gezien geen VPNs. Hetzelfde geldt voor ShadowSocks en Tor, hoewel ik die laatste twee toch in de bovenstaande categorie heb opgenomen omdat ze onderdeel zijn van het debat over versluiering. Reverse proxies verdienen echter een eigen sectie. Een gewone proxyserver fungeert als tussenschakel die je dataverzoeken en -antwoorden verstuurt en ontvangt (ook wel een forward proxy genoemd). Een reverse proxy werkt anders: die staat voor je webserver en fungeert niet als tussenschakel, maar als voordeur.
Dankzij deze specifieke werking omzeilen reverse proxies gewone proxydetectiesystemen en kunnen ze je helpen zowel VPN-blokkades als proxyblokkades te omgaan. In mijn artikel over het installeren van Wireguard VPN op VPSben ik ingegaan op wat een reverse proxy precies is en hoe je er een instelt met Nginx. Aan de hand van die handleiding kun je je eigen reverse proxy opzetten om je te beschermen tegen aanvallen, je content te cachen voor betere snelheid en stabiliteit, en load balancing in te stellen. Zoals je kunt zien, helpt een reverse proxy niet alleen om internetbeperkingen te omzeilen, maar biedt het ook tal van extra voordelen.
Conclusie
Er zijn kortom veel betrouwbare opties voor versluierde VPN-diensten waarmee je VPN-blokkades kunt omzeilen. Oplossingen als Surfshark, NordVPN en ExpressVPN brengen je snel bij een versluierde server, maar kosten geld. Een alternatief is om de eerste drie methoden uit deze lijst te gebruiken op een eigen server en zo een versluierde VPN zelf te hosten. Een VPS is daarvoor zeer geschikt: je configureert je server snel, kiest je eigen setup en locatie, en dat alles voor een lage prijs.
Cloudzy biedt veelzijdige VPS-pakketten met meer dan 12 locaties, zodat je je eigen locatie kunt kiezen met zeer lage latency en standaard anti-DDoS-beveiliging. Je kunt een betaalbare optie gebruiken, zoals Linux VPSom je eigen versluierde OpenVPN-server, evenals Shadowsocks-serversop te zetten. Je kunt het ook gebruiken voor een reverse proxy met Wireguard.
Veelgestelde vragen
Is een obfuscated VPN trager dan een gewone VPN?
Niet per se. De effecten van versluiering zijn niet precies gedocumenteerd en verschillen per server. Er bestaat dan ook geen universeel antwoord. Dat gezegd hebbende, kan versluiering in veel gevallen leiden tot een tragere VPN-verbinding.
Is een obfuscated VPN minder veilig dan een gewone VPN?
Ook op deze vraag is geen eenduidig antwoord mogelijk. Sommige versluierde VPN-diensten offeren hun versleutelingsprotocol op om niet door firewalls te worden gedetecteerd, maar veel andere opties doen dat niet en blijven daardoor veilig voor de gebruiker.
Wat is de meest betrouwbare obfuscated VPN?
Over het algemeen geldt: als je geen versluierde VPN-pakketten wilt afnemen van kant-en-klare aanbieders als NordVPN, ExpressVPN of Surfshrak, dan is je beste keuze om TLS of een SSL-tunnel op OpenVPN te gebruiken voor OpenVPN-versluiering.
Welke VPN heeft obfuscated servers?
Naast betaalde opties als ExpressVPN, Surf Shark en NordVPN zijn er ook zelfconfigureerbare opties: OpenVPN, Obfsproxy en Shadowsocks.
Moet ik een obfuscated VPN gebruiken?
Dit hangt sterk van je situatie af. Als je overheid de toegang tot het vrije internet en VPN-diensten heeft geblokkeerd, heb je weinig keuze. Maar als je een VPN alleen gebruikt voor extra beveiliging, kies dan voor een gewone VPN, want die biedt doorgaans betere snelheden.
Wat is Obfs4?
Obfs4 is de naam van het Tor-protocol waarmee je de Tor-bridgeservice kunt gebruiken zonder dat dit wordt gedetecteerd door ISP-firewalls en andere controlerende systemen. Met Obfs4 kun je Obfsproxy en Tor-bridges onopgemerkt gebruiken, wat in de praktijk werkt als een versluierde VPN.
