Blog over (financieel) bewust leven

Label: openwrt

Operatie Data Footprint

Je kunt wel zeggen dat ik de smaak te pakken heb. Nadat ik uitgebreid nagedacht heb over mijn privacy op internet ben ik aan de slag gegaan. Allereerst met mijn Gmail en de privacy-instellingen van de apps die ik gebruik. En ik heb ook geschreven over mijn strijd om de ommuurde tuinen van Google, Facebook, Apple en Microsoft te ontvluchten. Tenslotte heb ik ook gekeken naar mijn gebruik van Evernote. Maar daar blijft het niet bij. Mijn persoonlijke data footprint is een belangrijk onderwerp geworden voor mij.

In deze blogpost dan ook een overzicht van alle maatregelen die ik totnogtoe genomen heb, met de nodige achtergrondinformatie. En ook een overzicht van wat ik nog van plan ben. Deels zijn deze maatregelen al eerder genomen, maar meld ik ze voor de compleetheid van het overzicht. Maar grotendeels zijn ze onderdeel van de huidige Operatie Data Footprint.

Genomen Maatregelen

Mijn internetbrowser is vervangen. Ik ben gemigreerd van Google Chrome naar Mozilla Firefox. Dat was een eenvoudige stap. Ik kon al mijn favorieten uit Chrome automatisch importeren in Firefox. En ook Firefox ondersteunt synchroniseren over al je apparaten heen, dus ik heb op mijn laptop, smartphone en tablet dezelfde favorieten en instellingen. Ik ben erg tevreden over de snelheid en het gebruikersgemak van Firefox.

Voor het zoeken op internet ben ik overgestapt van Google naar DuckDuckGo. Deze zoekmachine garandeert dat ze je niet volgen en geen informatie over je verzamelen. Ik heb met mijzelf afgesproken dat ik eerst het veiliger alternatief gebruik, dus DuckDuckGo. Pas als ik daarmee niet kan vinden wat ik zoek, dan mag ik van mezelf ‘even terug naar Google’. Maar tot nu toe heb ik dat niet nodig gehad.

Mijn accounts en wachtwoorden staan nu opgeslagen in KeePass en zijn via de Strongbox app toegankelijk op mijn smartphone en tablet. Al mijn wachtwoorden worden nu met sterke beveiliging aangemaakt en beheerd. Overal waar mogelijk 2-factor authenticatie, vaak via een authenticatie-app op mijn mobiele telefoon. Daarvoor gebruik ik tegenwoordig Authy, waar ik eerder Google Authenticator gebruikte. Over de inrichting van KeePass heb ik een aparte blogpost geschreven. En Tweakers had onlangs een goed artikel over de toekomst van het wachtwoord, met een goed overzicht van maatregelen die je nu al kunt nemen.

Al mijn e-mail loopt nu via mijn eigen domein. Alle accounts zijn omgeschakeld vanaf mijn Gmail-adres. De accounts bij Microsoft, Google en Apple zijn er alleen nog vanwege de noodzaak voor toegang tot diensten (Office 365, AdSense en iCloud). Voor het bijhouden van mijn e-mail gebruik ik Mozilla Thunderbird als mailclient, met de Lightning add-on voor agendabeheer en TBsync voor de synchronisatie van mijn adresboek en agenda.

Mijn zoektocht naar het adresboek en de agenda heb ik uitgebreid beschreven in mijn blogpost over de ommuurde tuinen. Ik kom er zeker op terug zodra ik dit over kan brengen naar mijn eigen server. Vooralsnog is het in elk geval weg bij het vermijdbare Google, en staat het bij het vooralsnog onvermijdbare Apple.

Mijn router en firewall draaien al een tijdje op OpenWRT. Hoe dat zo gekomen is heb ik eerder in een uitgebreide (en veelgelezen) blogpost beschreven. Ik heb wel een nieuwe functie toegevoegd, namelijk het actief blokkeren van IP adressen via de firewall. Zo heb ik alle IP-adressen uit China geblokkeerd met een ‘geo-block’, en als ik in de log van mijn server zie dat er geprobeerd is om deze te benaderen wordt het betreffende IP-adres ook toegevoegd aan de blokkadelijst.

Mijn server is in dit proces een stuk belangrijker geworden. Met SSL en een VPN-verbinding is die goed beveiligd. Belangrijkste taak blijft het verzorgen van de dagelijkse back-up. Maar de bedoeling is ook zeker om mijn adresboek en agenda hier zo snel mogelijk onder te brengen!

Ergens in dit proces realiseerde ik me ook dat ik ooit in de eerste de beste synchronisatie-oplossing ben gestapt die ik kon vinden en die werkte voor mij. Ik draai SyncBack om mijn laptop te synchroniseren met mijn server. Maar ook die oplossing is closed source. Terwijl er ook open-source oplossingen zijn zoals FreeFileSync.

Verder heb ik kritisch gekeken naar mijn websites. Geldnerd draait op een eigen WordPress installatie bij mijn hostingprovider en is voorzien van extra beveiliging, die er onder meer voor zorgt dat de software en de plugins up-to-date blijven. Sowieso is het bijwerken van mijn software een wekelijks ritueel in Geldnerd HQ. Oude software met kwetsbaarheden is een belangrijke bron van beveiligingsproblemen. Daarnaast heb ik nog een andere website actief. Die draait op Joomla, ook een prima open-source contentmanagement-systeem. Maar wel iets ingewikkelder, en ik gebruik het minder vaak. Kennis over twee systemen bijhouden kost meer tijd dan kennis over één systeem. En standaardisatie maakt sites beter te onderhouden. Ik ben dus bezig om mijn andere website te migreren naar WordPress.

Verder heb ik documentatie gemaakt, oftewel uitgeschreven hoe ik bepaalde onderdelen van mijn netwerk heb ingericht en waarom. Verder maak ik nu zoveel mogelijk back-ups van de instellingen van bijvoorbeeld mijn router en servers. Daarmee zijn ze, mocht er ooit iets misgaan, snel weer te herstellen. Waar ik ook meer over nadenk: Het is fijn om jezelf afhankelijk te maken van specifieke software, maar hoe kom je er ooit weer vanaf? Zo heb ik me een tijdje geleden al gerealiseerd dat mijn spreadsheets prachtig zijn en me heel veel opleveren, maar dat ze er ook voor zorgen dat ik nog een tijdje aan Microsoft vastzit. Maar wat is mijn exitstrategie als bepaalde software wegvalt? Ook daar denk ik over na.

Open-source software

Een van de belangrijkste onderdelen van mijn ‘data footprint’ strategie is het gebruik van zoveel mogelijk open-source software (OSS). Dat is niet alleen omdat het meestal gratis is. Maar het heeft alles te maken met transparantie. Iedereen kan de broncode van OSS controleren. Dat verkleint de kans dat er verborgen achterdeurtjes of risico’s in de software zitten, en verbetert de kwaliteit van de software. Dat is iets dat ik extra belangrijk vind voor software die met mijn persoonlijke gegevens omgaat.

Jarenlang gebruik ik al naar volle tevredenheid GIMP voor het bewerken van foto’s en afbeeldingen, en Calibre voor het beheer van mijn e-book collectie. Filezilla wordt gebruikt voor het beheer van de ‘achterkant’ van mijn websites, en SumatraPDF als PDF-reader. En Mozilla Thunderbird is al heel lang mijn e-mail client, en die gebruik ik ook voor de agenda. En laat ik ook mijn router niet vergeten, die al vanaf dag 1 op OpenWRT draait. Ook de beveiligingscertificaten van mijn servers komen uit de open-source hoek, via Let’s Encrypt. Daar hoefde ik overigens weinig voor te doen, dat wordt gewoon ondersteund door mijn servers en was een kwestie van één druk op de knop.

Operatie ‘data footprint’ heeft deze collectie op een paar belangrijke punten uitgebreid. Als internetbrowser gebruik ik nu alleen maar Mozilla Firefox. En Keepass is mijn wachtwoordmanager. FreeFileSync heeft de synchronisatie van bestanden tussen mijn laptop en mijn server overgenomen van SyncBack. Drie essentiële functies die zijn overgenomen door OSS.

Nog te doen

Ik heb nog drie belangrijke applicaties die niet open-source zijn. Maar voor alledrie kijk ik naar open-source opties. Kansen liggen er nog bij de vervanging van Evernote, al is mijn eerste poging om over te stappen naar de open-source oplossing Standard Notes niet succesvol geweest. Verder gebruik ik nog Apple iTunes voor het beheer van mijn muziekcollectie en het maken van back-ups van mijn smartphone en tablet. Maar met de opkomst van streaming services gaat het bergafwaarts met de iTunes-alternatieven.

Tsja, en dan Office 365. Met dank aan mijn Excel spreadsheets met macro’s zit ik daar nog even aan vast. Met jaarlijkse abonnementskosten. Terwijl ik het best wel graag zou vervangen door LibreOffice, die eigenlijk ook alles doet wat ik nodig heb. Maar die spreadsheets….

En ik weet niet hoe het met jullie is, maar ik gebruik online kaarten en navigatiemogelijkheden dus best wel vaak. Om iets op te zoeken, een trip te plannen, dat soort dingen. Ik heb ook allerlei eigen kaarten. Met wandeltochten, zeilreizen, maar ook bijvoorbeeld met mooie locaties in het Verre Warme Land die ik niet wil vergeten. Maar ja, die kaarten staan wel weer bij Google. Een van de tips bij mijn vorige blog was om Google Maps te vervangen door OpenStreetMap. Dat ben ik serieus aan het onderzoeken. De conversie van mijn eigen kaarten lijkt vrij eenvoudig. Wat ik nog wel lastig vind is het vinden van een goede app voor OpenStreetMap op iOS. Want het grootste deel van mijn gebruik vindt op mijn smartphone plaats. En nee, ik ben niet meteen enthousiast over apps die door Russen of Chinezen gebouwd worden…

Onafhankelijk van Big Tech?

Hoe zit het dan met mijn afhankelijkheid van de traditionele grote ‘techreuzen’?

Bij Google gebruik ik alleen nog Maps en AdSense. Google Search komt alleen nog in beeld als de alternatieven niets opleveren. Mijn voorkeurszoekmachine is op alle apparaten nu DuckDuckGo. In mijn Google Dashboard heb ik zoveel mogelijk gegevens verwijderd. Ook Google Contacts en Google Agenda heb ik gewist, uiteraard nadat ik de gegevens heb overgebracht naar een nieuwe bestemming. Gmail is er alleen nog vanwege AdSense, en om het adres ‘gereserveerd’ te houden

Van de vrienden van Facebook gebruik ik alleen nog Whatsapp. Signal heeft de voorkeur, maar daar is helaas nog lang niet iedereen met wie ik contact heb van overtuigd..

Microsoft is nog onvermijdelijk vanwege het gebruik van Office 365 en Windows 10. Het gebruik van hun online OneDrive lijkt daardoor vooralsnog ook onvermijdelijk. Effectief heb ik hier een ‘lock-in’ totdat ik mijn spreadsheets ergens anders naartoe gemigreerd heb.

En Apple is onvermijdelijk vanwege mijn smartphone en tablet. Ik maak geen online back-up en ook mijn foto’s worden niet in de iCloud opgeslagen. Back-ups maak ik lokaal via iTunes, en die worden gesynchroniseerd op mijn server. Voorlopig staan bij Apple wel mijn adresboek en agenda.

Mijn afhankelijkheid is dus fors verminderd, maar helemaal vrij van Big Tech ben ik nog zeker niet!

Tenslotte

Het was een hele klus. Maar ik ben blij dat ik het gedaan heb. Het heeft me vooral verbaasd hoe naïef ik lang geweest ben met mijn eigen wachtwoordenbeleid. Goed, mijn wachtwoorden waren dan misschien niet ‘123456’ of ‘password’, maar heel erg ingewikkeld waren de meeste ook niet… De kans is een stuk kleiner geworden dat kwaadwillenden door te gokken of door een brute-force attack mijn accounts binnenkomen. Er zijn ook minder accounts om binnen te komen, dat helpt ook.

Tsja, en als dat me zou lukken, om die drie closed source pakketten te vervangen? Dan kan ik misschien ook maar beter stoppen met Microsoft Windows 10 en overstappen op Linux.

Heb jij voldoende aandacht voor jouw informatiebeveiliging en jouw privacy?

PS: Overdreven reactie? Kijk nog eens naar de uitzending van VPRO Tegenlicht van zondag 27 oktober 2019, over De Grote Dataroof.

Een brug slaan met ZIGGO

Ja, ik ben klant van ZIGGO. Niet helemaal vrijwillig, maar de dingen gaan zoals ze gaan. Voor de deur van Geldnerd HQ ligt geen glasvezel, en onze positie ten opzichte van de centrale is dusdanig dat ADSL ook niet echt een aanbevelenswaardige optie is (tenzij je ervan houdt om naar zandlopertjes te kijken). Dan blijft kabel over. Of geen internet, maar dat is geen optie meer anno 2018. Dan zou ik de wereld ook niet meer met mijn schrijfsels kunnen bestoken.

En veel mensen weten het niet, maar het modem van je internetprovider heeft meestal 5 functies. De eerste is het vertalen van het internetsignaal van het Coax / Telefoon / Glasvezel netwerk. De tweede is Router, zeg maar hoofdkwartier van je eigen netwerk en verbinding tussen het internetsignaal en jouw interne netwerk. Dan ook nog de Firewall, de beveiliging tussen jouw netwerk en het grote boze internet. Als vierde Switch, die regelt de communicatie tussen verschillende onderdelen van je netwerk. Bijvoorbeeld tussen twee laptops, van een PC naar een printer, van jouw browser naar het internet, of van een server naar je Smart TV. En tenslotte is het modem vaak ook nog een WIFI access point, het is een zender en ontvanger voor jouw WIFI-netwerk in huis.

Al die functies in een klein kastje. Dat betekent concessies doen, het ding kan alles een beetje maar is nergens echt goed in. En de provider zet meestal ook zoveel mogelijk dingen dicht, zodat ‘wij onwetende gebruikers’ niks per ongeluk stuk kunnen maken. De gemiddelde gebruiker heeft er geen last van, maar zodra je iets meer wilt loop je tegen de grenzen aan. Houd dat goed in gedachten als je verder leest… Ik heb geprobeerd mijn nerdervaringen zo toegankelijk mogelijk op te schrijven…

Een van de belangrijke dingen waar ik de internetverbinding voor gebruik is mijn backup. Mijn laptop synchroniseert automatisch met mijn server, en die synchroniseert elke nacht met een tweede server op een andere locatie. Op die manier raak ik nooit iets kwijt, een essentiële randvoorwaarde als je je leven vrijwel helemaal digitaal maakt.

Dat synchroniseren werkte al een aantal jaren probleemloos. Eerst vanuit het Verre Warme Land naar Nederland, en de afgelopen anderhalf jaar van Geldnerd HQ naar de backup-locatie. Totdat het er opeens mee ophield. De ene nacht deed ‘ie het nog probleemloos. En de nacht daarop niet meer. Dat merk ik vrij snel, mijn server meldt het namelijk keurig op mijn smartphone als er iets niet volgens plan gaat.

En dan begint het mooie proces dat ‘troubleshooten’ heet. Eerst heb ik een noodverband gelegd. Mijn meest essentiële bestanden heb ik dagelijks laten synchroniseren met ‘de cloud’, waar ik eigenlijk helemaal geen fan van ben. Ook backupte ik even wekelijks naar een externe USB schijf.

Daarna boog ik mij over het Raadsel van de Niet-Synchroniserende Servers. Eerst dacht ik dat het aan de servers zelf lag. Of meer specifiek, aan de software die de synchronisatie regelt. Maar toen ik de backup-server van de externe locatie naar Geldnerd HQ haalde, werd het raadsel steeds groter…

Toen ik de servers naast elkaar zette, en beide aansloot op de switch in mijn werkkamer (1), was er geen enkel probleem met de synchronisatie. Het lag dus niet aan de servers of aan de synchronisatiesoftware. Maar vervolgens sloot ik een van de beide servers aan op een netwerkpoort van mijn ZIGGO modem (3), en de andere op de switch. En deed de synchronisatie het niet meer. Toen ik beide servers aansloot op mijn modem (2), ook niks. Het leek er dus op dat het aan mijn modem lag.

Dus contact gezocht met ZIGGO. Die me keurig en gratis een nieuw modem stuurden. Dat keurig werkte toen ik ‘m aansloot, en ook nog eens zorgde voor een IPv6 adres. Maar vervolgens sloot ik een van de beide servers aan op een netwerkpoort van mijn nieuwe ZIGGO modem, en de andere op de switch. En deed de synchronisatie het nog steeds niet. Toen ik beide servers aansloot op mijn nieuwe modem, ook niks. Het nieuwe modem had dus niets opgelost.

Dus heb ik mijn probleem maar eens uitgebreid opgeschreven en gepost in de ZIGGO Community, waar de klanten van ZIGGO elkaar proberen te helpen met problemen waar de helpdesk blijkbaar niet uitkomt. Daar bleef het aanvankelijk angstvallig stil.

Na een weekje kwamen er toch een aantal reacties. Niemand die precies kon aanwijzen waar het aan lag. Maar wel een ernstig vermoeden dat de switch, het gedeelte dat dus het verkeer tussen onderdelen van mijn netwerk regelt, in het modem van ZIGGO zich na een recente firmware-update niet (meer) gedraagt als een normale switch. Alles wat niet ‘standaard’ is wordt automatisch geblokkeerd. En mijn servers, en de ‘kanalen’ die ik gebruik om ze te laten communiceren, zijn niet echt standaard.

Goed. Hoe nu verder? Er was eigenlijk maar één mogelijke oplossing. Een nogal drastische. Je kunt ZIGGO vragen het modem in ‘bridge’ modus te zetten. Dan worden alle functies uitgeschakeld, behalve het doorgeven van internetverkeer. Want je kunt in het ZIGGO-modem niet even naar de instellingen van de switch om ‘m te vertellen wat hij wel en niet moet doorlaten. Dat heeft meneer ZIGGO keurig dichtgespijkerd.

Alles uitschakelen dus, behalve het doorgeven van internetverkeer. Dat betekent wel dat je voor de andere vier functies (router, firewall, switch en WIFI) een ander apparaat of andere apparaten nodig hebt. En daar ging het nerdhart van Geldnerd sneller van kloppen.

Een switch staat er ook al in de studeerkamer overigens, want daar staan nu de servers en de printer. En in ons huis hangen ook twee WIFI toegangspunten, om ervoor te zorgen dat we overal goede dekking hebben. Maar ik houd er wel van om dingen dubbel uit te voeren, zodat alles niet meteen onderuit gaat als er een component stuk gaat. Ik heb dus een goede router uitgezocht, die deze functies combineert.

En die router ben ik ook niet standaard in gaan zetten. Veel leveranciers werken de firmware, het besturingssysteem van zo’n router, niet vaak bij. Ook niet als er nieuwe lekken gevonden worden. En na een paar jaar houden ze er sowieso mee op. Koop maar een nieuwe router, denken ze dan. Ik heb dus, zodra de router uit de doos kwam, er een ander, open-source, besturingssysteem op gezet. De keuze is gevallen op OpenWRT. Wordt vaker bijgewerkt, en biedt voor de geavanceerde gebruiker veel meer instellingsmogelijkheden. Dat vond ik nog wel even spannend, want als het per ongeluk zou mislukken om dit systeem erop te zetten, dan is de router waardeloos (‘bricked’) en de garantie vervallen. Maar dat ging helemaal soepel en zonder problemen.

De router heb ik stand-alone neergezet, los van het netwerk thuis maar met alleen mijn laptop eraan. Ik heb ‘m helemaal ingesteld en getest. Toen alles naar behoren werkte, heb ik de router bij het modem geplaatst. Klaar voor de volgende stap.

Allereerst heb ik ZIGGO gevraagd om terug te gaan van IPv6 naar IPv4. Dit omdat je in IPv6 geen mogelijkheden hebt om individuele poorten, zeg maar ‘kanaaltjes’ tussen jou en het internet, open en dicht te zetten in de Firewall. En dat heb ik wel nodig om mijn servers te laten communiceren met de backup-locatie. Dat was in 5 minuten geregeld, het modem resette zichzelf, en alles draaide verder zoals het was. Een paar dagen later heb ik ZIGGO gevraagd om het modem in bridge-modus te zetten. Dat kun je bij de meeste modems niet zelf, maar de Helpdesk kan dat op afstand regelen. Ook dat was een kwestie van één telefoontje. Dat heb ik gedaan terwijl ik op kantoor was. Spannend wat ik aan zou treffen bij thuiskomst….

Bij thuiskomst heb ik eerst de netwerkkabel uit het modem gehaald en het modem nog een keer gereset. Daarna heb ik de netwerkkabel van de nieuwe router gekoppeld aan mijn netwerk, en de netwerkkabel van het modem verbonden met de router. Router aangezet, en ‘m even rustig de kans geven om op te starten, en alle componenten in het netwerk te vinden. En hoera, ik had een keurige internetverbinding en werkend WIFI-netwerk. De nazorg kostte me nog wel een avondje. De servers handmatig een nieuw IP-adres, de Sonos-speakers vertellen dat ze in een nieuw netwerk zaten, dat soort dingen. Uiteindelijk lag onze printer/scanner het meeste dwars. Daarvoor moest ik de driver opnieuw installeren om ‘m weer aan het draaien te krijgen.

Tsja. En dan de ultieme vraag… Zorgt dit er nu voor dat alles weer werkt? Allereerst heb ik de test binnen het eigen netwerk uitgevoerd. Eén server aan de router, en één server aan de switch. Met mijn ogen dicht klik ik op de synchroniseren-knop… Daarna is het even afwachten.

En het werkt! Een paar honderd euro, een aantal uren werk en een maandje doorlooptijd verder. Maar het werkt. En tegelijkertijd mijn langgekoesterde wens van een betere beveiliging van het thuisnetwerk vervuld. En mijn imago als nerd weer een flinke boost gegeven! Nu moet ik alleen de backup-server nog terugverhuizen naar de externe locatie, dan kan ik kijken of dat ook weer werkt. Maar ik heb er alle vertrouwen in.

Heb jij wel eens issues met je netwerk thuis?

© 2020 Geldnerd.nl

Theme by Anders NorenUp ↑