Mastodon Mastodon Mastodon Systeemkabouter blog archive – Mijn privacy online beter beschermen, poging #666

Mijn privacy online beter beschermen, poging #666

Posted on do 31 oktober 2024 in homenetwork

Je privacy online beschermen met alleen techniek is veel werk. En als je het goed doet, gaat het ook nog aardig ten koste van je gebruiksgemak. Je moet namelijk allerlei dingen laten, omdat ze ronduit niet te verenigen zijn met een werkelijke wens om enige vorm van privacy/discretie te verkrijgen terwijl je digitaal dingen doet.

Daarom ben ik al jaren geleden tot de conclusie gekomen, dat de enige manier om privacy goed te regelen voor iedereen en zijn moeder, regelgeving is. Daar heb ik me dan meestal op gericht: Geld storten naar de juiste organisaties die zich hard maken voor fatsoenlijke rechten voor individuen ten opzichte van de overheid en Big Tech. None Of Your Business (noyb), Bits Of Freedom en Privacy First schieten me direct binnen.

En als Europees burger zit ik nog relatief goed met de Algemene verordening gegevensbescherming (AVG) en Digital Markets Act (DMA).

Maar goed, voordat alles goed ingeregeld is, er voldoende gehandhaafd is om de massa aan bedrijven te doen bewegen etc, zijn we wel weer wat jaren verder.

En ondertussen lek je op grote schaal gegevens naar zo'n beetje elke partij die data verzameld op het Internet

TENZIJ je dus veel tijd stopt in het filteren van je verkeer. En dat heb ik al een paar keer geprobeerd, maar meestal strand het op het vlak van te veel werk of niet flexibel genoeg.

Dus dit wordt poging #666 om er toch nog wat aan te doen. Het is technisch geen heel ingewikkelde en ik kan het mezelf op termijn moeilijker of makkelijker maken.

Gewoon een proxy server jongen!

Voor mijn homelab heb ik vorig jaar een OpenBSD virtual machine ingericht met daarop gewoon Squid proxy. Dit om al het uitgaand verkeer vanuit de verschillende homelab netwerken centraal te kunnen regelen.

Op deze Squid instance heb ik per netwerk / source een simpel lijstje van domeinnamen die zijn toegestaan. Dus pure allow/whitelisting. Voor een testnetwerk met beperkte functionaliteit prima te doen. Per testnetwerk heb ik denk ik lijstje met tussen de vijf en vijftien domeinnamen. Overzichtelijk en simpel.

Als voorbeeld de allowlist voor het netwerk waarin test.mastodon.nl draait:

bash-5.2# cat fedilab_allowed.txt
.lutra.it
.mastodon.nl
ftp.nl.debian.org
security.debian.org
repo.zabbix.com
dl.yarnpkg.com
repo.yarnpkg.com
www.postgresql.org
registry.npmjs.org
apt.postgresql.org
artifacts.elastic.co
github.com
cache.ruby-lang.org
rubygems.org
index.rubygems.org
deb.nodesource.com
registry.yarnpkg.com

Maar als je gewoon random een beetje rondklikt op Internet, dan wordt die lijst heel erg lang. En dat is dus veel werk. Maar ik ga het nu toch proberen. Dit gaat op twee manieren, om het een beetje flexibel te houden:

  • De regels gelden alleen op mijn thuisnetwerk. Zodra een device op 5G of een ander Wifi netwerk gaat werken, valt de filtering weg. Niet 100% dekkend, maar wel makkelijk om even snel iets te kunnen opzoeken zonder dat je je allowlist direct aan moet passen.
  • Als zoekmachine gebruik ik voornamelijk startpage.com. Deze is dus al toegestaan. Als ik een random site wil bezoeken uit een zoekresultaat, dan kan ik via startpage.com de pagina op laten vragen, waardoor mijn allowlist niet aangepast hoeft te worden.

Omdat dit 'gewoon' een webproxy in mijn netwerk is, hoef ik niet per device allerlei dingen in te stellen. Alleen een proxy instellen voor mijn huis wifi netwerk en klaar. Vooralsnog heb ik alleen een allowlist voor eigen gebruik, mogelijk dat er later nog specifieke versies komen voor inwonende kinderen.

Als het lukt om de allowlist zo goed te krijgen dat ik nog maar zelden onterecht een blokkade tref, dan zal ik ook de stap zetten om buitenshuis via mijn wireguard VPN de proxy te gebruiken op mijn mobiele devices.