Je kunt de nieuwste versie van de PIA Mac OS X-app downloaden van de clientdownloadpagina van hun website. Ga naar de bovenkant van de site en klik op “Ondersteuning” en vervolgens “Client downloaden & Ondersteuning”. Nu wilt u op de knop “Download” klikken in het Mac OS X-vak op de pagina die u wilt volgen. Dit zal een dialoogvenster openen waarin u het Mac OS X-clientinstallatieprogramma (.DMG-bestand) op uw computer kunt opslaan. De Mac OS X-client vereist OS X 10.8 of nieuwer. De clientconfiguratiepagina heeft ook handmatige installatiehandleidingen om Mac OS X te configureren om hun service te gebruiken met OpenVPN, Viscosity, L2TP / IPsec + PSK, en als laatste redmiddel als niets anders PPTP werkt.
Zodra de client naar uw computer is gedownload, opent u het .DMG-bestand en dubbelklikt u op de Private Internet Access Installer.app. Zodra de installatie-app is voltooid, ziet u een scherm dat lijkt op het onderstaande scherm.
Voer uw “gebruikersnaam” en “wachtwoord” in uw welkomstmail in. Als u uw wachtwoord bent vergeten, kunt u op de optie “wachtwoord vergeten” klikken om het proces te starten om het opnieuw in te stellen. U kunt er ook voor kiezen om de volgende basisopties in te stellen:
- Start de applicatie bij inloggen – Hierdoor wordt de client gestart zodra u inlogt op uw computer.
- Auto-Connect wanneer app wordt gestart – Hiermee wordt automatisch verbinding gemaakt met de door u gekozen locatie wanneer de client start.
- Regio – Hiermee kunt u het land kiezen waarmee u automatisch verbinding wilt maken. Indien ingesteld op auto, zal het u verbinden met de snelste server op basis van uw huidige locatie.
Nadat u deze basisopties heeft ingesteld, klikt u op de knop “Opslaan” en de client wordt gestart. We zullen de geavanceerde opties later in deze sectie bespreken. De client heeft geen grafische gebruikersinterface. Het laadt eenvoudig als een pictogram in de menubalk en ziet eruit als de afbeelding links onderaan. Als u op het pictogram klikt, wordt een lijst met locaties weergegeven waarmee u verbinding kunt maken. Let op, “Disconnect” is uitgegrijsd maar “Connect” en alle locaties zijn selecteerbaar. Dit geeft aan dat u momenteel niet verbonden bent. De middelste afbeelding laat zien dat er andere locaties zijn waarmee u verbinding kunt maken door “Meer” te selecteren. Als u “Connect” selecteert, wordt u verbonden met onze laatst gebruikte locatie. Als u op een van de regio’s klikt, wordt u met die locatie verbonden. De laatste afbeelding illustreert hoe de client eruit ziet wanneer u bent verbonden met het Private Internet Access-netwerk. Merk op dat “Disconnect” de enige keuze is die je hebt. Het vinkje naast het pictogram geeft ook aan dat u momenteel bent verbonden met het PIA-netwerk.
Er zijn nog een paar lijstitems in de hierboven getoonde client. Het laatste lijstitem “Afsluiten” verbreekt uw verbinding en sluit de client af. De tweede, “Send Slow Speed Complaint”, laat de technische ondersteuningsmedewerkers van PIA weten dat ze een probleem hebben. De eerste is “Instellingen” waarmee het instellingenvenster wordt geopend dat we aan het begin van deze sectie hebben bekeken. We gaan nu dieper in op de geavanceerde functies die de PIA-client biedt. Deze zijn toegankelijk door op de knop “Geavanceerd” te klikken op het standaard login-instellingenscherm dat we eerder hebben onderzocht.
De twee schermen met geavanceerde instellingen worden hieronder weergegeven. Degene die we eerst willen onderzoeken, is rechts onderaan. Dit is het scherm met geavanceerde instellingen voor verbindingen. De instellingsopties die u kunt kiezen, zijn als volgt:
Connectie type – Er zijn twee soorten verbindingen mogelijk met het OpenVPN-protocol via IP.
- UDP – Dit is het User Datagram Protocol dat wordt gebruikt met verbindingen met lage latentie en dat enig verlies in pakketten kan tolereren. Dit is het standaard OpenVPN-protocol voor de PIA Mac OS X-client en het beste voor de meeste gebruikers. Het hoeft niet te controleren op pakketvolgorde of verlies, maar kan desgewenst een checksum uitvoeren.
- TCP – Dit is het Transfer Control Protocol en is goed voor verbindingen met hoge latentie en verbindingen die geen verlies tolereren. Het biedt foutcontrole voor pakketvolgorde en verlies en verzendt pakketten indien nodig opnieuw. Dit maakt het langzamer vanwege de extra overhead die gepaard gaat met foutcontrole en het opnieuw verzenden van pakketten in de juiste volgorde.
- Externe poort – Hiermee kunt u de externe poort kiezen om gegevens doorheen te tunnelen.
- Port 1194 – Dit is de standaard OpenVPN-poort.
- Poort 8080 – Dit is de alternatieve poort voor poort 80 voor HTTP-webservices. Het wordt vaak gebruikt voor proxy-poort.
- Poort 9201 – Dit is de poort die wordt gebruikt voor WAP-services (Wireless Application Protocol) op mobiele apparaten.
- Poort 53 – Dit is de poort die door DNS wordt gebruikt voor verzoeken.
- Lokale haven – Hiermee kunt u een lokale poort instellen om gegevens te verzenden, die vervolgens worden omgeleid naar de externe poort.
- Port forwarding – Als u dit inschakelt, kunt u een applicatie instellen waarmee externe gebruikers er verbinding mee kunnen maken. De externe gebruikers moeten de apparaatnaam en het poortnummer kennen om er succesvol verbinding mee te kunnen maken.
- Port forwarding is alleen via de volgende gateways: CA Toronto, CA North York, Nederland, Zweden, Zwitserland, Frankrijk, Duitsland, Rusland, Roemenië en Israël.
- Nadat u poort doorsturen en opnieuw verbinden heeft ingeschakeld, plaatst u de muis op het menupictogram om het poortnummer te zien dat u in uw toepassing wilt plaatsen.
- Dit vermindert uw privacy.
- VPN kill-schakelaar – Eenmaal ingesteld, wordt hiermee al het internetverkeer van het apparaat uitgeschakeld als de VPN-verbinding wordt verbroken.
- Het herstelt het internetverkeer zodra de verbinding opnieuw wordt opgestart.
- Als u de kill-schakelaar uitschakelt of de VPN-client afsluit, wordt ook de normale internetwerking hersteld.
- IPv6-lekbescherming – Hierdoor wordt een IPv6-verzoek tijdens het gebruik van de VPN uitgeschakeld.
- Kleine pakketjes – Dit brengt de gegevens over in kleinere pakketten die sommige netwerkproblemen met een firewall of setups kunnen oplossen.
De links onder port forwarding, VPN kill switch en IPv6-lekbescherming brengen je naar gidsen op de Private Internet Access-website met meer gedetailleerde informatie over die specifieke instelling. Als u op de knop “Encryption” in de afbeelding linksonder klikt, worden de verbindingsinstellingen vervangen door de coderingsopties zoals weergegeven in de afbeelding rechtsonder.
Het versleutelingsscherm heeft de volgende instellingen die u kunt wijzigen:
- Data encryptie – Dit is de codering die wordt gebruikt om al uw internetverkeer te coderen en te decoderen zodra de initiële veilige tunnel tussen uw computer en een PIA-server tot stand is gebracht.
- AES-128 – Advanced Encryption Standard (AES) is het door het National Institute of Standards and Technology (NIST) gekozen protocol en het protocol dat door de Amerikaanse regering wordt gebruikt voor enkele geheime documenten. Deze gebruikt AES-128 CBC (Cipher Block Chaining) met een 128-bits sleutel en zou voor de meeste toepassingen de beste prestaties moeten bieden.
- AES-256 – Dit gebruikt hetzelfde versleutelingsalgoritme als hierboven. AES-256 CBC gebruikt een 256-bits sleutel en is dus veiliger en langzamer. Dit wordt door de Amerikaanse regering gebruikt voor enkele zeer geheime documenten.
- Blowfish – Dit gebruikt Blowfish-128 CBC met een 128-bits sleutel als alternatief voor AES. Dit is een veilig algoritme en was een van de nummer twee in de NIST-standaardcompetitie.
- Geen – Dit versleutelt uw gegevens niet en wordt niet aanbevolen omdat het alleen uw IP verbergt en dus betekent dat de VPN wordt gebruikt als een pseudo-proxy. U bent vatbaar voor passieve aanvallen waarbij uw gegevens zonder uw medeweten door een derde partij worden geregistreerd. Dit kan worden gebruikt om geoblokken te verwijderen.
- Gegevensverificatie – Dit verwijst naar het algoritme dat al uw gegevens verifieert om te beschermen tegen actieve aanvallen (aanval waarbij een entiteit pakketten toevoegt aan of verwijdert uit uw bericht).
- SHA1 – Dit gebruikt HMAC (Key-Hash Message Authentication Code) met een 160-bits sleutel.
- SHA256 – Dit maakt gebruik van HMAC met een 256-bits sleutel en is dus langzamer.
- Geen – Dit stelt u open voor actieve aanvallen of Man-in-the-Middle (MitM) van externe bronnen waar de aanvaller uw bericht onderschept en vervolgens verandert voordat het zonder uw medeweten op de VPN-server wordt verzonden.
- Handdruk – Dit is het algoritme dat de initiële veilige verbinding tot stand brengt en verifieert dat u met een PIA VPN-server praat en niet met een bedrieger. Vandaar de naam handdruk. Private Internet Access gebruikt Transport Secure Layer v1.2 (TSL 1.2) voor deze verbinding en alle certificaten zijn ondertekend met SHA512.
- RSA-2048 – Dit maakt gebruik van een 2048 bit Ephemeral Diffie-Hellman (DH) sleuteluitwisseling en 2048bit RSA-certificaat voor verificatie.
- RSA-3072 – Dit gebruikt hetzelfde algoritme als hierboven met 3072 bit voor zowel sleuteluitwisseling als RSA-certificaat.
- RSA-4096 – Dit gebruikt hetzelfde algoritme als hierboven met 4096 bit voor zowel sleuteluitwisseling als RSA-certificaat.
- ECC-256k1 – Ephemeral Elliptic Curve DH sleuteluitwisseling en een Elliptic Curve Digital Signature Algorithm (ECDSA) certificaat voor verificatie. Curve secp256k1 (256bit), de curve die Bitcoin gebruikt voor zijn transacties, wordt gebruikt voor zowel de sleuteluitwisseling als het certificaat.
- ECC-256r1 – Zoals hierboven, maar curve prime256v1 (256 bit, ook bekend als secp256r1) wordt gebruikt voor zowel de sleuteluitwisseling als het certificaat.
- ECC-521 – Zoals hierboven, maar curve secp521r1 (521 bit) wordt gebruikt voor zowel de sleuteluitwisseling als het certificaat.
De Mac OS X-client is standaard ingesteld op AES-128 / SHA1 / RSA-2048, wat voor de meeste gebruikers de beste balans tussen prestaties en beveiliging zou moeten bieden. Als u op de link “standaardinstellingen” klikt, gaat u naar de VPN-coderingspagina op hun website.
Hieronder vindt u enkele instellingen voor eindpuntcodering, samen met handige suggesties voor het al dan niet gebruiken ervan.
- Maximale bescherming – AES-256 / SHA256 / RSA-4096: dit is voor degenen die de maximale beveiliging voor hun gegevens willen en het extra snelheidsverlies niet erg vinden.
- Standaard aanbevolen bescherming – AES-128 / SHA1 / RSA-2048: dit biedt de beste balans tussen snelheid en bescherming en is de beste instelling voor de meeste gebruikers.
- Riskant – AES-128 / None / RSA-2048: deze configuratie is vatbaar voor actieve MitM-aanvallen waarbij een hacker het bericht onderschept en wijzigt voordat het naar de ontvanger wordt verzonden.
- All Speed No Safety – None / None / ECC-256k1: dit is vatbaar voor zowel actieve als passieve aanvallen van externe derden (hackers). U kunt net zo goed geen VPN hebben, omdat alleen uw IP is verborgen. Hierdoor werkt de verbinding als een SOCKS-proxy.
De Private Internet Access Mac OS X-client is misschien niet de mooiste VPN-client in de branche van vandaag, maar biedt enkele van de meest geavanceerde functies die beschikbaar zijn voor VPN’s, zoals een kill-switch, het uitschakelen van IPv6-internetverkeer en kleine pakketten. Dit maakt het aantrekkelijk voor de meer technische gebruikers. Tegelijkertijd heeft het een eenvoudige modus die het beste is voor de meeste toepassingen. Het enige dat nodig is om verbinding te maken met een van hun VPN-servers, is om de locatie te selecteren in de lijst die verschijnt wanneer u op het clientpictogram in het menugebied klikt. Veel eenvoudiger wordt het niet.
Tristen
e voor de meeste gebruikers. TCP – Dit is het Transmission Control Protocol dat wordt gebruikt met verbindingen met hoge latentie en dat geen verlies in pakketten kan tolereren. Dit is handig voor gebruikers die zich in landen bevinden waar internetcensuur van kracht is en waar de UDP-verbindingen worden geblokkeerd. Poort – Hiermee kunt u de poort kiezen waarmee u verbinding wilt maken. De standaardpoort is 1194. Als u problemen ondervindt met de verbinding, kunt u proberen de poort te wijzigen in 8080 of 9201. Cipher – Hiermee kunt u het coderingsalgoritme kiezen dat wordt gebruikt om uw gegevens te versleutelen. De standaard is AES-128-CBC. Hash-algoritme – Hiermee kunt u het hash-algoritme kiezen dat wordt gebruikt om de integriteit van uw gegevens te controleren. De standaard is SHA1. Handshake – Hiermee kunt u het type handshake kiezen dat wordt gebruikt om de verbinding tot stand te brengen. De standaard is RSA-2048. Compressie – Hiermee kunt u de compressie inschakelen of uitschakelen. De standaard is uitgeschakeld. TAP Adapter – Hiermee kunt u de TAP-adapter inschakelen of uitschakelen. De standaard is uitgeschakeld. Nadat u de geavanceerde instellingen voor verbindingen heeft geconfigureerd, klikt u op de knop “Opslaan” om de wijzigingen op te slaan. Het andere scherm met geavanceerde instellingen is het scherm met geavanceerde instellingen voor DNS. Dit scherm wordt hieronder weergegeven. De instellingsopties die u kunt kiezen, zijn als volgt: DNS-lekbescherming – Hiermee kunt u DNS-lekbescherming inschakelen of uitschakelen. De standaard is ingeschakeld. DNS-server – Hiermee kunt u de DNS-server
Quinn
e voor de meeste gebruikers. TCP – Dit is het Transmission Control Protocol dat wordt gebruikt met verbindingen met hoge latentie en dat geen verlies in pakketten kan tolereren. Dit is handig voor gebruikers die zich in landen bevinden waar internetcensuur van kracht is en waar de UDP-verbindingen worden geblokkeerd. Poort – Hiermee kunt u de poort kiezen waarmee u verbinding wilt maken. De standaardpoort is 1194. Als u problemen ondervindt met de verbinding, kunt u proberen de poort te wijzigen in 8080 of 9201. Cipher – Hiermee kunt u het coderingsalgoritme kiezen dat wordt gebruikt om uw gegevens te versleutelen. De standaard is AES-128-CBC. Hash-algoritme – Hiermee kunt u het hash-algoritme kiezen dat wordt gebruikt om de integriteit van uw gegevens te controleren. De standaard is SHA1. Handshake – Hiermee kunt u het type handshake kiezen dat wordt gebruikt om de verbinding tot stand te brengen. De standaard is RSA-2048. Compressie – Hiermee kunt u de compressie inschakelen of uitschakelen. De standaard is uitgeschakeld. TAP Adapter – Hiermee kunt u de TAP-adapter inschakelen of uitschakelen. De standaard is uitgeschakeld. Nadat u de geavanceerde instellingen voor verbindingen heeft geconfigureerd, klikt u op de knop “Opslaan” om de wijzigingen op te slaan. Het andere scherm met geavanceerde instellingen is het scherm met geavanceerde instellingen voor DNS. Dit scherm wordt hieronder weergegeven. De instellingsopties die u kunt kiezen, zijn als volgt: DNS-lekbescherming – Hiermee kunt u DNS-lekbescherming inschakelen of uitschakelen. De standaard is ingeschakeld. DNS-server – Hiermee kunt u de DNS-server