πŸ‘οΈ ISP Surveillance & Digital Privacy β€” Deep Dive: Bagaimana ISP Memantau Anda dan Cara Melindungi Diri

Ringkasan satu-paragraf menjelaskan bahwa Internet Service Provider (ISP) memiliki kemampuan unik untuk memantau hampir seluruh aktivitas digital pengguna β€” mulai dari riwayat pencarian, data perbankan, hingga pergerakan fisik di dalam rumah melalui teknologi Wi-Fi Sensing. Panduan ini membahas mekanisme teknis surveillance ISP, dampak politik dari pencabutan aturan privasi FCC dan Net Neutrality, studi kasus penyalahgunaan kekuatan ISP, serta langkah-langkah konkret untuk melindungi privasi digital menggunakan VPN, DNS terenkripsi (DoH/DoT), dan Encrypted Client Hello (ECH).

Hubungan ke Vault

Nota ini terkait dengan network-security untuk lapisan deteksi dan enkripsi jaringan, threat-modeling-deepdive untuk analisis ancaman pada infrastruktur komunikasi, comprehensive-threat-directory untuk taksonomi surveillance dan data exfiltration, serta zero-trust-security untuk prinsip β€œnever trust, always verify” pada setiap hop jaringan.


Daftar Isi


Foundation

Apa yang Bisa Dilihat ISP Tanpa Perlindungan?

ISP Anda adalah β€œgatekeeper” dari seluruh aktivitas online Anda. Sebagai titik pusat koneksi, router ISP (atau router yang mereka sewakan) melihat SEMUA yang masuk dan keluar dari jaringan Anda.

Data yang ISP Bisa Lihat (Tanpa Enkripsi):

KategoriData SpesifikTingkat Sensitivitas
Aktivitas BrowsingDomain yang dikunjungi, waktu kunjungan, durasi sesi, frekuensiTinggi
DNS QueriesSetiap domain yang di-resolve (β€œphone book” internet)Sangat Tinggi
Metadata HTTPSIP address tujuan, ukuran data, waktu transfer, SNI (hostname)Tinggi
Aplikasi & ServicesPlatform streaming, media sosial, banking, e-commerceSangat Tinggi
Perangkat TerhubungMAC address, jenis perangkat, jumlah perangkatSedang
Lokasi FisikLokasi router, pola pergerakan (via mobile data)Tinggi
Volume DataUpload/download patterns, peak usage timesSedang
Email (Non-Encrypted)Konten email via port 25/110/143Sangat Tinggi

Analogi: Bayangkan ISP sebagai pos pemeriksaan di jalan tol. Mereka tidak bisa membaca isi surat (HTTPS content), tapi mereka tahu:

  • Siapa pengirim dan penerima (IP address)
  • Berapa berat paketnya (data volume)
  • Kapan dikirim (timestamp)
  • Seberapa sering (frequency)
  • Ke mana tujuannya (DNS queries, SNI)

Transformasi ISP: Dari Penyedia Layanan ke Konglomerat Data

ISP modern bukan lagi sekadar β€œpenjual bandwidth”. Mereka telah bertransformasi menjadi perusahaan data yang menggabungkan informasi dari berbagai sumber:

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                    ISP DATA CONGLOMERATE                     β”‚
β”‚                                                              β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”     β”‚
β”‚  β”‚   Broadband  β”‚  β”‚  Cable TV    β”‚  β”‚  Mobile Data β”‚     β”‚
β”‚  β”‚   (Home)     β”‚  β”‚  (Content)   β”‚  β”‚  (Cellular)  β”‚     β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”˜  β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”˜  β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”€β”˜     β”‚
β”‚         β”‚                 β”‚                  β”‚              β”‚
β”‚         β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”΄β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜              β”‚
β”‚                           β”‚                                  β”‚
β”‚                    β”Œβ”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”                          β”‚
β”‚                    β”‚  DATA FUSION β”‚                          β”‚
β”‚                    β”‚   ENGINE     β”‚                          β”‚
β”‚                    β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”˜                          β”‚
β”‚                           β”‚                                  β”‚
β”‚         β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”Όβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”               β”‚
β”‚         β–Ό                 β–Ό                 β–Ό               β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”   β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”   β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”          β”‚
β”‚  β”‚Demographic β”‚   β”‚Behavioral  β”‚   β”‚Predictive  β”‚          β”‚
β”‚  β”‚Profile     β”‚   β”‚Profile     β”‚   β”‚Model       β”‚          β”‚
β”‚  β”‚(Age,Income)β”‚   β”‚(Habits)    β”‚   β”‚(Future)    β”‚          β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜   β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜   β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜          β”‚
β”‚                           β”‚                                  β”‚
β”‚                    β”Œβ”€β”€β”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”€β”€β”                          β”‚
β”‚                    β”‚  SOLD TO    β”‚                          β”‚
β”‚                    β”‚ ADVERTISERS β”‚                          β”‚
β”‚                    β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜                          β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Contoh Profil yang Dibangun ISP:

  • Demografis: Usia, pendapatan (dari billing), lokasi (dari IP geolocation)
  • Minat: Situs health β†’ concern kesehatan; situs politik β†’ affiliasi politik
  • Keuangan: Akses ke bank, broker, crypto exchange β†’ profil finansial
  • Relasi: Waktu akses ke dating apps, social media β†’ pola sosial
  • Prediktif: Model ML yang memprediksi perilaku masa depan

Technical Deep-Dive

Teknologi Wi-Fi Sensing: Radar di Dalam Rumah Anda

Wi-Fi Sensing adalah teknologi yang mengubah router menjadi sensor gerak yang bisa mendeteksi aktivitas fisik di dalam rumah β€” bahkan di balik dinding.

Cara Kerja Teknis

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”         Wi-Fi Signal          β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚   Router    │◄─────────────────────────────►│   Device    β”‚
β”‚  (Antenna   β”‚    Channel State Information   β”‚  (Stationaryβ”‚
β”‚   Array)    β”‚         (CSI)                  β”‚   Sensor)   β”‚
β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”˜                                β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜
       β”‚
       β”‚ Signal Reflection Pattern
       β–Ό
β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                    DETECTION ZONES                            β”‚
β”‚                                                              β”‚
β”‚    β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”                                              β”‚
β”‚    β”‚  Person β”‚  ← Reflected signal changes                   β”‚
β”‚    β”‚ Moving  β”‚     (Doppler shift, multipath)                β”‚
β”‚    β””β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”˜                                              β”‚
β”‚         β”‚                                                    β”‚
β”‚    β”Œβ”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”                                              β”‚
β”‚    β”‚  Router  β”‚  ← Detects: motion, breathing, falls        β”‚
β”‚    β”‚ Algorithmβ”‚                                              β”‚
β”‚    β””β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”˜                                              β”‚
β”‚         β”‚                                                    β”‚
β”‚    β”Œβ”€β”€β”€β”€β–Όβ”€β”€β”€β”€β”                                              β”‚
β”‚    β”‚  Cloud   β”‚  ← Analytics, alerts, profiling             β”‚
β”‚    β”‚  Service β”‚                                              β”‚
β”‚    β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜                                              β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Parameter yang Dideteksi:

ParameterCara DeteksiAkurasi
GerakanPerubahan multipath propagationMendeteksi adanya gerakan
PosisiTime-of-flight + angle-of-arrivalZona kasar (bukan koordinat tepat)
PernapasanMicro-Doppler shift (0.1-0.5 Hz)90%+ untuk deteksi breathing rate
JatuhPerubahan drastis pada signal patternTinggi untuk falls
Jumlah OrangComplexity of reflection patternKasar (1 vs 2+ orang)

Standardisasi: IEEE 802.11bf (Wi-Fi Sensing standard) β€” sedang dalam pengembangan, diharapkan menjadi bagian dari Wi-Fi 8.

Deployment Komersial:

  • Xfinity (Comcast): Wi-Fi Motion β€” tersedia sejak 2025
  • Deutsche Telekom: Wi-Fi Sensing Zone β€” dalam pilot
  • Linksys: Aware (discontinued 2024)

Implikasi Privasi:

  • ISP bisa tahu: β€œAda 2 orang di ruang tamu, 1 di kamar tidur”
  • ISP bisa tahu: β€œAnda bangun jam 3 pagi, pergi ke kamar mandi”
  • ISP bisa tahu: β€œRumah kosong selama 8 jam (potential burglary window)”
  • Data ini bisa dijual ke: insurance companies, advertisers, law enforcement

Keterbatasan Enkripsi: Apa yang Masih Bisa Dilihat ISP

Banyak yang berpikir β€œHTTPS = aman”. Ini adalah mitos berbahaya.

HTTPS Melindungi CONTENT, Bukan METADATA

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                    APA YANG TERENKRIPSI?                     β”‚
β”‚                                                              β”‚
β”‚  HTTPS Packet Structure:                                     β”‚
β”‚                                                              β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”    β”‚
β”‚  β”‚  IP Header (TERLIHAT oleh ISP)                      β”‚    β”‚
β”‚  β”‚  β€’ Source IP: 192.168.1.100                         β”‚    β”‚
β”‚  β”‚  β€’ Dest IP: 104.16.249.249 (Cloudflare)             β”‚    β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜    β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”    β”‚
β”‚  β”‚  TCP Header (TERLIHAT oleh ISP)                     β”‚    β”‚
β”‚  β”‚  β€’ Source Port: 54321                               β”‚    β”‚
β”‚  β”‚  β€’ Dest Port: 443                                   β”‚    β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜    β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”    β”‚
β”‚  β”‚  TLS Handshake (SEBAGIAN TERLIHAT)                  β”‚    β”‚
β”‚  β”‚  β€’ SNI: www.example.com  ← TERLIHAT!                β”‚    β”‚
β”‚  β”‚  β€’ Certificates                                     β”‚    β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜    β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”    β”‚
β”‚  β”‚  ENCRYPTED DATA (TIDAK TERLIHAT) βœ…                 β”‚    β”‚
β”‚  β”‚  β€’ HTTP headers, body, cookies                      β”‚    β”‚
β”‚  β”‚  β€’ Form data, passwords, messages                   β”‚    β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜    β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Data yang MASIH Terlihat oleh ISP meski HTTPS aktif:

LayerDataDampak
DNSDomain yang di-queryISP tahu SEMUA situs yang Anda kunjungi
IP AddressAlamat server tujuanISP tahu layanan apa yang digunakan
SNIHostname dalam TLS handshakeISP tahu subdomain spesifik
Data VolumeUkuran upload/downloadISP bisa infer jenis konten (video vs text)
TimingWaktu koneksi, durasiISP bisa infer pola aktivitas
TLS FingerprintCipher suites, extensionsISP bisa identifikasi aplikasi/browser

Net Neutrality: Perlindungan yang Dicabut

Timeline Net Neutrality di Amerika Serikat

TahunEventDampak
2010FCC Open Internet OrderISPs dilarang block/throttle content
2014Verizon vs FCCCourt ruling: ISPs BUKAN common carriers
2015Title II Reclassification (Obama)ISPs di-classify sebagai common carriers
2016FCC Privacy RulesWajib opt-in sebelum jual data browsing
2017Privacy Rules Repealed (Mar 28)ISPs bebas jual data tanpa consent
2017Net Neutrality Repealed (Dec 14)ISPs bebas throttle, block, paid prioritization
2018Net Neutrality repeal effective (Jun 11)Zero regulatory oversight
2024Biden FCC restores Net NeutralityTitle II authority restored
2025Federal appeals court overturnsNet Neutrality rules struck down again

Apa yang Hilang Tanpa Net Neutrality?

PerlindunganSebelum 2017Setelah 2017
No BlockingISPs tidak boleh block legal contentISPs BISA block competitor’s services
No ThrottlingISPs tidak boleh slow down trafficISPs BISA throttle Netflix, YouTube, etc.
No Paid PrioritizationFast lanes dilarangISPs BISA jual β€œfast lanes”
TransparencyWajib disclose network managementDisclosure minimal
FCC AuthorityFCC bisa enforce rulesAuthority pindah ke FTC (weaker)

Advanced

Langkah Perlindungan: Defense in Depth

Layer 1: DNS Encryption (DoH / DoT)

Masalah: DNS queries dikirim dalam plaintext (port 53). ISP bisa log SEMUA domain yang Anda kunjungi.

Solusi: Enkripsi DNS queries.

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚              DNS OVER HTTPS (DoH) FLOW                       β”‚
β”‚                                                              β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”      Encrypted HTTPS      β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”     β”‚
β”‚  β”‚ Browser │◄─────────────────────────►│ DoH Resolverβ”‚     β”‚
β”‚  β”‚         β”‚     (Port 443, TLS)       β”‚ (Cloudflare)β”‚     β”‚
β”‚  β””β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”˜                           β””β”€β”€β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”€β”˜     β”‚
β”‚       β”‚                                       β”‚            β”‚
β”‚       β”‚  DNS Query: example.com?              β”‚            β”‚
β”‚       β”‚  ───────────────────────►             β”‚            β”‚
β”‚       β”‚                                       β”‚            β”‚
β”‚       β”‚              IP: 93.184.216.34        β”‚            β”‚
β”‚       β”‚             ◄──────────────────────── β”‚            β”‚
β”‚       β”‚                                       β”‚            β”‚
β”‚       β–Ό                                       β–Ό            β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”   β”‚
β”‚  β”‚  ISP SEES: Encrypted traffic to 1.1.1.1:443        β”‚   β”‚
β”‚  β”‚  ISP DOES NOT SEE: example.com                     β”‚   β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜   β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Perbandingan DoH vs DoT:

FiturDoH (DNS over HTTPS)DoT (DNS over TLS)
Port443 (sama dengan HTTPS)853 (dedicated)
StealthTinggi β€” blends with web trafficRendah β€” easily identifiable
BlockingSulit diblok tanpa blok HTTPSMudah diblok firewall
Browser SupportNative (Firefox, Chrome, Edge)OS-level only
EnterpriseSulit monitorMudah monitor/manage
RFCRFC 8484RFC 7858

Setup DoH di Firefox:

Settings β†’ Privacy & Security β†’ DNS over HTTPS
β†’ Enable "Max Protection"
β†’ Provider: Cloudflare (1.1.1.1) atau NextDNS

Layer 2: Encrypted Client Hello (ECH)

Masalah: SNI (Server Name Indication) dalam TLS handshake dikirim dalam plaintext. ISP bisa lihat hostname meski DNS terenkripsi.

Solusi: ECH mengenkripsi seluruh ClientHello message.

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚              TLS HANDSHAKE: WITHOUT ECH                      β”‚
β”‚                                                              β”‚
β”‚  Client ──► ClientHello { SNI: "www.example.com" } ──► ISP  β”‚
β”‚                                                              β”‚
β”‚  ISP SEES: "User connecting to www.example.com"              β”‚
β”‚                                                              β”‚
β”œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€
β”‚              TLS HANDSHAKE: WITH ECH                         β”‚
β”‚                                                              β”‚
β”‚  Client ──► ClientHello { ECH: encrypted_inner }            β”‚
β”‚             Outer SNI: "cdn.cloudflare.com" (decoy)          β”‚
β”‚                                                              β”‚
β”‚  ISP SEES: "User connecting to cdn.cloudflare.com"           β”‚
β”‚  ISP DOES NOT SEE: "www.example.com"                         β”‚
β”‚                                                              β”‚
β”‚  (Inner ClientHello di-decrypt oleh server menggunakan       β”‚
β”‚   public key yang di-fetch via DNS)                          β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Status ECH (2026):

  • Cloudflare: Aktif untuk semua domain
  • Fastly, Akamai, Amazon: Dalam deployment
  • Browser: Firefox (aktif), Chrome (flag), Safari (terbatas)
  • Fallback: Jika ECH gagal, koneksi tetap berjalan tanpa ECH

Layer 3: VPN (Virtual Private Network)

Masalah: Meski DoH + ECH aktif, ISP masih bisa lihat IP address tujuan dan data volume.

Solusi: VPN mengenkripsi SELURUH traffic dan menyembunyikan destination.

β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”
β”‚                    VPN TUNNEL ARCHITECTURE                   β”‚
β”‚                                                              β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”     β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”     β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”     β”Œβ”€β”€β”€β”€β”€β” β”‚
β”‚  β”‚  User   │────►│  Router  │────►│   ISP    │────►│ VPN β”‚ β”‚
β”‚  β”‚ Device  β”‚     β”‚  (Home)  β”‚     β”‚ Gateway  β”‚     β”‚Serverβ”‚ β”‚
β”‚  β””β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”˜     β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜     β””β”€β”€β”€β”€β”¬β”€β”€β”€β”€β”€β”˜     β””β”€β”€β”¬β”€β”€β”˜ β”‚
β”‚       β”‚                                 β”‚              β”‚    β”‚
β”‚       β”‚  ISP SEES:                      β”‚              β”‚    β”‚
β”‚       β”‚  β€’ Encrypted tunnel ke VPN IP   β”‚              β”‚    β”‚
β”‚       β”‚  β€’ Data volume (encrypted)      β”‚              β”‚    β”‚
β”‚       β”‚  β€’ Timestamp                    β”‚              β”‚    β”‚
β”‚       β”‚                                 β”‚              β”‚    β”‚
β”‚       β”‚  ISP DOES NOT SEE:              β”‚              β”‚    β”‚
β”‚       β”‚  β€’ Final destination IP         β”‚              β”‚    β”‚
β”‚       β”‚  β€’ Domain names                 β”‚              β”‚    β”‚
β”‚       β”‚  β€’ Content                      β”‚              β”‚    β”‚
β”‚       β”‚                                 β”‚              β”‚    β”‚
β”‚       β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”΄β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜    β”‚
β”‚                                                              β”‚
β”‚  β”Œβ”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”    β”‚
β”‚  β”‚  VPN Server decrypts traffic and forward ke internet β”‚    β”‚
β”‚  β”‚  β†’ Shift trust dari ISP ke VPN provider              β”‚    β”‚
β”‚  β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜    β”‚
β””β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”€β”˜

Kriteria Memilih VPN:

KriteriaMengapa PentingRed Flags
JurisdictionLaws yang mengatur data retention14 Eyes countries
No-Logs PolicyApakah mereka menyimpan data?”We keep minimal logs”
Audit IndependenSudah di-audit oleh pihak ketiga?Tidak ada audit
ProtocolWireGuard > OpenVPN > IKEv2PPTP, L2TP (obsolete)
Kill SwitchMemutus koneksi jika VPN dropTidak ada kill switch
Multi-HopTraffic lewat 2+ serverSingle hop only

Layer 4: Router Sendiri (Own Your Gateway)

Masalah: Router dari ISP seringkali:

  • Memiliki backdoor/admin access untuk ISP
  • Menjalankan firmware proprietary yang tidak bisa diaudit
  • Mengirim telemetry ke ISP
  • Tidak support DoH/DoT/ECH

Solusi: Ganti dengan router sendiri yang menjalankan open-source firmware.

FirmwareFiturKompatibilitas
OpenWrtDoH/DoT, VPN client, firewall1000+ devices
DD-WRTVPN, QoS, VLAN200+ devices
pfSense/OPNsenseEnterprise-grade firewallx86 hardware
TomatoSimple, VPN, QoSBroadcom devices

Konfigurasi OpenWrt untuk Privasi Maksimal:

# Install DoH packages
opkg update
opkg install https-dns-proxy
 
# Configure DoH (Cloudflare)
uci set https-dns-proxy.config.provider='cloudflare'
uci set https-dns-proxy.config.listen_addr='127.0.0.1'
uci set https-dns-proxy.config.listen_port='5053'
uci commit https-dns-proxy
/etc/init.d/https-dns-proxy enable
/etc/init.d/https-dns-proxy start
 
# Redirect all DNS traffic to local DoH
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-port 5053
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-port 5053
 
# Block ISP DNS
iptables -A FORWARD -p udp --dport 53 -d ! 127.0.0.1 -j DROP

Defense Matrix: Apa yang Dilindungi Setiap Layer?

LayerTeknologiMelindungi DariTidak Melindungi Dari
Layer 1DoH/DoTISP melihat DNS queriesIP address tujuan, data volume
Layer 2ECHISP melihat SNI/hostnameIP address tujuan, data volume
Layer 3VPNISP melihat destination, content, metadataVPN provider itself
Layer 4Own RouterISP backdoor, firmware telemetryPhysical layer monitoring
Layer 5TorSemua di atas + anonymitySpeed, usability

Rekomendasi Berbasis Threat Model:

Profil PenggunaRekomendasi
Casual UserDoH di browser + ECH (default di Firefox)
Privacy-ConsciousVPN + DoH + ECH + own router
Journalist/ActivistTor + VPN (Tor over VPN) + Tails OS
EnterpriseCorporate VPN + internal DNS + DLP

Case Studies

Studi KasusTahunKonteksTemuan KunciMitigasi
Comcast Throttling Netflix2013-2014Netflix traffic mengonsumsi 30%+ bandwidthComcast sengaja slow down Netflix stream untuk memaksa Netflix bayar β€œinterconnection fee”. Netflix akhirnya bayar ke Comcast, Verizon, AT&T.Net Neutrality rules (2015) melarang praktik ini, tapi dicabut 2017.
Verizon Throttling Fire Dept2018Santa Clara County Fire Department memadamkan wildfire terbesar di CaliforniaVerizon throttle device β€œunlimited” fire dept dari 50Mbps ke 0.2Mbps setelah 25GB. Minta upgrade ke plan $99.99 (2x harga).Congressional inquiry ke FTC. Verizon akui β€œcustomer support mistake”.
ISP Location Data Dijual2018-2019Real-time location data dari T-Mobile, AT&T, SprintData dijual ke bounty hunters, domestic abusers, black market.FCC tidak punya authority untuk enforce setelah Net Neutrality repeal.
AT&T Throttling Video2018-2019Northeastern University studyAT&T throttle Netflix 70% dan YouTube 74% dari waktu. Bukan karena congestion β€” 24/7.State-level legislation (California, Oregon) untuk melarang throttling.
Cox β€œFast Lane” Gaming2021Cox Communications menawarkan β€œfast lane”Bayar $15/bulan untuk prioritization gaming traffic.Contoh paid prioritization yang dilarang Net Neutrality.
Wi-Fi Sensing Deployment2025+Xfinity, Deutsche TelekomRouter mendeteksi gerakan, pernapasan, jatuh di dalam rumah. Data bisa di-share dengan third parties.Disable feature di router settings (jika tersedia) atau ganti router sendiri.

Koneksi ke Vault

  • network-security β€” Teknik enkripsi jaringan (TLS, VPN, DoH) dan monitoring traffic.
  • threat-modeling-deepdive β€” Analisis STRIDE untuk infrastruktur komunikasi: Spoofing, Tampering, Repudiation, Information Disclosure, DoS, Elevation of Privilege.
  • comprehensive-threat-directory β€” Taksonomi ancaman surveillance: passive monitoring, active interception, traffic analysis, metadata correlation.
  • zero-trust-security β€” Prinsip β€œnever trust, always verify” pada setiap hop jaringan, termasuk ISP sebagai untrusted intermediary.
  • endpoint-security β€” Sandboxing dan isolation untuk perangkat yang tidak bisa di-patch atau di-upgrade.
  • system-design β€” Arsitektur network segmentation dan secure routing untuk meminimalkan exposure ke ISP.
  • devops β€” Infrastructure as Code untuk deployment router dan VPN configuration.

Referensi

  1. U Shield VPN. How to Stop ISP Tracking: The 2026 Guide to Total Digital Anonymity. 2026. https://ushieldvpn.com/how-to-stop-isp-tracking-the-2026-guide-to-total-digital-anonymity/ citeweb_search:33#0
  2. Vivid Repairs. ISP Tracking UK: Complete Expert Guide to Privacy (2026). 2026. https://www.vividrepairs.co.uk/is-my-isp-tracking-me-uk citeweb_search:33#2
  3. Kaspersky. What is Wi-Fi sensing, and how does it detect human movement? 2025. https://www.kaspersky.com/blog/wifi-sensing-motion-detection-howto/53851/ citeweb_search:33#1
  4. Deutsche Telekom. Wi-Fi Sensing: easy and simple. 2025. https://www.telekom.com/en/company/details/wi-fi-sensing-easy-and-simple-1087178 citeweb_search:33#4
  5. Bass Berry & Sims. President Signs Law Overriding FCC Rules Regarding Online Privacy. 2017. https://www.bassberry.com/news/president-signs-law-overriding-fcc-rules-regarding-online-privacy/ citeweb_search:33#3
  6. EPIC. State Broadband Privacy Legislation. https://epic.org/state-broadband-privacy-legislation/ citeweb_search:33#5
  7. Spiceworks. The FCC’s change to ISP privacy rules: The fine print. 2017. https://community.spiceworks.com/t/the-fccs-change-to-isp-privacy-rules-the-fine-print/565479 citeweb_search:33#7
  8. Brookings Institution. Broadband privacy belongs with the FTC, not the FCC. 2022. https://www.brookings.edu/articles/broadband-privacy-belongs-with-the-ftc-not-the-fcc/ citeweb_search:33#8
  9. Wikipedia. 2017 Broadband Consumer Privacy Proposal repeal. 2017. https://en.wikipedia.org/wiki/2017_Broadband_Consumer_Privacy_Proposal_repeal citeweb_search:33#10
  10. Ars Technica. Verizon throttled fire department’s β€œunlimited” data during Calif. wildfire. 2018. https://arstechnica.com/tech-policy/2018/08/verizon-throttled-fire-departments-unlimited-data-during-calif-wildfire/ citeweb_search:34#3
  11. NBC News. Verizon admits β€˜throttling’ data to Calif. firefighters amid blaze. 2018. https://www.nbcnews.com/tech/tech-news/verizon-admits-throttling-data-calif-firefighters-amid-blaze-n902991 citeweb_search:34#6
  12. Free Press. Net Neutrality: What You Need to Know Now. https://www.freepress.net/issues/free-open-internet/net-neutrality/net-neutrality-what-you-need-know-now citeweb_search:34#11
  13. Public Knowledge. Two Years Later, Broadband Providers Are Still Taking Advantage. 2021. https://publicknowledge.org/two-years-later-broadband-providers-are-still-taking-advantage-of-an-internet-without-net-neutrality-protections/ citeweb_search:34#8
  14. Akamai. What Is DNS Encryption? 2026. https://www.akamai.com/glossary/what-is-dns-encryption citeweb_search:35#0
  15. Cloudflare. DNS over TLS vs. DNS over HTTPS | Secure DNS. https://www.cloudflare.com/learning/dns/dns-over-tls/ citeweb_search:35#4
  16. FixMyCert. Encrypted Client Hello (ECH) - TLS SNI Privacy. https://fixmycert.com/guides/encrypted-client-hello citeweb_search:35#7
  17. Netralex. Encrypted Client Hello (ECH). 2026. https://netralex.com/blog/ech citeweb_search:35#8
  18. Masaar. Net Neutrality.. What Is It? How Does it Affect Us? 2022. https://masaar.net/en/net-neutrality-what-is-it-how-does-it-affect-us/ citeweb_search:34#1
  19. ResearchGate. Impact of the Net Neutrality Repeal on Communication Networks. https://www.researchgate.net/publication/340181261 citeweb_search:34#4
  20. IJBSS. Net Neutrality Repeal and its Effect on Consumers. 2019. https://ijbss.thebrpi.org/journals/Vol_10_No_1_January_2019/1.pdf citeweb_search:34#5

Bottom Line

ISP surveillance bukan teori konspirasi β€” ini adalah realitas teknis dan legal yang terdokumentasi dengan baik. Router Anda adalah mata dan telinga ISP di dalam rumah Anda. Tanpa perlindungan aktif, setiap klik, setiap pencarian, setiap pergerakan fisik bisa menjadi komoditas yang dijual. Defense in depth adalah satu-satunya strategi yang efektif: enkripsi DNS (DoH), enkripsi SNI (ECH), enkripsi total traffic (VPN), dan kontrol hardware (router sendiri). Privasi bukan privilige β€” ini adalah hak yang harus Anda ambil kembali dengan tangan Anda sendiri.