Anonim VPN: azadlığın mənası, riskləri və qiyməti. Tor və VPN vasitəsilə anonim İnternetə çıxışın qurulması

VPN dedikdə ağla gələn ilk şey ötürülən məlumatların anonimliyi və təhlükəsizliyidir. Doğrudanmı? Gəlin bunu anlayaq.

Korporativ şəbəkəyə daxil olmaq lazım olduqda onu ötürmək təhlükəsizdir mühim informasiya By açıq kanallar rabitə, trafikini provayderin diqqətli gözündən gizlətmək, hər hansı tamamilə qanuni olmayan (və ya heç də qanuni olmayan) hərəkətlər edərkən həqiqi yerlərini gizlətmək üçün adətən VPN-dən istifadə edirlər. Bəs məlumatlarınızın təhlükəsizliyini və öz təhlükəsizliyinizi təhlükə altına alaraq VPN-ə kor-koranə etibar etməyə dəyərmi? Qətiyyən yox. Niyə? Gəlin bunu anlayaq.

XƏBƏRDARLIQ

Bütün məlumatlar yalnız məlumat məqsədləri üçün verilir. Nə redaktorlar, nə də müəllif heç bir şeyə görə məsuliyyət daşımır mümkün zərər bu məqalənin materialları səbəb olur.

Bizə VPN lazımdır!

Virtual özəl şəbəkə və ya sadəcə VPN, bir və ya daha çox imkan verən texnologiyalar üçün ümumi addır şəbəkə əlaqələri(məntiqi şəbəkə) İnternet kimi başqa bir şəbəkənin üstündə. Rabitə naməlum inam səviyyəsi ilə ictimai şəbəkələr vasitəsilə həyata keçirilə bilsə də, qurulmuş şəbəkələrə inam səviyyəsi məntiqi şəbəkə inam səviyyəsindən asılı deyil əsas şəbəkələr kriptoqrafiya vasitələrinin (şifrələmə, autentifikasiya, infrastruktur) istifadəsi sayəsində açıq açarlar, məntiqi şəbəkə üzərindən ötürülən mesajların təkrar və dəyişikliklərindən qorunmaq deməkdir). Gördüyünüz kimi, nəzəri olaraq hər şey çəhrayı və buludsuzdur, amma praktikada hər şey bir qədər fərqlidir. Bu yazıda VPN istifadə edərkən nəzərə almalı olduğunuz iki əsas məqama baxacağıq.

VPN trafik sızması

VPN-lərlə bağlı ilk problem trafik sızmasıdır. Yəni, şifrələnmiş formada VPN bağlantısı vasitəsilə ötürülməli olan trafik şəbəkəyə daxil olur açıq forma. Bu ssenari VPN serverində və ya müştərisində səhvin nəticəsi deyil. Burada hər şey daha maraqlıdır. Ən sadə seçim VPN bağlantısını qəfildən kəsməkdir. Nmap istifadə edərək host və ya alt şəbəkəni skan etmək qərarına gəldiniz, skaneri işə saldınız, bir neçə dəqiqə monitordan uzaqlaşdınız və sonra VPN bağlantısı qəfil kəsildi. Lakin skaner işləməyə davam edir. Və skan sizin ünvanınızdan gəlir. Bu, belə xoşagəlməz bir vəziyyətdir. Ancaq daha maraqlı ssenarilər var. Məsələn, VPN trafik sızması IP protokolunun hər iki versiyasını (sözdə ikiqat yığılmış şəbəkələr/hostlar) dəstəkləyən şəbəkələrdə (hostlarda) geniş yayılmışdır.

Şərin kökü

İki protokolun - IPv4 və IPv6-nın birgə mövcudluğu gözlənilməz nəticələrə səbəb ola biləcək bir çox maraqlı və incə cəhətlərə malikdir. IP protokolunun altıncı versiyasında olmamasına baxmayaraq geriyə uyğunluq dördüncü versiya ilə bu versiyaların hər ikisi Domen Adı Sistemi (DNS) tərəfindən bir-birinə "yapışdırılır". Nə demək istədiyimizi daha aydın etmək üçün haqqında danışırıq, sadə bir misala baxaq. Məsələn, həm IPv4, həm də IPv6 dəstəyi olan veb-saytı (məsələn, www.example.com) götürək. Müvafiq domen adı (bizim halda www.example.com) hər iki növ DNS qeydini ehtiva edəcək: A və AAAA. Hər bir A qeydində bir IPv4 ünvanı və hər AAAA qeydində bir IPv6 ünvanı var. Üstəlik, bir domen adında hər iki növün bir neçə qeydi ola bilər. Beləliklə, hər iki protokolu dəstəkləyən proqram saytla əlaqə saxlamaq istədikdə, mövcud ünvanlardan hər hansı birini tələb edə bilər. Tercih edilən ünvan ailəsi (IPv4 və ya IPv6) və proqram tərəfindən istifadə ediləcək son ünvan (4 və 6-cı versiyalar üçün bir neçəsinin olduğunu nəzərə alaraq) bir protokolun tətbiqindən digərinə fərqlənəcək.

Protokolların bu cür birgə mövcudluğu o deməkdir ki, hər iki yığını dəstəkləyən müştəri başqa sistemlə əlaqə qurmaq istədikdə, A və AAAA qeydlərinin olması həmin sistemlə əlaqə saxlamaq üçün hansı protokolun istifadə olunacağına təsir edəcək.

VPN və ikili protokol yığını

Bir çox VPN tətbiqləri IPv6-nı dəstəkləmir və ya daha da pisi, tamamilə rədd edir. Əlaqə qurarkən proqram təminatı VPN, IPv4 paketləri üçün standart marşrut əlavə etməklə IPv4 trafikinin daşınmasına diqqət yetirir və bununla da bütün IPv4 trafikinin VPN bağlantısı vasitəsilə göndərilməsini təmin edir. yerli marşrutlaşdırıcı). Bununla belə, əgər IPv6 dəstəklənmirsə (və ya tamamilə nəzərə alınmırsa), başlığında təyinat IPv6 ünvanı olan hər bir paket yerli IPv6 marşrutlaşdırıcısı vasitəsilə aydın şəkildə göndəriləcək.

Problemin əsas səbəbi ondan ibarətdir ki, IPv4 və IPv6 bir-biri ilə uyğun olmayan iki fərqli protokol olsa da, domen adı sistemində yaxından istifadə olunur. Beləliklə, hər iki protokol yığınını dəstəkləyən sistem üçün hər iki protokolu (IPv6 və IPv4) təmin etmədən başqa sistemlə əlaqəni təmin etmək mümkün deyil.

Qanuni VPN trafik sızması ssenarisi

Hər iki protokol yığınını dəstəkləyən, VPN serverinə qoşulmaq üçün VPN müştərisindən (yalnız IPv4 trafiki ilə işləyən) istifadə edən və ikiqat yığılmış şəbəkəyə qoşulan hostu nəzərdən keçirək. Əgər hostdakı proqram ikiqat yığılmış qovşaqla əlaqə saxlamalıdırsa, müştəri adətən həm A, həm də AAAA DNS qeydlərini sorğulayır. Host hər iki protokolu dəstəklədiyindən və uzaq qovşaqda hər iki növ DNS qeydləri (A və AAAA) olacağından, ehtimal ssenarilərdən biri onlar arasında əlaqə üçün IPv6 protokolundan istifadə etmək olacaq. VPN müştərisi protokolun altıncı versiyasını dəstəkləmədiyi üçün IPv6 trafiki VPN bağlantısı vasitəsilə göndərilməyəcək, lakin yerli şəbəkə vasitəsilə aydın mətnlə göndəriləcək.

Bu ssenari, VPN bağlantısı üzərindən təhlükəsiz şəkildə ötürüldüyünü düşündüyümüz zaman aydın mətnlə ötürülən qiymətli məlumatı risk altında qoyur. Bu xüsusi halda, VPN trafik sızmasıdır yan təsir hər iki protokolu dəstəkləyən şəbəkədə (və hostda) IPv6-nı dəstəkləməyən proqram təminatından istifadə etməklə.

Qəsdən VPN trafikinin sızmasına səbəb olur

Təcavüzkar saxta ICMPv6 Router Advertisement mesajları göndərməklə qurbanın kompüterində IPv6 bağlantısını qəsdən məcbur edə bilər. Belə paketlər rtadvd, SI6 Networks' IPv6 Toolbar və ya THC-IPv6 kimi utilitlərdən istifadə etməklə göndərilə bilər. IPv6 bağlantısı qurulduqdan sonra, hər iki protokol yığınını dəstəkləyən sistemlə “əlaqə”, yuxarıda müzakirə edildiyi kimi, VPN trafikinin sızması ilə nəticələnə bilər.

Bu hücum kifayət qədər məhsuldar ola bilsə də (IPv6-nı dəstəkləyən saytların sayının artması səbəbindən), o, yalnız alıcı IP protokolunun hər iki versiyasını dəstəklədikdə trafik sızdıracaq. Bununla belə, təcavüzkarın hər hansı bir alıcı üçün trafik sızmasına səbəb olması çətin deyil (ikiqat yığılmış və ya olmayan). Müvafiq RDNSS variantını ehtiva edən saxta Router Reklamı mesajları göndərməklə, təcavüzkar özünü yerli rekursiv DNS serveri kimi göstərə, sonra DNS saxtakarlığını həyata keçirə bilər. adam-in-the-orta hücum və müvafiq trafiki kəsin. Əvvəlki vəziyyətdə olduğu kimi, SI6-Toolkit və THC-IPv6 kimi alətlər bu hiyləni asanlıqla aradan qaldıra bilər.

Maraqlı gözlər üçün nəzərdə tutulmayan trafikin şəbəkədə aydın mətnlə bitməsinin heç bir əhəmiyyəti yoxdur. Belə vəziyyətlərdə özünüzü necə qorumalısınız? Burada bəzi faydalı reseptlər var:

  1. VPN müştərisi bütün IPv4 trafikini VPN bağlantısı üzərindən göndərmək üçün konfiqurasiya edilibsə, onda:
  • əgər IPv6 VPN müştərisi tərəfindən dəstəklənmirsə, hamı üçün IP protokolunun altıncı versiyası üçün dəstəyi söndürün şəbəkə interfeysləri. Beləliklə, kompüterdə işləyən proqramların IPv4-dən istifadə etməkdən başqa seçimi olmayacaq;
  • əgər IPv6 dəstəklənirsə - bütün IPv6 trafikinin də VPN vasitəsilə göndərilməsini təmin edin.
  1. VPN bağlantısı qəfil kəsilərsə və bütün paketlər standart şlüz vasitəsilə göndərilərsə, trafik sızmasının qarşısını almaq üçün siz:
  2. bütün trafiki VPN marşrutundan keçməyə məcbur et sil 0.0.0.0 192.168.1.1 // defolt şlüz marşrutunu sil 83.170.76.128 maskası əlavə et 255.255.255.255 192.168.1.1 metrik 1
  • VPN bağlantısının vəziyyətinə nəzarət edən və yox olan kimi istifadəçi tərəfindən müəyyən edilmiş proqramları (məsələn, torrent müştəriləri, veb brauzerlər, skanerlər) dərhal dayandıran VPNetMon yardım proqramından istifadə edin;
  • və ya VPNCheck yardım proqramı, istifadəçinin seçimindən asılı olaraq ya tamamilə söndürə bilər şəbəkə kartı, və ya sadəcə olaraq göstərilən tətbiqləri dayandırın.
  1. Veb saytında maşınınızın DNS trafik sızmalarına qarşı həssas olub olmadığını yoxlaya və sonra təsvir olunan sızmanın aradan qaldırılması ilə bağlı məsləhətləri tətbiq edə bilərsiniz.

VPN trafikinin şifrəsinin açılması

Hər şeyi düzgün konfiqurasiya etsəniz və VPN trafikiniz açıq şəkildə şəbəkəyə sızmasa belə, bu hələ istirahət etmək üçün bir səbəb deyil. Məsələ burasındadır ki, kimsə VPN bağlantısı vasitəsilə ötürülən şifrlənmiş məlumatları ələ keçirsə, o, onun şifrəsini aça biləcək. Üstəlik, parolunuzun mürəkkəb və ya sadə olmasına heç bir şəkildə təsir etmir. PPTP protokoluna əsaslanan VPN bağlantısından istifadə edirsinizsə, onda 100% əminliklə deyə bilərsiniz ki, ələ keçirilən bütün şifrələnmiş trafikin şifrəsi açıla bilər.

Axilles dabanı

PPTP (Point-to-Point Tunneling Protocol) əsasında VPN əlaqələri üçün istifadəçi identifikasiyası MS-CHAPv2 protokolundan istifadə etməklə həyata keçirilir. Microsoft tərəfindən. MS-CHAPv2-nin köhnəlməsinə və çox vaxt tənqid obyektinə çevrilməsinə baxmayaraq, o, fəal şəkildə istifadə olunmağa davam edir. Nəhayət, onu tarixin zibil qutusuna göndərmək üçün məşhur tədqiqatçı Moxie Marlinspike bu məsələ ilə məşğul oldu və iyirminci DEF CON konfransında məqsədə nail olunduğunu - protokolun sındırıldığını bildirdi. Qeyd etmək lazımdır ki, bu protokolun təhlükəsizliyi əvvəllər də çaşqınlıq içində idi, lakin MS-CHAPv2-nin belə uzun müddət istifadəsi bir çox tədqiqatçının yalnız lüğət hücumlarına qarşı həssaslığına diqqət yetirməsi ilə əlaqədar ola bilər. Məhdud tədqiqat və çoxlu sayda dəstəklənən müştərilər, əməliyyat sistemləri tərəfindən quraşdırılmış dəstək - bütün bunlar MS-CHAPv2 protokolunun geniş tətbiqini təmin etdi. Bizim üçün problem MS-CHAPv2-nin bir çox VPN xidmətləri (məsələn, anonim VPN xidməti IPredator və The Pirate Bay’s VPN kimi böyük) tərəfindən istifadə edilən PPTP protokolunda istifadə edilməsindədir.

Tarixə müraciət etsək, onda artıq 1999-cu ildə PPTP protokolu ilə bağlı araşdırmasında Bruce Schneier qeyd etdi ki, “Microsoft əsas təhlükəsizlik qüsurlarını düzəltmək yolu ilə PPTP-ni təkmilləşdirdi. Bununla belə, autentifikasiya və şifrələmə protokolunun əsas zəifliyi onun yalnız istifadəçinin seçdiyi parol qədər təhlükəsiz olmasıdır”. Nədənsə, bu, provayderlər PPTP ilə səhv bir şey olmadığına və istifadəçidən icad etməyi tələb etsəniz, inanırlar mürəkkəb parollar, onda ötürülən məlumatlar təhlükəsiz olacaq. Riseup.net xidməti bu ideyadan o qədər ilhamlanıb ki, o, istifadəçilərə öz parollarını təyin etmək imkanı vermədən, müstəqil şəkildə 21 simvoldan ibarət parollar yaratmaq qərarına gəlib. Lakin belə sərt tədbir belə trafikin şifrəsinin açılmasına mane olmur. Səbəbini anlamaq üçün gəlin MS-CHAPv2 protokoluna daha yaxından nəzər salaq və Moxie Marlinspike-in onu necə qıra bildiyini görək.

MS-CHAPv2 protokolu

Artıq qeyd edildiyi kimi, MSCHAPv2 istifadəçi autentifikasiyası üçün istifadə olunur. Bu bir neçə mərhələdə baş verir:

  • müştəri serverə identifikasiya sorğusu göndərir, girişini açıq şəkildə ötürür;
  • server müştəriyə 16 baytlıq təsadüfi cavab qaytarır (Authenticator Challenge);
  • müştəri 16 baytlıq PAC (Peer Authenticator Challenge - peer authentication cavabı) yaradır;
  • müştəri PAC-ı, server cavabını və onun istifadəçi adını bir sətirdə birləşdirir;
  • SHA-1 alqoritmi ilə qəbul edilmiş sətirdən 8 baytlıq hash götürülür və serverə göndərilir;
  • server öz verilənlər bazasından hash alır bu müştərinin və cavabını deşifrə edir;
  • deşifrənin nəticəsi orijinal cavaba uyğun gəlirsə, hər şey qaydasındadır və əksinə;
  • sonradan server müştərinin PAC-ni alır və hash əsasında 20 baytlıq AR (Authenticator Response) yaradır və onu müştəriyə ötürür;
  • müştəri eyni əməliyyatı yerinə yetirir və alınan AR-nı server cavabı ilə müqayisə edir;
  • hər şey uyğun gəlirsə, müştəri server tərəfindən təsdiqlənir. Şəkildə protokolun işinin vizual diaqramı göstərilir.

İlk baxışdan protokol həddən artıq mürəkkəb görünür - bir dəstə hash, şifrələmə, təsadüfi çağırışlar. Əslində o qədər də mürəkkəb deyil. Diqqətlə baxsanız, görərsiniz ki, bütün protokolda yalnız bir şey naməlum olaraq qalır - istifadəçi parolunun MD4 hashı, bunun əsasında üç DES açarı qurulur. Qalan parametrlər ya aydın mətndə ötürülür, ya da aydın mətndə ötürüləndən əldə edilə bilər.


Demək olar ki, bütün parametrlər məlum olduğundan, biz onları nəzərdən keçirə bilmərik, ancaq bilinməyənlərə diqqətlə diqqət yetirin və bizə nə verdiyini öyrənin.


Beləliklə, bizdə nə var: naməlum parol, bu parolun naməlum MD4 hash, məlum sadə mətn və məşhur şifrəli mətn. Daha çoxu ilə ətraflı nəzərdən keçirilməsi Görə bilərsiniz ki, istifadəçinin parolu bizim üçün vacib deyil, lakin onun hashı vacibdir, çünki serverdə yoxlanılan heşdir. Beləliklə, istifadəçi adından uğurlu autentifikasiya üçün, eləcə də onun trafikinin şifrəsini açmaq üçün yalnız onun parolunun hashini bilməliyik.

Əlinizdə trafikə müdaxilə edərək, onun şifrəsini açmağa cəhd edə bilərsiniz. Lüğət hücumu vasitəsilə istifadəçinin parolunu təxmin etməyə imkan verən bir neçə alət (məsələn, yuxuda) var. Bu vasitələrin dezavantajı odur ki, onlar nəticələrin 100% zəmanətini vermirlər və uğur birbaşa seçilmiş lüğətdən asılıdır. Sadə kobud gücdən istifadə edərək parol seçmək də çox təsirli deyil - məsələn, 21 simvol uzunluğunda parolları zorla təyin edən PPTP VPN xidməti riseup.net vəziyyətində, 21 simvolun hər biri üçün 96 simvol variantını sınamalı olacaqsınız. . Bu, 2^138-dən bir qədər çox olan 96^21 variantla nəticələnir. Başqa sözlə, 138 bitlik açar seçməlisiniz. Parol uzunluğunun naməlum olduğu bir vəziyyətdə, parolun MD4 hashini seçmək məna kəsb edir. Uzunluğunun 128 bit olduğunu nəzərə alsaq, 2^128 seçim alırıq - başına Bu an hesablamaq sadəcə mümkün deyil.

Bölün və idarə edin

Parolun MD4 hash-i üç DES əməliyyatı üçün giriş kimi istifadə olunur. DES düymələri 7 bayt uzunluğundadır, buna görə də hər bir DES əməliyyatı MD4 hash-in 7 baytlıq hissəsini istifadə edir. Bütün bunlar klassik bölün və fəth hücumu üçün yer buraxır. MD4 hash-i tamamilə kobud qüvvə yerinə yetirmək əvəzinə (xatırladığınız kimi, 2^128 variantdır), biz onu 7 baytlıq hissələrdə seçə bilərik. Üç DES əməliyyatı istifadə edildiyindən və hər bir DES əməliyyatı digərlərindən tamamilə müstəqil olduğundan, bu, 2^56 + 2^56 + 2^56 və ya 2^57.59 ümumi uyğunluq mürəkkəbliyini verir. Bu, artıq 2^138 və 2^128-dən əhəmiyyətli dərəcədə yaxşıdır, lakin hələ də çoxdur böyük rəqəm seçimlər. Baxmayaraq ki, fərqinə vardığınız kimi, bu hesablamalara bir səhv daxil oldu. Alqoritmdə hər birinin ölçüsü 7 bayt, yəni cəmi 21 bayt olan üç DES düyməsindən istifadə olunur. Bu açarlar parolun cəmi 16 bayt uzunluğunda olan MD4 hashından götürülüb.

Yəni üçüncü DES açarını qurmaq üçün 5 bayt çatışmır. Microsoft bu problemi sadəcə olaraq axmaqcasına əskik baytları sıfırlarla doldurmaqla və üçüncü açarın effektivliyini iki bayta endirməklə həll etdi.

Üçüncü açarın effektiv uzunluğu cəmi iki bayt, yəni 2^16 variant olduğu üçün onun seçilməsi bir neçə saniyə çəkir və böl və fəth hücumunun effektivliyini sübut edir. Beləliklə, güman edə bilərik ki, hashın son iki baytı məlumdur, qalan 14 baytı seçmək qalır. Həmçinin, onları 7 baytdan iki hissəyə bölməklə, 2^-ə bərabər axtarış üçün ümumi seçimlərimiz var. 56 + 2^56 = 2^57. Hələ çox, amma daha yaxşıdır. Nəzərə alın ki, qalan DES əməliyyatları eyni mətni şifrələyir, sadəcə olaraq müxtəlif düymələrdən istifadə edir. Axtarış alqoritmini aşağıdakı kimi yazmaq olar:

Ancaq mətn eyni şəkildə şifrələndiyi üçün bunu belə etmək daha düzgündür:

Yəni axtarış üçün açarların 2^56 variantı var. Bu o deməkdir ki, MS-CHAPv2-nin təhlükəsizliyi yalnız DES şifrələməsinin gücünə endirilə bilər.

DES-in sındırılması

İndi açar seçim diapazonu məlumdur, hücumu uğurla başa çatdırmaq hesablama gücündən asılıdır. 1998-ci ildə Elektron Sərhəd Fondu 250.000 dollara başa gələn və orta hesabla dörd gün yarım ərzində DES açarını sındıra bilən Deep Crack adlı bir maşın yaratdı. Hal-hazırda, kriptoqrafik tətbiqlər üçün FPGA aparatının yaradılmasında ixtisaslaşan Pico Computing hər saatda bir DES əməliyyatı ilə DES-i boru kəməri kimi həyata keçirən FPGA cihazı (DES krekinq qutusu) qurmuşdur. 450 MHz tezliyində 40 nüvə ilə saniyədə 18 milyard açarı sadalaya bilir. Belə bir bruteforce sürəti ilə DES krekinq qutusu ən pis halda DES açarını 23 saata, orta hesabla isə yarım günə çatlayır. Bu möcüzə maşını loudcracker.com kommersiya veb xidməti vasitəsilə əldə etmək olar. Beləliklə, indi bir gündən az müddətdə istənilən MS-CHAPv2 əl sıxışmasını sındıra bilərsiniz. Əlinizdə parol hashinə sahib olmaqla, bu istifadəçi adından VPN xidmətində autentifikasiya edə və ya sadəcə onun trafikinin şifrəsini aça bilərsiniz.

Xidmətlə işi avtomatlaşdırmaq və ələ keçirilən trafiki emal etmək üçün Moxie chapcrack yardım proqramını ictimaiyyətə təqdim etdi. O, MS-CHAPv2 əl sıxmasını axtarır, tutulmuş şəbəkə trafikini təhlil edir. Tapdığı hər əl sıxma üçün istifadəçi adını, məlum açıq mətni, iki məlum şifrəli mətni çap edir və üçüncü DES düyməsini sındırır. Bundan əlavə, o, qalan düymələri sındırmaq üçün xidmət üçün zəruri olan üç parametri kodlayan CloudCracker üçün token yaradır.

CloudCracker və Chapcrack

Tutulan istifadəçi trafikindən DES açarlarını sındırmaq lazım gələrsə, mən qısa addım-addım təlimat verəcəyəm.

  1. 30-dan çoxunu həyata keçirən Passlib kitabxanasını yükləyin müxtəlif alqoritmlərüçün hashing Python dili, paketdən çıxarın və quraşdırın: python setup.py install
  2. Python-m2crypto quraşdırın - Python üçün OpenSSL paketi: sudo apt-get install python-m2crypto
  3. Chapcrack yardım proqramını yükləyin, paketdən çıxarın və quraşdırın: python setup.py install
  4. Chapcrack quraşdırılıb, siz tutulan trafiki təhlil etməyə başlaya bilərsiniz. Utilit giriş kimi qapaq faylını qəbul edir, onu MS-CHAPv2 əl sıxması üçün axtarır və oradan hakerlik üçün lazım olan məlumatları çıxarır. chapcrack parse -i testləri/pptp
  5. Chapcrack yardım proqramının verdiyi məlumatdan CloudCracker Təqdimetmə xəttinin dəyərini kopyalayın və onu faylda saxlayın (məsələn, output.txt)
  6. Cloudcracker.com saytına gedin, paneldə "Cracking Start" seçin Fayl növü, “MS-CHAPv2 (PPTP/WPA-E)” ilə bərabər, əvvəlki addımda əvvəlcədən hazırlanmış output.txt faylını seçin, Next -> Next düyməsini klikləyin və sındırıldıqdan sonra mesajın göndəriləcəyi e-poçtunuzu göstərin. tamdır.

Təəssüf ki, CloudCracker pullu xidmətdir. Xoşbəxtlikdən, açarları sındırmaq üçün bu qədər pul ödəməli olmayacaqsınız - cəmi 20 dollar.

Nə etməli?

Microsoft öz saytında yazsa da, hazırda chapcrack-dən istifadə edən aktiv hücumlar, eləcə də bu cür hücumların nəticələri haqqında məlumatı yoxdur. istifadəçi sistemləri, lakin bu o demək deyil ki, hər şey qaydasındadır. Moxie tövsiyə edir ki, PPTP VPN həllərinin bütün istifadəçiləri və provayderləri başqa VPN protokoluna köçməyə başlasınlar. Və PPTP trafiki şifrələnməmiş hesab olunur. Gördüyünüz kimi, VPN-nin bizi ciddi şəkildə ruhdan sala biləcəyi başqa bir vəziyyət var.


Nəticə

Belə olur ki, VPN anonimlik və təhlükəsizlik ilə əlaqələndirilir. İnsanlar trafiklərini provayderlərinin diqqətli gözlərindən gizlətmək, həqiqi coğrafi yerlərini dəyişdirmək və s. istədikləri zaman VPN-dən istifadə edirlər. Əslində, məlum olur ki, trafik şəbəkəyə açıq şəkildə "sıza" bilər və aydın deyilsə, şifrələnmiş trafik olduqca tez şifrələnə bilər. Bütün bunlar bir daha bizə xatırladır ki, biz tam təhlükəsizlik və anonimlik barədə yüksək vədlərə kor-koranə etibar edə bilmərik. Necə deyərlər, güvən, amma yoxla. Odur ki, ehtiyatlı olun və VPN bağlantınızın həqiqətən təhlükəsiz və anonim olduğundan əmin olun.

Şəbəkə anonimliyi sahəsində ən qabaqcıl nailiyyətləri həyata keçirən Whonix OS paylanması haqqında da danışacağam, çünki digər şeylərlə yanaşı, hər iki təhlil edilən sxem konfiqurasiya edilir və orada işləyir.

Əvvəlcə bəzi postulatları müəyyən edək:
1. Tor şəbəkəsi təmin edir yüksək səviyyə onun istifadəsi üçün bütün məcburi qaydalara tabe olan müştərinin anonimliyi. Bu bir faktdır: real hücumlarşəbəkənin özündə ictimaiyyətdə, bu hələ baş verməyib.
2. Etibarlı VPN (SSH) serveri özü ilə müştəri arasında ötürülən məlumatların məxfiliyini təmin edir.
Beləliklə, rahatlıq üçün bu məqalədə Torun müştərinin anonimliyini, VPN-in isə ötürülən məlumatların məxfiliyini təmin etdiyini nəzərdə tuturuq.

Tor VPN üzərindən. Əvvəlcə VPN, sonra Tor

Bu sxemdə VPN serveri daimi giriş qovşağıdır, bundan sonra şifrələnmiş trafik Tor şəbəkəsinə göndərilir. Praktikada sxemi həyata keçirmək asandır: əvvəlcə VPN serverinə qoşulursunuz, sonra VPN tuneli vasitəsilə lazımi marşrutlaşdırmanı avtomatik konfiqurasiya edəcək Tor brauzerini işə salın.

Belə bir sxemdən istifadə faktı gizlətməyə imkan verir Tor istifadə edərəkİnternet provayderimizdən. VPN server ünvanını görəcək Tor giriş qovşağından da bloklanacağıq. Torun nəzəri kompromissi halında, əlbəttə ki, heç bir qeyd saxlamayan VPN xətti ilə qorunacağıq.
Əvəzində istifadə VPN proxy server, heç bir mənası yoxdur: VPN tərəfindən təmin edilən şifrələmə olmadan belə bir sxemdə heç bir əhəmiyyətli üstünlük əldə etməyəcəyik.

Qeyd etmək lazımdır ki, Tor qadağasından yan keçmək üçün İnternet provayderləri sözdə körpülərlə çıxış etdilər.
Körpülər Tor şəbəkəsinin mərkəzi Tor kataloqunda qeyd olunmayan, yəni görünməyən, məsələn, və ya, və buna görə də aşkarlanması daha çətin olan qovşaqlardır.
Körpüləri necə konfiqurasiya etmək ətraflı şəkildə yazılmışdır.
Tor saytının özü bizə ünvanında bir neçə körpü verə bilər.
Siz həmçinin körpü ünvanlarını aşağıdakı ünvana göndərməklə poçtla əldə edə bilərsiniz: [email protected] və ya [email protected] mətni olan məktub: "körpülər alın". Bu məktubu gmail.com və ya yahoo.com-dan poçtla göndərdiyinizə əmin olun
Cavab olaraq onların ünvanları olan bir məktub alacağıq:
« Budur körpü releləriniz:
körpü 60.16.182.53:9001
körpü 87.237.118.139:444
körpü 60.63.97.221:443»
Bu ünvanlar Tor proksi serveri olan Vidalia parametrlərində göstərilməlidir.
Bəzən elə olur ki, körpülər bağlanır. Bundan yan keçmək üçün Tor sözdə “qarışıq körpülər” təqdim etdi. Təfərrüatlara varmadan onları aşkar etmək daha çətindir. Onlara qoşulmaq üçün, məsələn, Pluggable Transports Tor Browser Bundle yükləmək lazımdır.

pros sxem:

  • Tor-dan istifadə faktını İnternet provayderindən gizlədəcəyik (və ya provayder onu bloklayarsa Tor-a qoşulun). Ancaq bunun üçün xüsusi körpülər var;
  • IP ünvanımızı VPN serverinin ünvanı ilə əvəz edərək Tor giriş qovşağından gizlədəcəyik, lakin bu, anonimliyin ən təsirli artımı deyil;
  • Torun nəzəri kompromissi halında biz VPN serverinin arxasında qalacağıq.

Minuslar sxem:

  • bu yanaşmanın hər hansı əhəmiyyətli üstünlükləri olmadığı halda VPN serverinə etibar etməliyik.
Tor vasitəsilə VPN. Əvvəlcə Tor, sonra VPN

Bu halda VPN serveri İnternetə daimi çıxış yeridir.


Bənzər bir əlaqə sxemi Tor qovşağının bloklanmasını keçmək üçün istifadə edilə bilər xarici resurslar, üstəlik o, trafikimizi Tor çıxış qovşağında dinləmələrdən qorumalıdır.
Belə bir əlaqə qurmaqda bir çox texniki çətinliklər var, məsələn, Tor zəncirinin hər 10 dəqiqədən bir yeniləndiyini və ya Torun UDP-dən keçməsinə icazə vermədiyini xatırlayırsınız? Ən əlverişli variant praktik həyata keçirilməsi bu, iki virtual maşının istifadəsidir (aşağıda daha ətraflı).
Onu da qeyd etmək lazımdır ki, istənilən çıxış qovşağı müştərini ümumi axınla asanlıqla vurğulayacaq, çünki əksər istifadəçilər müxtəlif resurslara müraciət edirlər və oxşar sxemdən istifadə edərkən müştəri həmişə eyni VPN serverinə gedir.
Təbii ki, Tor-dan sonra adi proksi serverlərdən istifadənin o qədər də mənası yoxdur, çünki proksiyə gedən trafik şifrələnmir.

pros sxem:

  • Tor çıxış qovşağında trafikə qulaq asmaqdan qorunma, lakin Tor tərtibatçılarının özləri tətbiq səviyyəsində şifrələmədən istifadə etməyi tövsiyə edirlər, məsələn, https;
  • bloklayan qoruma Tor ünvanları xarici resurslar.

Minuslar sxem:

  • sxemin kompleks şəkildə həyata keçirilməsi;
  • çıxış VPN serverinə etibar etməliyik.
Whonix konsepsiyası

Əsas məqsədi İnternetdə müştərinin anonimliyini və qorunmasını təmin etmək olan bir çox OS paylamaları var, məsələn, Tails və Liberte və başqaları. Bununla belə, texnoloji cəhətdən ən inkişaf etmiş, daim inkişaf edən və effektiv həll, təhlükəsizlik və anonimliyi təmin etmək üçün ən qabaqcıl üsulları tətbiq edən OS paylama dəstidir.
Dağıtım VirtualBox-da iki Debian virtual maşınından ibarətdir, bunlardan biri bütün trafiki Tor şəbəkəsinə göndərən şlüz, digəri isə yalnız şlüzlə birləşən təcrid olunmuş iş stansiyasıdır. Whonix sözdə təcrid proxy server mexanizmini tətbiq edir. Şluz və iş stansiyasını fiziki olaraq ayırmaq imkanı da var.

İş stansiyası İnternetdə xarici IP ünvanını bilmədiyi üçün bu, bir çox boşluqları neytrallaşdırmağa imkan verir, məsələn, zərərli proqram iş stansiyasına kök girişi əldə edərsə, onun real IP ünvanını tapmaq imkanı olmayacaq. Budur Whonix-in rəsmi saytından götürülmüş əməliyyat diaqramı.


Whonix OS, tərtibatçıların fikrincə, bütün mümkün sızma testlərindən uğurla keçdi. Hətta xüsusiyyətləri ilə tanınan Skype, BitTorrent, Flash, Java kimi proqramlar da daxil olur açıq internet Tor-dan yan keçmək də anonimləşdirmə məlumat sızmasının olmaması üçün uğurla sınaqdan keçirilib.
Whonix OS bir çox faydalı anonimlik mexanizmlərini tətbiq edir, ən vaciblərini qeyd edəcəyəm:

  • istənilən tətbiqin bütün trafiki Tor şəbəkəsindən keçir;
  • Trafik profilindən qorunmaq üçün Whonix OS iplik izolyasiyası konsepsiyasını həyata keçirir. Əvvəlcədən quraşdırılmış Whonix proqramları ayrıca Corab portundan istifadə etmək üçün konfiqurasiya edilmişdir və hər Corab portu Tor şəbəkəsində ayrıca qovşaqlar zəncirindən istifadə etdiyinə görə profil yaratmaq mümkün deyil;
  • Tor Gizli xidmətlərinin təhlükəsiz hostinqi təmin edilir. Təcavüzkar veb serveri sındırsa belə, o, “Gizli” xidmətin şəxsi açarını oğurlaya bilməyəcək, çünki açar Whonix şluzunda saxlanılır;
  • Whonix arxitekturasında təcrid olunmuş proxy prinsipindən istifadə etdiyi üçün DNS sızmalarından qorunur. Bütün DNS sorğuları Tor DnsPort-a yönləndirilir;
  • Whonix əvvəllər müzakirə olunan qarışıq körpüləri dəstəkləyir;
  • “Protokol-Sızma-Mühafizə və Barmaq İzi-Qoruma” texnologiyasından istifadə olunur. Bu, ən çox istifadə olunan dəyərlərdən, məsələn, istifadəçi adı – “istifadəçi”, saat qurşağı – UTC və s. istifadə etməklə brauzerin və ya sistemin rəqəmsal barmaq izini yaratmaqla müştərinin identifikasiyası riskini azaldır;
  • başqalarını tunel etmək mümkündür anonim şəbəkələr: Freenet, I2P, JAP, Tor vasitəsilə Retroshare və ya hər bir belə şəbəkə ilə birbaşa işləyin. Bu cür əlaqələrin xüsusiyyətləri haqqında daha ətraflı məlumatı linkdə tapa bilərsiniz;
  • Qeyd etmək vacibdir ki, Whonix VPN/SSH/Proxy-ni Tor ilə birləşdirmək üçün bütün sxemləri sınaqdan keçirib, sənədləşdirib və ən əsası işləyir (!). Bu barədə daha ətraflı məlumatı linkdən əldə etmək olar;
  • Whonix OS tamdır açıq layihə, pulsuz proqram təminatından istifadə etməklə.

Bununla belə, Whonix OS-nin mənfi cəhətləri də olduğunu qeyd etmək lazımdır:

  • Tails və ya Liberte-dən daha mürəkkəb quraşdırma;
  • iki tələb olunur virtual maşınlar və ya ayrıca fiziki avadanlıq;
  • baxımına diqqətin artırılmasını tələb edir. Bir yerinə üç əməliyyat sistemini izləmək, parolları saxlamaq və əməliyyat sistemini yeniləmək lazımdır;
  • Whonix-də Tor-da “Yeni Şəxsiyyət” düyməsi işləmir. Fakt budur ki, Tor brauzeri və Tor özü tərəfindən təcrid olunur müxtəlif avtomobillər Buna görə də, "Yeni Şəxsiyyət" düyməsinin Tor nəzarətinə çıxışı yoxdur. Yeni node zəncirindən istifadə etmək üçün brauzeri bağlamalı, Arm, Tor idarəetmə paneli, Vidalianın analoqundan istifadə edərək zənciri dəyişdirməlisiniz. Tor brauzeri, və brauzeri yenidən işə salın.

Whonix layihəsi ayrı olaraq inkişaf edir Tor layihəsi və onun tərkibinə daxil olan digər proqramlar, buna görə də Whonix Tor şəbəkəsinin özündə olan zəifliklərdən və ya məsələn, 0 günlük zəifliklərdən qorunmayacaq. firewall, Iptables.

Whonix-in əməliyyatının təhlükəsizliyini onun wiki-dən bir sitatla yekunlaşdırmaq olar: " Xeyr, Whonix çox güclü rəqiblərdən qorunmaq, mükəmməl təhlükəsiz bir sistem olmaq, güclü anonimlik təmin etmək və ya üç məktubdan ibarət agentliklərdən və ya hökumət nəzarətindən qorunmaq iddiasında deyil.».
Əgər “üç hərf”in şöbələri sizi axtarırsa, tapacaqlar :)

Tor və VPN arasındakı dostluq məsələsi mübahisəlidir. Bu mövzuda forumlarda mübahisələr azalmır. Onlardan ən maraqlılarını verəcəyəm:

  1. ilə Tor və VPN haqqında bölmə Rəsmi səhifə Tor layihəsi;
  2. Tails paylama forumunun VPN/Tor problemi ilə bağlı Tails tərtibatçılarının fikirləri ilə bölməsi. Forumun özü indi bağlıdır, lakin Google müzakirələrin yaddaşını saxladı;
  3. Liberte paylama forumunun Liberte tərtibatçılarının fikirləri ilə VPN/Tor problemi bölməsi.

Bu yazını oxumağa başlamısınızsa, VPN və Tor-dan niyə istifadə etməyinizlə bağlı sualınız yoxdur. Bu texnologiyaların hər biri məqbul məxfilik səviyyəsini təmin etməyə qadirdir ki, bu da ən azı IP ünvanınızı və trafikinizi gizlədir. maraqlı gözlər. Bununla birlikdə, həm VPN, həm də Tor, bir sıra açıq üstünlüklərə əlavə olaraq, istismarı həqiqi şəxsiyyətinizi ortaya qoya bilən çatışmazlıqlara malikdir.

Tor və VPN-dən eyni vaxtda istifadə üçün ilkin şərtlər

Əsas problemlərə əksər VPN həllərinin mərkəzləşdirilməsi daxildir. üçün nəzarət VPN şəbəkəsi VPN-dən istifadə edərkən, onun sahibinin əlindədir, məlumatların açıqlanması və qeydlərin saxlanması sahəsində xidmətin siyasətini tam başa düşməli və xidmət müqaviləsini diqqətlə oxumalısınız.

Real həyatdan bir misal: 2011-ci ildə FTB Sony-ni sındırmaq üçün Britaniyanın məşhur HideMyAss xidmətindən istifadə edən haker Cody Kretsingeri həbs etdi. Hakerin IRC-dəki yazışmaları, xidmətin özünə məxsus olmasına baxmayaraq, federalların əlinə keçdi Lisenziya müqaviləsi bildirir ki, onlar yalnız ümumi statistika toplayır və müştərilərin IP ünvanlarını və ya onların trafikini qeyd etmirlər.

Görünür ki, Tor şəbəkəsi, daha etibarlı və mərkəzləşdirilməmiş bir həll olaraq, bu cür vəziyyətlərin qarşısını almağa kömək etməlidir, lakin burada da tələlər yoxdur. Problem ondadır ki, hər kəs öz Tor çıxış qovşağını işlədə bilər. İstifadəçi trafiki belə qovşaqdan şifrələnməmiş formada keçir ki, bu da çıxış qovşağının sahibinə öz mövqeyindən sui-istifadə etməyə və onun nəzarətində olan qovşaqlardan keçən trafikin həmin hissəsini təhlil etməyə imkan verir.

Bunlar təkcə nəzəri hesablamalar deyil, 2016-cı ildə Şimal-Şərq Universitetinin alimləri anonim şəbəkənin istifadəçilərinə casusluq edən 110 zərərli çıxış qovşağının tapıldığı bir araşdırma dərc etdilər. Əslində belə qovşaqların daha çox olduğunu güman etmək məntiqlidir və qovşaqların ümumi sayının az olduğunu (2017-ci ilin iyun ayına cəmi 7000-ə yaxın) nəzərə alsaq, heç nə aidiyyatı təşkilatlara Tor trafikinin əhəmiyyətli hissəsini təhlil etməyə mane olmur.

FTB-nin anonimləşdirmə üçün istifadə etdiyi Firefox brauzeri üçün istismarın son hekayəsi də çox səs-küyə səbəb oldu. Tor istifadəçiləri. Baxmayaraq ki, tərtibatçılar aradan qaldırmaq üçün fəal işləyirlər oxşar problemlər, siz heç vaxt əmin ola bilməzsiniz ki, geniş ictimaiyyətə məlum olmayan zəifliklər yoxdur.

Tor-un VPN-dən daha yüksək səviyyədə anonimlik təklif etməsinə baxmayaraq, bunun üçün əlaqə sürəti, p2p şəbəkələrindən (Torrent, Gnutella) istifadə edə bilməmək və bəzi İnternet resurslarına çıxış problemi üçün ödəməlisiniz, çünki adminlər tez-tez bir sıra bloklayırlar. Tor IP ünvanları.

Yaxşı xəbər budur ki, hər iki texnologiya hər birinin mənfi cəhətlərini azaltmaq və əlavə etmək üçün birlikdə istifadə edilə bilər əlavə səviyyə təhlükəsizlik, əlbəttə ki, bunun üçün pul ödəməli olacaqsınız böyük azalma sürət. VPN və Tor-u birləşdirmək üçün iki variantın olduğunu başa düşmək vacibdir, biz hər birinin üstünlükləri və mənfi cəhətləri üzərində ətraflı dayanacağıq.

Bu konfiqurasiyada siz əvvəlcə VPN serverinə qoşulursunuz, sonra VPN bağlantısı üzərindən Tor şəbəkəsindən istifadə edirsiniz.

Bu, aşağıdakı zəncirlə nəticələnir:


Cihazınız -> VPN -> Tor -> İnternet


Bu, qaçdığınız zaman baş verənlərdir Tor brauzeri və ya təhlükəsiz Whonix OS (üçün daha çox təhlükəsizlik) artıq qoşulmuş VPN olan sistemdə. Bu halda, xarici IP-nin Tor şəbəkə diapazonuna aid olacağı aydındır.

Torun VPN üzərindən üstünlükləri:

  • İnternet provayderiniz Tor-dan istifadə etdiyinizi bilməyəcək (lakin VPN-ə qoşulduğunuzu görəcək), bu, bəzi hallarda zamanlama hücumundan qaçmağa kömək edə bilər (aşağıya baxın).
  • Gələn Tor nodu sizin real IP ünvanınızı bilməyəcək, VPN serverinizin ünvanını görəcək. Bu əlavə qorunma səviyyəsidir (bir şərtlə ki, qeydləri saxlamayan anonim VPN istifadə edirsiniz).
  • Giriş anonim xidmətlər Tor şəbəkəsi (domain.onion).
Torun VPN üzərindəki çatışmazlıqları:
  • VPN provayderiniz əsl IP ünvanınızı bilir.
  • Zərərli Tor çıxış qovşaqlarına qarşı heç bir qorunma yoxdur və şifrələnməmiş trafik ələ keçirilə və təhlil edilə bilər.
  • Tor çıxış qovşaqları çox vaxt IP bloklanır.
Qeyd etmək lazımdır ki, Tor-dan istifadə faktını provayderin gözündən gizlətmək üçün yalnız VPN deyil, Obfsproxy-dən də istifadə edə bilərsiniz.

Bu konfiqurasiya əvvəlcə TOR şəbəkəsinə qoşulmağı, sonra isə şəbəkəyə daxil olmaq üçün Tor üzərindən VPN istifadə etməyi əhatə edir.

Bağlantı zənciri belə görünür:

Cihazınız -> VPN-> Tor -> VPN -> İnternet


Tor üzərində VPN-in üstünlükləri:
  • Bağlandığın üçün VPN server Tor vasitəsilə VPN provayderi sizin real IP ünvanınızı tapa bilmir, o, yalnız Tor şəbəkəsinin çıxış qovşağının ünvanını görür. VPN abunəsi alarkən VPN provayderinin veb saytına daxil olmaq üçün anonim ödəniş metodundan (məsələn, mikserdən keçən bitkoinlər) və Tordan istifadə etməyi şiddətlə tövsiyə edirik.
  • Zərərli Tor qovşaqlarından qorunma, çünki məlumatlar əlavə olaraq VPN istifadə edərək şifrələnir.
  • Tor-dan bağlantıları bloklayan saytlara daxil olmaq
  • Server yerini seçmək imkanı
  • Bütün trafik Tor vasitəsilə aparılır
Qüsurlar
  • VPN xidməti sizinlə əlaqələndirə bilməsə də, trafikinizi görə bilər
  • İnternet provayderiniz trafikin Tor qovşaqlarından birinə yönəldiyini görür. Bu, zamanlama hücumu riskini bir qədər artırır.

Tor vasitəsilə VPN qurmaq üçün iki yolla gedə bilərsiniz:

  • Standart Tor brauzerindən istifadə edin. Bu yanaşmanın dezavantajı ondan ibarətdir ki, VPN ilə işləyərkən Tor brauzerini işlətməli və həmişə aktiv saxlamalı olacaqsınız.
  • Tor Expert Bundle-ı Windows xidməti kimi quraşdırın. Bu quraşdırma bir qədər daha mürəkkəbdir, lakin Tor həmişə kompüterinizdə işləyəcək və VPN-ə qoşulmazdan əvvəl Tor brauzerini işə salmağa ehtiyac yoxdur.

Tor brauzerindən istifadə edərək Tor üzərində VPN qurmaq.

1. Tor brauzerini işə salın, parametrlər menyusuna (Seçimlər) keçin, sonra Qabaqcıl -> Şəbəkə -> Parametrlər. Qarşınızda Proksi parametrləri pəncərəsi açılacaq. Burada nəyisə dəyişməyə xüsusi ehtiyac yoxdur. Görünür ki, Tor brauzeri aktiv olduqda, kompüteriniz SOCKS v5 proksisi kimi işləyir və 9150 nömrəli portdakı bağlantıları qəbul edir.

2. Sonrakı, bizim üçün göstərmək qalır VPN müştəri kompüterinizdə işləyən Tor proxy-dən istifadə edin. OpenVPN vəziyyətində, bu, ekran görüntüsündə olduğu kimi proqram parametrlərində edilir. Eyni şeyi OpenVPN konfiqurasiya faylında direktivi təyin etməklə etmək olar corab-proxy 127.0.0.1 9050

Expert Bundle istifadə edərək Tor üzərində VPN qurmaq.

Etibarlı VPN-in qayğısına qalın, cəhd edin və əldə edəcəksiniz tam yoxluğu log faylları, 100-dən çox server, təmiz OpenVPN və yox üçüncü tərəf proqramları. Xidmət Honq-Konqda qeydiyyatdan keçib və bütün serverlər dummies üçün qeydiyyatdan keçib.

Şərhlərinizi və suallarınızı aşağıda yazın və sosial şəbəkələrdə bizi izləyin

Hamıya salam!

İndi daha maraqlı şeylərə keçirik. Bu yazıda Tor-u VPN/SSH/Proxy ilə birləşdirmək variantlarına baxacağıq.
Qısalıq üçün aşağıda hər yerdə VPN yazacağam, çünki hamınız əlasınız və əvvəllər öyrəndiyimiz VPN, SSH, Proxy-nin müsbət və mənfi cəhətlərini artıq bilirsiniz.
İki əlaqə variantını nəzərdən keçirəcəyik:

  • əvvəlcə VPN, sonra Tor;
  • əvvəlcə Tor, sonra isə VPN.
Şəbəkə anonimliyi sahəsində ən qabaqcıl nailiyyətləri həyata keçirən Whonix OS paylanması haqqında da danışacağam, çünki digər şeylərlə yanaşı, hər iki təhlil edilən sxem konfiqurasiya edilir və orada işləyir.
Əvvəlki hissələr burada:
1-ci hissə: .
2-ci hissə: .
3-cü hissə: .

Əvvəlcə bəzi postulatları müəyyən edək:
1. Tor şəbəkəsi onun istifadəsi üçün bütün məcburi qaydalara riayət etməklə yüksək səviyyədə müştəri anonimliyini təmin edir. Bu faktdır: şəbəkənin özünə qarşı real ictimai hücumlar hələ olmayıb.
2. Etibarlı VPN (SSH) serveri özü ilə müştəri arasında ötürülən məlumatların məxfiliyini təmin edir.
Beləliklə, rahatlıq üçün bu məqalədə Torun müştərinin anonimliyini, VPN-in isə ötürülən məlumatların məxfiliyini təmin etdiyini nəzərdə tuturuq.
Tor VPN üzərindən. Əvvəlcə VPN, sonra Tor
Bu sxemdə VPN serveri daimi giriş qovşağıdır, bundan sonra şifrələnmiş trafik Tor şəbəkəsinə göndərilir. Praktikada sxemi həyata keçirmək asandır: əvvəlcə VPN serverinə qoşulursunuz, sonra VPN tuneli vasitəsilə lazımi marşrutlaşdırmanı avtomatik konfiqurasiya edəcək Tor brauzerini işə salın.


Bu sxemdən istifadə bizə Tor istifadə faktını İnternet provayderimizdən gizlətməyə imkan verir. VPN server ünvanını görəcək Tor giriş qovşağından da bloklanacağıq. Torun nəzəri kompromissi halında, əlbəttə ki, heç bir qeyd saxlamayan VPN xətti ilə qorunacağıq.
VPN əvəzinə proxy serverdən istifadə etməyin mənası yoxdur: VPN tərəfindən təmin edilən şifrələmə olmadan belə bir sxemdə heç bir əhəmiyyətli üstünlük əldə etməyəcəyik.

Qeyd etmək lazımdır ki, Tor qadağasından yan keçmək üçün İnternet provayderləri sözdə körpülərlə çıxış etdilər.
Körpülər Tor şəbəkəsinin mərkəzi Tor kataloqunda qeyd olunmayan, yəni görünməyən, məsələn, və ya, və buna görə də aşkarlanması daha çətin olan qovşaqlardır.
Körpüləri necə konfiqurasiya etmək ətraflı şəkildə yazılmışdır.
Tor saytının özü bizə ünvanında bir neçə körpü verə bilər.
Siz həmçinin körpü ünvanlarını aşağıdakı ünvana göndərməklə poçtla əldə edə bilərsiniz: [email protected] və ya [email protected] mətni olan məktub: "körpülər alın". Bu məktubu gmail.com və ya yahoo.com-dan poçtla göndərdiyinizə əmin olun
Cavab olaraq onların ünvanları olan bir məktub alacağıq:
« Budur körpü releləriniz:
körpü 60.16.182.53:9001
körpü 87.237.118.139:444
körpü 60.63.97.221:443»
Bu ünvanlar Tor proksi serveri olan Vidalia parametrlərində göstərilməlidir.
Bəzən elə olur ki, körpülər bağlanır. Bundan yan keçmək üçün Tor sözdə “qarışıq körpülər” təqdim etdi. Təfərrüatlara varmadan onları aşkar etmək daha çətindir. Onlara qoşulmaq üçün, məsələn, Pluggable Transports Tor Browser Bundle yükləmək lazımdır.

pros sxem:

  • Tor-dan istifadə faktını İnternet provayderindən gizlədəcəyik (və ya provayder onu bloklayarsa Tor-a qoşulun). Ancaq bunun üçün xüsusi körpülər var;
  • IP ünvanımızı VPN serverinin ünvanı ilə əvəz edərək Tor giriş qovşağından gizlədəcəyik, lakin bu, anonimliyin ən təsirli artımı deyil;
  • Torun nəzəri kompromissi halında biz VPN serverinin arxasında qalacağıq.
Minuslar sxem:
  • bu yanaşmanın hər hansı əhəmiyyətli üstünlükləri olmadığı halda VPN serverinə etibar etməliyik.
Tor vasitəsilə VPN. Əvvəlcə Tor, sonra VPN
Bu halda VPN serveri İnternetə daimi çıxış yeridir.


Bənzər bir əlaqə sxemi Tor qovşaqlarının xarici resurslar tərəfindən bloklanmasından yan keçmək üçün istifadə edilə bilər, üstəlik o, bizim trafikimizi Tor çıxış qovşağında dinləmələrdən qorumalıdır.
Belə bir əlaqə qurmaqda bir çox texniki çətinliklər var, məsələn, Tor zəncirinin hər 10 dəqiqədən bir yeniləndiyini və ya Torun UDP-dən keçməsinə icazə vermədiyini xatırlayırsınız? Praktik həyata keçirmək üçün ən əlverişli variant iki virtual maşının istifadəsidir (aşağıda bu barədə ətraflı).
Onu da qeyd etmək lazımdır ki, istənilən çıxış qovşağı müştərini ümumi axınla asanlıqla vurğulayacaq, çünki əksər istifadəçilər müxtəlif resurslara müraciət edirlər və oxşar sxemdən istifadə edərkən müştəri həmişə eyni VPN serverinə gedir.
Təbii ki, Tor-dan sonra adi proksi serverlərdən istifadənin o qədər də mənası yoxdur, çünki proksiyə gedən trafik şifrələnmir.

pros sxem:

  • Tor çıxış qovşağında trafikə qulaq asmaqdan qorunma, lakin Tor tərtibatçılarının özləri tətbiq səviyyəsində şifrələmədən istifadə etməyi tövsiyə edirlər, məsələn, https;
  • Tor ünvanlarının xarici resurslar tərəfindən bloklanmasından qorunma.
Minuslar sxem:
  • sxemin kompleks şəkildə həyata keçirilməsi;
  • çıxış VPN serverinə etibar etməliyik.
Whonix konsepsiyası
Əsas məqsədi İnternetdə müştərinin anonimliyini və qorunmasını təmin etmək olan bir çox OS paylamaları var, məsələn, Tails və Liberte və başqaları. Bununla belə, təhlükəsizliyin və anonimliyin təmin edilməsi üçün ən qabaqcıl üsulları tətbiq edən ən texnoloji cəhətdən inkişaf etmiş, daim inkişaf edən və effektiv həll OS paylanmasıdır.
Dağıtım VirtualBox-da iki Debian virtual maşınından ibarətdir, bunlardan biri bütün trafiki Tor şəbəkəsinə göndərən şlüz, digəri isə yalnız şlüzlə birləşən təcrid olunmuş iş stansiyasıdır. Whonix sözdə təcrid proxy server mexanizmini tətbiq edir. Şluz və iş stansiyasını fiziki olaraq ayırmaq imkanı da var.

İş stansiyası İnternetdə xarici IP ünvanını bilmədiyi üçün bu, bir çox boşluqları neytrallaşdırmağa imkan verir, məsələn, zərərli proqram iş stansiyasına kök girişi əldə edərsə, onun real IP ünvanını tapmaq imkanı olmayacaq. Budur Whonix-in rəsmi saytından götürülmüş əməliyyat diaqramı.


Whonix OS, tərtibatçıların fikrincə, bütün mümkün sızma testlərindən uğurla keçdi. Hətta Tor-dan yan keçərək açıq İnternetə daxil olmaq qabiliyyəti ilə tanınan Skype, BitTorrent, Flash, Java kimi proqramlar da anonimləşdirmə məlumat sızmasının olmaması üçün uğurla sınaqdan keçirilib.
Whonix OS bir çox faydalı anonimlik mexanizmlərini tətbiq edir, ən vaciblərini qeyd edəcəyəm:

  • istənilən tətbiqin bütün trafiki Tor şəbəkəsindən keçir;
  • Trafik profilindən qorunmaq üçün Whonix OS iplik izolyasiyası konsepsiyasını həyata keçirir. Əvvəlcədən quraşdırılmış Whonix proqramları ayrıca Corab portundan istifadə etmək üçün konfiqurasiya edilmişdir və hər Corab portu Tor şəbəkəsində ayrıca qovşaqlar zəncirindən istifadə etdiyinə görə profil yaratmaq mümkün deyil;
  • Tor Gizli xidmətlərinin təhlükəsiz hostinqi təmin edilir. Təcavüzkar veb serveri sındırsa belə, o, “Gizli” xidmətin şəxsi açarını oğurlaya bilməyəcək, çünki açar Whonix şluzunda saxlanılır;
  • Whonix arxitekturasında təcrid olunmuş proxy prinsipindən istifadə etdiyi üçün DNS sızmalarından qorunur. Bütün DNS sorğuları Tor DnsPort-a yönləndirilir;
  • Whonix əvvəllər müzakirə olunan qarışıq körpüləri dəstəkləyir;
  • “Protokol-Sızma-Mühafizə və Barmaq İzi-Qoruma” texnologiyasından istifadə olunur. Bu, ən çox istifadə olunan dəyərlərdən, məsələn, istifadəçi adı – “istifadəçi”, saat qurşağı – UTC və s. istifadə etməklə brauzerin və ya sistemin rəqəmsal barmaq izini yaratmaqla müştərinin identifikasiyası riskini azaldır;
  • digər anonim şəbəkələri tunel etmək mümkündür: Tor vasitəsilə Freenet, I2P, JAP, Retroshare və ya hər bir belə şəbəkə ilə birbaşa işləmək. Bu cür əlaqələrin xüsusiyyətləri haqqında daha ətraflı məlumatı linkdə tapa bilərsiniz;
  • Qeyd etmək vacibdir ki, Whonix VPN/SSH/Proxy-ni Tor ilə birləşdirmək üçün bütün sxemləri sınaqdan keçirib, sənədləşdirib və ən əsası işləyir (!). Bu barədə daha ətraflı məlumatı linkdən əldə etmək olar;
  • Whonix OS pulsuz proqram təminatından istifadə edən tamamilə açıq mənbəli layihədir.
Bununla belə, Whonix OS-nin mənfi cəhətləri də olduğunu qeyd etmək lazımdır:
  • Tails və ya Liberte-dən daha mürəkkəb quraşdırma;
  • iki virtual maşın və ya ayrı fiziki avadanlıq tələb olunur;
  • baxımına diqqətin artırılmasını tələb edir. Bir yerinə üç əməliyyat sistemini izləmək, parolları saxlamaq və əməliyyat sistemini yeniləmək lazımdır;
  • Whonix-də Tor-da “Yeni Şəxsiyyət” düyməsi işləmir. Fakt budur ki, Tor brauzeri və Tor özü müxtəlif maşınlarda təcrid olunur, buna görə də "Yeni Şəxsiyyət" düyməsinin Tor idarəetməsinə çıxışı yoxdur. Yeni qovşaq zəncirindən istifadə etmək üçün brauzeri bağlamalı, Arm, Tor idarəetmə paneli, Tor Brauzerində Vidalia ekvivalentindən istifadə edərək zənciri dəyişdirməli və brauzeri yenidən işə salmalısınız.
Whonix layihəsi Tor layihəsindən və onun tərkib hissəsi olan digər proqramlardan ayrıca hazırlanır, ona görə də Whonix Tor şəbəkəsinin özündə olan zəifliklərdən və ya məsələn, firewallda, Iptables-də 0 günlük zəiflikdən qorunmayacaq.

Whonix-in təhlükəsizliyi təsvir edilə bilər

İnternetə giriş məhdudiyyətləri, senzura və saytların bloklanması ilə bağlı hadisələr fonunda LifeHacker resursundan VPN xidmətləri haqqında müqayisəli məqalənin tərcüməsini sizə təqdim etməyi zəruri hesab edirəm.

Şəxsi İnternet Girişi

Bu, bizim sevimli xidmətimizdir və onların topladıqları mükafatların sayına görə, sizin də xidmətinizdir. PIA təkcə trafik şifrələməsini deyil, həm də regional yerdən ayrılma ilə birlikdə anonimləşdirməni təmin edir. Siz demək olar ki, 1000 ədəd (10 müxtəlif ölkədə) siyahıdan çıxış serveri seçə bilərsiniz. PIA qeydləri saxlamır, heç bir protokol və ya IP ünvanını qadağan etmir və istifadəçi hərəkətləri haqqında məlumat saxlamır. Onlar həmçinin bir neçə avtorizasiya metodlarını, demək olar ki, bütün əməliyyat sistemlərini (mobil və masaüstü) dəstəkləyir və xidmətlərin qiyməti ayda 7 dollardan başlayır. Siz beş fərqli cihazı birləşdirə bilərsiniz.

TorGuard

Xidmət müxtəlif növ serverlərin seçimini təklif edir fərqli növlər tədbirlər. Torrent protokolunu dəstəkləyən serverlər - məlumatların yüklənməsi üçün, şifrələmə və anonimlik ilə serverlər - şəbəkəyə təhlükəsiz və şəxsi ziyarəti təmin etmək və s. Xüsusi diqqət DNS sızması məsələsinə diqqət yetirir - onlar hətta yoxlama üçün öz testlərini də təklif edirlər. Tam dəyəri VPN xidməti ayda 10$-dan başlayır və əgər sizə ixtisaslaşdırılmış olanlar lazımdırsa, onlar bir az daha ucuz olacaq. Xidmətin 18 ölkədə 200-dən çox satış nöqtəsi var, heç bir qeyd yoxdur və üstəlik, onlar şəbəkələrinin elə konfiqurasiya edildiyini iddia edirlər ki, özlərinin də istifadəçilərinin hazırda nə etdikləri barədə heç bir məlumatı yoxdur. Onlar həmçinin demək olar ki, bütün əməliyyat sistemlərini (mobil və masaüstü) dəstəkləyir və həmçinin şifrəli e-poçt xidməti təklif edirlər.

IPVanish VPN

Xidmətin maraqlı xüsusiyyəti paylaşılan IP ünvanlarının istifadəsidir. Bu, hansı istifadəçilərin nə etdiyini müəyyən etməyi həqiqətən çətinləşdirir. Bundan əlavə, xidmətin 47 müxtəlif ölkədə yüzdən çox çıxış serveri var və istifadəçi, məsələn, ehtiyac duyduğu halda çıxış serverini seçə bilər. xüsusi ölkə. Proqram OS X, Windows, Ubuntu, iOS və Android-i dəstəkləyir. Bundan əlavə, xidmət öz parametrlərinizi konfiqurasiya edə biləcəyiniz konfiqurasiya utilitləri təqdim edir ev marşrutlaşdırıcısı onunla işləmək. Xidmətin qiyməti ayda 10 dollardır və ikisini birləşdirmək mümkündür müxtəlif cihazlar müxtəlif protokollardan istifadə edərlərsə.

CyberGhost VPN

Xidmət uzun müddətdir ki, mövcuddur və reytinqin digər iştirakçıları kimi o, heç bir qeydin olmadığını və protokol növləri və trafik üzrə məhdudiyyətlərin olmadığını iddia edir. Xidmət 23 müxtəlif ölkədə çıxış serverlərinin seçimini təklif edir. Maraqlıdır ki, xidmət də təqdim edir pulsuz xidmətlər, Və pulsuz istifadəçilər onlar nəinki trafik məhdudiyyəti olmadan istifadə edə bilərlər, hətta çıxış serverinin ölkəsini də seçə bilərlər ( sərbəst seçim 23 deyil, 14 ölkədən ibarətdir ki, bu da pis deyil). Xidmət demək olar ki, bütün əməliyyat sistemlərini dəstəkləyir.
Pulsuz hesablar arasındakı yeganə fərq, 3 saatlıq əməliyyatdan sonra əlil olması və yalnız rəsmi müştəri ilə işləyə bilməsidir. Xidmətin qiyməti ayda 7 dollardan başlayır; birdən çox cihazı qoşmaq lazımdırsa, əlavə ödəniş etməli olacaqsınız.

Özün et

Bəzi insanlar hesab edirlər ki, bir şeyi düzgün etmək lazımdırsa, bunu özünüz etmək daha yaxşıdır; və kifayət qədər İT fərasəti olanlar asanlıqla öz VPN serverini yarada bilərlər. Fərqli ölkələrdə çıxış serverlərinə ehtiyacınız yoxdursa, xidmətinizi ilə təşkil edə bilərsiniz OpenVPN istifadə edərək və ya digər variantları ilə açıq mənbə. Bir çox marşrutlaşdırıcılar OpenVPN protokolunu dəstəkləyir, digərləri isə xüsusi DD-WRT və ya Pomidor proqram təminatı ilə quraşdırıla bilər. Bu seçim sizə təqdim edir tam nəzarətşifrələmə, giriş və digər əlaqə problemləri üzərində.

Digər xidmətlər

Digər xidmətlərə aşağıdakılar daxildir:

Hideman VPN – çarpaz platforma, giriş yoxdur

Tunnelbear – başqa şeylər arasında brauzer əlavəsi təklif edir

AirVPN, bəlkə də ən zəngin xüsusiyyətlərə malik xidmətdir

VyprVPN yaxşı xidmətdir, lakin onlar istifadəçi fəaliyyətinin qeydlərini saxlayırlar

Mullvad daha çox anonimlik üçün Bitcoin ilə ödənişləri qəbul edən İsveç provayderidir. Xidmətlərin qiyməti ayda 5 avro təşkil edir, çıxış serverləri üçün dörd ölkə seçimi verilir.

25% Şəxsi İnternet
24% TorGuard
23% IPVanish
19% CyberGhost
09% DIY



ƏLAQƏLİ MƏQALƏLƏR