Anonyymi VPN: merkitys, riskit ja vapauden hinta. Anonyymin Internet-yhteyden määrittäminen Torin ja VPN:n kautta

Ensimmäinen asia, joka tulee mieleen VPN:ää mainittaessa, on lähetettyjen tietojen anonyymius ja turvallisuus. Onko se todella? Selvitetään se.

Kun tarvitset yhteyden yrityksen verkkoon, lähetys on turvallista tärkeää tietoa Tekijä: avoimia kanavia viestintää, piilottaakseen liikenteensä palveluntarjoajan valppaalta silmältä, piilottaakseen todellisen sijaintinsa suorittaessaan ei-täysin laillisia (tai ei ollenkaan laillisia) toimia, he turvautuvat yleensä VPN:n käyttöön. Mutta kannattaako sokeasti luottaa VPN:ään ja asettaa tietojesi turvallisuus ja oma turvallisuutesi vaakalaudalle? Ehdottomasti ei. Miksi? Selvitetään se.

VAROITUS

Kaikki tiedot on tarkoitettu vain tiedoksi. Toimittajat tai kirjoittaja eivät ole vastuussa mistään mahdollista haittaa tämän artikkelin materiaalien aiheuttamia.

Tarvitsemme VPN:n!

Virtuaalinen yksityinen verkko tai yksinkertaisesti VPN on yleisnimi tekniikoille, jotka mahdollistavat yhden tai useamman verkkoyhteyksiä(looginen verkko) toisen verkon, kuten Internetin, päällä. Huolimatta siitä, että viestintä voidaan toteuttaa julkisten verkkojen kautta tuntemattomalla luottamustasolla, luottamuksen taso rakennetussa looginen verkko ei riipu luottamuksen tasosta ydinverkot salaustyökalujen käytön ansiosta (salaus, todennus, infrastruktuuri julkiset avaimet, keino suojautua loogisen verkon kautta lähetettyjen viestien toistoilta ja muutoksilta). Kuten näette, teoriassa kaikki on ruusuista ja pilvetöntä, mutta käytännössä kaikki on hieman erilaista. Tässä artikkelissa tarkastelemme kahta pääkohtaa, jotka sinun on otettava huomioon VPN: n käytössä.

VPN-liikennevuoto

Ensimmäinen VPN-verkkojen ongelma on liikennevuoto. Eli liikenne, joka tulee siirtää VPN-yhteyden kautta salatussa muodossa, tulee verkkoon avoin lomake. Tämä skenaario ei ole seurausta VPN-palvelimen tai asiakkaan virheestä. Täällä kaikki on paljon mielenkiintoisempaa. Yksinkertaisin vaihtoehto on katkaista VPN-yhteys yhtäkkiä. Päätit skannata isännän tai aliverkon Nmapin avulla, käynnistit skannerin, kävelit pois näytöstä muutamaksi minuutiksi, ja sitten VPN-yhteys katkesi yhtäkkiä. Mutta skanneri jatkaa toimintaansa. Ja skannaus tulee osoitteestasi. Tämä on niin epämiellyttävä tilanne. Mutta mielenkiintoisempiakin skenaarioita on. Esimerkiksi VPN-liikenteen vuoto on laajalle levinnyt verkoissa (isännissä), jotka tukevat molempia IP-protokollan versioita (ns. dual-stacked networks/hosts).

Pahan juuri

Kahden protokollan - IPv4 ja IPv6 - rinnakkaiselo sisältää monia mielenkiintoisia ja hienovaraisia ​​puolia, jotka voivat johtaa odottamattomiin seurauksiin. Huolimatta siitä, että IP-protokollan kuudennessa versiossa ei ole taaksepäin yhteensopivuus neljännessä versiossa nämä molemmat versiot on "liimattu" yhteen DNS:n (Domain Name System) avulla. Selventääksemme, mitä tarkoitamme me puhumme, katsotaanpa yksinkertaista esimerkkiä. Otetaan esimerkiksi verkkosivusto (kuten www.example.com), jolla on sekä IPv4- että IPv6-tuki. Vastaava verkkotunnus (tapauksessamme www.example.com) sisältää molemmat DNS-tietueet: A ja AAAA. Jokainen A-tietue sisältää yhden IPv4-osoitteen ja jokainen AAAA-tietue sisältää yhden IPv6-osoitteen. Lisäksi yhdessä verkkotunnuksessa voi olla useita molempia tietueita. Siten, kun kumpaakin protokollaa tukeva sovellus haluaa kommunikoida sivuston kanssa, se voi pyytää mitä tahansa käytettävissä olevista osoitteista. Ensisijainen osoiteperhe (IPv4 tai IPv6) ja sovelluksen käyttämä lopullinen osoite (koska niitä on useita versioille 4 ja 6) vaihtelevat protokollasta toiseen.

Tämä protokollien rinnakkaiselo tarkoittaa, että kun molempia pinoja tukeva asiakas haluaa kommunikoida toisen järjestelmän kanssa, A- ja AAAA-tietueiden läsnäolo vaikuttaa siihen, mitä protokollaa käytetään kommunikoimaan kyseisen järjestelmän kanssa.

VPN ja kaksoisprotokollapino

Monet VPN-toteutukset eivät tue IPv6:ta tai, mikä vielä pahempaa, ohittavat ne kokonaan. Kun muodostat yhteyttä ohjelmisto VPN huolehtii IPv4-liikenteen siirtämisestä lisäämällä oletusreitin IPv4-paketeille, mikä varmistaa, että kaikki IPv4-liikenne lähetetään VPN-yhteyden kautta (sen sijaan, että se lähetetään selkeästi paikallinen reititin). Jos IPv6:ta ei kuitenkaan tueta (tai jätetään kokonaan huomiotta), jokainen paketti, jonka otsikossa on IPv6-kohdeosoite, lähetetään selkeästi paikallisen IPv6-reitittimen kautta.

Suurin syy ongelmaan on siinä, että vaikka IPv4 ja IPv6 ovat kaksi eri protokollaa, jotka eivät ole yhteensopivia keskenään, niitä käytetään tiiviisti verkkotunnusjärjestelmässä. Siten järjestelmässä, joka tukee molempia protokollapinoja, on mahdotonta suojata yhteyttä toiseen järjestelmään turvaamatta molempia protokollia (IPv6 ja IPv4).

Laillinen VPN-liikennevuoto

Harkitse isäntä, joka tukee molempia protokollapinoja, käyttää VPN-asiakasta (joka toimii vain IPv4-liikenteessä) muodostaakseen yhteyden VPN-palvelimeen ja on yhdistetty kaksoispinottuun verkkoon. Jos isäntäsovelluksen on kommunikoitava kaksoispinotun solmun kanssa, asiakas yleensä kyselee sekä A- että AAAA DNS-tietueita. Koska isäntä tukee molempia protokollia ja etäsolmulla on molempia DNS-tietueita (A ja AAAA), yksi todennäköisistä skenaarioista on käyttää IPv6-protokollaa niiden väliseen viestintään. Ja koska VPN-asiakas ei tue protokollan kuudetta versiota, IPv6-liikennettä ei lähetetä VPN-yhteyden kautta, vaan se lähetetään selkeänä tekstinä paikallisverkon kautta.

Tämä skenaario vaarantaa arvokkaan tiedon siirron selkeänä tekstinä, kun uskomme, että se siirretään turvallisesti VPN-yhteyden kautta. Tässä nimenomaisessa tapauksessa VPN-liikenteen vuoto on sivuvaikutus käyttämällä ohjelmistoa, joka ei tue IPv6:ta verkossa (ja isännässä), joka tukee molempia protokollia.

Aiheuttaa tahallisesti VPN-liikenteen vuotamista

Hyökkääjä voi tarkoituksella pakottaa IPv6-yhteyden uhrin tietokoneeseen lähettämällä väärennettyjä ICMPv6-reitittimen mainosviestejä. Tällaisia ​​paketteja voidaan lähettää käyttämällä apuohjelmia, kuten rtadvd, SI6 Networksin IPv6 Toolkit tai THC-IPv6. Kun IPv6-yhteys on muodostettu, "viestintä" molempia protokollapinoja tukevan järjestelmän kanssa voi johtaa VPN-liikenteen vuotamiseen, kuten yllä on käsitelty.

Vaikka tämä hyökkäys voi olla varsin hedelmällinen (IPv6:ta tukevien sivustojen kasvavan määrän vuoksi), se vuotaa liikennettä vain, kun vastaanottaja tukee molempia IP-protokollan versioita. Hyökkääjän ei kuitenkaan ole vaikeaa aiheuttaa liikennevuotoja mille tahansa vastaanottajalle (kaksoispinottu tai ei). Lähettämällä vääriä Router Advertisement -viestejä, jotka sisältävät vastaavan RDNSS-vaihtoehdon, hyökkääjä voi teeskennellä olevansa paikallinen rekursiivinen DNS-palvelin ja suorittaa sitten DNS-huijausta mies keskellä -hyökkäys ja siepata vastaava liikenne. Kuten edellisessä tapauksessa, työkalut, kuten SI6-Toolkit ja THC-IPv6, voivat helposti tehdä tämän tempun.

Sillä ei ole mitään väliä, jos liikenne, joka ei ole tarkoitettu uteliaille katseille, päätyy avoimeen verkkoon. Kuinka suojautua tällaisissa tilanteissa? Tässä muutamia hyödyllisiä reseptejä:

  1. Jos VPN-asiakas on määritetty lähettämään kaikki IPv4-liikenne VPN-yhteyden kautta, toimi seuraavasti:
  • Jos VPN-asiakas ei tue IPv6:ta, poista IP-protokollan kuudennen version tuki käytöstä kaikilta verkkoliitännät. Näin ollen tietokoneessa käynnissä olevilla sovelluksilla ei ole muuta vaihtoehtoa kuin käyttää IPv4:ää;
  • Jos IPv6 on tuettu, varmista, että kaikki IPv6-liikenne lähetetään myös VPN:n kautta.
  1. Voit välttää liikennevuotoja, jos VPN-yhteys yhtäkkiä katkeaa ja kaikki paketit lähetetään oletusyhdyskäytävän kautta, voit:
  2. pakota kaikki liikenne kulkemaan VPN-reitin läpi poista 0.0.0.0 192.168.1.1 // poista oletusyhdyskäytävän reitti lisää 83.170.76.128 maski 255.255.255.255 192.168.1.1 metriikka 1
  • käytä VPNetMon-apuohjelmaa, joka tarkkailee VPN-yhteyden tilaa ja heti kun se katoaa, lopettaa välittömästi käyttäjän määrittämät sovellukset (esimerkiksi torrent-asiakkaat, verkkoselaimet, skannerit);
  • tai VPNCheck-apuohjelma, joka voi käyttäjän valinnasta riippuen joko poistaa kokonaan käytöstä verkkokortti tai yksinkertaisesti lopeta määritetyt sovellukset.
  1. Voit tarkistaa verkkosivustolta, onko koneesi alttiina DNS-liikennevuodoille, ja soveltaa sitten kuvattuja vinkkejä vuodon korjaamiseen.

VPN-liikenteen salauksen purku

Vaikka olet määrittänyt kaiken oikein ja VPN-liikenne ei vuoda verkkoon selkeästi, tämä ei ole vielä syy rentoutumiseen. Asia on siinä, että jos joku sieppaa VPN-yhteyden kautta lähetetyt salatut tiedot, hän pystyy purkamaan sen salauksen. Lisäksi se ei vaikuta tähän millään tavalla, onko salasanasi monimutkainen vai yksinkertainen. Jos käytät PPTP-protokollaan perustuvaa VPN-yhteyttä, voit sanoa sataprosenttisella varmuudella, että kaiken siepatun salatun liikenteen salaus voidaan purkaa.

Akilleen kantapää

PPTP:hen (Point-to-Point Tunneling Protocol) perustuvissa VPN-yhteyksissä käyttäjän todennus suoritetaan käyttämällä MS-CHAPv2-protokollaa, jonka on kehittänyt. Microsoftilta. Huolimatta siitä, että MS-CHAPv2 on vanhentunut ja usein kritisoitu, sitä käytetään edelleen aktiivisesti. Lähettääkseen sen lopulta historian roskakoriin kuuluisa tutkija Moxie Marlinspike otti asian esille, joka raportoi 20. DEF CON -konferenssissa, että tavoite oli saavutettu - protokolla oli hakkeroitu. On sanottava, että tämän protokollan turvallisuus on ollut hämmentynyt ennenkin, mutta MS-CHAPv2:n näin pitkä käyttö saattaa johtua siitä, että monet tutkijat keskittyivät vain sen haavoittuvuuteen sanakirjahyökkäyksille. Rajoitettu tutkimus ja suuri määrä tuettuja asiakkaita, käyttöjärjestelmien sisäänrakennettu tuki – kaikki tämä varmisti MS-CHAPv2-protokollan laajan käyttöönoton. Meille ongelma on siinä, että MS-CHAPv2:ta käytetään PPTP-protokollassa, jota käyttävät monet VPN-palvelut (esimerkiksi sellaiset suuret kuin anonyymi VPN-palvelu IPredator ja The Pirate Bay’s VPN).

Jos käännymme historiaan, niin jo vuonna 1999 Bruce Schneier totesi PPTP-protokollaa koskevassa tutkimuksessaan, että "Microsoft paransi PPTP:tä korjaamalla suuria tietoturvavirheitä. Todennus- ja salausprotokollan perustavanlaatuinen heikkous on kuitenkin se, että se on vain niin turvallinen kuin käyttäjän valitsema salasana." Jostain syystä tämä sai palveluntarjoajat uskomaan, ettei PPTP:ssä ole mitään vikaa ja jos vaadit käyttäjää keksimään monimutkaiset salasanat, silloin siirretyt tiedot ovat turvassa. Riseup.net-palvelu inspiroitui tästä ideasta niin paljon, että se päätti luoda itsenäisesti käyttäjille 21-merkkiset salasanat antamatta heille mahdollisuutta asettaa itseään. Mutta edes tällainen kova toimenpide ei estä liikenteen salauksen purkamista. Ymmärtääksemme miksi, katsotaanpa tarkemmin MS-CHAPv2-protokollaa ja katsotaan kuinka Moxie Marlinspike onnistui murtamaan sen.

MS-CHAPv2-protokolla

Kuten jo mainittiin, MSCHAPv2:ta käytetään käyttäjän todentamiseen. Se tapahtuu useissa vaiheissa:

  • asiakas lähettää todennuspyynnön palvelimelle, välittäen julkisesti sisäänkirjautumisensa;
  • palvelin palauttaa 16-tavuisen satunnaisen vastauksen asiakkaalle (Authenticator Challenge);
  • asiakas luo 16-tavuisen PAC:n (Peer Authenticator Challenge - vertaistodennusvastaus);
  • asiakas yhdistää PAC:n, palvelimen vastauksen ja sen käyttäjätunnuksen yhdeksi riviksi;
  • vastaanotetusta merkkijonosta otetaan 8-tavuinen hash SHA-1-algoritmilla ja lähetetään palvelimelle;
  • palvelin hakee hashin tietokannastaan tästä asiakkaasta ja tulkitsee hänen vastauksensa;
  • jos salauksen purkutulos vastaa alkuperäistä vastausta, kaikki on kunnossa ja päinvastoin;
  • tämän jälkeen palvelin ottaa asiakkaan PAC:n ja luo tiivisteen perusteella 20-tavuisen AR:n (Authenticator Response) ja välittää sen asiakkaalle;
  • asiakas suorittaa saman toiminnon ja vertaa vastaanotettua AR:tä palvelimen vastaukseen;
  • jos kaikki täsmää, palvelin todentaa asiakkaan. Kuvassa on visuaalinen kaavio protokollan toiminnasta.

Ensi silmäyksellä protokolla näyttää liian monimutkaiselta - joukko tiivisteitä, salausta, satunnaisia ​​haasteita. Se ei itse asiassa ole niin monimutkaista. Jos katsot tarkasti, huomaat, että koko protokollassa vain yksi asia jää tuntemattomaksi - käyttäjän salasanan MD4-hajautus, jonka perusteella rakennetaan kolme DES-avainta. Loput parametrit joko välitetään selkeässä muodossa tai ne voidaan saada selkeässä muodossa lähetetystä.


Koska melkein kaikki parametrit tunnetaan, emme voi ottaa niitä huomioon, vaan kiinnittää huomiota tuntemattomaan ja selvittää, mitä se antaa meille.


Joten, mitä meillä on: tuntematon salasana, tämän salasanan tuntematon MD4-tiiviste, tunnettu selkeä teksti ja kuuluisa salateksti. Enemmän kanssa yksityiskohtaista pohdintaa Voit nähdä, että käyttäjän salasana ei ole meille tärkeä, mutta sen hash on tärkeä, koska se on tiiviste, joka tarkistetaan palvelimelta. Siten, jotta voimme todentaa onnistuneesti käyttäjän puolesta ja purkaa hänen liikenteensä, meidän tarvitsee vain tietää hänen salasanansa hash.

Kun olet siepannut liikenteen, voit yrittää purkaa sen salauksen. On olemassa useita työkaluja (esimerkiksi Sleap), joiden avulla voit arvata käyttäjän salasanan sanakirjahyökkäyksen kautta. Näiden työkalujen haittana on, että ne eivät anna 100%:n takuuta tuloksista, ja menestys riippuu suoraan valitusta sanakirjasta. Salasanan valitseminen yksinkertaisella raa'alla voimalla ei myöskään ole kovin tehokasta - esimerkiksi PPTP VPN -palvelun riseup.net tapauksessa, joka asettaa 21 merkin pituiset salasanat väkisin, sinun on kokeiltava 96 merkkivaihtoehtoa jokaiselle 21 merkille. . Tämä johtaa 96^21 vaihtoehtoon, mikä on hieman enemmän kuin 2^138. Toisin sanoen sinun on valittava 138-bittinen avain. Tilanteessa, jossa salasanan pituutta ei tunneta, on järkevää valita salasanalle MD4-tiiviste. Ottaen huomioon, että sen pituus on 128 bittiä, saamme 2^128 vaihtoehtoa - per Tämä hetki sitä on yksinkertaisesti mahdotonta laskea.

Hajoita ja hallitse

Salasanan MD4-tiivistettä käytetään syötteenä kolmelle DES-operaatiolle. DES-avaimet ovat 7 tavua pitkiä, joten jokainen DES-toiminto käyttää 7-tavuista osaa MD4-hajautusarvosta. Kaikki tämä jättää tilaa klassiselle hajota ja hallitse -hyökkäykselle. Täysin raa'an voiman sijaan MD4-hajautus (joka, kuten muistat, on 2^128 vaihtoehtoa), voimme valita sen 7 tavun osissa. Koska käytetään kolmea DES-operaatiota ja jokainen DES-operaatio on täysin riippumaton muista, tämä antaa yhteensovituksen kompleksisuuden 2^56 + 2^56 + 2^56 tai 2^57,59. Tämä on jo huomattavasti parempi kuin 2^138 ja 2^128, mutta silti liikaa iso luku vaihtoehtoja. Vaikka, kuten olet ehkä huomannut, näihin laskelmiin hiipi virhe. Algoritmi käyttää kolmea DES-avainta, kukin 7 tavua, eli yhteensä 21 tavua. Nämä avaimet on otettu salasanan MD4-tiivisteestä, joka on vain 16 tavua pitkä.

Eli 5 tavua puuttuu kolmannen DES-avaimen rakentamiseksi. Microsoft ratkaisi tämän ongelman yksinkertaisesti täyttämällä puuttuvat tavut typerästi nollia ja vähentämällä kolmannen avaimen tehokkuutta olennaisesti kahteen tavuun.

Koska kolmannen avaimen tehollinen pituus on vain kaksi tavua, eli 2^16 vaihtoehtoa, sen valinta kestää muutamassa sekunnissa, mikä todistaa hajota ja hallitse -hyökkäyksen tehokkuuden. Joten voimme olettaa, että hashin kaksi viimeistä tavua tunnetaan, jäljellä on vain valita loput 14. Lisäksi jakamalla ne kahteen 7 tavun osaan, meillä on hakuvaihtoehtojen kokonaismäärä, joka on yhtä suuri kuin 2^ 56 + 2^56 = 2^57. Edelleen liikaa, mutta paljon paremmin. Huomaa, että muut DES-toiminnot salaavat saman tekstin, vain käyttämällä eri avaimia. Hakualgoritmi voidaan kirjoittaa seuraavasti:

Mutta koska teksti on salattu samalla tavalla, on oikeampaa tehdä se näin:

Toisin sanoen haettavissa on 2^56 näppäinversiota. Tämä tarkoittaa, että MS-CHAPv2:n turvallisuus voidaan vähentää pelkästään DES-salauksen vahvuuteen.

Hakkerointi DES

Nyt kun avainten valinta on tiedossa, hyökkäyksen onnistuminen on laskentatehon tehtävä. Vuonna 1998 Electronic Frontier Foundation rakensi Deep Crack -nimisen koneen, joka maksoi 250 000 dollaria ja pystyi murtamaan DES-avaimen keskimäärin neljässä ja puolessa päivässä. Tällä hetkellä Pico Computing, joka on erikoistunut FPGA-laitteiston rakentamiseen kryptografisia sovelluksia varten, on rakentanut FPGA-laitteen (DES cracking box), joka toteuttaa DES:n liukuhihnana yhdellä DES-operaatiolla kellojaksoa kohden. 40 ytimen 450 MHz:n taajuudella se pystyy luettelemaan 18 miljardia näppäintä sekunnissa. Tällaisella raa'alla nopeudella DES-krakkauslaatikko murtaa DES-avaimen pahimmassa tapauksessa 23 tunnissa ja keskimäärin puolessa päivässä. Tämä ihmekone on saatavilla kaupallisen verkkopalvelun loudcracker.com kautta. Joten nyt voit murtaa minkä tahansa MS-CHAPv2-kättelyn alle päivässä. Ja kun sinulla on salasanatiiviste, voit todentaa tämän käyttäjän puolesta VPN-palvelussa tai yksinkertaisesti purkaa hänen liikenteen salauksen.

Palvelun kanssa työskentelyn automatisoimiseksi ja siepatun liikenteen käsittelemiseksi Moxie julkisti chapcrack-apuohjelman. Se jäsentää siepattua verkkoliikennettä ja etsii MS-CHAPv2-kättelyä. Jokaisesta löytämänsä kättelystä se tulostaa käyttäjänimen, tunnetun selväkielisen tekstin, kaksi tunnettua salatekstiä ja murtaa kolmannen DES-avaimen. Lisäksi se luo CloudCrackerille tunnuksen, joka koodaa kolme parametria, joita palvelu tarvitsee murtaakseen jäljellä olevat avaimet.

CloudCracker & Chapcrack

Jos joudut murtamaan DES-avaimet siepatusta käyttäjäliikenteestä, annan lyhyen vaiheittaisen ohjeen.

  1. Lataa Passlib-kirjasto, joka toteuttaa yli 30 erilaisia ​​algoritmeja hajautus Python kieli, pura ja asenna: python setup.py install
  2. Asenna python-m2crypto - OpenSSL-kääre Pythonille: sudo apt-get install python-m2crypto
  3. Lataa itse chapcrack-apuohjelma, pura ja asenna: python setup.py install
  4. Chapcrack on asennettu, voit aloittaa siepatun liikenteen jäsentämisen. Apuohjelma hyväksyy syötteeksi cap-tiedoston, etsii siitä MS-CHAPv2-kättelyä, josta se poimii hakkerointiin tarvittavat tiedot. chapcrack parse -i testit/pptp
  5. Kopioi chapcrack-apuohjelman tuottamista tiedoista CloudCracker Submission -rivin arvo ja tallenna se tiedostoon (esimerkiksi output.txt)
  6. Siirry osoitteeseen cloudcracker.com ja valitse paneelista "Aloita krakkaus". Tiedostotyyppi, joka on yhtä suuri kuin "MS-CHAPv2 (PPTP/WPA-E)", valitse edellisessä vaiheessa valmisteltu output.txt-tiedosto, napsauta Seuraava -> Seuraava ja ilmoita sähköpostisi, johon viesti lähetetään hakkeroinnin jälkeen. on valmis.

Valitettavasti CloudCracker on maksullinen palvelu. Onneksi sinun ei tarvitse maksaa niin paljon avainten murtamisesta - vain 20 taalaa.

Mitä tehdä?

Vaikka Microsoft kirjoittaa verkkosivuillaan, että sillä ei tällä hetkellä ole tietoa aktiivisista chapcrack-hyökkäyksistä eikä tällaisten hyökkäysten seurauksista käyttäjäjärjestelmät, mutta tämä ei tarkoita, että kaikki olisi kunnossa. Moxie suosittelee, että kaikki PPTP VPN -ratkaisujen käyttäjät ja toimittajat aloittavat siirtymisen toiseen VPN-protokollaan. Ja PPTP-liikennettä pidetään salaamattomana. Kuten näet, on toinenkin tilanne, jossa VPN voi pettää meidät vakavasti.


Johtopäätös

Sattuu niin, että VPN liittyy nimettömyyteen ja turvallisuuteen. Ihmiset turvautuvat VPN:n käyttöön, kun he haluavat piilottaa liikenteensä palveluntarjoajansa valppailta silmiltä, ​​korvata todellisen maantieteellisen sijaintinsa ja niin edelleen. Itse asiassa käy ilmi, että liikennettä voi "vuotaa" verkkoon selkeästi, ja jos ei selkeästi, niin salatun liikenteen salaus voidaan purkaa melko nopeasti. Kaikki tämä muistuttaa meitä jälleen kerran siitä, että emme voi sokeasti luottaa äänekkäisiin lupauksiin täydellisestä turvallisuudesta ja nimettömyydestä. Kuten he sanovat, luota, mutta varmista. Ole siis varuillasi ja varmista, että VPN-yhteytesi on todella turvallinen ja anonyymi.

Puhun myös Whonix OS -jakelusta, joka toteuttaa edistyneimmät saavutukset verkon anonymiteetin alalla, koska muun muassa molemmat analysoidut järjestelmät on konfiguroitu ja toimivat siinä.

Ensin määritellään joitain oletuksia:
1. Tor-verkko tarjoaa korkeatasoinen asiakkaan anonymiteetin kaikkien sen käyttöä koskevien pakollisten sääntöjen mukaisesti. Se on tosiasia: todellisia hyökkäyksiä itse verkossa, sitä ei ole vielä tapahtunut.
2. Luotettu VPN (SSH) -palvelin varmistaa lähetettyjen tietojen luottamuksellisuuden itsensä ja asiakkaan välillä.
Näin ollen mukavuuden vuoksi tässä artikkelissa tarkoitamme, että Tor varmistaa asiakkaan anonymiteetin ja VPN - lähetettyjen tietojen luottamuksellisuuden.

Tor VPN:n kautta. Ensin VPN, sitten Tor

Tässä mallissa VPN-palvelin on pysyvä syöttösolmu, jonka jälkeen salattu liikenne lähetetään Tor-verkkoon. Käytännössä malli on yksinkertainen toteuttaa: ensin muodostat yhteyden VPN-palvelimeen ja käynnistät sitten Tor-selain, joka määrittää automaattisesti tarvittavat reititys VPN-tunnelin kautta.

Tällaisen järjestelmän avulla voit piilottaa tosiasian käyttämällä Toria Internet-palveluntarjoajaltamme. Meidät estetään myös Tor-sisääntulosolmulta, joka näkee VPN-palvelimen osoitteen. Ja jos Torin teoreettinen kompromissi tapahtuu, meitä suojaa VPN-linja, joka ei tietenkään tallenna lokeja.
Käytä sen sijaan VPN-välityspalvelin, ei ole järkeä: ilman VPN:n tarjoamaa salausta emme saa merkittäviä etuja tällaisessa järjestelmässä.

On syytä huomata, että erityisesti Tor-kiellon kiertämiseksi Internet-palveluntarjoajat keksivät niin sanottuja siltoja.
Sillat ovat Tor-verkon solmuja, joita ei ole listattu Tor-keskuksen hakemistoon, eli ne eivät ole esimerkiksi näkyvissä tai ja siksi niitä on vaikeampi havaita.
Siltojen määrittäminen on kirjoitettu yksityiskohtaisesti.
Tor-sivusto itsessään voi tarjota meille useita siltoja osoitteessa .
Voit saada siltaosoitteita myös postitse lähettämällä osoitteeseen: [sähköposti suojattu] tai [sähköposti suojattu] kirje, jossa teksti: "hanki sillat". Muista lähettää tämä kirje postista osoitteesta gmail.com tai yahoo.com
Vastauksena saamme kirjeen, jossa on heidän osoitteensa:
« Tässä ovat siltaviestisi:
silta 60.16.182.53:9001
silta 87.237.118.139:444
silta 60.63.97.221:443»
Nämä osoitteet on määritettävä Vidalian, Tor-välityspalvelimen, asetuksissa.
Joskus käy niin, että sillat ovat tukossa. Tämän ohittamiseksi Tor otti käyttöön niin sanotut "hämärät sillat". Yksityiskohtiin menemättä niitä on vaikeampi havaita. Jos haluat muodostaa yhteyden niihin, sinun on esimerkiksi ladattava Pluggable Transports Tor Browser Bundle.

Plussat kaava:

  • piilotamme itse Torin käytön Internet-palveluntarjoajalta (tai muodostamme yhteyden Toriin, jos palveluntarjoaja estää sen). Tätä varten on kuitenkin olemassa erityisiä siltoja;
  • piilotamme IP-osoitteemme Tor-sisääntulosolmulta korvaamalla sen VPN-palvelimen osoitteella, mutta tämä ei ole tehokkain anonymiteetin lisäys;
  • Jos Torin teoreettinen kompromissi tapahtuu, jäämme VPN-palvelimen taakse.

Miinukset kaava:

  • meidän on luotettava VPN-palvelimeen, koska tästä lähestymistavasta ei ole merkittäviä etuja.
VPN Torin kautta. Ensin Tor, sitten VPN

Tässä tapauksessa VPN-palvelin on pysyvä liitäntä Internetiin.


Samanlaista yhteysmenetelmää voidaan käyttää Tor-solmun eston ohittamiseen ulkoisia resursseja, ja sen pitäisi suojata liikennettämme Tor-poistumissolmun salakuuntelulta.
Tällaisen yhteyden muodostamisessa on monia teknisiä vaikeuksia, esimerkiksi muistatko, että Tor-ketju päivitetään 10 minuutin välein tai että Tor ei päästä UDP:tä läpi? Todennäköisin vaihtoehto käytännön toteutus tämä on kahden virtuaalikoneen käyttö (lisätietoja alla).
On myös tärkeää huomata, että mikä tahansa poistumissolmu korostaa helposti asiakkaan yleisessä kulkussa, koska useimmat käyttäjät menevät eri resursseihin, ja kun käytetään samanlaista mallia, asiakas siirtyy aina samalle VPN-palvelimelle.
Tavallisten välityspalvelinten käyttämisessä Torin jälkeen ei tietenkään ole paljon järkeä, koska välityspalvelimelle menevää liikennettä ei ole salattu.

Plussat kaava:

  • suojaus Tor-poistumissolmun liikenteen salakuuntelua vastaan, mutta Tor-kehittäjät itse suosittelevat salauksen käyttöä sovellustasolla, esimerkiksi https;
  • estosuojaus Tor-osoitteet ulkoisia resursseja.

Miinukset kaava:

  • järjestelmän monimutkainen täytäntöönpano;
  • meidän täytyy luottaa poistuvaan VPN-palvelimeen.
Whonix-konsepti

On olemassa monia käyttöjärjestelmäjakeluja, joiden päätarkoituksena on tarjota nimettömyyttä ja suojaa asiakkaalle Internetissä, esimerkiksi Tails ja Liberte ja muut. Kuitenkin teknologisesti edistynein, jatkuvasti kehittyvä ja tehokas ratkaisu, joka toteuttaa edistyneimmät tekniikat turvallisuuden ja anonymiteetin takaamiseksi, on käyttöjärjestelmän jakelupaketti.
Jakelu koostuu kahdesta Debian-virtuaalikoneesta VirtualBoxissa, joista toinen on yhdyskäytävä, joka lähettää kaiken liikenteen Tor-verkkoon, ja toinen on eristetty työasema, joka muodostaa yhteyden vain yhdyskäytävään. Whonix toteuttaa niin sanotun eristysvälityspalvelinmekanismin. On myös mahdollisuus erottaa yhdyskäytävä ja työasema fyysisesti.

Koska työasema ei tiedä ulkoista IP-osoitettaan Internetissä, voit tällä tavoin neutraloida monia haavoittuvuuksia, esimerkiksi jos haittaohjelma saa pääkäyttäjän oikeudet työasemaan, sillä ei ole mahdollisuutta saada selville todellista IP-osoitetta. Tässä on kaavio Whonixin toiminnasta, otettu sen viralliselta verkkosivustolta.


Whonix OS on kehittäjien mukaan läpäissyt kaikki mahdolliset vuototestit. Jopa ominaisuuksistaan ​​tunnetut sovellukset, kuten Skype, BitTorrent, Flash, Java, pääsevät käyttämään avoin internet Torin ohittaminen on myös onnistuneesti testattu anonymisoivien tietovuotojen puuttumisen varalta.
Whonix OS toteuttaa monia hyödyllisiä anonymiteettimekanismeja, nostan esiin tärkeimmät:

  • kaikki sovellusten liikenne kulkee Tor-verkon kautta;
  • Suojatakseen liikenteen profiloinnilta Whonix OS ottaa käyttöön säikeiden eristyksen. Whonixin esiasennetut sovellukset on määritetty käyttämään erillistä Socks-porttia, ja koska jokainen Socks-portti käyttää erillistä solmuketjua Tor-verkossa, profilointi on mahdotonta;
  • Tor Hidden -palveluiden turvallinen isännöinti tarjotaan. Vaikka hyökkääjä hakkeroi verkkopalvelimeen, hän ei voi varastaa "Piilotetun" palvelun yksityistä avainta, koska avain on tallennettu Whonix-yhdyskäytävään.
  • Whonix on suojattu DNS-vuodoilta, koska se käyttää arkkitehtuurissaan eristettyä välityspalvelinperiaatetta. Kaikki DNS-pyynnöt ohjataan Torin DnsPortiin;
  • Whonix tukee aiemmin käsiteltyjä "hämäriä siltoja";
  • "Protocol-Leak-Protection and Fingerprinting-Protection" -tekniikkaa käytetään. Tämä vähentää asiakkaan tunnistamisen riskiä luomalla selaimen tai järjestelmän digitaalinen sormenjälki käyttämällä yleisimmin käytettyjä arvoja, esimerkiksi käyttäjätunnus – “user”, aikavyöhyke – UTC jne.;
  • on mahdollista tunneloida muita anonyymit verkot: Freenet, I2P, JAP, Retroshare Torin kautta tai työskentele jokaisen sellaisen verkon kanssa suoraan. Tarkempia tietoja tällaisten yhteyksien ominaisuuksista löytyy linkistä;
  • On tärkeää huomata, että Whonix on testannut, dokumentoinut ja, mikä tärkeintä, toimii (!) kaikki menetelmät VPN/SSH/Proxyn yhdistämiseksi Torin kanssa. Tarkempia tietoja tästä saa linkistä;
  • Whonix OS on täysin avoin projekti, käyttämällä ilmaista ohjelmistoa.

On kuitenkin syytä huomata, että Whonix OS:llä on myös haittoja:

  • monimutkaisempi asennus kuin Tails tai Liberte;
  • tarvitaan kaksi virtuaalikoneita tai erilliset fyysiset laitteet;
  • vaatii enemmän huomiota huoltoon. Sinun on valvottava kolmea käyttöjärjestelmää yhden sijasta, tallennettava salasanoja ja päivitettävä käyttöjärjestelmä.
  • Whonixissa Torin "New Identity" -painike ei toimi. Tosiasia on, että Tor-selain ja itse Tor on eristetty erilaisia ​​autoja Siksi "New Identity" -painikkeella ei ole pääsyä Tor-säätimiin. Jotta voit käyttää uutta solmuketjua, sinun on suljettava selain, vaihdettava ketju Armilla, Tor-ohjauspaneelilla, Vidalian analogilla Tor-selain ja käynnistä selain uudelleen.

Whonix-projekti kehittyy erikseen Tor projekti ja muut sen koostumukseen sisältyvät sovellukset, joten Whonix ei suojaa itse Tor-verkon haavoittuvuuksilta tai esimerkiksi 0 päivän haavoittuvuuksilta palomuuri,Iptables.

Whonixin toiminnan turvallisuus voidaan tiivistää lainauksella sen wikistä: " Ja ei, Whonix ei väitä suojaavansa erittäin voimakkailta vihollisilta, olevansa täysin turvallinen järjestelmä, tarjoavansa vahvaa nimettömyyttä tai tarjoavansa suojaa kolmikirjaimia edustavilta virastoilta tai valtion valvonnalta jne.».
Jos "kolmen kirjaimen" osastot etsivät sinua, he löytävät sinut :)

Torin ja VPN:n välinen ystävyys on kiistanalainen. Kiistat foorumeilla tästä aiheesta eivät laantu. Kerron niistä mielenkiintoisimpia:

  1. osio Torista ja VPN:stä virallinen sivu Tor-projekti;
  2. Tails-jakelufoorumin VPN/Tor-ongelmaa käsittelevä osio Tails-kehittäjien mielipiteistä. Itse foorumi on nyt suljettu, mutta Google on tallentanut keskustelujen välimuistin;
  3. Liberte-jakelufoorumin osio VPN/Tor-ongelmasta Liberten kehittäjien mielipiteillä.

Jos aloit lukemaan tätä artikkelia, sinulla ei todennäköisesti ole kysymystä siitä, miksi käyttää VPN: tä ja Toria. Jokainen näistä teknologioista pystyy tarjoamaan hyväksyttävän yksityisyyden tason, ja tämä ainakin piilottaa IP-osoitteesi ja liikennettäsi uteliaita katseita. Sekä VPN:llä että Torilla on kuitenkin useiden ilmeisten etujen lisäksi haittoja, joiden hyödyntäminen voi paljastaa todellisen henkilöllisyytesi.

Edellytykset Torin ja VPN:n käyttämiselle samanaikaisesti

Perusongelmiin kuuluu useimpien VPN-ratkaisujen keskittäminen. Ohjaus varten VPN-verkko on sen omistajan käsissä VPN:ää käyttäessäsi, sinun on ymmärrettävä täysin palvelun käytäntö tietojen paljastamisen ja lokien tallennuksen alalla ja luettava huolellisesti palvelusopimus.

Esimerkki tosielämästä: vuonna 2011 FBI pidätti hakkeri Cody Kretsingerin, joka käytti tunnettua brittiläistä HideMyAss-palvelua Sonyn hakkeroimiseen. Hakkerin IRC-kirjeenvaihto päätyi keskuspankkien käsiin, vaikka palvelu on omassa lisenssisopimus toteaa, että he keräävät vain yleisiä tilastoja eivätkä tallenna asiakkaiden IP-osoitteita tai heidän liikennettä.

Vaikuttaa siltä, ​​​​että Tor-verkon, luotettavamman ja hajautetun ratkaisun, pitäisi auttaa välttämään tällaisia ​​tilanteita, mutta täälläkään se ei ole ilman sudenkuoppia. Ongelmana on, että kuka tahansa voi käyttää omaa Tor-poistumissolmuaan. Käyttäjäliikenne kulkee tällaisen solmun läpi salaamattomassa muodossa, jolloin lähtösolmun omistaja voi väärinkäyttää asemaansa ja analysoida sitä osaa liikenteestä, joka kulkee hänen hallinnassaan olevien solmujen kautta.

Nämä eivät ole vain teoreettisia laskelmia, Northeastern Universityn tutkijat julkaisivat vuonna 2016 tutkimuksen, jossa he löysivät vain 72 tunnissa 110 haitallista poistumissolmua vakoilemassa anonyymin verkon käyttäjiä. On loogista olettaa, että tällaisia ​​solmuja on itse asiassa enemmän, ja ottaen huomioon solmujen kokonaismäärän (vain noin 7 000 kesäkuussa 2017), mikään ei estä asianomaisia ​​organisaatioita analysoimasta merkittävää osaa Tor-liikenteestä.

Paljon melua aiheutti myös äskettäinen tarina Firefox-selaimen hyväksikäytöstä, jota FBI käytti anonymisoinnin poistamiseen. Tor-käyttäjät. Ja vaikka kehittäjät työskentelevät aktiivisesti poistaakseen vastaavia ongelmia, et voi koskaan olla varma siitä, ettei siellä ole suurelle yleisölle tuntemattomia haavoittuvuuksia.

Huolimatta siitä, että Tor tarjoaa korkeamman anonymiteettitason kuin VPN, sinun on maksettava tästä yhteyden nopeudesta, kyvyttömyydestä käyttää p2p-verkkoja (Torrent, Gnutella) ja ongelmiin pääsyssä joihinkin Internet-resursseihin, koska järjestelmänvalvojat estävät usein alueen Tor-IP-osoitteista.

Hyvä uutinen on, että molempia tekniikoita voidaan käyttää yhdessä molempien haittojen lieventämiseksi ja lisäämiseksi lisätaso turvallisuus, sinun on tietysti maksettava siitä iso lasku nopeus. On tärkeää ymmärtää, että VPN:n ja Torin yhdistämiseen on kaksi vaihtoehtoa, käsittelemme yksityiskohtaisesti kummankin etuja ja haittoja.

Tässä kokoonpanossa muodostat ensin yhteyden VPN-palvelimeen ja käytät sitten Tor-verkkoa VPN-yhteyden kautta.

Tästä seuraa seuraava ketju:


Laitteesi -> VPN -> Tor -> Internet


Juuri näin tapahtuu, kun juoksee Tor-selain tai suojattu Whonix OS (for lisää turvallisuutta) järjestelmässä, johon VPN on jo yhdistetty. Tässä tapauksessa on selvää, että ulkoinen IP-osoitteesi kuuluu Tor-verkkoalueeseen.

Torin edut VPN:ään nähden:

  • Internet-palveluntarjoajasi ei tiedä, että käytät Toria (mutta näkee, että olet yhteydessä VPN-verkkoon), mikä voi auttaa välttämään ajoitushyökkäyksen joissakin tilanteissa (katso alla).
  • Saapuva Tor-solmu ei tiedä oikeaa IP-osoitettasi, vaan se näkee VPN-palvelimesi osoitteen. Tämä on lisäsuojaustaso (edellyttäen, että käytät nimetöntä VPN:ää, joka ei pidä lokeja).
  • Pääsy kohteeseen anonyymit palvelut Tor-verkko (domain.onion).
Torin haitat VPN:ään nähden:
  • VPN-palveluntarjoajasi tietää todellisen IP-osoitteesi.
  • Ei ole suojaa haitallisia Tor-poistumissolmuja vastaan, ja salaamaton liikenne voidaan siepata ja analysoida.
  • Tor-poistumissolmut ovat usein IP-estetty.
On tärkeää huomata, että Torin käytön piilottamiseksi palveluntarjoajan silmiltä voit käyttää VPN:n lisäksi myös Obfsproxya.

Tämä konfigurointi käsittää ensin yhteyden muodostamisen TOR-verkkoon ja sitten VPN:n käyttämisen Torin kautta verkkoon pääsyyn.

Kytkentäketju näyttää tältä:

Laitteesi -> VPN-> Tor -> VPN -> Internet


VPN:n edut Toriin nähden:
  • Koska olet yhteydessä VPN-palvelin Torin kautta VPN-palveluntarjoaja ei voi selvittää oikeaa IP-osoitettasi, se näkee vain Tor-verkon poistumissolmun osoitteen. Suosittelemme vahvasti anonyymin maksutavan (esimerkiksi mikserin kautta kulkevia bitcoineja) ja Torin käyttöä VPN-palveluntarjoajan verkkosivuston käyttämiseen VPN-tilausta ostettaessa.
  • Suojaus haitallisilta Tor-solmuilta, koska tiedot salataan lisäksi VPN:n avulla.
  • Pääsy sivustoille, jotka estävät yhteydet Torista
  • Mahdollisuus valita palvelimen sijainti
  • Kaikki liikenne ohjataan Torin kautta
Vikoja
  • VPN-palvelu voi nähdä liikenteesi, vaikka se ei voi yhdistää sitä sinuun
  • Internet-palveluntarjoajasi näkee, että liikennettä ohjataan kohti yhtä Tor-solmuista. Tämä lisää hieman ajoitushyökkäyksen riskiä.

Voit määrittää VPN:n Torin kautta kahdella tavalla:

  • Käytä tavallista Tor-selainta. Tämän lähestymistavan haittana on, että sinun on käytettävä Tor-selainta ja pidettävä se aina päällä, kun työskentelet VPN:n kanssa.
  • Asenna Tor Expert Bundle Windows-palveluna. Tämä asennus on hieman monimutkaisempi, mutta saat Torin aina käynnissä tietokoneellasi, eikä sinun tarvitse käynnistää Tor-selainta ennen yhteyden muodostamista VPN-verkkoon.

VPN:n määrittäminen Torin yli käyttämällä Tor-selainta.

1. Käynnistä Tor-selain, siirry sitten asetusvalikkoon (Asetukset). Lisäasetukset -> Verkko -> Asetukset. Välityspalvelimen asetusikkuna avautuu edessäsi. Tässä ei ole erityistä tarvetta muuttaa mitään. Voidaan nähdä, että kun Tor-selain on käytössä, tietokoneesi toimii SOCKS v5 -välityspalvelimena ja hyväksyy yhteydet porttiin numero 9150.

2. Seuraavaksi on vielä ilmoitettava meille VPN-asiakas käytä tietokoneessasi olevaa Tor-välityspalvelinta. OpenVPN:n tapauksessa tämä tehdään ohjelman asetuksissa kuten kuvakaappauksessa. Sama voidaan tehdä OpenVPN-määritystiedostossa määrittämällä ohje sukat-välityspalvelin 127.0.0.1 9050

VPN:n määrittäminen Torin kautta Expert Bundle -paketin avulla.

Huolehdi luotettavasta VPN:stä, kokeile sitä, niin saat täydellinen poissaolo lokitiedostot, yli 100 palvelinta, puhdas OpenVPN ja ei kolmannen osapuolen sovelluksia. Palvelu on rekisteröity Hongkongiin, ja kaikki palvelimet on rekisteröity tuteille.

Jätä kommenttisi ja kysymyksesi alle ja seuraa meitä sosiaalisessa mediassa

Hei kaikki!

Nyt päästään kiinnostavampiin asioihin. Tässä artikkelissa tarkastellaan vaihtoehtoja Torin yhdistämiseksi VPN/SSH/välityspalvelimeen.
Lyhytyyden vuoksi kirjoitan alle VPN:n kaikkialle, koska olette kaikki mahtavia ja tiedätte jo VPN:n, SSH:n ja Proxyn edut ja haitat, joita tutkimme aiemmin ja.
Harkitsemme kahta liitäntävaihtoehtoa:

  • ensin VPN, sitten Tor;
  • ensin Tor ja sitten VPN.
Puhun myös Whonix OS -jakelusta, joka toteuttaa edistyneimmät saavutukset verkon anonymiteetin alalla, koska muun muassa molemmat analysoidut järjestelmät on konfiguroitu ja toimivat siinä.
Edelliset osat täältä:
Osa 1: .
Osa 2: .
Osa 3: .

Ensin määritellään joitain oletuksia:
1. Tor-verkko tarjoaa korkean tason asiakkaan anonymiteetin kaikkien sen käyttöä koskevien pakollisten sääntöjen mukaisesti. Tämä on tosiasia: itse verkkoon ei ole vielä tehty todellisia julkisia hyökkäyksiä.
2. Luotettu VPN (SSH) -palvelin varmistaa lähetettyjen tietojen luottamuksellisuuden itsensä ja asiakkaan välillä.
Näin ollen mukavuuden vuoksi tässä artikkelissa tarkoitamme, että Tor varmistaa asiakkaan anonymiteetin ja VPN - lähetettyjen tietojen luottamuksellisuuden.
Tor VPN:n kautta. Ensin VPN, sitten Tor
Tässä mallissa VPN-palvelin on pysyvä syöttösolmu, jonka jälkeen salattu liikenne lähetetään Tor-verkkoon. Käytännössä malli on yksinkertainen toteuttaa: ensin muodostat yhteyden VPN-palvelimeen ja käynnistät sitten Tor-selain, joka määrittää automaattisesti tarvittavat reititys VPN-tunnelin kautta.


Tämän järjestelmän avulla voimme piilottaa itse Torin käytön Internet-palveluntarjoajaltamme. Meidät estetään myös Tor-sisääntulosolmulta, joka näkee VPN-palvelimen osoitteen. Ja Torin teoreettisen kompromissin tapauksessa meitä suojaa VPN-linja, joka ei tietenkään tallenna lokeja.
Välityspalvelimen käyttämisessä VPN:n sijasta ei ole järkeä: ilman VPN:n tarjoamaa salausta emme saa merkittäviä etuja tällaisessa järjestelmässä.

On syytä huomata, että erityisesti Tor-kiellon kiertämiseksi Internet-palveluntarjoajat keksivät niin sanottuja siltoja.
Sillat ovat Tor-verkon solmuja, joita ei ole listattu Tor-keskuksen hakemistoon, eli ne eivät ole esimerkiksi näkyvissä tai ja siksi niitä on vaikeampi havaita.
Siltojen määrittäminen on kirjoitettu yksityiskohtaisesti.
Tor-sivusto itsessään voi tarjota meille useita siltoja osoitteessa .
Voit saada siltaosoitteita myös postitse lähettämällä osoitteeseen: [sähköposti suojattu] tai [sähköposti suojattu] kirje, jossa teksti: "hanki sillat". Muista lähettää tämä kirje postista osoitteesta gmail.com tai yahoo.com
Vastauksena saamme kirjeen, jossa on heidän osoitteensa:
« Tässä ovat siltaviestisi:
silta 60.16.182.53:9001
silta 87.237.118.139:444
silta 60.63.97.221:443»
Nämä osoitteet on määritettävä Vidalian, Tor-välityspalvelimen, asetuksissa.
Joskus käy niin, että sillat ovat tukossa. Tämän ohittamiseksi Tor otti käyttöön niin sanotut "hämärät sillat". Yksityiskohtiin menemättä niitä on vaikeampi havaita. Jos haluat muodostaa yhteyden niihin, sinun on esimerkiksi ladattava Pluggable Transports Tor Browser Bundle.

Plussat kaava:

  • piilotamme itse Torin käytön Internet-palveluntarjoajalta (tai muodostamme yhteyden Toriin, jos palveluntarjoaja estää sen). Tätä varten on kuitenkin olemassa erityisiä siltoja;
  • piilotamme IP-osoitteemme Tor-sisääntulosolmulta korvaamalla sen VPN-palvelimen osoitteella, mutta tämä ei ole tehokkain anonymiteetin lisäys;
  • Jos Torin teoreettinen kompromissi tapahtuu, jäämme VPN-palvelimen taakse.
Miinukset kaava:
  • meidän on luotettava VPN-palvelimeen, koska tästä lähestymistavasta ei ole merkittäviä etuja.
VPN Torin kautta. Ensin Tor, sitten VPN
Tässä tapauksessa VPN-palvelin on pysyvä liitäntä Internetiin.


Samanlaista yhteysjärjestelmää voidaan käyttää Tor-solmujen estämisen ohittamiseen ulkoisten resurssien toimesta, ja sen pitäisi suojata liikennettämme Tor-poistumissolmun salakuuntelulta.
Tällaisen yhteyden muodostamisessa on monia teknisiä vaikeuksia, esimerkiksi muistatko, että Tor-ketju päivitetään 10 minuutin välein tai että Tor ei salli UDP:n kulkemista? Käytännön toteuttamiskelpoisin vaihtoehto on kahden virtuaalikoneen käyttö (lisätietoja alla).
On myös tärkeää huomata, että mikä tahansa poistumissolmu korostaa helposti asiakkaan yleisessä kulkussa, koska useimmat käyttäjät menevät eri resursseihin, ja kun käytetään samanlaista mallia, asiakas siirtyy aina samalle VPN-palvelimelle.
Tavallisten välityspalvelinten käyttämisessä Torin jälkeen ei luonnollisestikaan ole paljon järkeä, koska välityspalvelimelle menevää liikennettä ei ole salattu.

Plussat kaava:

  • suojaus Tor-poistumissolmun liikenteen salakuuntelua vastaan, mutta Tor-kehittäjät itse suosittelevat salauksen käyttöä sovellustasolla, esimerkiksi https;
  • suojaus ulkoisten resurssien Tor-osoitteiden estämiseltä.
Miinukset kaava:
  • järjestelmän monimutkainen täytäntöönpano;
  • meidän täytyy luottaa poistuvaan VPN-palvelimeen.
Whonix-konsepti
On olemassa monia käyttöjärjestelmäjakeluja, joiden päätarkoituksena on tarjota nimettömyyttä ja suojaa asiakkaalle Internetissä, esimerkiksi Tails ja Liberte ja muut. Kuitenkin teknologisesti edistynein, jatkuvasti kehittyvä ja tehokkain ratkaisu, joka toteuttaa edistyneimmät tekniikat turvallisuuden ja anonymiteetin takaamiseksi, on käyttöjärjestelmän jakelu.
Jakelu koostuu kahdesta Debian-virtuaalikoneesta VirtualBoxissa, joista toinen on yhdyskäytävä, joka lähettää kaiken liikenteen Tor-verkkoon, ja toinen on eristetty työasema, joka muodostaa yhteyden vain yhdyskäytävään. Whonix toteuttaa ns. eristävän välityspalvelimen mekanismin. On myös mahdollisuus erottaa yhdyskäytävä ja työasema fyysisesti.

Koska työasema ei tiedä ulkoista IP-osoitettaan Internetissä, voit tällä tavoin neutraloida monia haavoittuvuuksia, esimerkiksi jos haittaohjelma saa pääkäyttäjän oikeudet työasemaan, sillä ei ole mahdollisuutta saada selville todellista IP-osoitetta. Tässä on kaavio Whonixin toiminnasta, otettu sen viralliselta verkkosivustolta.


Whonix OS on kehittäjien mukaan läpäissyt kaikki mahdolliset vuototestit. Jopa sovellukset, kuten Skype, BitTorrent, Flash ja Java, jotka tunnetaan kyvystään käyttää avointa Internetiä ohittamalla Torin, on myös onnistuneesti testattu anonymisoivien tietovuotojen puuttumisen suhteen.
Whonix OS toteuttaa monia hyödyllisiä anonymiteettimekanismeja, nostan esiin tärkeimmät:

  • kaikki sovellusten liikenne kulkee Tor-verkon kautta;
  • Suojatakseen liikenteen profiloinnilta Whonix OS ottaa käyttöön säikeiden eristyksen. Whonixin esiasennetut sovellukset on määritetty käyttämään erillistä Socks-porttia, ja koska jokainen Socks-portti käyttää erillistä solmuketjua Tor-verkossa, profilointi on mahdotonta;
  • Tor Hidden -palveluiden turvallinen isännöinti tarjotaan. Vaikka hyökkääjä hakkeroi verkkopalvelimeen, hän ei voi varastaa "Piilotetun" palvelun yksityistä avainta, koska avain on tallennettu Whonix-yhdyskäytävään.
  • Whonix on suojattu DNS-vuodoilta, koska se käyttää arkkitehtuurissaan eristettyä välityspalvelinperiaatetta. Kaikki DNS-pyynnöt ohjataan Torin DnsPortiin;
  • Whonix tukee aiemmin käsiteltyjä "hämäriä siltoja";
  • "Protocol-Leak-Protection and Fingerprinting-Protection" -tekniikkaa käytetään. Tämä vähentää asiakkaan tunnistamisen riskiä luomalla selaimen tai järjestelmän digitaalinen sormenjälki käyttämällä yleisimmin käytettyjä arvoja, esimerkiksi käyttäjätunnus – “user”, aikavyöhyke – UTC jne.;
  • on mahdollista tunneloida muita anonyymejä verkkoja: Freenet, I2P, JAP, Retroshare Torin kautta tai työskennellä jokaisen sellaisen verkon kanssa suoraan. Tarkempia tietoja tällaisten yhteyksien ominaisuuksista löytyy linkistä;
  • On tärkeää huomata, että Whonix on testannut, dokumentoinut ja, mikä tärkeintä, toimii (!) kaikki menetelmät VPN/SSH/Proxyn yhdistämiseksi Torin kanssa. Tarkempia tietoja tästä saa linkistä;
  • Whonix OS on täysin avoimen lähdekoodin projekti, jossa käytetään ilmaisia ​​ohjelmistoja.
On kuitenkin syytä huomata, että Whonix OS: llä on myös haittoja:
  • monimutkaisempi asennus kuin Tails tai Liberte;
  • tarvitaan kaksi virtuaalikonetta tai erillinen fyysinen laitteisto;
  • vaatii enemmän huomiota huoltoon. Sinun on valvottava kolmea käyttöjärjestelmää yhden sijasta, tallennettava salasanoja ja päivitettävä käyttöjärjestelmä.
  • Whonixissa Torin "New Identity" -painike ei toimi. Tosiasia on, että Tor-selain ja itse Tor on eristetty eri koneissa, joten "New Identity" -painikkeella ei ole pääsyä Tor-hallintaan. Jotta voit käyttää uutta solmuketjua, sinun on suljettava selain, vaihdettava ketjua Arm, Tor-ohjauspaneelin, Vidalian vastaavan Tor-selaimen avulla ja käynnistettävä selain uudelleen.
Whonix-projektia kehitetään erillään Tor-projektista ja muista siihen kuuluvista sovelluksista, joten Whonix ei suojaa itse Tor-verkon haavoittuvuuksilta tai esimerkiksi palomuurin, Iptablesin, 0 päivän haavoittuvuudelta.

Whonixin turvallisuutta voidaan kuvata

Internet-käyttörajoituksiin, sensuuriin ja sivustojen estoon liittyvien tapahtumien valossa katson tarpeelliseksi esittää sinulle käännös VPN-palveluita käsittelevästä vertailevasta artikkelista LifeHacker-resurssista.

Yksityinen Internet-yhteys

Tämä on suosikkipalvelumme, ja heidän keräämiensä palkintojen määrän perusteella myös sinun. PIA ei tarjoa vain liikenteen salausta, vaan myös anonymisointia yhdistettynä alueellisesta sijainnista irrottamiseen. Voit valita tulostuspalvelimen lähes 1000 palvelimen luettelosta (10 eri maassa). PIA ei tallenna lokeja, ei estä mitään protokollia tai IP-osoitteita eikä tallenna tietoja käyttäjän toimista. Ne tukevat myös useita valtuutusmenetelmiä, lähes kaikkia käyttöjärjestelmiä (mobiili ja pöytätietokone), ja palveluiden hinta alkaa 7 dollarista kuukaudessa. Voit liittää jopa viisi eri laitetta.

TorGuard

Palvelu tarjoaa valikoiman erityyppisiä palvelimia eri tyyppejä Toiminnot. Torrent-protokollaa tukevat palvelimet - tiedon lataamiseen, salatut ja nimettömät palvelimet - turvallisen ja yksityisen verkkovierailun varmistamiseksi jne. Erityistä huomiota keskittyy DNS-vuotojen ongelmaan - he tarjoavat jopa oman testinsä todentamista varten. Täyden hinta VPN-palvelu alkaen $10/kk, ja jos tarvitset erikoistuneita, ne ovat hieman halvempia. Palvelulla on yli 200 toimipistettä 18 maassa, ei lokeja, ja mikä parasta, he väittävät, että heidän verkkonsa on konfiguroitu niin, ettei heillä itsellä ole aavistustakaan siitä, mitä heidän käyttäjänsä tekevät tällä hetkellä. Ne tukevat myös lähes kaikkia käyttöjärjestelmiä (mobiili ja työpöytä), ja ne tarjoavat myös salatun sähköpostipalvelun.

IPVanish VPN

Mielenkiintoinen ominaisuus palvelussa on jaettujen IP-osoitteiden käyttö. Tämä tekee todella vaikeaksi tunnistaa, ketkä käyttäjät tekevät mitä. Lisäksi palvelussa on yli sata tulostuspalvelinta 47 eri maassa ja käyttäjä voi valita tulostuspalvelimen, jos hän esim. tiettyä maata. Ohjelmisto tukee OS X-, Windows-, Ubuntu-, iOS- ja Android-käyttöjärjestelmiä. Lisäksi palvelu tarjoaa konfigurointiapuohjelmia, joiden avulla voit määrittää asetukset kotireititin työskennellä sen kanssa. Palvelun hinta on 10 €/kk ja on mahdollista yhdistää kaksi erilaisia ​​laitteita jos he käyttävät eri protokollia.

CyberGhost VPN

Palvelu on ollut olemassa jo pitkään, ja se väittää muiden luokituksen osallistujien tavoin, ettei sillä ole lokeja eikä rajoituksia protokollatyypeille ja liikenteelle. Palvelu tarjoaa valikoiman tulostuspalvelimia 23 eri maassa. Mielenkiintoista on, että palvelu tarjoaa myös ilmaiset palvelut, Ja ilmaisia ​​käyttäjiä he voivat käyttää sitä ilman liikennerajoituksia, mutta he voivat jopa valita lähtöpalvelimen maan ( vapaa valinta koostuu 14 maasta 23 sijasta, mikä ei myöskään ole huono). Palvelu tukee lähes kaikkia käyttöjärjestelmiä.
Ainoa ero ilmaisten tilien välillä on, että ne poistetaan käytöstä 3 tunnin käytön jälkeen ja ne voivat toimia vain virallisen asiakkaan kanssa. Palvelun hinta alkaa 7 dollarista kuukaudessa, jos sinun on yhdistettävä useampi kuin yksi laite, joudut maksamaan ylimääräistä.

Tee se itse

Jotkut ihmiset uskovat, että jos jokin on tehtävä oikein, on parempi tehdä se itse; ja heistä riittävän IT-taidot voivat helposti tehdä oman VPN-palvelimen. Jos et tarvitse tulostuspalvelimia eri maissa, voit järjestää palvelun käyttämällä OpenVPN:ää tai muita vaihtoehtoja avoin lähdekoodi. Monet reitittimet tukevat OpenVPN-protokollaa, kun taas toiset voidaan asentaa mukautetulla DD-WRT- tai Tomato-laiteohjelmistolla. Tämä vaihtoehto tarjoaa sinulle täysi hallinta salaukseen, pääsyyn ja muihin yhteysongelmiin.

Muut palvelut

Muita palveluita ovat mm.

Hideman VPN – monialustainen, ei kirjaamista

Tunnelbear – tarjoaa muun muassa selaimen lisäosan

AirVPN on ehkä monipuolisin palvelu

VyprVPN on hyvä palvelu, mutta ne pitävät kirjaa käyttäjien toiminnasta

Mullvad on ruotsalainen palveluntarjoaja, joka hyväksyy maksut Bitcoinissa anonymiteetin lisäämiseksi. Palveluiden hinta on 5 euroa/kk, lähtöpalvelimille tarjotaan neljän maan valinta.

25% yksityinen Internet-yhteys
24% TorGuard
23% IPVanish
19% CyberGhost
09% tee itse



AIHEESEEN LIITTYVÄT ARTIKKELIT