VPN Tanpa Nama: makna, risiko dan harga kebebasan. Menyediakan akses Internet tanpa nama melalui Tor dan VPN

Perkara pertama yang terlintas di fikiran apabila menyebut VPN ialah ketaknamaan dan keselamatan data yang dihantar. Betul ke? Mari kita fikirkan.

Apabila anda perlu mengakses rangkaian korporat, ia selamat untuk dihantar maklumat penting Oleh saluran terbuka komunikasi, untuk menyembunyikan trafik mereka daripada pengawasan penyedia, untuk menyembunyikan lokasi sebenar mereka apabila menjalankan sebarang tindakan yang tidak sepenuhnya sah (atau tidak sah sama sekali), mereka biasanya menggunakan VPN. Tetapi adakah patut bergantung pada VPN secara membuta tuli, meletakkan keselamatan data anda dan keselamatan anda sendiri dipertaruhkan? Pasti tidak. kenapa? Mari kita fikirkan.

AMARAN

Semua maklumat disediakan untuk tujuan maklumat sahaja. Baik editor mahupun pengarang tidak bertanggungjawab untuk apa-apa kemungkinan bahaya disebabkan oleh bahan-bahan artikel ini.

Kami memerlukan VPN!

Rangkaian peribadi maya, atau ringkasnya VPN, ialah nama umum untuk teknologi yang membenarkan satu atau lebih jaringan rangkaian(rangkaian logik) di atas rangkaian lain, seperti Internet. Walaupun pada hakikatnya komunikasi boleh dilaksanakan melalui rangkaian awam dengan tahap kepercayaan yang tidak diketahui, tahap kepercayaan dalam binaan rangkaian logik tidak bergantung pada tahap kepercayaan rangkaian teras terima kasih kepada penggunaan alat kriptografi (penyulitan, pengesahan, infrastruktur kunci awam, bermaksud untuk melindungi daripada pengulangan dan perubahan dalam mesej yang dihantar melalui rangkaian logik). Seperti yang anda lihat, secara teori semuanya berwarna merah jambu dan tidak berawan, tetapi dalam praktiknya semuanya agak berbeza. Dalam artikel ini, kami akan melihat dua perkara utama yang mesti anda ambil kira apabila menggunakan VPN.

Kebocoran trafik VPN

Masalah pertama dengan VPN ialah kebocoran trafik. Iaitu, trafik yang harus dihantar melalui sambungan VPN dalam bentuk yang disulitkan memasuki rangkaian borang terbuka. Senario ini bukan hasil pepijat dalam pelayan atau klien VPN. Semuanya jauh lebih menarik di sini. Pilihan paling mudah ialah memutuskan sambungan VPN secara tiba-tiba. Anda memutuskan untuk mengimbas hos atau subnet menggunakan Nmap, melancarkan pengimbas, keluar dari monitor selama beberapa minit, dan kemudian sambungan VPN tiba-tiba terputus. Tetapi pengimbas terus berfungsi. Dan pengimbasan datang dari alamat anda. Ini adalah keadaan yang tidak menyenangkan. Tetapi terdapat senario yang lebih menarik. Contohnya, kebocoran trafik VPN meluas dalam rangkaian (pada hos) yang menyokong kedua-dua versi protokol IP (yang dipanggil rangkaian/hos dwi-tindan).

Akar Kejahatan

Kewujudan bersama dua protokol - IPv4 dan IPv6 - mempunyai banyak aspek menarik dan halus yang boleh membawa kepada akibat yang tidak dijangka. Walaupun fakta bahawa versi keenam protokol IP tidak mempunyai keserasian ke belakang dengan versi keempat, kedua-dua versi ini "dilekatkan" bersama oleh Sistem Nama Domain (DNS). Untuk lebih jelas apa yang kami maksudkan kita bercakap tentang, mari kita lihat contoh mudah. Sebagai contoh, mari kita ambil tapak web (katakan www.example.com) yang mempunyai sokongan IPv4 dan IPv6. Nama domain yang sepadan (www.example.com dalam kes kami) akan mengandungi kedua-dua jenis rekod DNS: A dan AAAA. Setiap rekod A mengandungi satu alamat IPv4, dan setiap rekod AAAA mengandungi satu alamat IPv6. Selain itu, satu nama domain boleh mempunyai beberapa rekod kedua-dua jenis. Oleh itu, apabila aplikasi yang menyokong kedua-dua protokol ingin berkomunikasi dengan tapak, ia boleh meminta mana-mana alamat yang tersedia. Keluarga alamat pilihan (IPv4 atau IPv6) dan alamat akhir yang akan digunakan oleh aplikasi (memandangkan terdapat beberapa untuk versi 4 dan 6) akan berbeza daripada satu pelaksanaan protokol ke yang lain.

Kewujudan bersama protokol ini bermakna apabila pelanggan yang menyokong kedua-dua tindanan ingin berkomunikasi dengan sistem lain, kehadiran rekod A dan AAAA akan mempengaruhi protokol yang akan digunakan untuk berkomunikasi dengan sistem tersebut.

VPN dan timbunan protokol dwi

Banyak pelaksanaan VPN tidak menyokong, atau lebih teruk lagi, mengabaikan IPv6 sepenuhnya. Apabila membuat sambungan perisian VPN menjaga pengangkutan trafik IPv4 dengan menambahkan laluan lalai untuk paket IPv4, dengan itu memastikan bahawa semua trafik IPv4 dihantar melalui sambungan VPN (bukannya dihantar secara jelas melalui penghala tempatan). Walau bagaimanapun, jika IPv6 tidak disokong (atau diabaikan sepenuhnya), setiap paket dengan alamat IPv6 destinasi dalam pengepalanya akan dihantar secara jelas melalui penghala IPv6 tempatan.

Sebab utama masalah ini terletak pada fakta bahawa walaupun IPv4 dan IPv6 adalah dua protokol berbeza yang tidak serasi antara satu sama lain, ia digunakan rapat dalam sistem nama domain. Oleh itu, untuk sistem yang menyokong kedua-dua susunan protokol, adalah mustahil untuk menjamin sambungan ke sistem lain tanpa mengamankan kedua-dua protokol (IPv6 dan IPv4).

Senario kebocoran trafik VPN yang sah

Pertimbangkan hos yang menyokong kedua-dua susunan protokol, menggunakan klien VPN (hanya berfungsi dengan trafik IPv4) untuk menyambung ke pelayan VPN dan disambungkan ke rangkaian dwi-tindan. Jika aplikasi pada hos perlu berkomunikasi dengan nod dwi-tindan, pelanggan biasanya menanyakan kedua-dua rekod DNS A dan AAAA. Memandangkan hos menyokong kedua-dua protokol, dan nod jauh akan mempunyai kedua-dua jenis rekod DNS (A dan AAAA), salah satu senario yang mungkin adalah menggunakan protokol IPv6 untuk komunikasi antara mereka. Dan oleh kerana klien VPN tidak menyokong versi keenam protokol, trafik IPv6 tidak akan dihantar melalui sambungan VPN, tetapi akan dihantar dalam teks yang jelas melalui rangkaian tempatan.

Senario ini meletakkan data berharga yang dihantar dalam teks yang jelas berisiko apabila kami fikir ia dihantar dengan selamat melalui sambungan VPN. Dalam kes khusus ini, kebocoran trafik VPN adalah kesan sampingan menggunakan perisian yang tidak menyokong IPv6 pada rangkaian (dan hos) yang menyokong kedua-dua protokol.

Sengaja menyebabkan trafik VPN bocor

Penyerang boleh dengan sengaja memaksa sambungan IPv6 pada komputer mangsa dengan menghantar mesej Iklan Penghala ICMPv6 palsu. Paket tersebut boleh dihantar menggunakan utiliti seperti rtadvd, Kit IPv6 Rangkaian SI6 atau THC-IPv6. Sebaik sahaja sambungan IPv6 diwujudkan, "komunikasi" dengan sistem yang menyokong kedua-dua susunan protokol boleh mengakibatkan, seperti yang dibincangkan di atas, membocorkan trafik VPN.

Walaupun serangan ini boleh membuahkan hasil (disebabkan oleh semakin banyak tapak yang menyokong IPv6), ia hanya akan membocorkan trafik apabila penerima menyokong kedua-dua versi protokol IP. Walau bagaimanapun, tidak sukar bagi penyerang untuk menyebabkan kebocoran trafik bagi mana-mana penerima (bertindan dua atau tidak). Dengan menghantar mesej Iklan Penghala palsu yang mengandungi pilihan RDNSS yang sepadan, penyerang boleh berpura-pura menjadi pelayan DNS rekursif tempatan, kemudian melakukan pemalsuan DNS untuk serangan man-in-the-middle dan memintas lalu lintas yang sepadan. Seperti dalam kes sebelumnya, alatan seperti SI6-Toolkit dan THC-IPv6 boleh melakukan helah ini dengan mudah.

Tidak kira sama sekali jika trafik yang tidak bertujuan untuk mengintip berakhir di tempat terbuka di rangkaian. Bagaimana untuk melindungi diri anda dalam situasi sedemikian? Berikut adalah beberapa resipi berguna:

  1. Jika klien VPN dikonfigurasikan untuk menghantar semua trafik IPv4 melalui sambungan VPN, maka:
  • jika IPv6 tidak disokong oleh klien VPN, lumpuhkan sokongan untuk versi keenam protokol IP untuk semua antara muka rangkaian. Oleh itu, aplikasi yang berjalan pada komputer tidak akan mempunyai pilihan selain menggunakan IPv4;
  • jika IPv6 disokong, pastikan semua trafik IPv6 juga dihantar melalui VPN.
  1. Untuk mengelakkan kebocoran trafik jika sambungan VPN tiba-tiba terputus dan semua paket dihantar melalui get laluan lalai, anda boleh:
  2. paksa semua trafik untuk melalui laluan VPN padam 0.0.0.0 192.168.1.1 // padam laluan get laluan lalai tambah 83.170.76.128 topeng 255.255.255.255 192.168.1.1 metrik 1
  • gunakan utiliti VPNetMon, yang memantau keadaan sambungan VPN dan, sebaik sahaja ia hilang, serta-merta menamatkan aplikasi yang ditentukan pengguna (contohnya, klien torrent, pelayar web, pengimbas);
  • atau utiliti VPNCheck, yang, bergantung pada pilihan pengguna, sama ada boleh melumpuhkan sepenuhnya kad rangkaian, atau tamatkan sahaja aplikasi yang ditentukan.
  1. Anda boleh menyemak sama ada mesin anda terdedah kepada kebocoran trafik DNS di tapak web, dan kemudian gunakan petua tentang cara membetulkan kebocoran yang diterangkan.

Penyahsulitan trafik VPN

Walaupun anda telah mengkonfigurasi semuanya dengan betul dan trafik VPN anda tidak bocor ke dalam rangkaian dengan jelas, ini belum lagi menjadi alasan untuk berehat. Intinya ialah jika seseorang memintas data yang disulitkan yang dihantar melalui sambungan VPN, dia akan dapat menyahsulitnya. Lebih-lebih lagi, ia tidak menjejaskan ini dalam apa-apa cara sama ada kata laluan anda adalah kompleks atau mudah. Jika anda menggunakan sambungan VPN berdasarkan protokol PPTP, maka anda boleh mengatakan dengan seratus peratus pasti bahawa semua trafik yang disulitkan yang dipintas boleh dinyahsulitkan.

Titik kelemahan

Untuk sambungan VPN berdasarkan PPTP (Point-to-Point Tunneling Protocol), pengesahan pengguna dijalankan menggunakan protokol MS-CHAPv2 yang dibangunkan oleh oleh Microsoft. Walaupun fakta bahawa MS-CHAPv2 sudah lapuk dan sering menjadi subjek kritikan, ia terus digunakan secara aktif. Untuk akhirnya menghantarnya ke tong sampah sejarah, penyelidik terkenal Moxie Marlinspike mengambil perkara itu, yang melaporkan pada persidangan DEF CON kedua puluh bahawa matlamat telah dicapai - protokol telah digodam. Ia mesti dikatakan bahawa keselamatan protokol ini telah menjadi hairan sebelum ini, tetapi penggunaan MS-CHAPv2 yang begitu lama mungkin disebabkan oleh fakta bahawa ramai penyelidik hanya menumpukan pada kelemahannya terhadap serangan kamus. Penyelidikan terhad dan sejumlah besar pelanggan yang disokong, sokongan terbina dalam oleh sistem pengendalian - semua ini memastikan penggunaan meluas protokol MS-CHAPv2. Bagi kami, masalahnya terletak pada fakta bahawa MS-CHAPv2 digunakan dalam protokol PPTP, yang digunakan oleh banyak perkhidmatan VPN (contohnya, perkhidmatan yang besar seperti IPredator perkhidmatan VPN tanpa nama dan VPN The Pirate Bay).

Jika kita beralih kepada sejarah, maka pada tahun 1999, dalam kajiannya tentang protokol PPTP, Bruce Schneier menunjukkan bahawa "Microsoft meningkatkan PPTP dengan membetulkan kelemahan keselamatan utama. Walau bagaimanapun, kelemahan asas protokol pengesahan dan penyulitan ialah ia hanya selamat seperti kata laluan yang dipilih pengguna.” Atas sebab tertentu, ini membuatkan penyedia percaya bahawa tidak ada yang salah dengan PPTP dan jika anda memerlukan pengguna untuk mencipta kata laluan yang kompleks, maka data yang dihantar akan selamat. Perkhidmatan Riseup.net sangat diilhamkan oleh idea ini sehingga ia memutuskan untuk menjana kata laluan 21 aksara secara bebas untuk pengguna, tanpa memberi mereka peluang untuk menetapkan kata laluan mereka sendiri. Tetapi walaupun langkah yang sukar sedemikian tidak menghalang trafik daripada dinyahsulit. Untuk memahami sebabnya, mari kita lihat dengan lebih dekat protokol MS-CHAPv2 dan lihat cara Moxie Marlinspike berjaya memecahkannya.

Protokol MS-CHAPv2

Seperti yang telah disebutkan, MSCHAPv2 digunakan untuk pengesahan pengguna. Ia berlaku dalam beberapa peringkat:

  • pelanggan menghantar permintaan pengesahan kepada pelayan, secara terbuka menghantar log masuknya;
  • pelayan mengembalikan respons rawak 16-bait kepada pelanggan (Cabaran Pengesah);
  • pelanggan menjana PAC 16-bait (Peer Authenticator Challenge - respons pengesahan rakan sebaya);
  • pelanggan menggabungkan PAC, respons pelayan dan nama penggunanya ke dalam satu baris;
  • cincangan 8-bait diambil daripada rentetan yang diterima menggunakan algoritma SHA-1 dan dihantar ke pelayan;
  • pelayan mendapatkan semula cincangan daripada pangkalan datanya daripada pelanggan ini dan menghuraikan jawapannya;
  • jika hasil penyahsulitan sepadan dengan respons asal, semuanya OK, dan sebaliknya;
  • seterusnya, pelayan mengambil PAC pelanggan dan, berdasarkan cincangan, menghasilkan AR 20-bait (Respons Pengesah), menghantarnya kepada pelanggan;
  • klien melakukan operasi yang sama dan membandingkan AR yang diterima dengan tindak balas pelayan;
  • jika semuanya sepadan, pelanggan disahkan oleh pelayan. Rajah menunjukkan gambar rajah visual operasi protokol.

Pada pandangan pertama, protokol kelihatan terlalu rumit - sekumpulan cincang, penyulitan, cabaran rawak. Ia sebenarnya tidak begitu rumit. Jika anda melihat dengan teliti, anda akan mendapati bahawa dalam keseluruhan protokol hanya satu perkara yang tidak diketahui - cincangan MD4 kata laluan pengguna, berdasarkan tiga kekunci DES dibina. Parameter selebihnya sama ada dihantar dalam teks yang jelas, atau boleh diperoleh daripada apa yang dihantar dalam teks yang jelas.


Oleh kerana hampir semua parameter diketahui, kita tidak boleh mempertimbangkannya, tetapi perhatikan dengan teliti apa yang tidak diketahui dan ketahui apa yang diberikannya kepada kita.


Jadi, apa yang kita ada: kata laluan yang tidak diketahui, cincangan MD4 yang tidak diketahui bagi kata laluan ini, yang diketahui teks kosong dan teks sifir yang terkenal. Dengan lebih pertimbangan terperinci Anda dapat melihat bahawa kata laluan pengguna tidak penting bagi kami, tetapi cincangnya adalah penting, kerana cincangan inilah yang diperiksa pada pelayan. Oleh itu, untuk pengesahan yang berjaya bagi pihak pengguna, serta untuk menyahsulit trafiknya, kita hanya perlu mengetahui cincang kata laluannya.

Setelah memintas lalu lintas di tangan, anda boleh cuba menyahsulitnya. Terdapat beberapa alatan (contohnya, asleap) yang membolehkan anda meneka kata laluan pengguna melalui serangan kamus. Kelemahan alat ini ialah ia tidak memberikan jaminan 100% hasil, dan kejayaan secara langsung bergantung pada kamus yang dipilih. Memilih kata laluan menggunakan kekerasan mudah juga tidak begitu berkesan - contohnya, dalam kes perkhidmatan PPTP VPN riseup.net, yang secara paksa menetapkan kata laluan sepanjang 21 aksara, anda perlu mencuba 96 pilihan aksara untuk setiap satu daripada 21 aksara . Ini menghasilkan 96^21 pilihan, iaitu lebih sedikit daripada 2^138. Dengan kata lain, anda perlu memilih kunci 138-bit. Dalam keadaan di mana panjang kata laluan tidak diketahui, masuk akal untuk memilih cincangan MD4 kata laluan. Memandangkan panjangnya ialah 128 bit, kami mendapat 2^128 pilihan - per masa ini ia adalah mustahil untuk mengira.

Bahagikan dan perintah

Cincang MD4 kata laluan digunakan sebagai input untuk tiga operasi DES. Kekunci DES adalah 7 bait panjang, jadi setiap operasi DES menggunakan bahagian 7-bait cincang MD4. Semua ini memberi ruang untuk serangan pecah dan takluk klasik. Daripada memaksa sepenuhnya cincang MD4 (yang, seperti yang anda ingat, ialah 2^128 pilihan), kami boleh memilihnya dalam bahagian 7 bait. Memandangkan tiga operasi DES digunakan dan setiap operasi DES adalah bebas sepenuhnya daripada yang lain, ini memberikan jumlah kerumitan padanan sebanyak 2^56 + 2^56 + 2^56, atau 2^57.59. Ini sudah jauh lebih baik daripada 2^138 dan 2^128, tetapi masih terlalu banyak nombor besar pilihan. Walaupun, seperti yang anda mungkin perasan, ralat menyelinap ke dalam pengiraan ini. Algoritma menggunakan tiga kekunci DES, setiap 7 bait bersaiz, iaitu 21 bait secara keseluruhan. Kekunci ini diambil daripada cincangan MD4 kata laluan, yang panjangnya hanya 16 bait.

Iaitu, 5 bait tiada untuk membina kunci DES ketiga. Microsoft menyelesaikan masalah ini hanya dengan mengisi bait yang hilang secara bodoh dengan sifar dan pada dasarnya mengurangkan keberkesanan kunci ketiga kepada dua bait.

Memandangkan kunci ketiga mempunyai panjang berkesan hanya dua bait, iaitu, 2^16 pilihan, pemilihannya mengambil masa beberapa saat, membuktikan keberkesanan serangan bahagi dan takluk. Jadi, kita boleh mengandaikan bahawa dua bait terakhir cincang diketahui, yang tinggal hanyalah memilih baki 14. Selain itu, membahagikannya kepada dua bahagian 7 bait, kita mempunyai jumlah pilihan untuk mencari sama dengan 2^ 56 + 2^56 = 2^57. Masih terlalu banyak, tetapi jauh lebih baik. Ambil perhatian bahawa operasi DES yang selebihnya menyulitkan teks yang sama, hanya menggunakan kekunci yang berbeza. Algoritma carian boleh ditulis seperti berikut:

Tetapi kerana teks disulitkan sama, adalah lebih tepat untuk melakukannya seperti ini:

Iaitu, terdapat 2^56 variasi kunci untuk dicari. Ini bermakna keselamatan MS-CHAPv2 boleh dikurangkan kepada kekuatan penyulitan DES sahaja.

Menggodam DES

Sekarang julat pemilihan kunci diketahui, terpulang kepada kuasa pengkomputeran untuk berjaya menyelesaikan serangan. Pada tahun 1998, Electronic Frontier Foundation membina sebuah mesin yang dipanggil Deep Crack, yang berharga $250,000 dan boleh memecahkan kunci DES dalam purata empat setengah hari. Pada masa ini, Pico Computing, yang mengkhusus dalam membina perkakasan FPGA untuk aplikasi kriptografi, telah membina peranti FPGA (kotak retak DES) yang melaksanakan DES sebagai saluran paip dengan satu operasi DES setiap kitaran jam. Dengan 40 teras pada 450 MHz, ia boleh menghitung 18 bilion kunci sesaat. Dengan kelajuan kekerasan sedemikian, kotak retak DES memecahkan kunci DES dalam kes paling teruk dalam 23 jam, dan secara purata dalam setengah hari. Mesin ajaib ini boleh didapati melalui perkhidmatan web komersial loudcracker.com. Jadi sekarang anda boleh memecahkan sebarang jabat tangan MS-CHAPv2 dalam masa kurang daripada sehari. Dan mempunyai cincang kata laluan di tangan, anda boleh mengesahkan bagi pihak pengguna ini pada perkhidmatan VPN atau hanya menyahsulit trafiknya.

Untuk mengautomasikan kerja dengan perkhidmatan dan memproses trafik yang dipintas, Moxie menjadikan utiliti chapcrack tersedia secara terbuka. Ia menghuraikan trafik rangkaian yang dipintas, mencari jabat tangan MS-CHAPv2. Untuk setiap jabat tangan yang ditemuinya, ia mencetak nama pengguna, teks biasa yang diketahui, dua teks sifir yang diketahui dan memecahkan kekunci DES ketiga. Di samping itu, ia menjana token untuk CloudCracker, yang mengekod tiga parameter yang diperlukan untuk perkhidmatan memecahkan kunci yang tinggal.

CloudCracker & Chapcrack

Sekiranya anda perlu memecahkan kunci DES daripada trafik pengguna yang dipintas, saya akan memberikan arahan langkah demi langkah yang ringkas.

  1. Muat turun perpustakaan Passlib, yang melaksanakan lebih daripada 30 pelbagai algoritma pencincangan untuk bahasa sawa, bongkar dan pasang: python setup.py install
  2. Pasang python-m2crypto - pembungkus OpenSSL untuk Python: sudo apt-get install python-m2crypto
  3. Muat turun utiliti chapcrack itu sendiri, bongkar dan pasang: python setup.py install
  4. Chapcrack dipasang, anda boleh mula menghuraikan lalu lintas yang dipintas. Utiliti menerima fail topi sebagai input, mencarinya untuk jabat tangan MS-CHAPv2, dari mana ia mengekstrak maklumat yang diperlukan untuk penggodaman. chapcrack parse -i ujian/pptp
  5. Daripada output data oleh utiliti chapcrack, salin nilai baris Penyerahan CloudCracker dan simpan pada fail (contohnya, output.txt)
  6. Pergi ke cloudcracker.com, pilih "Start Cracking" dalam panel Jenis fail, sama dengan “MS-CHAPv2 (PPTP/WPA-E)”, pilih fail output.txt yang disediakan sebelum ini dalam langkah sebelumnya, klik Seterusnya -> Seterusnya dan nyatakan e-mel anda yang mesej akan dihantar sebaik sahaja penggodaman selesai.

Malangnya, CloudCracker ialah perkhidmatan berbayar. Nasib baik, anda tidak perlu membayar sebanyak itu untuk menggodam kunci - hanya 20 dolar.

Apa nak buat?

Walaupun Microsoft menulis di laman webnya bahawa ia pada masa ini tidak mempunyai maklumat tentang serangan aktif menggunakan chapcrack, serta akibat daripada serangan tersebut untuk sistem pengguna, tetapi ini tidak bermakna semuanya teratur. Moxie mengesyorkan agar semua pengguna dan penyedia penyelesaian VPN PPTP mula berhijrah ke protokol VPN yang lain. Dan trafik PPTP dianggap tidak disulitkan. Seperti yang anda lihat, terdapat satu lagi situasi di mana VPN boleh mengecewakan kami dengan serius.


Kesimpulan

Kebetulan VPN dikaitkan dengan tanpa nama dan keselamatan. Orang ramai menggunakan VPN apabila mereka ingin menyembunyikan trafik mereka daripada pengawasan penyedia mereka, menggantikan lokasi geografi sebenar mereka dan sebagainya. Malah, ternyata trafik boleh "bocor" ke dalam rangkaian secara jelas, dan jika tidak jelas, maka trafik yang disulitkan boleh dinyahsulitkan dengan cepat. Semua ini sekali lagi mengingatkan kita bahawa kita tidak boleh bergantung secara membuta tuli pada janji-janji yang kuat tentang keselamatan yang lengkap dan tanpa nama. Seperti yang mereka katakan, percaya, tetapi sahkan. Oleh itu, berhati-hati dan pastikan sambungan VPN anda benar-benar selamat dan tanpa nama.

Saya juga akan bercakap tentang pengedaran OS Whonix, yang melaksanakan pencapaian paling maju dalam bidang ketiadaan nama rangkaian, kerana, antara lain, kedua-dua skema yang dianalisis dikonfigurasikan dan berfungsi di dalamnya.

Pertama, mari kita tentukan beberapa postulat:
1. Rangkaian Tor menyediakan tahap tinggi kerahasiaan pelanggan, tertakluk kepada semua peraturan mandatori untuk penggunaannya. Ianya adalah fakta: serangan sebenar di khalayak ramai di rangkaian itu sendiri, ia belum berlaku lagi.
2. Pelayan VPN (SSH) yang dipercayai memastikan kerahsiaan data yang dihantar antara dirinya dan pelanggan.
Oleh itu, untuk kemudahan, dalam artikel ini kami maksudkan bahawa Tor memastikan pelanggan tidak mahu dikenali, dan VPN - kerahsiaan data yang dihantar.

Tor melalui VPN. VPN pertama, kemudian Tor

Dengan skim ini, pelayan VPN ialah nod input kekal, selepas itu trafik yang disulitkan dihantar ke rangkaian Tor. Dalam amalan, skim ini mudah untuk dilaksanakan: pertama, anda menyambung ke pelayan VPN, kemudian melancarkan penyemak imbas Tor, yang secara automatik akan mengkonfigurasi penghalaan yang diperlukan melalui terowong VPN.

Menggunakan skim sedemikian membolehkan anda menyembunyikan fakta menggunakan Tor daripada pembekal Internet kami. Kami juga akan disekat daripada nod masuk Tor, yang akan melihat alamat pelayan VPN. Dan sekiranya berlaku kompromi teori Tor, kami akan dilindungi oleh talian VPN, yang, tentu saja, tidak menyimpan sebarang log.
Menggunakan sebaliknya Pelayan proksi VPN, tidak masuk akal: tanpa penyulitan yang disediakan oleh VPN, kami tidak akan menerima sebarang kelebihan ketara dalam skim sedemikian.

Perlu diingat bahawa, khususnya untuk memintas larangan Tor, penyedia Internet menghasilkan apa yang dipanggil jambatan.
Jambatan adalah nod rangkaian Tor yang tidak disenaraikan dalam direktori Tor pusat, iaitu, tidak kelihatan, sebagai contoh, atau, dan, oleh itu, lebih sukar untuk dikesan.
Cara mengkonfigurasi jambatan ditulis secara terperinci.
Tapak Tor itu sendiri boleh memberi kita beberapa jambatan di .
Anda juga boleh mendapatkan alamat jambatan melalui mel dengan menghantar ke: [e-mel dilindungi] atau [e-mel dilindungi] surat dengan teks: "dapatkan jambatan". Pastikan anda menghantar surat ini dari mel dari gmail.com atau yahoo.com
Sebagai balasan, kami akan menerima surat dengan alamat mereka:
« Berikut ialah geganti jambatan anda:
jambatan 60.16.182.53:9001
jambatan 87.237.118.139:444
jambatan 60.63.97.221:443»
Alamat ini perlu dinyatakan dalam tetapan Vidalia, pelayan proksi Tor.
Kadang-kadang ia berlaku bahawa jambatan disekat. Untuk memintas ini, Tor memperkenalkan apa yang dipanggil "jambatan terkabur". Tanpa terperinci, mereka lebih sukar untuk dikesan. Untuk menyambung kepada mereka, anda perlu, sebagai contoh, untuk memuat turun Pluggable Transports Tor Browser Bundle.

kebaikan skim:

  • kami akan menyembunyikan fakta menggunakan Tor daripada pembekal Internet (atau menyambung ke Tor jika pembekal menyekatnya). Walau bagaimanapun, terdapat jambatan khas untuk ini;
  • kami akan menyembunyikan alamat IP kami daripada nod masuk Tor, menggantikannya dengan alamat pelayan VPN, tetapi ini bukan peningkatan yang paling berkesan dalam ketanpa nama;
  • sekiranya berlaku kompromi teori Tor, kami akan kekal di belakang pelayan VPN.

Minus skim:

  • kita mesti mempercayai pelayan VPN sekiranya tiada kelebihan ketara pendekatan ini.
VPN melalui Tor. Tor pertama, kemudian VPN

Dalam kes ini, pelayan VPN ialah saluran keluar tetap kepada Internet.


Skim sambungan serupa boleh digunakan untuk memintas penyekatan nod Tor sumber luar, selain itu ia harus melindungi trafik kita daripada mencuri dengar pada nod keluar Tor.
Terdapat banyak kesukaran teknikal dalam mewujudkan sambungan sedemikian, sebagai contoh, adakah anda ingat bahawa rantai Tor dikemas kini setiap 10 minit atau Tor tidak membenarkan UDP lulus? Pilihan yang paling berdaya maju pelaksanaan praktikal ini adalah penggunaan dua mesin maya (lebih lanjut mengenai ini di bawah).
Ia juga penting untuk ambil perhatian bahawa mana-mana nod keluar akan dengan mudah menyerlahkan klien dalam aliran umum, kerana kebanyakan pengguna pergi ke sumber yang berbeza, dan apabila menggunakan skema yang sama, pelanggan sentiasa pergi ke pelayan VPN yang sama.
Sememangnya, menggunakan pelayan proksi biasa selepas Tor tidak masuk akal, kerana trafik ke proksi tidak disulitkan.

kebaikan skim:

  • perlindungan daripada mencuri dengar trafik pada nod keluar Tor, bagaimanapun, pembangun Tor sendiri mengesyorkan menggunakan penyulitan pada peringkat aplikasi, contohnya, https;
  • perlindungan menyekat Alamat Tor sumber luar.

Minus skim:

  • pelaksanaan kompleks skim;
  • kita mesti mempercayai pelayan VPN keluar.
Konsep Whonix

Terdapat banyak pengedaran OS yang tujuan utamanya adalah untuk menyediakan tanpa nama dan perlindungan untuk pelanggan di Internet, contohnya, Tails dan Liberte dan lain-lain. Walau bagaimanapun, yang paling maju dari segi teknologi, sentiasa membangun dan penyelesaian yang berkesan, melaksanakan teknik paling canggih untuk memastikan keselamatan dan tidak mahu dikenali, ialah kit pengedaran OS.
Pengedaran terdiri daripada dua mesin maya Debian pada VirtualBox, satu daripadanya ialah get laluan yang menghantar semua trafik ke rangkaian Tor, dan satu lagi ialah stesen kerja terpencil yang hanya bersambung ke get laluan. Whonix melaksanakan mekanisme pelayan proksi pengasingan yang dipanggil. Terdapat juga pilihan untuk mengasingkan pintu masuk dan stesen kerja secara fizikal.

Memandangkan stesen kerja tidak mengetahui alamat IP luarannya di Internet, ini membolehkan anda meneutralkan banyak kelemahan, contohnya, jika perisian hasad mendapat akses root ke stesen kerja, ia tidak akan mempunyai peluang untuk mengetahui alamat IP sebenar. Berikut ialah gambar rajah operasi Whonix, diambil dari laman web rasminya.


Whonix OS, menurut pemaju, telah berjaya melepasi semua kemungkinan ujian kebocoran. Malah aplikasi seperti Skype, BitTorrent, Flash, Java, terkenal dengan ciri-ciri mereka, akses buka internet memintas Tor juga telah berjaya diuji untuk ketiadaan kebocoran data penyahnamaan.
Whonix OS melaksanakan banyak mekanisme anonimiti yang berguna, saya akan menunjukkan yang paling penting:

  • semua trafik mana-mana aplikasi melalui rangkaian Tor;
  • Untuk melindungi daripada pemprofilan trafik, Whonix OS melaksanakan konsep pengasingan benang. Aplikasi prapasang Whonix dikonfigurasikan untuk menggunakan port Socks yang berasingan, dan oleh kerana setiap port Socks menggunakan rantaian nod yang berasingan dalam rangkaian Tor, pemprofilan adalah mustahil;
  • pengehosan selamat bagi perkhidmatan Tor Hidden disediakan. Walaupun penyerang menggodam pelayan web, dia tidak akan dapat mencuri kunci peribadi perkhidmatan "Tersembunyi", kerana kunci itu disimpan pada get laluan Whonix;
  • Whonix dilindungi daripada kebocoran DNS kerana ia menggunakan prinsip proksi terpencil dalam seni binanya. Semua permintaan DNS dialihkan ke DnsPort Tor;
  • Whonix menyokong jambatan obfuscated yang dibincangkan sebelum ini;
  • Teknologi "Protokol-Leak-Protection dan Fingerprinting-Protection" digunakan. Ini mengurangkan risiko pengenalan pelanggan melalui mencipta cap jari digital pelayar atau sistem dengan menggunakan nilai yang paling biasa digunakan, contohnya, nama pengguna – “pengguna”, zon waktu – UTC, dsb.;
  • adalah mungkin untuk terowong orang lain rangkaian tanpa nama: Freenet, I2P, JAP, Retroshare melalui Tor, atau bekerja dengan setiap rangkaian tersebut secara langsung. Maklumat lebih terperinci tentang ciri sambungan tersebut boleh didapati di pautan;
  • Adalah penting untuk ambil perhatian bahawa Whonix telah menguji, mendokumentasikan dan, yang paling penting, berfungsi (!) semua skim untuk menggabungkan VPN/SSH/Proxy dengan Tor. Maklumat lebih terperinci mengenai perkara ini boleh diperolehi daripada pautan;
  • OS Whonix sepenuhnya projek terbuka, menggunakan perisian percuma.

Walau bagaimanapun, perlu diperhatikan bahawa Whonix OS juga mempunyai kelemahannya:

  • persediaan yang lebih kompleks daripada Tails atau Liberte;
  • dua diperlukan mesin maya atau peralatan fizikal yang berasingan;
  • memerlukan perhatian yang lebih terhadap penyelenggaraan. Anda perlu memantau tiga sistem pengendalian dan bukannya satu, menyimpan kata laluan dan mengemas kini sistem pengendalian;
  • Dalam Whonix, butang "Identiti Baharu" dalam Tor tidak berfungsi. Hakikatnya ialah pelayar Tor dan Tor itu sendiri diasingkan oleh kereta yang berbeza Oleh itu, butang "Identiti Baharu" tidak mempunyai akses kepada kawalan Tor. Untuk menggunakan rantaian nod baharu, anda perlu menutup penyemak imbas, menukar rantai menggunakan Arm, panel kawalan Tor, analog Vidalia Pelayar Tor, dan lancarkan penyemak imbas sekali lagi.

Projek Whonix sedang dibangunkan secara berasingan daripada Projek Tor dan aplikasi lain yang termasuk dalam komposisinya, oleh itu Whonix tidak akan melindungi daripada kelemahan dalam rangkaian Tor itu sendiri atau, sebagai contoh, kelemahan 0 hari dalam tembok api,Iptables.

Keselamatan operasi Whonix boleh disimpulkan dengan petikan dari wikinya: " Dan tidak, Whonix tidak mendakwa untuk melindungi daripada musuh yang sangat berkuasa, sebagai sistem yang selamat dengan sempurna, untuk memberikan kerahasiaan yang kukuh, atau untuk memberikan perlindungan daripada agensi tiga huruf atau pengawasan kerajaan dan sebagainya.».
Jika jabatan "tiga huruf" mencari anda, mereka akan menemui anda :)

Isu persahabatan antara Tor dan VPN adalah kontroversi. Pertikaian di forum mengenai topik ini tidak reda. Saya akan memberikan beberapa yang paling menarik daripada mereka:

  1. bahagian tentang Tor dan VPN dengan Halaman Rasmi Projek Tor;
  2. bahagian forum pengedaran Tails mengenai isu VPN/Tor dengan pendapat pembangun Tails. Forum itu sendiri kini ditutup, tetapi Google telah menyimpan cache perbincangan;
  3. bahagian forum pengedaran Liberte mengenai isu VPN/Tor dengan pendapat pembangun Liberte.

Jika anda mula membaca artikel ini, anda mungkin tidak mempunyai soalan tentang mengapa menggunakan VPN dan Tor. Setiap teknologi ini mampu menyediakan tahap privasi yang boleh diterima, yang sekurang-kurangnya menyembunyikan alamat IP dan trafik anda daripada mengintip mata. Walau bagaimanapun, kedua-dua VPN dan Tor, sebagai tambahan kepada beberapa kelebihan yang jelas, mempunyai kelemahan, eksploitasi yang boleh mendedahkan identiti sebenar anda.

Prasyarat untuk menggunakan Tor dan VPN pada masa yang sama

Masalah asas termasuk pemusatan kebanyakan penyelesaian VPN. Kawalan untuk rangkaian VPN berada di tangan pemiliknya; apabila menggunakan VPN, anda mesti memahami sepenuhnya dasar perkhidmatan dalam bidang pendedahan data dan penyimpanan log, dan membaca perjanjian perkhidmatan dengan teliti.

Contoh dari kehidupan sebenar: pada tahun 2011, FBI menangkap penggodam Cody Kretsinger, yang menggunakan perkhidmatan terkenal British HideMyAss untuk menggodam Sony. Surat-menyurat penggodam di IRC jatuh ke tangan fed, walaupun perkhidmatan itu adalah miliknya sendiri perjanjian Lesen menyatakan bahawa mereka hanya mengumpul statistik umum dan tidak merekodkan alamat IP pelanggan atau trafik mereka.

Nampaknya rangkaian Tor, sebagai penyelesaian yang lebih dipercayai dan terdesentralisasi, harus membantu mengelakkan situasi sedemikian, tetapi walaupun di sini ia bukan tanpa perangkap. Masalahnya ialah sesiapa sahaja boleh menjalankan nod keluar Tor mereka sendiri. Trafik pengguna melalui nod sedemikian dalam bentuk tidak disulitkan, yang membolehkan pemilik nod output menyalahgunakan kedudukannya dan menganalisis bahagian trafik yang melalui nod di bawah kawalannya.

Ini bukan sekadar pengiraan teori; pada 2016, saintis dari Universiti Timur Laut menerbitkan satu kajian di mana dalam masa 72 jam sahaja mereka menemui 110 nod keluar berniat jahat mengintip pengguna rangkaian tanpa nama. Adalah logik untuk mengandaikan bahawa sebenarnya terdapat lebih banyak nod sedemikian, dan memandangkan jumlah keseluruhan nod yang kecil (hanya kira-kira 7,000 pada Jun 2017), tiada apa yang menghalang organisasi yang berkaitan daripada menganalisis sebahagian besar trafik Tor.

Turut menimbulkan bunyi bising ialah kisah eksploitasi terbaru untuk pelayar Firefox yang FBI gunakan untuk penyahnamaan Pengguna Tor. Dan walaupun pemaju secara aktif berusaha untuk menghapuskan masalah yang serupa, anda tidak boleh pasti bahawa tiada kelemahan yang tidak diketahui oleh orang awam.

Walaupun fakta bahawa Tor menawarkan tahap kerahasiaan yang lebih tinggi daripada VPN, anda perlu membayar untuk ini dalam kelajuan sambungan, ketidakupayaan untuk menggunakan rangkaian p2p (Torrent, Gnutella) dan masalah dengan akses kepada beberapa sumber Internet, kerana pentadbir sering menyekat julat alamat IP Tor.

Berita baiknya ialah kedua-dua teknologi boleh digunakan bersama untuk mengurangkan kelemahan masing-masing dan menambah tahap tambahan keselamatan, sudah tentu anda perlu membayarnya penurunan besar kelajuan. Adalah penting untuk memahami bahawa terdapat dua pilihan untuk menyambungkan VPN dan Tor; kami akan membincangkan secara terperinci tentang kelebihan dan kekurangan masing-masing.

Dalam konfigurasi ini, anda mula-mula menyambung ke pelayan VPN, dan kemudian menggunakan rangkaian Tor melalui sambungan VPN.

Ini menghasilkan rantaian berikut:


Peranti anda -> VPN -> Tor -> Internet


Inilah yang berlaku apabila anda berlari Pelayar Tor atau OS Whonix selamat (untuk lebih keselamatan) pada sistem dengan VPN yang telah disambungkan. Dalam kes ini, jelas bahawa IP luaran anda akan tergolong dalam julat rangkaian Tor.

Kelebihan Tor berbanding VPN:

  • ISP anda tidak akan tahu anda menggunakan Tor (tetapi akan melihat anda disambungkan ke VPN), yang boleh membantu mengelakkan serangan masa dalam beberapa situasi (lihat di bawah).
  • Nod Tor yang masuk tidak akan mengetahui alamat IP sebenar anda, sebaliknya ia akan melihat alamat pelayan VPN anda. Ini ialah tahap perlindungan tambahan (dengan syarat anda menggunakan VPN tanpa nama yang tidak menyimpan log).
  • Akses kepada perkhidmatan tanpa nama Rangkaian Tor (domain.onion).
Kelemahan Tor berbanding VPN:
  • Pembekal VPN anda mengetahui alamat IP sebenar anda.
  • Tiada perlindungan terhadap nod keluar Tor yang berniat jahat, dan trafik yang tidak disulitkan boleh dipintas dan dianalisis.
  • Nod keluar Tor selalunya disekat IP.
Adalah penting untuk diperhatikan bahawa untuk menyembunyikan fakta menggunakan Tor dari mata pembekal, anda boleh menggunakan bukan sahaja VPN, tetapi juga Obfsproxy.

Konfigurasi ini melibatkan penyambungan pertama ke rangkaian TOR, dan kemudian menggunakan VPN melalui Tor untuk mengakses rangkaian.

Rantai sambungan kelihatan seperti ini:

Peranti anda -> VPN-> Tor -> VPN -> Internet


Kelebihan VPN berbanding Tor:
  • Sejak anda berhubung dengan pelayan VPN melalui Tor, pembekal VPN tidak dapat mengetahui alamat IP sebenar anda, ia hanya melihat alamat nod keluar rangkaian Tor. Kami amat mengesyorkan menggunakan kaedah pembayaran tanpa nama (contohnya, bitcoin melalui pengadun) dan Tor untuk mengakses tapak web penyedia VPN apabila membeli langganan VPN.
  • Perlindungan daripada nod Tor yang berniat jahat, kerana data juga disulitkan menggunakan VPN.
  • Mengakses tapak yang menyekat sambungan daripada Tor
  • Keupayaan untuk memilih lokasi pelayan
  • Semua trafik dihalakan melalui Tor
Kecacatan
  • Perkhidmatan VPN boleh melihat trafik anda, walaupun ia tidak boleh mengaitkannya dengan anda
  • ISP anda melihat bahawa trafik sedang diarahkan ke salah satu nod Tor. Ini meningkatkan sedikit risiko serangan masa.

Untuk menyediakan VPN melalui Tor, anda boleh pergi dalam dua cara:

  • Gunakan pelayar Tor standard. Kelemahan pendekatan ini ialah anda perlu menjalankan dan memastikan penyemak imbas Tor sentiasa hidup apabila bekerja dengan VPN.
  • Pasang Tor Expert Bundle sebagai perkhidmatan Windows. Persediaan ini agak rumit, tetapi anda akan mendapat Tor sentiasa berjalan pada komputer anda dan tidak perlu melancarkan penyemak imbas Tor sebelum menyambung ke VPN.

Menyediakan VPN melalui Tor menggunakan Pelayar Tor.

1. Lancarkan penyemak imbas Tor, pergi ke menu tetapan (Pilihan), kemudian Lanjutan -> Rangkaian -> Tetapan. Tetingkap tetapan proksi akan dibuka di hadapan anda. Tidak ada keperluan khusus untuk mengubah apa-apa di sini. Ia boleh dilihat bahawa semasa pelayar Tor didayakan, komputer anda berfungsi sebagai proksi SOCKS v5 dan menerima sambungan pada nombor port 9150.

2. Seterusnya, ia tetap menunjukkan kepada kami Pelanggan VPN gunakan proksi Tor yang berjalan pada komputer anda. Dalam kes OpenVPN, ini dilakukan dalam tetapan program seperti dalam tangkapan skrin. Perkara yang sama boleh dilakukan dalam fail konfigurasi OpenVPN dengan menentukan arahan stokin-proksi 127.0.0.1 9050

Menyediakan VPN melalui Tor menggunakan Himpunan Pakar.

Jaga VPN yang boleh dipercayai, cuba, dan anda akan dapat ketiadaan sepenuhnya fail log, lebih daripada 100 pelayan, OpenVPN tulen dan no aplikasi pihak ketiga. Perkhidmatan ini didaftarkan di Hong Kong, dan semua pelayan didaftarkan kepada dummies.

Tinggalkan komen dan soalan anda di bawah, dan ikuti kami di rangkaian sosial

Hai semua!

Sekarang kita sampai kepada perkara yang lebih menarik. Dalam artikel ini kita akan melihat pilihan untuk menggabungkan Tor dengan VPN/SSH/Proxy.
Untuk ringkasnya, di bawah saya akan menulis VPN di mana-mana, kerana anda semua hebat dan sudah tahu kebaikan dan keburukan VPN, SSH, Proxy, yang kami pelajari sebelum ini dan.
Kami akan mempertimbangkan dua pilihan sambungan:

  • VPN pertama, kemudian Tor;
  • pertama Tor, dan kemudian VPN.
Saya juga akan bercakap tentang pengedaran OS Whonix, yang melaksanakan pencapaian paling maju dalam bidang ketiadaan nama rangkaian, kerana, antara lain, kedua-dua skema yang dianalisis dikonfigurasikan dan berfungsi di dalamnya.
Bahagian sebelumnya di sini:
Bahagian 1: .
Bahagian 2: .
Bahagian 3: .

Pertama, mari kita tentukan beberapa postulat:
1. Rangkaian Tor menyediakan tahap kerahasiaan pelanggan yang tinggi, tertakluk kepada semua peraturan mandatori untuk penggunaannya. Ini adalah fakta: belum ada sebarang serangan awam sebenar ke atas rangkaian itu sendiri.
2. Pelayan VPN (SSH) yang dipercayai memastikan kerahsiaan data yang dihantar antara dirinya dan pelanggan.
Oleh itu, untuk kemudahan, dalam artikel ini kami maksudkan bahawa Tor memastikan pelanggan tidak mahu dikenali, dan VPN - kerahsiaan data yang dihantar.
Tor melalui VPN. VPN pertama, kemudian Tor
Dengan skim ini, pelayan VPN ialah nod input kekal, selepas itu trafik yang disulitkan dihantar ke rangkaian Tor. Dalam amalan, skim ini mudah untuk dilaksanakan: pertama, anda menyambung ke pelayan VPN, kemudian melancarkan penyemak imbas Tor, yang secara automatik akan mengkonfigurasi penghalaan yang diperlukan melalui terowong VPN.


Menggunakan skim ini membolehkan kami menyembunyikan fakta penggunaan Tor daripada pembekal Internet kami. Kami juga akan disekat daripada nod masuk Tor, yang akan melihat alamat pelayan VPN. Dan sekiranya berlaku kompromi teori Tor, kami akan dilindungi oleh talian VPN, yang, tentu saja, tidak menyimpan sebarang log.
Menggunakan pelayan proksi dan bukannya VPN tidak masuk akal: tanpa penyulitan yang disediakan oleh VPN, kami tidak akan mendapat sebarang kelebihan ketara dalam skim sedemikian.

Perlu diingat bahawa, khususnya untuk memintas larangan Tor, penyedia Internet menghasilkan apa yang dipanggil jambatan.
Jambatan adalah nod rangkaian Tor yang tidak disenaraikan dalam direktori Tor pusat, iaitu, tidak kelihatan, sebagai contoh, atau, dan, oleh itu, lebih sukar untuk dikesan.
Cara mengkonfigurasi jambatan ditulis secara terperinci.
Tapak Tor itu sendiri boleh memberi kita beberapa jambatan di .
Anda juga boleh mendapatkan alamat jambatan melalui mel dengan menghantar ke: [e-mel dilindungi] atau [e-mel dilindungi] surat dengan teks: "dapatkan jambatan". Pastikan anda menghantar surat ini dari mel dari gmail.com atau yahoo.com
Sebagai balasan, kami akan menerima surat dengan alamat mereka:
« Berikut ialah geganti jambatan anda:
jambatan 60.16.182.53:9001
jambatan 87.237.118.139:444
jambatan 60.63.97.221:443»
Alamat ini perlu dinyatakan dalam tetapan Vidalia, pelayan proksi Tor.
Kadang-kadang ia berlaku bahawa jambatan disekat. Untuk memintas ini, Tor memperkenalkan apa yang dipanggil "jambatan terkabur". Tanpa terperinci, mereka lebih sukar untuk dikesan. Untuk menyambung kepada mereka, anda perlu, sebagai contoh, untuk memuat turun Pluggable Transports Tor Browser Bundle.

kebaikan skim:

  • kami akan menyembunyikan fakta menggunakan Tor daripada pembekal Internet (atau menyambung ke Tor jika pembekal menyekatnya). Walau bagaimanapun, terdapat jambatan khas untuk ini;
  • kami akan menyembunyikan alamat IP kami daripada nod masuk Tor, menggantikannya dengan alamat pelayan VPN, tetapi ini bukan peningkatan yang paling berkesan dalam ketanpa nama;
  • sekiranya berlaku kompromi teori Tor, kami akan kekal di belakang pelayan VPN.
Minus skim:
  • kita mesti mempercayai pelayan VPN sekiranya tiada kelebihan ketara pendekatan ini.
VPN melalui Tor. Tor pertama, kemudian VPN
Dalam kes ini, pelayan VPN ialah saluran keluar tetap kepada Internet.


Skim sambungan yang serupa boleh digunakan untuk memintas penyekatan nod Tor oleh sumber luaran, serta ia harus melindungi trafik kami daripada mencuri dengar pada nod keluar Tor.
Terdapat banyak kesukaran teknikal dalam mewujudkan sambungan sedemikian, sebagai contoh, adakah anda ingat bahawa rantai Tor dikemas kini setiap 10 minit atau Tor tidak membenarkan UDP lulus? Pilihan yang paling berdaya maju untuk pelaksanaan praktikal ialah penggunaan dua mesin maya (lebih lanjut mengenai perkara ini di bawah).
Ia juga penting untuk ambil perhatian bahawa mana-mana nod keluar akan dengan mudah menyerlahkan klien dalam aliran umum, kerana kebanyakan pengguna pergi ke sumber yang berbeza, dan apabila menggunakan skema yang sama, pelanggan sentiasa pergi ke pelayan VPN yang sama.
Sememangnya, menggunakan pelayan proksi biasa selepas Tor tidak masuk akal, kerana trafik ke proksi tidak disulitkan.

kebaikan skim:

  • perlindungan daripada mencuri dengar trafik pada nod keluar Tor, bagaimanapun, pembangun Tor sendiri mengesyorkan menggunakan penyulitan pada peringkat aplikasi, contohnya, https;
  • perlindungan terhadap penyekatan alamat Tor oleh sumber luaran.
Minus skim:
  • pelaksanaan kompleks skim;
  • kita mesti mempercayai pelayan VPN keluar.
Konsep Whonix
Terdapat banyak pengedaran OS yang tujuan utamanya adalah untuk menyediakan tanpa nama dan perlindungan untuk pelanggan di Internet, contohnya, Tails dan Liberte dan lain-lain. Walau bagaimanapun, penyelesaian yang paling maju dari segi teknologi, sentiasa berkembang dan berkesan yang melaksanakan teknik paling maju untuk memastikan keselamatan dan tidak mahu dikenali ialah pengedaran OS.
Pengedaran terdiri daripada dua mesin maya Debian pada VirtualBox, satu daripadanya ialah get laluan yang menghantar semua trafik ke rangkaian Tor, dan satu lagi ialah stesen kerja terpencil yang hanya bersambung ke get laluan. Whonix melaksanakan mekanisme pelayan proksi pengasingan yang dipanggil. Terdapat juga pilihan untuk mengasingkan pintu masuk dan stesen kerja secara fizikal.

Memandangkan stesen kerja tidak mengetahui alamat IP luarannya di Internet, ini membolehkan anda meneutralkan banyak kelemahan, contohnya, jika perisian hasad mendapat akses root ke stesen kerja, ia tidak akan mempunyai peluang untuk mengetahui alamat IP sebenar. Berikut ialah gambar rajah operasi Whonix, diambil dari laman web rasminya.


Whonix OS, menurut pemaju, telah berjaya melepasi semua kemungkinan ujian kebocoran. Malah aplikasi seperti Skype, BitTorrent, Flash, Java, yang terkenal dengan keupayaan mereka untuk mengakses Internet terbuka yang memintas Tor, juga telah berjaya diuji untuk ketiadaan kebocoran data penyahnamaan.
Whonix OS melaksanakan banyak mekanisme anonimiti yang berguna, saya akan menunjukkan yang paling penting:

  • semua trafik mana-mana aplikasi melalui rangkaian Tor;
  • Untuk melindungi daripada pemprofilan trafik, Whonix OS melaksanakan konsep pengasingan benang. Aplikasi prapasang Whonix dikonfigurasikan untuk menggunakan port Socks yang berasingan, dan oleh kerana setiap port Socks menggunakan rantaian nod yang berasingan dalam rangkaian Tor, pemprofilan adalah mustahil;
  • pengehosan selamat bagi perkhidmatan Tor Hidden disediakan. Walaupun penyerang menggodam pelayan web, dia tidak akan dapat mencuri kunci peribadi perkhidmatan "Tersembunyi", kerana kunci itu disimpan pada get laluan Whonix;
  • Whonix dilindungi daripada kebocoran DNS kerana ia menggunakan prinsip proksi terpencil dalam seni binanya. Semua permintaan DNS dialihkan ke DnsPort Tor;
  • Whonix menyokong jambatan obfuscated yang dibincangkan sebelum ini;
  • Teknologi "Protokol-Leak-Protection dan Fingerprinting-Protection" digunakan. Ini mengurangkan risiko pengenalan pelanggan melalui mencipta cap jari digital pelayar atau sistem dengan menggunakan nilai yang paling biasa digunakan, contohnya, nama pengguna – “pengguna”, zon waktu – UTC, dsb.;
  • adalah mungkin untuk terowong rangkaian tanpa nama lain: Freenet, I2P, JAP, Retroshare melalui Tor, atau bekerja dengan setiap rangkaian tersebut secara langsung. Maklumat lebih terperinci tentang ciri sambungan tersebut boleh didapati di pautan;
  • Adalah penting untuk ambil perhatian bahawa Whonix telah menguji, mendokumentasikan dan, yang paling penting, berfungsi (!) semua skim untuk menggabungkan VPN/SSH/Proxy dengan Tor. Maklumat lebih terperinci mengenai perkara ini boleh diperolehi daripada pautan;
  • Whonix OS ialah projek sumber terbuka sepenuhnya menggunakan perisian percuma.
Walau bagaimanapun, perlu diperhatikan bahawa Whonix OS juga mempunyai kelemahannya:
  • persediaan yang lebih kompleks daripada Tails atau Liberte;
  • dua mesin maya atau perkakasan fizikal yang berasingan diperlukan;
  • memerlukan perhatian yang lebih terhadap penyelenggaraan. Anda perlu memantau tiga sistem pengendalian dan bukannya satu, menyimpan kata laluan dan mengemas kini sistem pengendalian;
  • Dalam Whonix, butang "Identiti Baharu" dalam Tor tidak berfungsi. Hakikatnya ialah pelayar Tor dan Tor itu sendiri diasingkan pada mesin yang berbeza, oleh itu, butang "Identiti Baru" tidak mempunyai akses kepada pengurusan Tor. Untuk menggunakan rantaian nod baharu, anda perlu menutup penyemak imbas, menukar rantai menggunakan Arm, panel kawalan Tor, setara Vidalia dalam Pelayar Tor dan melancarkan penyemak imbas semula.
Projek Whonix sedang dibangunkan secara berasingan daripada projek Tor dan aplikasi lain yang merupakan sebahagian daripadanya, oleh itu Whonix tidak akan melindungi daripada kelemahan dalam rangkaian Tor itu sendiri atau, sebagai contoh, kerentanan 0 hari dalam tembok api, Iptables.

Keselamatan Whonix boleh diterangkan

Berdasarkan peristiwa yang berkaitan dengan sekatan akses Internet, penapisan dan penyekatan tapak, saya menganggap perlu untuk membentangkan kepada anda terjemahan artikel perbandingan tentang perkhidmatan VPN daripada sumber LifeHacker.

Akses Internet Peribadi

Ini adalah perkhidmatan kegemaran kami, dan berdasarkan jumlah anugerah yang telah mereka kumpulkan, anda juga. PIA menyediakan bukan sahaja penyulitan trafik, tetapi juga anonimasi ditambah dengan penyahgandingan dari lokasi serantau. Anda boleh memilih pelayan output daripada senarai hampir 1000 pelayan (di 10 negara berbeza). PIA tidak menyimpan log, tidak melarang sebarang protokol atau alamat IP, dan tidak menyimpan maklumat tentang tindakan pengguna. Mereka juga menyokong beberapa kaedah kebenaran, hampir semua sistem pengendalian (mudah alih dan desktop), dan kos perkhidmatan bermula dari $7 sebulan. Anda boleh menyambung sehingga lima peranti berbeza.

TorGuard

Perkhidmatan ini menawarkan pilihan pelbagai jenis pelayan untuk jenis yang berbeza tindakan. Pelayan yang menyokong protokol torrent - untuk memuat turun data, pelayan dengan penyulitan dan tanpa nama - untuk memastikan lawatan yang selamat dan peribadi ke rangkaian, dsb. Perhatian istimewa memfokuskan pada isu kebocoran DNS - malah mereka menawarkan ujian mereka sendiri untuk pengesahan. Kos penuh Perkhidmatan VPN bermula dari $10/bulan, dan jika anda memerlukan yang khusus, ia akan menjadi lebih murah sedikit. Perkhidmatan ini mempunyai lebih 200 cawangan di 18 negara, tiada log, dan lebih-lebih lagi, mereka mendakwa bahawa rangkaian mereka dikonfigurasikan sedemikian rupa sehingga mereka sendiri tidak tahu apa yang pengguna mereka lakukan pada masa ini. Mereka juga menyokong hampir semua sistem pengendalian (mudah alih dan desktop), dan mereka juga menawarkan perkhidmatan e-mel yang disulitkan.

VPN IPVanish

Ciri menarik perkhidmatan ini ialah penggunaan alamat IP yang dikongsi. Ini menjadikannya sangat sukar untuk mengenal pasti pengguna yang melakukan apa. Di samping itu, perkhidmatan ini mempunyai lebih daripada seratus pelayan output di 47 negara yang berbeza dan pengguna boleh memilih pelayan output jika dia, sebagai contoh, memerlukan negara tertentu. Perisian ini menyokong OS X, Windows, Ubuntu, iOS dan Android. Di samping itu, perkhidmatan ini menyediakan utiliti konfigurasi yang boleh anda konfigurasikan penghala rumah untuk bekerja dengannya. Kos perkhidmatan ialah $10/bulan, dan boleh menyambung dua peranti yang berbeza jika mereka menggunakan protokol yang berbeza.

VPN CyberGhost

Perkhidmatan ini telah wujud untuk masa yang lama, dan, seperti peserta lain dalam penilaian, ia mendakwa tidak mempunyai log dan tiada sekatan pada jenis protokol dan trafik. Perkhidmatan ini menawarkan pilihan pelayan keluaran di 23 negara berbeza. Menariknya, perkhidmatan itu juga menyediakan perkhidmatan percuma, Dan pengguna percuma bukan sahaja mereka boleh menggunakannya tanpa sekatan lalu lintas, tetapi mereka juga boleh memilih negara pelayan output ( pilihan bebas terdiri daripada 14 negara dan bukannya 23, yang juga tidak buruk). Perkhidmatan ini menyokong hampir semua sistem pengendalian.
Satu-satunya perbezaan antara akaun percuma ialah ia dilumpuhkan selepas 3 jam beroperasi dan hanya boleh berfungsi dengan pelanggan rasmi. Kos perkhidmatan bermula pada $7/bulan; jika anda perlu menyambungkan lebih daripada satu peranti, anda perlu membayar tambahan.

Buat sendiri

Sesetengah orang percaya bahawa jika sesuatu perlu dilakukan dengan betul, lebih baik melakukannya sendiri; dan mereka yang cukup celik IT boleh membuat pelayan VPN mereka sendiri dengan mudah. Jika anda tidak memerlukan pelayan output di negara yang berbeza, anda boleh mengatur perkhidmatan anda dengan menggunakan OpenVPN atau pilihan lain dengan sumber terbuka. Banyak penghala menyokong protokol OpenVPN, manakala yang lain boleh dipasang dengan perisian tegar DD-WRT atau Tomato tersuai. Pilihan ini memberi anda kawalan penuh atas penyulitan, akses dan isu ketersambungan lain.

Perkhidmatan yang lain

Perkhidmatan lain termasuk yang berikut:

VPN Hideman – merentas platform, tiada pengelogan

Tunnelbear – antara lain, menawarkan tambahan penyemak imbas

AirVPN mungkin merupakan perkhidmatan yang paling kaya dengan ciri

VyprVPN ialah perkhidmatan yang baik, tetapi mereka menyimpan log aktiviti pengguna

Mullvad ialah penyedia Sweden yang menerima pembayaran dalam Bitcoin untuk kerahsiaan yang lebih besar. Kos perkhidmatan ialah 5 euro/bulan, pilihan empat negara disediakan untuk pelayan keluaran.

25% Akses Internet Peribadi
24% TorGuard
23% IPVanish
19% CyberGhost
09% DIY



ARTIKEL BERKAITAN