Pertama saya ingin menunjukkan bahawa topik ini adalah sangat luas, dan tidak kira bagaimana saya cuba menyampaikan semuanya sependek mungkin, tetapi pada masa yang sama tanpa kehilangan butiran yang diperlukan dan pada masa yang sama menyampaikannya sejelas mungkin untuk pengguna biasa, artikel ini akan tetap penuh dengan pelbagai butiran teknikal dan syarat, yang mana anda perlu pergi ke Google. Ia juga diandaikan bahawa pembaca sudah biasa dengan sekurang-kurangnya aspek asas fungsi perkhidmatan yang paling popular dan rangkaian global itu sendiri.

Apakah itu anonimasi?
Sebagai tambahan kepada pendapat sensasi di seluruh penjuru Internet tentang penyembunyian itu alamat IP terdapat banyak butiran lain. Pada amnya, semua kaedah dan cara tanpa nama mempunyai matlamat untuk menyembunyikan penyedia. Melaluinya sudah mungkin untuk mendapatkan lokasi pengguna yang tepat secara fizikal, mempunyai maklumat tambahan tentangnya (IP, cap jari pelayar, log aktivitinya dalam segmen rangkaian tertentu, dll.). Dan juga kebanyakan kaedah dan cara bertujuan untuk memaksimumkan penyembunyian/ketidakdedahan maklumat tidak langsung ini, mengikut mana kemudiannya adalah mungkin untuk bertanya kepada pembekal pengguna yang dikehendaki.

Apakah cara untuk menamakan kehadiran dalam talian anda?
Jika kita bercakap tentang unit anonimasi yang berasingan (lagipun, terdapat juga skema dalam bentuk menggabungkan satu atau satu lagi cara tanpa nama), kita boleh menyerlahkan perkara berikut:
1) Pelayan proksi- disana ada jenis yang berbeza, dengan ciri tersendiri. Terdapat FAQ berasingan dan topik lain di forum untuk mereka;
2) Perkhidmatan VPN— mereka juga berfungsi menggunakan protokol yang berbeza, yang ditawarkan oleh pembekal untuk dipilih; lihat perbezaan dan ciri mereka di bawah;
3) terowong SSH, pada asalnya dicipta (dan masih berfungsi hari ini) untuk tujuan lain, tetapi juga digunakan untuk anonimasi. Prinsip operasi agak serupa dengan VPN, jadi dalam topik ini semua perbualan tentang VPN juga akan memasukkannya, tetapi perbandingan akan dibuat kemudian;
4) Pelayan khusus— kelebihan utama ialah masalah mendedahkan sejarah permintaan nod dari mana tindakan itu dijalankan hilang (seperti yang boleh berlaku dengan VPN/SSH atau proksi);
5) Hebat dan dahsyat Tor;
6) - rangkaian tanpa nama, terdesentralisasi yang beroperasi di atas Internet, tidak menggunakan pengalamatan IP(lihat di bawah untuk butiran);
7) Cara lain - rangkaian tanpa nama, penama dan lain-lain. Oleh kerana kekurangan populariti mereka, mereka belum lagi dikaji (dan oleh itu tidak mempunyai jaminan relatif kebolehpercayaan) oleh masyarakat, tetapi mereka agak menjanjikan, lihat juga di bawah untuk mereka;

Apakah yang patut disembunyikan, atau apakah data dan kaedah penyahnamaan untuk mendapatkannya?
Saya ingin ambil perhatian segera bahawa semua (sekurang-kurangnya asas) cara dan kaedah untuk menyembunyikan data dalam senarai di bawah akan dibincangkan dalam baki soalan Soalan Lazim ini. Saya juga ingin menarik perhatian anda kepada satu sumber yang menarik, yang dikhususkan kepada soalan tentang maklumat yang kami tinggalkan tentang diri kami dalam talian apabila log masuk ke peranti yang berbeza;
1)alamat IP, atau pengecam paling popular di Internet. Membolehkan untuk mencari pembekal pengguna dan mengetahui alamat tepatnya melalui IP yang sama;
2)IP Pembekal DNS , yang boleh "hilang" melalui kaedah yang dipanggil ( DNS bocor). Adalah penting untuk ambil perhatian bahawa kebocoran ini boleh berlaku apabila diikat HTTP/SOCKS4(5 dalam beberapa kes) + Tor! Oleh itu, anda perlu berhati-hati di sini;
3) Jika kebanyakan trafik masuk dalam talian untuk masa yang lama melalui satu nod, sebagai contoh, Tor yang sama, maka anda boleh menjalankan apa yang dipanggil profil - mengaitkan aktiviti tertentu kepada nama samaran tertentu, yang boleh dikenal pasti melalui saluran lain;
4) Mendengar lalu lintas di nod keluar atau (lelaki di tengah);
5) Sambungan serentak ke saluran tanpa nama dan awam boleh menimbulkan masalah dalam beberapa situasi, contohnya, jika sambungan pelanggan terputus, kedua-dua saluran akan berhenti berfungsi, dan ia akan dapat ditentukan pada pelayan alamat yang diperlukan, membandingkan masa apabila pengguna memutuskan sambungan (namun, ini adalah kaedah yang agak berdarah dan jauh daripada kaedah penyahnamaan yang tepat);
6) Aktiviti penyahnamaan dalam sesi tanpa nama - menggunakan perkhidmatan awam, terutamanya yang sudah mempunyai maklumat tentang pengguna ini;
7)Alamat MAC yang menerima Tempat liputan WiFi apabila menyambung kepadanya (atau ia boleh disandarkan oleh suis salah satu rangkaian tempatan yang melaluinya akses kepada Internet dibuat);
8) Maklumat daripada pelayar:

• biskut- ini adalah fail teks dengan beberapa data (biasanya unik untuk setiap pengguna) yang disimpan oleh aplikasi (selalunya penyemak imbas) untuk pelbagai tugas, contohnya, pengesahan. Selalunya berlaku bahawa pelanggan pertama kali melawat sumber dari sesi terbuka, penyemak imbas menyimpan kuki, dan kemudian pelanggan disambungkan dari sesi tanpa nama, kemudian pelayan boleh memadankan kuki dan memikirkan klien;
• Flash, Java, Adobe Reader — tiga pemalam pertama secara amnya boleh dibezakan sebagai aplikasi individu berasaskan pelayar. Mereka boleh memintas proksi ( DNS bocor), serlahkan IP ( IP bocor), cipta kemiripan kuki tahan lama anda sendiri, dsb. Selain itu, ketiga-tiganya (Flash terutamanya bersalah dalam hal ini) sering berfungsi sebagai bantuan untuk mengeksploitasi beberapa kelemahan 0 hari atau 1 hari, yang kadangkala membenarkan seseorang untuk menembusi sistem itu sendiri;
• JavaScript- dilaksanakan pada bahagian klien, tidak mempunyai keupayaan yang begitu luas dari segi deanon, walaupun ia boleh memberikan maklumat yang tepat tentang OS, jenis dan versi penyemak imbas, dan juga mempunyai akses kepada beberapa teknologi penyemak imbas yang juga boleh, sebagai contoh, bocorkan alamat IP;
• Cap jari pelayar atau cap jari pelayar— satu set data yang sentiasa disediakan oleh penyemak imbas kepada pelayan apabila bekerja dengannya, yang boleh membentuk "cap jari digital" yang agak unik yang membolehkan pengguna mencari pengguna walaupun dalam sesi tanpa nama atau lebih baru, selepas meninggalkannya;

Bagaimanakah VPN berbeza daripada proksi?
1) Trafik antara pelanggan dan proksi dihantar dalam teks yang jelas; apabila menggunakan VPN, penyulitan sedang dijalankan;
2) Kestabilan - apabila membuat sambungan VPN, ia biasanya malar, pemutusan sambungan jarang dibuat, dengan proksi ia berlaku lebih kerap. Tetapi semuanya bergantung kepada pembekal;
3) Selain menyulitkan sambungan, VPN menyediakan perkhidmatan yang lebih tanpa nama dalam erti kata bahawa pelayan DNS perkhidmatan VPN digunakan dan pendedahan data peribadi seperti kebocoran DNS tidak boleh berlaku, yang tidak lebih buruk daripada mendedahkan alamat IP. Benar, SOCKS5 dan SOCKS4a mempunyai proksi peluang yang sama untuk memindahkan perkhidmatan DNS ke pelayan proksi;
4) Perkhidmatan VPN tidak menyimpan log atau hanya menyimpan log untuk tempoh yang sangat singkat dan tidak secara terperinci (sekurang-kurangnya itulah yang mereka katakan), kebanyakan pelayan proksi tidak membuat janji sedemikian;

Sejauh manakah rangkaian pelayan proksi berkesan?
Sebaliknya, adalah tidak berkesan jika kita menumpukan pada nisbah peningkatan masa penyahnamaan kepada penurunan kelajuan sambungan daripada sumber akhir kepada pelanggan. Di samping itu, hampir semua kelemahan penyahnamaan yang wujud dalam pelayan proksi tidak hilang apabila rantaian serupa dibina daripadanya. Oleh itu, kita boleh membuat kesimpulan bahawa adalah lebih baik untuk tidak menggunakan kaedah ini apabila mencapai kerahsiaan.

Soalan Lazim tentang pelayan proksi tidak menyatakan tentang SOCKS4a, mengapa ia diperlukan?
Ini ialah versi perantaraan antara SOCKS 4 dan 5, di mana semuanya berfungsi sama seperti 4, kecuali SOCKS4a hanya menerima Nama domain bukannya alamat IP sumber, ia menyelesaikannya sendiri.

Bolehkah anda memberitahu kami lebih lanjut tentang ciri, kebaikan dan keburukan menyewa pelayan khusus?
Pelayan khusus tidak bertujuan untuk anonimisasi, tetapi untuk mengehos aplikasi, perkhidmatan dan segala-galanya yang pelanggan anggap perlu. Adalah penting untuk ambil perhatian bahawa penyewa dibekalkan dengan mesin fizikal yang berasingan, yang memberinya jaminan kawalan sepenuhnya ke atas nod ini dan mencipta kelebihan penting untuk tidak mahu dikenali - keyakinan bahawa sejarah permintaan tidak akan bocor di mana-mana.
Memandangkan perkara di atas dan perkara lain, beberapa kelebihan boleh dikenalpasti alat ini dari sudut pandangan anonim:
1) Menyediakan proksi HTTP/SOCKS atau sambungan SSH/VPN pilihan anda;
2) Kawalan sejarah permintaan;
3) Menyelamatkan anda daripada serangan melalui Flash, Java, JavaScript, jika anda menggunakan penyemak imbas jauh;
Nah, terdapat juga kelemahan:
1) Kaedah yang sangat mahal;
2) Di sesetengah negara, tidak mahu dikenali tidak boleh diberikan secara priori, kerana penyewa dikehendaki memberikan maklumat peribadi: pasport, kad kredit, dsb.;
3) Semua sambungan ke pelayan khusus direkodkan oleh pembekalnya, jadi di sini surat kuasa wakil dari jenis yang sedikit berbeza timbul;

Melalui protokol apa kerja dalam proses dalam VPN dan apakah ciri yang mereka ada?
Adalah lebih baik untuk segera mempertimbangkan pilihan VPN sedia ada, iaitu, pakej dan teknologi yang ditawarkan oleh pembekal, melainkan sudah tentu kami menetapkan matlamat untuk meningkatkan pengetahuan kami tentang teori protokol rangkaian (walaupun terdapat pilihan menggunakan satu protokol tunggal , yang juga akan kami pertimbangkan).
SSL (Lapisan Soket Selamat) Protokol Soket Selamat - menggunakan keselamatan data kunci awam untuk mengesahkan identiti pemancar dan penerima. Mengekalkan penghantaran data yang boleh dipercayai melalui penggunaan kod pembetulan dan fungsi cincang yang selamat. Salah satu protokol paling mudah dan "tanpa nama rendah" untuk sambungan VPN, digunakan terutamanya oleh aplikasi klien VPN. Lebih kerap ia adalah sebahagian daripada beberapa jenis perjanjian apabila membuat sambungan VPN.
PPTP (Protokol Terowong Titik-ke-Titik) - digunakan paling kerap, agak pantas, mudah dikonfigurasikan, tetapi dianggap paling kurang selamat berbanding rakan sejawatnya yang lain.


L2TP (Protokol Terowong Lapisan 2) + IPSec(IPSec sering diabaikan daripada nama sebagai protokol tambahan). L2TP menyediakan pengangkutan, dan IPSec bertanggungjawab untuk penyulitan. Sambungan ini mempunyai penyulitan yang lebih kuat daripada PPTP, tahan terhadap kerentanan PPTP, dan juga memastikan integriti mesej dan pengesahan parti. Terdapat VPN berdasarkan IPSec sahaja atau L2TP sahaja, tetapi jelas sekali L2TP + IPSec menyediakan lebih banyak keupayaan keselamatan dan anonimasi daripada sama ada sahaja.



OpenVPN- selamat, terbuka, dan oleh itu meluas, membolehkan anda memintas banyak blok, tetapi memerlukan klien perisian yang berasingan. Secara teknikal, ini bukan protokol, tetapi pelaksanaan teknologi VPN. menjalankan semua operasi rangkaian melalui TCP atau UDP pengangkutan. Ia juga mungkin untuk bekerja melalui kebanyakan pelayan proksi, termasuk HTTP, SOCKS, NAT dan pelindung lonjakan. Untuk memastikan saluran kawalan dan keselamatan benang Data OpenVPN kegunaan SSLv3/TLSv1.
SSTP- selamat seperti OpenVPN, tidak memerlukan pelanggan yang berasingan, tetapi sangat terhad dalam platform: Vista SP1, Win7, Win8. Merangkumi bingkai PPP V datagram IP untuk penghantaran melalui rangkaian. Untuk mengurus terowong dan menghantar bingkai data PPP, SSTP menggunakan sambungan TCP(pelabuhan 443). Mesej SSTP disulitkan dengan saluran protokol SSL HTTPS.


Secara berasingan, perlu diperhatikan perkhidmatan yang menyediakan perkhidmatan seperti "DoubleVPN", apabila sebelum mencapai nod yang dikehendaki, trafik melalui 2 pelayan VPN yang berbeza di wilayah yang berbeza. Atau terdapat penyelesaian yang lebih sukar - "QuadVPN", apabila 4 pelayan digunakan, yang pengguna boleh pilih sendiri dan susun mengikut susunan yang dia perlukan.

Apakah kelemahan VPN?
Sudah tentu, ia bukan tanpa nama seperti beberapa perkhidmatan lain seperti Tor, dan bukan sahaja kerana algoritma dan skema adalah berbeza. Selain itu, apabila menggunakan VPN, dalam situasi kritikal anda perlu lebih bergantung pada prestasi teliti tugas perkhidmatan ini (pengelogan minimum, kerja tanpa sandaran trafik, dll.).
Perkara seterusnya ialah walaupun VPN menyembunyikan IP dalam kebanyakan kes, ia juga menghalang Kebocoran DNS, tetapi terdapat situasi di mana kaedah anonimasi ini akan gagal. Iaitu:
1) Kebocoran IP melalui WebRTC - dijamin berfungsi pada Chrome dan Mozilla dan dilaksanakan melalui JavaScript biasa;
2) Kebocoran IP melalui Flash, yang memulakan sambungan ke pelayan dan memindahkan IP pelanggan kepadanya, memintas VPN (walaupun ia tidak selalu berfungsi);
Walaupun kes ini boleh dicegah dengan mematikan JS, Flash dan Java dalam penyemak imbas anda;
3) Apabila menggunakan tetapan klien secara lalai, apabila sambungan terputus, tidak seperti pelayan proksi, melayari rangkaian akan diteruskan secara langsung, tidak lagi melalui saluran maya, iaitu, ia akan menjadi bencana yang lengkap;
Tetapi ini boleh dielakkan dengan melaraskan jadual penghalaan, di mana anda boleh menentukan hanya get laluan pelayan VPN sebagai get laluan lalai atau mengkonfigurasi semula tembok api.

Apakah perbezaan antara terowong SSH dan VPN?
Terowong SSH tidak lebih daripada sambungan yang disulitkan menggunakan protokol SSH, di mana data disulitkan pada bahagian klien dan dinyahsulitkan pada penerima ( pelayan SSH). Ia dicipta untuk pengurusan selamat jauh OS, tetapi seperti yang telah ditulis di atas, ia juga digunakan untuk anonimasi. Menyokong 2 pilihan pengendalian: dengan melaksanakan proksi HTTP/SOCKS oleh aplikasi untuk mengarahkan trafik melalui pelayan proksi tempatan ke terowong SSH. Atau ada ciptaan yang hampir lengkap (seseorang boleh mengatakan sesuatu yang serupa, jika kita ambil versi terkini SSH dan OpenSSH) sambungan VPN.


VPN dibangunkan untuk menyediakan akses jauh yang selamat kepada sumber rangkaian korporat, dan oleh itu komputer yang disambungkan ke pelayan VPN menjadi sebahagian daripada rangkaian tempatan dan boleh menggunakan perkhidmatannya.


Iaitu, selain daripada aspek kecil teknikal, prinsip operasi adalah serupa. Dan perbezaan utama adalah itu Terowong SSH ialah sambungan titik ke titik, manakala sambungan VPN ialah sambungan peranti ke rangkaian(walaupun pakar boleh mengkonfigurasi semula mengikut budi bicara mereka).

Bagaimanakah Tor berfungsi dari sisi pelanggan?
Terdapat banyak variasi jawapan kepada soalan ini di Internet, tetapi saya ingin cuba membentangkan asas-asasnya semudah dan padat yang mungkin, menyelamatkan pembaca daripada menggali segunung maklumat analitikal dan kompleks.
Tor ialah sistem penghala yang hanya boleh diakses oleh pelanggan Tor itu sendiri, melalui rantaian di mana pelanggan menyambung kepada sumber yang diperlukannya. Dengan tetapan lalai, bilangan nod ialah tiga. menggunakan penyulitan berbilang peringkat. Berdasarkan ciri-ciri ini, kami boleh menerangkan secara ringkas skema umum untuk menghantar paket data daripada klien kepada sumber yang diminta melalui 3 nod (iaitu, dengan tetapan lalai): paket pertama disulitkan secara berurutan dengan tiga kekunci: pertama untuk yang ketiga nod, kemudian untuk yang kedua dan akhirnya untuk yang pertama. Apabila nod pertama menerima paket, ia menyahsulit lapisan "atas" sifir (seperti mengupas bawang) dan mengetahui ke mana hendak menghantar paket seterusnya. Pelayan kedua dan ketiga melakukan perkara yang sama. Dan pemindahan data yang disulitkan antara penghala perantaraan dijalankan melalui antara muka SOCKS, yang memastikan tidak mahu dikenali ditambah dengan konfigurasi semula laluan yang dinamik. Dan tidak seperti rantai proksi statik, konfigurasi penghala bawang boleh berubah dengan hampir setiap permintaan baharu, yang hanya merumitkan deanon.

Apakah kelebihan dan kekurangan Tor?
Antara kelebihan yang patut diketengahkan:
1) Salah satu tahap kerahasiaan tertinggi (dengan konfigurasi yang betul), terutamanya dalam kombinasi dengan kaedah lain seperti VPN;
2) Mudah digunakan - muat turun, gunakan (anda juga boleh melakukannya tanpa sebarang tetapan khas);
Kelemahan:
1) Kelajuan yang agak rendah, memandangkan trafik melalui rantaian nod, penyahsulitan berlaku setiap kali dan boleh melalui benua lain sama sekali;
2) Trafik output boleh didengari, dan jika tidak digunakan HTTPS, maka ia bagus untuk menapis untuk analisis;
3) Ia mungkin tidak membantu jika pemalam didayakan - Flash, Java dan juga dari JavaScript, tetapi pencipta projek mengesyorkan untuk melumpuhkan perkara ini;
4) Ketersediaan mengurus pelayan;

Jika tapak mengesan Tor, maka tidak ada cara saya boleh mengakses tapak ini tanpa nama menggunakannya?
Terdapat dua cara untuk pergi ke tapak sedemikian. Menggunakan skim yang lebih canggih yang secara de facto menjadikan lawatan ini lebih tanpa nama: pautan Tor ⇢ VPN, Boleh Tor ⇢ Proksi, jika anda tidak memerlukan anonimiti tambahan, tetapi hanya fakta menyembunyikan penggunaan Tor untuk pelayan tapak, tetapi anda mesti menggunakannya dalam urutan ini. Ternyata pertama permintaan itu melalui hos bawang, kemudian melalui VPN/Proksi, tetapi pada akhirnya ia kelihatan seperti itu sahaja VPN/Proksi(atau sambungan biasa).
Tetapi perlu diperhatikan bahawa interaksi sambungan ini menyebabkan perbincangan hangat di forum; berikut ialah bahagian mengenai Tor dan VPN di laman web projek bawang.


Atau anda boleh menggunakan apa yang dipanggil jambatan (jambatan) adalah nod yang tidak disenaraikan dalam direktori Tor'a pusat; anda boleh melihat cara mengkonfigurasinya.

Adakah mungkin untuk menyembunyikan fakta menggunakan Tor daripada pembekal?
Ya, penyelesaiannya akan hampir sama dengan yang sebelumnya, hanya skema akan pergi dalam urutan terbalik dan sambungan VPN akan "terjepit" antara pelanggan Tor'a dan rangkaian penghala bawang. Perbincangan tentang pelaksanaan skim sedemikian dalam amalan boleh didapati di salah satu halaman dokumentasi projek.

Apakah yang perlu anda ketahui tentang I2P dan bagaimana rangkaian ini berfungsi?
I2P- rangkaian teragih, mengatur sendiri berdasarkan kesamaan pesertanya, dicirikan oleh penyulitan (pada peringkat apa ia berlaku dan dalam cara apa), pembolehubah perantara (hop), tidak digunakan di mana-mana sahaja alamat IP. Ia mempunyai laman web sendiri, forum dan perkhidmatan lain.
Secara keseluruhan, empat tahap penyulitan digunakan semasa menghantar mesej ( melalui, bawang putih, terowong, dan penyulitan lapisan pengangkutan), sebelum penyulitan, sebilangan kecil rawak bait rawak ditambah secara automatik pada setiap paket rangkaian untuk menyamarankan maklumat yang dihantar dan merumitkan percubaan untuk menganalisis kandungan dan menyekat paket rangkaian yang dihantar.
Semua lalu lintas dibawa melalui terowong - laluan satu arah sementara melalui beberapa nod, yang boleh masuk atau keluar. Pengalamatan berlaku berdasarkan data daripada pangkalan data rangkaian yang dipanggil NetDb, yang diedarkan kepada satu darjah atau yang lain merentasi semua pelanggan I2P. NetDb mengandungi:

• RouterInfos— butiran hubungan penghala (pelanggan) digunakan untuk membina terowong (untuk memudahkan, ia adalah pengecam kriptografi setiap nod);
• LeaseSets— butiran hubungan penerima, digunakan untuk menyambung terowong keluar dan masuk.

Prinsip interaksi antara nod rangkaian ini.
Peringkat 1. Nod "Kate" membina terowong keluar. Dia beralih kepada NetDb untuk mendapatkan data tentang penghala dan membina terowong dengan penyertaan mereka.


Peringkat 2. Boris membina terowong input dengan cara yang sama seperti terowong keluar. Ia kemudian menerbitkan koordinatnya atau dipanggil "LeaseSet" kepada NetDb (perhatikan di sini bahawa LeaseSet dilalui melalui terowong keluar).


Peringkat 3. Apabila "Kate" menghantar mesej kepada "Boris", dia menanyakan LeaseSet "Boris" dalam NetDb. Dan ia memajukan mesej melalui terowong keluar ke pintu masuk penerima.


Perlu juga diperhatikan bahawa I2P mempunyai keupayaan untuk mengakses Internet melalui Outproxy khas, tetapi ia tidak rasmi dan, berdasarkan gabungan faktor, lebih teruk daripada nod keluar Tor. Selain itu, tapak dalaman dalam rangkaian I2P boleh diakses dari Internet luaran melalui pelayan proksi. Tetapi pada pintu masuk dan keluar ini terdapat kebarangkalian tinggi untuk kehilangan kerahasiaan, jadi anda perlu berhati-hati dan elakkan ini jika boleh.

Apakah kelebihan dan kekurangan rangkaian I2P?
Kelebihan:
1) Tahap tinggi kerahasiaan pelanggan (dengan sebarang tetapan dan penggunaan yang munasabah);
2) Desentralisasi lengkap, yang membawa kepada kestabilan rangkaian;
3) Kerahsiaan data: penyulitan hujung ke hujung antara pelanggan dan penerima;
4) Tahap kerahasiaan pelayan yang sangat tinggi (semasa mencipta sumber), alamat IPnya tidak diketahui;
Kelemahan:
1) Kelajuan rendah Dan masa besar tindak balas;
2) "Internet anda sendiri" atau pengasingan separa daripada Internet, dengan peluang untuk ke sana dan kemungkinan deanon meningkat;
3) Tidak melindungi daripada serangan melalui pemalam ( Java, Flash) Dan JavaScript, jika anda tidak melumpuhkannya;

Apakah perkhidmatan/projek lain yang ada untuk memastikan tidak dikenali?

• Freenet - rangkaian peer-to-peer storan data teragih;
• GNUnet ialah set perisian yang diselaraskan untuk sambungan peer-to-peer yang tidak memerlukan pelayan;
• JAP - John Donym, berdasarkan Tor;
• — perisian merentas platform untuk pertukaran surat tanpa pelayan, mesej segera dan fail menggunakan rangkaian F2F (rakan-ke-rakan) yang disulitkan;
• Perfect Dark ialah pelanggan Jepun untuk Windows untuk perkongsian fail. Tanpa nama rangkaian Gelap Sempurna adalah berdasarkan keengganan untuk menggunakan sambungan langsung antara pelanggan akhir, yang tidak diketahui alamat IP dan penyulitan lengkap segala yang mungkin;

3 projek seterusnya amat menarik kerana matlamat mereka adalah untuk menyembunyikan pengguna dengan membebaskan diri mereka daripada pergantungan pembekal pada sambungan Internet, melalui pembinaan rangkaian tanpa wayar. Lagipun, maka Internet akan menjadi lebih teratur sendiri:

• Netsukoku - Juruteknik Elektronik Rangkaian Mahir dalam Pembunuhan Tertinggi, Utiliti dan Pemautan Kamikaze;
• B.A.T.M.A.N - Pendekatan Lebih Baik Untuk Rangkaian Ad-hoc Mudah Alih;

Adakah terdapat apa-apa penyelesaian yang menyeluruh untuk memastikan tidak dikenali?
Sebagai tambahan kepada berkas dan gabungan pelbagai kaedah, seperti Tor+VPN, yang diterangkan di atas, anda boleh menggunakan pengedaran Linux yang disesuaikan dengan keperluan ini. Kelebihan penyelesaian sedemikian ialah mereka sudah mempunyai kebanyakan penyelesaian gabungan ini, semua tetapan ditetapkan untuk memastikan kuantiti maksimum sempadan untuk penyahnama, semua perkhidmatan dan perisian yang berpotensi berbahaya dipotong, yang berguna dipasang, beberapa, sebagai tambahan kepada dokumentasi, mempunyai petua pop timbul yang tidak akan membiarkan anda kehilangan kewaspadaan anda pada lewat malam.
Berdasarkan pengalaman saya dan beberapa orang lain yang berpengetahuan, saya akan memilih pengedaran Whonix, kerana ia mengandungi teknik terkini untuk memastikan kerahasiaan dan keselamatan pada rangkaian, sentiasa berkembang dan mempunyai konfigurasi yang sangat fleksibel untuk semua keadaan hidup dan mati. Ia juga mempunyai seni bina yang menarik dalam bentuk dua perhimpunan: Gerbang Dan Stesen kerja, yang berfungsi bersama. Kelebihan utama ini ialah jika ada 0 hari dalam Tor atau OS itu sendiri, yang melaluinya mereka akan cuba mendedahkan pengguna yang bersembunyi Whonix, maka hanya Stesen Kerja maya akan "dinyahnamakan" dan penyerang akan menerima maklumat "sangat berharga" seperti IP 192.168.0.1 Dan Alamat Mac 02:00:01:01:01:01.


Tetapi anda perlu membayar untuk kehadiran fungsi dan fleksibiliti sedemikian dalam konfigurasi - ini menentukan kerumitan konfigurasi OS, itulah sebabnya ia kadangkala diletakkan di bahagian bawah sistem pengendalian teratas untuk tidak mahu dikenali.
Analog yang lebih mudah untuk disediakan ialah analog yang agak terkenal yang disyorkan oleh Snowden dan Liberte, yang juga boleh digunakan dengan jayanya untuk tujuan ini dan yang mempunyai senjata yang sangat baik untuk memastikan tidak mahu dikenali.

Adakah terdapat sebarang pertimbangan lain apabila mencapai kerahsiaan?
Ya saya ada. Terdapat beberapa peraturan yang dinasihatkan untuk dipatuhi walaupun dalam sesi tanpa nama (jika matlamatnya adalah untuk mencapai kerahasiaan yang hampir lengkap, sudah tentu) dan langkah-langkah yang mesti diambil sebelum memasuki sesi ini. Sekarang kami akan menulis tentang mereka dengan lebih terperinci.
1) Apabila menggunakan VPN, Proksi dsb. Sentiasa tetapkan tetapan untuk menggunakan statik pelayan DNS pembekal perkhidmatan untuk mengelakkan kebocoran DNS. Atau tetapkan tetapan yang betul dalam penyemak imbas atau tembok api;
2) Jangan gunakan rantai Tor kekal, kerap menukar nod output (pelayan VPN, pelayan proksi);
3) Apabila menggunakan penyemak imbas, lumpuhkan, jika boleh, semua pemalam (Java, Flash, beberapa kraf Adobe lain) dan juga JavaScript (jika matlamatnya adalah untuk meminimumkan sepenuhnya risiko deanon), dan juga melumpuhkan penggunaan kuki, sejarah menyimpan, caching jangka panjang, jangan benarkan menghantar pengepala HTTP Ejen Pengguna Dan Perujuk HTTP atau gantikannya (tetapi penyemak imbas khas diperlukan untuk tidak mahu namanya disiarkan; kebanyakan yang standard tidak membenarkan kemewahan sedemikian), gunakan sambungan pelayar minimum, dsb. Secara umum, terdapat satu lagi sumber yang menerangkan tetapan untuk tidak dikenali dalam pelbagai penyemak imbas, yang juga patut dihubungi jika anda mahu;
4) Apabila mengakses rangkaian dalam mod tanpa nama, anda harus menggunakan OS "bersih", dikemas kini sepenuhnya dengan yang terkini versi stabil OLEH. Ia harus bersih - supaya lebih sukar untuk membezakan "cap jari" itu, penyemak imbas dan perisian lain daripada penunjuk statistik purata, dan dikemas kini, supaya kemungkinan mengambil beberapa jenis perisian hasad dikurangkan dan mewujudkan tertentu masalah untuk diri sendiri yang menjejaskan kerja semua cara yang tertumpu pada anonimasi;
5) Berhati-hati apabila amaran tentang kesahihan sijil dan kunci kelihatan menghalang Serangan Mitm(mendengar tentang trafik yang tidak disulitkan);
6) Jangan benarkan sebarang aktiviti berhaluan kiri dalam sesi tanpa nama. Contohnya, jika pelanggan dari sesi tanpa nama mengakses halamannya di media sosial. rangkaian, maka pembekal Internetnya tidak akan mengetahuinya. Tetapi sosial rangkaian, walaupun tidak melihat alamat IP sebenar pelanggan, mengetahui dengan tepat siapa yang dilog masuk;
7) Jangan benarkan sambungan serentak ke sumber melalui saluran tanpa nama dan terbuka (bahaya telah diterangkan di atas);
8) Cuba "mengelirukan" semua mesej anda dan produk lain dari penghasilan intelektual pengarang, kerana pengarang boleh ditentukan dengan ketepatan yang agak tinggi oleh jargon, perbendaharaan kata dan stilistik corak pertuturan. Dan sudah ada syarikat yang membuat keseluruhan perniagaan daripada ini, jadi jangan memandang rendah faktor ini;
9) Sebelum menyambung ke rangkaian tempatan atau titik wayarles tukar akses terlebih dahulu Alamat MAC;
10) Jangan gunakan mana-mana aplikasi yang tidak dipercayai atau tidak disahkan;
11) Adalah dinasihatkan untuk menyediakan diri anda dengan "sempadan terakhir", iaitu, beberapa jenis nod perantaraan kepada anda sendiri, yang melaluinya untuk menjalankan semua aktiviti (seperti yang dilakukan dengan pelayan khusus atau dilaksanakan dalam Whonix), supaya jika semua halangan sebelumnya diatasi atau sistem kerja dijangkiti, pihak ketiga akan mendapat akses kepada kosong perantara dan tidak akan mempunyai sebarang peluang khas untuk bergerak lebih jauh ke arah anda (atau peluang ini akan menjadi sangat mahal atau sangat mahal ) Kuantiti yang besar masa);

Kita boleh merumuskan dengan kesimpulan yang sangat jelas: semakin tanpa nama/selamat teknologi atau kaedah, semakin kurang kelajuan/kemudahan apabila menggunakannya. Tetapi kadangkala adalah lebih baik untuk kehilangan beberapa minit menunggu atau menghabiskan sedikit lebih banyak usaha dan masa menggunakan teknik yang rumit daripada kehilangan jumlah masa dan sumber lain yang jauh lebih besar daripada akibat yang mungkin berlaku akibat keputusan untuk berehat di suatu tempat.

Kemas kini terakhir pada 18 Januari 2016.

Perlindungan teknologi data peribadi di Internet telah meluas pada abad ke-21. Ini disebabkan perkembangan Internet yang meluas di seluruh dunia. Pengguna mula berfikir bagaimana untuk melindungi maklumat peribadi mereka.

VPN menyembunyikan alamat IP anda dan menyulitkan semua trafik. Menyambung ke VPN membantu membuka kunci kandungan yang tidak tersedia di negara anda. Pada masa ini beli VPN dengan mudah serta pelbagai perkhidmatan yang menyediakan perkhidmatan yang serupa.

Ramai pengguna tertanya-tanya bagaimana untuk memilih perkhidmatan VPN terbaik.

Untuk membuat perbandingan dan memilih perkhidmatan terbaik, adalah perlu untuk bercakap tentang kriteria pemilihan.

Kriteria untuk pemilihan perkhidmatan VPN terbaik

Dalam artikel ini kami akan menyenaraikan semua kriteria pemilihan tetapi beberapa daripadanya mungkin kelihatan tidak penting. Ia bergantung pada tujuan anda ingin menggunakan VPN.

Tujuan untuk memilih perkhidmatan VPN terbaik:

VPN menyediakan keselamatan lengkap dan tidak mahu dikenali di Internet.

Anda hanya perlu memilih perkhidmatan VPN terbaik.
Mari kita lihat lebih dekat kriteria pemilihan.

Jenis sambungan VPN

Terdapat beberapa jenis sambungan:

• PPTP VPN - dilaksanakan dalam kebanyakan sistem pengendalian tetapi ia dianggap sebagai protokol yang tidak selamat
• SSTP VPN - protokol dibangunkan oleh Microsoft. Protokol ini dilaksanakan hanya dalam Windows 7 dan versi yang lebih baru serta platform mudah alih Windows Phone
• OpenVPN ialah protokol sumber terbuka yang popular. Digunakan secara meluas dan dibezakan oleh kebolehpercayaannya. Hanya satu tolak daripada protokol bahawa sambungan mesti memasang perisian tambahan
• L2TP VPN melalui IPSec - terbina dalam kebanyakan sistem pengendalian. Protokol yang boleh dipercayai dan pantas.

Perkhidmatan VPN terbaik sepatutnya boleh menyambung melalui VPN L2TP melalui IPSec dan mungkin mempunyai sambungan OpenVPN.

Kekurangan log pelayan

Kebanyakan pelayan di seluruh dunia berjalan pada sistem pengendalian Linux. Tidak seperti Windows dalam sistem pengendalian boleh mematikan sepenuhnya sistem pembalakan (sambungan log).

Ketidaknamaan hilang apabila pelayan VPN menyimpan log.

Anda perlu memeriksa dengan teliti tapak Web syarikat yang menawarkan perkhidmatan VPN. Mungkin syarikat itu mendakwa bahawa log tidak disimpan. Dan dalam "Perjanjian mengenai penggunaan perkhidmatan" yang diambil semasa pendaftaran atau pembelian VPN akan menunjukkan bahawa log disimpan.

Sesetengah perkhidmatan VPN menyimpan log dalam masa 2-4 minggu. Jika ini ditulis di tapak, bercakap tentang kerahasiaan perkhidmatan adalah mustahil.

Perkhidmatan VPN terbaik tidak pernah dilog.

Adakah perkhidmatan VPN menunjukkan bahawa anda menggunakan VPN?

Untuk kesederhanaan, konfigurasikan perkhidmatan VPN telah menggunakan untuk mengubah hala sambungan dari domain ke alamat IP. Dalam kes ini, pelayan alamat kelihatan seperti domain, contohnya: usvpn.vpnservice-website.com

Ini berguna untuk pentadbir sistem syarikat kerana apabila perlu menukar alamat IP pelayan VPN. Sambungan masih akan berfungsi untuk semua pengguna.

Semua ISP merekodkan aktiviti pengguna di Internet. Mereka akan mengetahui bahawa anda sedang menyambung ke domain usvpn.vpnservice-website.com dan sambungan itu secara langsung mengatakan bahawa anda menggunakan VPN.

Alamat untuk menyambung ke pelayan VPN sepatutnya kelihatan seperti alamat IP 77.120.108.165

Jika anda menggunakan sambungan OpenVPN, anda perlu menyemak sijil untuk menentukan domain perkhidmatan di dalamnya.

Di negara mana yang mendaftar perkhidmatan VPN

Perkara ini mungkin yang paling penting apabila memilih perkhidmatan VPN terbaik.

Selalunya terdapat pertikaian di negara mana mesti didaftarkan perkhidmatan VPN untuk memberikan tanpa nama kepada pelanggan mereka.

Jika pejabat itu terletak di AS atau Eropah, ia dianggap berbahaya, kerana polis antarabangsa aktif di negara-negara tersebut.

Ada yang percaya bahawa ia bagus apabila perkhidmatan VPN didaftarkan di negara dunia ketiga seperti Belize atau Brazil.

Kami percaya bahawa perkhidmatan VPN terbaik mestilah tidak mempunyai pejabat.

Tidak kira negara mana pun pejabat. Jika syarikat mempunyai pejabat bermakna terdapat tempat di mana polis boleh datang atau menghantar permintaan rasmi.

Setiap syarikat wajib mematuhi undang-undang negara di mana ia berada.
Perkhidmatan VPN diwajibkan untuk menerima permintaan rasmi daripada polis di negara ini dan mengeluarkan maklumat yang dirujuk kepadanya.

Oleh itu, jika terdapat daftar atau pejabat syarikat, perkhidmatan VPN tidak dapat memastikan kerahasiaan penggunanya.

Sokongan untuk semua sistem pengendalian

Teknologi moden menyediakan akses kepada semua sistem pengendalian seperti Windows, Mac OS, Linux, iOS, Android, Windows Phone.

Tetapi sebelum membeli harus memastikan bahawa syarikat menyokong platform anda.

Jenis alamat IP yang dikeluarkan

Terdapat 2 jenis alamat IP yang dikeluarkan oleh pelayan VPN:

• IP Dikongsi - menyediakan satu alamat IP awam tunggal pada semua pelanggan. Sebagai peraturan, alamat IP adalah tetap dan tidak berubah apabila menyambung semula ke pelayan VPN
• IP khusus - setiap pelanggan diberikan alamat IP unik yang boleh berubah apabila menyambung semula

Adakah terdapat akses percubaan percuma?

Mesti bebas untuk menguji perkhidmatan sebelum membeli.
Akses sedemikian akan membolehkan untuk mengkonfigurasi sambungan VPN dan memahami cara ia berfungsi.

Perkhidmatan VPN terbaik mesti mempunyai akses percubaan percuma.

Jika perkhidmatan menyediakan akses VPN percuma dan tidak terhad mengikut masa - ini adalah tambahan tambahan.

Program sendiri untuk sambungan VPN

Program sendiri untuk sambungan VPN akan menyediakan sambungan dengan cepat. Biasanya, program sedemikian diperlukan apabila menggunakan sambungan OpenVPN, kerana tetapan kompaun untuk pemula mungkin kelihatan menakutkan.

L2TP VPN melalui IPSec dikonfigurasikan selama 1 minit. Dalam kes ini, program tidak diperlukan.

Kaedah pembayaran dan harga yang berpatutan

Periksa laman web syarikat. Semak: ada cara yang mudah untuk membayar. Pada masa ini, terdapat banyak sistem pembayaran, seperti pembayaran melalui kad debit dan kredit, wang elektronik, PayPal dan lain-lain.

Jika anda mencari perkhidmatan VPN terbaik untuk diri sendiri maka kos perkhidmatan tidak akan memainkan peranan penting. Namun, harganya sepatutnya berpatutan untuk anda. Syarikat yang boleh dipercayai menawarkan diskaun jika anda membayar langganan selama setahun penuh. Awak boleh jimat ni.

Ketersediaan sokongan teknikal

Teknologi VPN berfungsi dengan pasti pada setiap masa. Tetapi ada kalanya terdapat ralat sambungan. Dalam kes ini, datang ke perkhidmatan sokongan teknikal bantuan. Semak sebelum anda membeli.

Dengan mudahnya, laman web ini mempunyai Sembang Langsung atau sistem tiket.

Jika sokongan diberikan melalui ICQ, Jabber atau Skype, ia menimbulkan beberapa kesukaran, kerana tidak semua pelanggan menggunakan program ini secara berterusan.

Nilaikan perkhidmatan VPN Chameleon. Adakah ia akan menjadi yang terbaik untuk anda?

Kami menyediakan perkhidmatan VPN dengan menyambungkan L2TP melalui IPSec.

Pelayan kami bukan log, sambungan dibuat ke alamat IP.

Menyokong semua sistem pengendalian yang popular.

Sokongan untuk semua pelanggan

Kami berbesar hati untuk menjawab soalan tentang menyediakan sambungan, untuk memberi nasihat tentang keselamatan dan kerahsiaan Internet dan membantu anda memilih penyelesaian terbaik.

Perkara pertama yang terlintas di fikiran apabila menyebut VPN ialah ketaknamaan dan keselamatan data yang dihantar. Betul ke? Mari kita fikirkan.

Apabila anda perlu mendapatkan akses kepada rangkaian korporat, menghantar maklumat penting dengan selamat melalui saluran komunikasi terbuka, sembunyikan trafik anda daripada pengawasan pembekal anda, sembunyikan lokasi sebenar anda apabila melakukan sebarang tindakan yang tidak sepenuhnya sah (atau tidak sah sama sekali) , anda biasanya menggunakan VPN . Tetapi adakah patut bergantung pada VPN secara membuta tuli, meletakkan keselamatan data anda dan keselamatan sendiri? Pasti tidak. kenapa? Mari kita fikirkan.

AMARAN

Semua maklumat disediakan untuk tujuan maklumat sahaja. Baik editor mahupun pengarang tidak bertanggungjawab terhadap sebarang kemungkinan bahaya yang disebabkan oleh bahan artikel ini.

Kami memerlukan VPN!

Rangkaian persendirian maya, atau ringkasnya VPN, ialah nama generik untuk teknologi yang membenarkan satu atau lebih sambungan rangkaian (rangkaian logik) disediakan melalui rangkaian lain, seperti Internet. Walaupun pada hakikatnya komunikasi boleh dilaksanakan melalui rangkaian awam dengan tahap kepercayaan yang tidak diketahui, tahap kepercayaan dalam rangkaian logik yang dibina tidak bergantung pada tahap kepercayaan dalam rangkaian asas kerana penggunaan alat kriptografi (penyulitan, pengesahan , infrastruktur kunci awam, bermaksud untuk melindungi daripada pengulangan dan perubahan dalam mesej yang dihantar melalui rangkaian logik). Seperti yang anda lihat, secara teori semuanya berwarna merah jambu dan tidak berawan, tetapi dalam praktiknya semuanya agak berbeza. Dalam artikel ini, kami akan melihat dua perkara utama yang mesti anda ambil kira apabila menggunakan VPN.

Kebocoran trafik VPN

Masalah pertama dengan VPN ialah kebocoran trafik. Iaitu, lalu lintas yang harus dihantar melalui sambungan VPN dalam bentuk yang disulitkan memasuki rangkaian dalam teks yang jelas. Senario ini bukan hasil daripada pepijat dalam pelayan atau klien VPN. Semuanya jauh lebih menarik di sini. Pilihan paling mudah ialah memutuskan sambungan VPN secara tiba-tiba. Anda memutuskan untuk mengimbas hos atau subnet menggunakan Nmap, melancarkan pengimbas, keluar dari monitor selama beberapa minit, dan kemudian sambungan VPN tiba-tiba terputus. Tetapi pengimbas terus berfungsi. Dan pengimbasan datang dari alamat anda. Ini adalah keadaan yang tidak menyenangkan. Tetapi terdapat senario yang lebih menarik. Contohnya, kebocoran trafik VPN tersebar luas dalam rangkaian (pada hos) yang menyokong kedua-dua versi protokol IP (yang dipanggil rangkaian/hos dwi-tindan).

Akar Kejahatan

Kewujudan bersama dua protokol - IPv4 dan IPv6 - mempunyai banyak aspek menarik dan halus yang boleh membawa kepada akibat yang tidak dijangka. Walaupun IP 6 tidak serasi ke belakang dengan IP 4, kedua-dua versi dilekatkan bersama oleh Sistem Nama Domain (DNS). Untuk menjadikannya lebih jelas apa yang kita bincangkan, mari kita lihat contoh mudah. Sebagai contoh, mari ambil tapak web (katakan www.example.com) yang mempunyai sokongan IPv4 dan IPv6. Nama domain yang sepadan (www.example.com dalam kes kami) akan mengandungi kedua-dua jenis rekod DNS: A dan AAAA. Setiap rekod A mengandungi satu alamat IPv4, dan setiap rekod AAAA mengandungi satu alamat IPv6. Selain itu, satu nama domain boleh mempunyai beberapa rekod kedua-dua jenis. Oleh itu, apabila aplikasi yang menyokong kedua-dua protokol ingin berkomunikasi dengan tapak, ia boleh meminta mana-mana alamat yang tersedia. Keluarga alamat pilihan (IPv4 atau IPv6) dan alamat akhir yang akan digunakan oleh aplikasi (memandangkan terdapat beberapa untuk versi 4 dan 6) akan berbeza daripada satu pelaksanaan protokol ke yang lain.

Kewujudan bersama protokol ini bermakna apabila pelanggan yang menyokong kedua-dua tindanan ingin berkomunikasi dengan sistem lain, kehadiran rekod A dan AAAA akan mempengaruhi protokol yang akan digunakan untuk berkomunikasi dengan sistem tersebut.

VPN dan timbunan protokol dwi

Banyak pelaksanaan VPN tidak menyokong, atau lebih teruk lagi, mengabaikan IPv6 sepenuhnya. Apabila sambungan diwujudkan, perisian VPN menjaga pengangkutan trafik IPv4 - menambah laluan lalai untuk paket IPv4, dengan itu memastikan semua trafik IPv4 dihantar melalui sambungan VPN (bukannya dihantar secara jelas melalui penghala tempatan ) . Walau bagaimanapun, jika IPv6 tidak disokong (atau diabaikan sepenuhnya), setiap paket dengan alamat IPv6 destinasi dalam pengepalanya akan dihantar secara jelas melalui penghala IPv6 tempatan.

Sebab utama masalah ini terletak pada fakta bahawa walaupun IPv4 dan IPv6 adalah dua protokol berbeza yang tidak serasi antara satu sama lain, ia digunakan rapat dalam sistem nama domain. Oleh itu, untuk sistem yang menyokong kedua-dua susunan protokol, adalah mustahil untuk menjamin sambungan ke sistem lain tanpa mengamankan kedua-dua protokol (IPv6 dan IPv4).

Senario kebocoran trafik VPN yang sah

Pertimbangkan hos yang menyokong kedua-dua susunan protokol, menggunakan klien VPN (hanya berfungsi dengan trafik IPv4) untuk menyambung ke pelayan VPN dan disambungkan ke rangkaian dwi-tindan. Jika aplikasi pada hos perlu berkomunikasi dengan nod dwi-tindan, pelanggan biasanya menanyakan kedua-dua rekod DNS A dan AAAA. Memandangkan hos menyokong kedua-dua protokol, dan nod jauh akan mempunyai kedua-dua jenis rekod DNS (A dan AAAA), salah satu senario yang mungkin adalah menggunakan protokol IPv6 untuk komunikasi antara mereka. Dan oleh kerana klien VPN tidak menyokong versi keenam protokol, trafik IPv6 tidak akan dihantar melalui sambungan VPN, tetapi akan dihantar dalam teks yang jelas melalui rangkaian tempatan.

Senario ini meletakkan data berharga yang dihantar dalam teks yang jelas berisiko apabila kami fikir ia dihantar dengan selamat melalui sambungan VPN. Dalam kes khusus ini, kebocoran trafik VPN ialah kesan sampingan menggunakan perisian bukan IPv6 pada rangkaian (dan hos) yang menyokong kedua-dua protokol.

Sengaja menyebabkan trafik VPN bocor

Penyerang boleh dengan sengaja memaksa sambungan IPv6 pada komputer mangsa dengan menghantar mesej Iklan Penghala ICMPv6 palsu. Paket tersebut boleh dihantar menggunakan utiliti seperti rtadvd, Kit IPv6 Rangkaian SI6 atau THC-IPv6. Sebaik sahaja sambungan IPv6 diwujudkan, "komunikasi" dengan sistem yang menyokong kedua-dua susunan protokol boleh mengakibatkan, seperti yang dibincangkan di atas, membocorkan trafik VPN.

Walaupun serangan ini boleh membuahkan hasil (disebabkan oleh semakin banyak tapak yang menyokong IPv6), ia hanya akan membocorkan trafik apabila penerima menyokong kedua-dua versi protokol IP. Walau bagaimanapun, tidak sukar bagi penyerang untuk menyebabkan kebocoran trafik bagi mana-mana penerima (bertindan dua atau tidak). Dengan menghantar mesej Iklan Penghala palsu yang mengandungi pilihan RDNSS yang sesuai, penyerang boleh berpura-pura menjadi pelayan DNS rekursif tempatan, kemudian melakukan penipuan DNS untuk melakukan serangan lelaki di tengah dan memintas trafik yang sepadan. Seperti dalam kes sebelumnya, alatan seperti SI6-Toolkit dan THC-IPv6 boleh melakukan helah ini dengan mudah.

Tidak kira sama sekali jika trafik yang tidak bertujuan untuk mengintip berakhir di tempat terbuka di rangkaian. Bagaimana untuk melindungi diri anda dalam situasi sedemikian? Berikut adalah beberapa resipi berguna:

1. Jika klien VPN dikonfigurasikan untuk menghantar semua trafik IPv4 melalui sambungan VPN, maka:

• jika IPv6 tidak disokong oleh klien VPN, lumpuhkan sokongan untuk versi keenam protokol IP pada semua antara muka rangkaian. Oleh itu, aplikasi yang berjalan pada komputer tidak akan mempunyai pilihan selain menggunakan IPv4;
• jika IPv6 disokong, pastikan semua trafik IPv6 juga dihantar melalui VPN.

1. Untuk mengelakkan kebocoran trafik jika sambungan VPN tiba-tiba terputus dan semua paket dihantar melalui get laluan lalai, anda boleh:
2. paksa semua trafik untuk melalui laluan VPN padam 0.0.0.0 192.168.1.1 // padam laluan get laluan lalai tambah 83.170.76.128 topeng 255.255.255.255 192.168.1.1 metrik 1

• gunakan utiliti VPNetMon, yang memantau keadaan sambungan VPN dan, sebaik sahaja ia hilang, serta-merta menamatkan aplikasi yang ditentukan pengguna (contohnya, klien torrent, pelayar web, pengimbas);
• atau utiliti VPNCheck, yang, bergantung pada pilihan pengguna, sama ada boleh melumpuhkan sepenuhnya kad rangkaian atau hanya menamatkan aplikasi yang ditentukan.

1. Anda boleh menyemak sama ada mesin anda terdedah kepada kebocoran trafik DNS di tapak web, dan kemudian gunakan petua tentang cara membetulkan kebocoran yang diterangkan.

Penyahsulitan trafik VPN

Walaupun anda telah mengkonfigurasi semuanya dengan betul dan trafik VPN anda tidak bocor ke dalam rangkaian dengan jelas, ini belum lagi menjadi alasan untuk berehat. Intinya ialah jika seseorang memintas data yang disulitkan yang dihantar melalui sambungan VPN, dia akan dapat menyahsulitnya. Lebih-lebih lagi, ia tidak menjejaskan ini dalam apa-apa cara sama ada kata laluan anda adalah kompleks atau mudah. Jika anda menggunakan sambungan VPN berdasarkan protokol PPTP, maka anda boleh mengatakan dengan pasti 100% bahawa semua trafik yang disulitkan yang dipintas boleh dinyahsulit.

Titik kelemahan

Untuk sambungan VPN berdasarkan PPTP (Point-to-Point Tunneling Protocol), pengesahan pengguna dijalankan menggunakan protokol MS-CHAPv2 yang dibangunkan oleh Microsoft. Walaupun fakta bahawa MS-CHAPv2 sudah lapuk dan sering menjadi subjek kritikan, ia terus digunakan secara aktif. Untuk akhirnya menghantarnya ke tong sampah sejarah, penyelidik terkenal Moxie Marlinspike mengambil perkara itu, yang melaporkan pada persidangan DEF CON kedua puluh bahawa matlamat telah dicapai - protokol telah digodam. Ia mesti dikatakan bahawa keselamatan protokol ini telah menjadi hairan sebelum ini, tetapi penggunaan MS-CHAPv2 yang begitu lama mungkin disebabkan oleh fakta bahawa ramai penyelidik hanya menumpukan pada kelemahannya terhadap serangan kamus. Penyelidikan terhad dan sejumlah besar pelanggan yang disokong, sokongan terbina dalam oleh sistem pengendalian - semua ini memastikan penggunaan meluas protokol MS-CHAPv2. Bagi kami, masalahnya terletak pada fakta bahawa MS-CHAPv2 digunakan dalam protokol PPTP, yang digunakan oleh banyak perkhidmatan VPN (contohnya, perkhidmatan yang besar seperti IPredator perkhidmatan VPN tanpa nama dan VPN The Pirate Bay).

Jika kita beralih kepada sejarah, maka pada tahun 1999, dalam kajiannya tentang protokol PPTP, Bruce Schneier menunjukkan bahawa "Microsoft meningkatkan PPTP dengan membetulkan kelemahan keselamatan utama. Walau bagaimanapun, kelemahan asas protokol pengesahan dan penyulitan ialah ia hanya selamat seperti kata laluan yang dipilih pengguna.” Atas sebab tertentu, ini membuatkan penyedia percaya bahawa tidak ada yang salah dengan PPTP dan jika anda memerlukan pengguna untuk mencipta kata laluan yang kompleks, maka data yang dihantar akan selamat. Perkhidmatan Riseup.net sangat diilhamkan oleh idea ini sehingga ia memutuskan untuk menjana kata laluan 21 aksara secara bebas untuk pengguna, tanpa memberi mereka peluang untuk menetapkan kata laluan mereka sendiri. Tetapi walaupun langkah yang sukar sedemikian tidak menghalang trafik daripada dinyahsulit. Untuk memahami sebabnya, mari kita lihat dengan lebih dekat protokol MS-CHAPv2 dan lihat cara Moxie Marlinspike berjaya memecahkannya.

Protokol MS-CHAPv2

Seperti yang telah disebutkan, MSCHAPv2 digunakan untuk pengesahan pengguna. Ia berlaku dalam beberapa peringkat:

• pelanggan menghantar permintaan pengesahan kepada pelayan, secara terbuka menghantar log masuknya;
• pelayan mengembalikan respons rawak 16-bait kepada pelanggan (Cabaran Pengesah);
• pelanggan menjana PAC 16-bait (Peer Authenticator Challenge - respons pengesahan rakan sebaya);
• pelanggan menggabungkan PAC, respons pelayan dan nama penggunanya ke dalam satu baris;
• cincangan 8-bait diambil daripada rentetan yang diterima menggunakan algoritma SHA-1 dan dihantar ke pelayan;
• pelayan mendapatkan semula cincangan daripada pangkalan datanya daripada pelanggan ini dan menghuraikan jawapannya;
• jika hasil penyahsulitan sepadan dengan respons asal, semuanya OK, dan sebaliknya;
• seterusnya, pelayan mengambil PAC pelanggan dan, berdasarkan cincangan, menghasilkan AR 20-bait (Respons Pengesah), menghantarnya kepada pelanggan;
• klien melakukan operasi yang sama dan membandingkan AR yang diterima dengan tindak balas pelayan;
• jika semuanya sepadan, pelanggan disahkan oleh pelayan. Rajah menunjukkan gambar rajah visual operasi protokol.

Pada pandangan pertama, protokol kelihatan terlalu rumit - sekumpulan cincang, penyulitan, cabaran rawak. Ia sebenarnya tidak begitu rumit. Jika anda melihat dengan teliti, anda akan mendapati bahawa dalam keseluruhan protokol hanya satu perkara yang tidak diketahui - cincangan MD4 kata laluan pengguna, berdasarkan tiga kekunci DES dibina. Parameter selebihnya sama ada dihantar dalam teks yang jelas, atau boleh diperoleh daripada apa yang dihantar dalam teks yang jelas.

Oleh kerana hampir semua parameter diketahui, kita tidak boleh mempertimbangkannya, tetapi perhatikan dengan teliti apa yang tidak diketahui dan ketahui apa yang diberikannya kepada kita.

Jadi, apa yang kita ada: kata laluan yang tidak diketahui, cincangan MD4 yang tidak diketahui bagi kata laluan ini, yang diketahui teks kosong dan teks sifir yang terkenal. Dengan lebih pertimbangan terperinci Anda dapat melihat bahawa kata laluan pengguna tidak penting bagi kami, tetapi cincangnya adalah penting, kerana cincang inilah yang disemak pada pelayan. Oleh itu, untuk pengesahan yang berjaya bagi pihak pengguna, serta untuk menyahsulit trafiknya, kita hanya perlu mengetahui cincang kata laluannya.

Setelah memintas lalu lintas di tangan, anda boleh cuba menyahsulitnya. Terdapat beberapa alatan (contohnya, asleap) yang membolehkan anda meneka kata laluan pengguna melalui serangan kamus. Kelemahan alat ini ialah ia tidak memberikan jaminan 100% hasil, dan kejayaan secara langsung bergantung pada kamus yang dipilih. Memilih kata laluan menggunakan kekerasan mudah juga tidak begitu berkesan - contohnya, dalam kes perkhidmatan VPN PPTP riseup.net, yang secara paksa menetapkan kata laluan sepanjang 21 aksara, anda perlu mencuba 96 pilihan aksara untuk setiap satu daripada 21 aksara . Ini menghasilkan 96^21 pilihan, iaitu lebih sedikit daripada 2^138. Dengan kata lain, anda perlu memilih kunci 138-bit. Dalam keadaan di mana panjang kata laluan tidak diketahui, masuk akal untuk memilih cincangan MD4 kata laluan. Memandangkan panjangnya ialah 128 bit, kami mendapat 2^128 pilihan - per masa ini ia adalah mustahil untuk mengira.

Bahagikan dan perintah

Cincang MD4 kata laluan digunakan sebagai input untuk tiga operasi DES. Kekunci DES adalah 7 bait panjang, jadi setiap operasi DES menggunakan bahagian 7-bait cincang MD4. Semua ini memberi ruang untuk serangan pecah dan takluk klasik. Daripada memaksa sepenuhnya cincang MD4 (yang, seperti yang anda ingat, ialah 2^128 pilihan), kami boleh memilihnya dalam bahagian 7 bait. Memandangkan tiga operasi DES digunakan dan setiap operasi DES adalah bebas sepenuhnya daripada yang lain, ini memberikan jumlah kerumitan padanan sebanyak 2^56 + 2^56 + 2^56, atau 2^57.59. Ini sudah jauh lebih baik daripada 2^138 dan 2^128, tetapi masih terlalu banyak pilihan. Walaupun, seperti yang anda mungkin perasan, ralat menyelinap ke dalam pengiraan ini. Algoritma menggunakan tiga kekunci DES, setiap 7 bait bersaiz, iaitu 21 bait secara keseluruhan. Kekunci ini diambil daripada cincangan MD4 kata laluan, yang panjangnya hanya 16 bait.

Iaitu, 5 bait tiada untuk membina kunci DES ketiga. Microsoft menyelesaikan masalah ini hanya dengan mengisi bait yang hilang secara bodoh dengan sifar dan pada dasarnya mengurangkan keberkesanan kunci ketiga kepada dua bait.

Memandangkan kunci ketiga mempunyai panjang berkesan hanya dua bait, iaitu, 2^16 pilihan, pemilihannya mengambil masa beberapa saat, membuktikan keberkesanan serangan bahagi dan takluk. Jadi, kita boleh mengandaikan bahawa dua bait terakhir cincang diketahui, yang tinggal hanyalah memilih baki 14. Selain itu, membahagikannya kepada dua bahagian 7 bait, kita mempunyai jumlah pilihan untuk mencari sama dengan 2^ 56 + 2^56 = 2^57. Masih terlalu banyak, tetapi jauh lebih baik. Ambil perhatian bahawa operasi DES yang selebihnya menyulitkan teks yang sama, hanya menggunakan kekunci yang berbeza. Algoritma carian boleh ditulis seperti berikut:

Tetapi kerana teks disulitkan sama, adalah lebih tepat untuk melakukannya seperti ini:

Iaitu, terdapat 2^56 variasi kunci untuk dicari. Ini bermakna keselamatan MS-CHAPv2 boleh dikurangkan kepada kekuatan penyulitan DES sahaja.

Menggodam DES

Sekarang julat pemilihan kunci diketahui, terpulang kepada kuasa pengkomputeran untuk berjaya menyelesaikan serangan. Pada tahun 1998, Electronic Frontier Foundation membina sebuah mesin yang dipanggil Deep Crack, yang berharga $250,000 dan boleh memecahkan kunci DES dalam purata empat setengah hari. Pada masa ini, Pico Computing, yang mengkhusus dalam membina perkakasan FPGA untuk aplikasi kriptografi, telah membina peranti FPGA (kotak retak DES) yang melaksanakan DES sebagai saluran paip dengan satu operasi DES setiap kitaran jam. Dengan 40 teras pada 450 MHz, ia boleh menghitung 18 bilion kunci sesaat. Dengan kelajuan kekerasan sedemikian, kotak retak DES memecahkan kunci DES dalam kes paling teruk dalam 23 jam, dan secara purata dalam setengah hari. Mesin ajaib ini boleh didapati melalui perkhidmatan web komersial loudcracker.com. Jadi sekarang anda boleh menggodam mana-mana jabat tangan MS-CHAPv2 dalam masa kurang daripada sehari. Dan mempunyai cincang kata laluan di tangan, anda boleh mengesahkan bagi pihak pengguna ini pada perkhidmatan VPN atau hanya menyahsulit trafiknya.

Untuk mengautomasikan kerja dengan perkhidmatan dan memproses trafik yang dipintas, Moxie menjadikan utiliti chapcrack tersedia secara terbuka. Dia mengupas dipintas trafik rangkaian, mencari MS-CHAPv2 jabat tangan. Untuk setiap jabat tangan yang ditemuinya, ia mencetak nama pengguna, teks biasa yang diketahui, dua teks sifir yang diketahui dan memecahkan kekunci DES ketiga. Di samping itu, ia menjana token untuk CloudCracker, yang mengekod tiga parameter yang diperlukan untuk perkhidmatan memecahkan kunci yang tinggal.

CloudCracker & Chapcrack

Sekiranya anda perlu memecahkan kunci DES daripada trafik pengguna yang dipintas, saya akan memberikan arahan langkah demi langkah yang ringkas.

1. Muat turun perpustakaan Passlib, yang melaksanakan lebih daripada 30 pelbagai algoritma pencincangan untuk bahasa sawa, bongkar dan pasang: python setup.py install
2. Pasang python-m2crypto - pembungkus OpenSSL untuk Python: sudo apt-get install python-m2crypto
3. Muat turun utiliti chapcrack itu sendiri, bongkar dan pasang: python setup.py install
4. Chapcrack dipasang, anda boleh mula menghuraikan lalu lintas yang dipintas. Utiliti menerima fail topi sebagai input, mencarinya untuk jabat tangan MS-CHAPv2, dari mana ia mengekstrak maklumat yang diperlukan untuk penggodaman. chapcrack parse -i ujian/pptp
5. Daripada output data oleh utiliti chapcrack, salin nilai baris Penyerahan CloudCracker dan simpan pada fail (contohnya, output.txt)
6. Pergi ke cloudcracker.com, pilih "Start Cracking" dalam panel Jenis fail, sama dengan “MS-CHAPv2 (PPTP/WPA-E)”, pilih fail output.txt yang disediakan sebelum ini dalam langkah sebelumnya, klik Seterusnya -> Seterusnya dan nyatakan e-mel anda yang mesej akan dihantar sebaik sahaja penggodaman selesai.

Malangnya, CloudCracker ialah perkhidmatan berbayar. Nasib baik, anda tidak perlu membayar sebanyak itu untuk menggodam kunci - hanya 20 dolar.

Apa nak buat?

Walaupun Microsoft menulis di laman webnya bahawa ia pada masa ini tidak mempunyai maklumat tentang serangan aktif menggunakan chapcrack, serta akibat serangan sedemikian terhadap sistem pengguna, ini tidak bermakna semuanya teratur. Moxie mengesyorkan agar semua pengguna dan penyedia penyelesaian VPN PPTP mula berhijrah ke protokol VPN yang lain. Dan trafik PPTP dianggap tidak disulitkan. Seperti yang anda lihat, terdapat satu lagi situasi di mana VPN boleh mengecewakan kami dengan serius.

Kesimpulan

Kebetulan VPN dikaitkan dengan tanpa nama dan keselamatan. Orang ramai menggunakan VPN apabila mereka ingin menyembunyikan trafik mereka daripada pengawasan penyedia mereka, menggantikan lokasi geografi sebenar mereka dan sebagainya. Malah, ternyata trafik boleh "bocor" ke dalam rangkaian secara jelas, dan jika tidak jelas, maka trafik yang disulitkan boleh dinyahsulitkan dengan cepat. Semua ini sekali lagi mengingatkan kita bahawa kita tidak boleh bergantung secara membuta tuli pada janji-janji yang kuat tentang keselamatan yang lengkap dan tanpa nama. Seperti yang mereka katakan, percaya, tetapi sahkan. Oleh itu, berhati-hati dan pastikan sambungan VPN anda benar-benar selamat dan tanpa nama.

Saya juga akan bercakap tentang pengedaran OS Whonix, yang melaksanakan pencapaian paling maju dalam bidang ketiadaan nama rangkaian, kerana, antara lain, kedua-dua skema yang dianalisis dikonfigurasikan dan berfungsi di dalamnya.

Pertama, mari kita tentukan beberapa postulat:
1. Rangkaian Tor menyediakan tahap tinggi kerahasiaan pelanggan, tertakluk kepada semua peraturan mandatori untuk penggunaannya. Ini adalah fakta: belum ada sebarang serangan awam sebenar ke atas rangkaian itu sendiri.
2. Pelayan VPN (SSH) yang dipercayai memastikan kerahsiaan data yang dihantar antara dirinya dan pelanggan.
Oleh itu, untuk kemudahan, dalam artikel ini kami maksudkan bahawa Tor memastikan pelanggan tidak mahu dikenali, dan VPN - kerahsiaan data yang dihantar.

Tor melalui VPN. VPN pertama, kemudian Tor

Dengan skim ini, pelayan VPN ialah nod input kekal, selepas itu trafik yang disulitkan dihantar ke rangkaian Tor. Dalam amalan, skim ini mudah untuk dilaksanakan: pertama, anda menyambung ke pelayan VPN, kemudian melancarkan penyemak imbas Tor, yang secara automatik akan mengkonfigurasi penghalaan yang diperlukan melalui terowong VPN.

Menggunakan skim ini membolehkan kami menyembunyikan fakta penggunaan Tor daripada pembekal Internet kami. Kami juga akan disekat daripada nod masuk Tor, yang akan melihat alamat pelayan VPN. Dan sekiranya berlaku kompromi teori Tor, kami akan dilindungi oleh talian VPN, yang, tentu saja, tidak menyimpan sebarang log.
Menggunakan pelayan proksi dan bukannya VPN tidak masuk akal: tanpa penyulitan yang disediakan oleh VPN, kami tidak akan mendapat sebarang kelebihan ketara dalam skim sedemikian.

Perlu diingat bahawa, khususnya untuk memintas larangan Tor, penyedia Internet menghasilkan apa yang dipanggil jambatan.
Jambatan adalah nod sedemikian Rangkaian Tor, yang tidak disenaraikan dalam direktori Tor pusat, iaitu, tidak kelihatan, sebagai contoh, atau , dan oleh itu lebih sukar untuk dikesan.
Cara mengkonfigurasi jambatan ditulis secara terperinci.
Tapak Tor itu sendiri boleh memberi kita beberapa jambatan di .
Anda juga boleh mendapatkan alamat jambatan melalui mel dengan menghantar ke: [e-mel dilindungi] atau [e-mel dilindungi] surat dengan teks: "dapatkan jambatan". Pastikan anda menghantar surat ini dari mel dari gmail.com atau yahoo.com
Sebagai balasan, kami akan menerima surat dengan alamat mereka:
« Berikut ialah geganti jambatan anda:
jambatan 60.16.182.53:9001
jambatan 87.237.118.139:444
jambatan 60.63.97.221:443»
Alamat ini perlu dinyatakan dalam tetapan Vidalia, pelayan proksi Tor.
Kadang-kadang ia berlaku bahawa jambatan disekat. Untuk memintas ini, Tor memperkenalkan apa yang dipanggil "jambatan terkabur". Tanpa terperinci, mereka lebih sukar untuk dikesan. Untuk menyambung kepada mereka, anda perlu, sebagai contoh, untuk memuat turun Pluggable Transports Tor Browser Bundle.

kebaikan skim:

• kami akan menyembunyikan fakta menggunakan Tor daripada pembekal Internet (atau menyambung ke Tor jika pembekal menyekatnya). Walau bagaimanapun, terdapat jambatan khas untuk ini;
• kami akan menyembunyikan alamat IP kami daripada nod masuk Tor, menggantikannya dengan alamat pelayan VPN, tetapi ini bukan peningkatan yang paling berkesan dalam ketanpa nama;
• sekiranya berlaku kompromi teori Tor, kami akan kekal di belakang pelayan VPN.

Minus skim:

• kita mesti mempercayai pelayan VPN sekiranya tiada kelebihan ketara pendekatan ini.

VPN melalui Tor. Tor pertama, kemudian VPN

Dalam kes ini, pelayan VPN ialah saluran keluar tetap kepada Internet.


Skim sambungan yang serupa boleh digunakan untuk memintas penyekatan nod Tor oleh sumber luaran, serta ia harus melindungi trafik kami daripada mencuri dengar pada nod keluar Tor.
Terdapat banyak kesukaran teknikal dalam mewujudkan sambungan sedemikian, sebagai contoh, adakah anda ingat bahawa rantai Tor dikemas kini setiap 10 minit atau Tor tidak membenarkan UDP lulus? Pilihan yang paling berdaya maju untuk pelaksanaan praktikal ialah penggunaan dua mesin maya (lebih lanjut mengenai perkara ini di bawah).
Ia juga penting untuk ambil perhatian bahawa mana-mana nod keluar akan dengan mudah menyerlahkan klien dalam aliran umum, kerana kebanyakan pengguna pergi ke sumber yang berbeza, dan apabila menggunakan skema yang sama, pelanggan sentiasa pergi ke pelayan VPN yang sama.
Sememangnya, menggunakan pelayan proksi biasa selepas Tor tidak masuk akal, kerana trafik ke proksi tidak disulitkan.

kebaikan skim:

• perlindungan daripada mencuri dengar trafik pada nod keluar Tor, bagaimanapun, pembangun Tor sendiri mengesyorkan menggunakan penyulitan pada peringkat aplikasi, contohnya, https;
• perlindungan terhadap penyekatan alamat Tor oleh sumber luaran.

Minus skim:

• pelaksanaan kompleks skim;
• kita mesti mempercayai pelayan VPN keluar.

Konsep Whonix

Terdapat banyak pengedaran OS yang tujuan utamanya adalah untuk menyediakan tanpa nama dan perlindungan untuk pelanggan di Internet, contohnya, Tails dan Liberte dan lain-lain. Walau bagaimanapun, penyelesaian yang paling maju dari segi teknologi, sentiasa berkembang dan berkesan yang melaksanakan teknik paling maju untuk memastikan keselamatan dan tidak mahu dikenali ialah pengedaran OS.
Pengedaran terdiri daripada dua mesin maya Debian pada VirtualBox, satu daripadanya ialah get laluan yang menghantar semua trafik ke rangkaian Tor, dan satu lagi ialah stesen kerja terpencil yang hanya bersambung ke get laluan. Whonix melaksanakan mekanisme pelayan proksi pengasingan yang dipanggil. Terdapat juga pilihan untuk mengasingkan pintu masuk dan stesen kerja secara fizikal.

Memandangkan stesen kerja tidak mengetahui alamat IP luarannya di Internet, ini membolehkan anda meneutralkan banyak kelemahan, contohnya, jika perisian hasad mendapat akses root ke stesen kerja, ia tidak akan mempunyai peluang untuk mengetahui alamat IP sebenar. Berikut ialah gambar rajah operasi Whonix, diambil dari laman web rasminya.


Whonix OS, menurut pemaju, telah berjaya melepasi semua kemungkinan ujian kebocoran. Malah aplikasi seperti Skype, BitTorrent, Flash, Java, yang terkenal dengan keupayaan mereka untuk mengakses Internet terbuka yang memintas Tor, juga telah berjaya diuji untuk ketiadaan kebocoran data penyahnamaan.
Whonix OS melaksanakan banyak mekanisme anonimiti yang berguna, saya akan menunjukkan yang paling penting:

• semua trafik mana-mana aplikasi melalui rangkaian Tor;
• Untuk melindungi daripada pemprofilan trafik, Whonix OS melaksanakan konsep pengasingan benang. Aplikasi prapasang Whonix dikonfigurasikan untuk menggunakan port Socks yang berasingan, dan oleh kerana setiap port Socks menggunakan rantaian nod yang berasingan dalam rangkaian Tor, pemprofilan adalah mustahil;
• pengehosan selamat bagi perkhidmatan Tor Hidden disediakan. Walaupun penyerang menggodam pelayan web, dia tidak akan dapat mencuri kunci peribadi perkhidmatan "Tersembunyi", kerana kunci itu disimpan pada get laluan Whonix;
• Whonix dilindungi daripada kebocoran DNS kerana ia menggunakan prinsip proksi terpencil dalam seni binanya. Semua permintaan DNS dialihkan ke DnsPort Tor;
• Whonix menyokong jambatan obfuscated yang dibincangkan sebelum ini;
• Teknologi "Protokol-Leak-Protection dan Fingerprinting-Protection" digunakan. Ini mengurangkan risiko pengenalan pelanggan melalui mencipta cap jari digital pelayar atau sistem dengan menggunakan nilai yang paling biasa digunakan, contohnya, nama pengguna – “pengguna”, zon waktu – UTC, dsb.;
• adalah mungkin untuk terowong rangkaian tanpa nama lain: Freenet, I2P, JAP, Retroshare melalui Tor, atau bekerja dengan setiap rangkaian tersebut secara langsung. Maklumat lebih terperinci tentang ciri sambungan tersebut boleh didapati di pautan;
• Adalah penting untuk ambil perhatian bahawa Whonix telah menguji, mendokumentasikan dan, yang paling penting, berfungsi (!) semua skim untuk menggabungkan VPN/SSH/Proxy dengan Tor. Lagi maklumat terperinci Anda boleh mengetahui lebih lanjut mengenai perkara ini dengan mengikuti pautan ini;
• Whonix OS ialah projek sumber terbuka sepenuhnya menggunakan perisian percuma.

Walau bagaimanapun, perlu diperhatikan bahawa Whonix OS juga mempunyai kelemahannya:

• persediaan yang lebih kompleks daripada Tails atau Liberte;
• dua mesin maya atau perkakasan fizikal yang berasingan diperlukan;
• memerlukan perhatian yang lebih terhadap penyelenggaraan. Anda perlu memantau tiga sistem pengendalian dan bukannya satu, menyimpan kata laluan dan mengemas kini sistem pengendalian;
• Dalam Whonix, butang "Identiti Baharu" dalam Tor tidak berfungsi. Hakikatnya ialah pelayar Tor dan Tor itu sendiri diasingkan pada mesin yang berbeza, oleh itu, butang "Identiti Baru" tidak mempunyai akses kepada pengurusan Tor. Untuk menggunakan rantaian nod baharu, anda perlu menutup penyemak imbas, menukar rantai menggunakan Arm, panel kawalan Tor, analog Vidalia Pelayar Tor, dan lancarkan penyemak imbas sekali lagi.

Projek Whonix sedang dibangunkan secara berasingan daripada projek Tor dan aplikasi lain yang merupakan sebahagian daripadanya, oleh itu Whonix tidak akan melindungi daripada kelemahan dalam rangkaian Tor itu sendiri atau, sebagai contoh, kerentanan 0 hari dalam tembok api, Iptables.

Keselamatan operasi Whonix boleh disimpulkan dengan petikan dari wikinya: " Dan tidak, Whonix tidak mendakwa untuk melindungi daripada musuh yang sangat berkuasa, sebagai sistem yang selamat dengan sempurna, untuk memberikan kerahasiaan yang kukuh, atau untuk memberikan perlindungan daripada agensi tiga huruf atau pengawasan kerajaan dan sebagainya.».
Jika jabatan "tiga huruf" mencari anda, mereka akan menemui anda :)

Isu persahabatan antara Tor dan VPN adalah kontroversi. Pertikaian di forum mengenai topik ini tidak reda. Saya akan memberikan beberapa yang paling menarik daripada mereka:

1. bahagian Tor dan VPN dari halaman projek Tor rasmi;
2. bahagian forum pengedaran Tails mengenai isu VPN/Tor dengan pendapat pembangun Tails. Forum itu sendiri kini ditutup, tetapi Google telah menyimpan cache perbincangan;
3. bahagian forum pengedaran Liberte mengenai isu VPN/Tor dengan pendapat pembangun Liberte.

Selalunya, apabila saya mengesyorkan VPN di suatu tempat sebagai cara untuk memastikan privasi dan keselamatan dalam talian, saya menerima komen seperti "maka Tor lebih baik." Ya, Tor telah membuktikan dirinya sebagai alat yang baik untuk mengekalkan kerahasiaan dalam talian, tetapi menggunakan VPN juga membolehkan anda menyembunyikan aktiviti dalam talian anda daripada orang luar, seperti pengiklan, penggodam dan "pengintip" lain.
Jadi, mari kita lihat bagaimana kedua-dua alat ini berbeza dan apakah faedah yang boleh kita perolehi dengan menggunakan setiap satu daripadanya.

Tor

Sistem Tor dicipta di bawah perintah persekutuan di Makmal Penyelidikan Tentera Laut AS. Kod sumber kemudiannya dipindahkan ke penggunaan biasa” untuk mempercepatkan pembangunan sistem. Hasilnya, aplikasi pelayan pelanggan sumber terbuka telah dibangunkan, yang fungsinya boleh diuji oleh sesiapa sahaja.

Tor ialah satu set pelayan proksi dalam titik yang berbeza dunia, bersatu dalam sistem yang menyediakan sambungan Internet yang dilindungi daripada pengawasan. Dengan cara ini, anda kekal tanpa nama apabila melawati tapak web, menghantar e-mel, blog, dsb. Anonimisasi trafik dilakukan terima kasih kepada rangkaian teragih yang dipanggil "nod" - pelayan di antaranya data dipindahkan. Ini membolehkan anda mengelakkan analisis trafik menggunakan teknologi yang melanggar hak anda terhadap kerahsiaan data, surat-menyurat peribadi, privasi dalam talian dan privasi komunikasi secara umum.

Di samping itu, sistem Tor mempunyai keupayaan untuk mencipta sumber web tersembunyi pada domain peringkat atas pseudo.onion. Laman web sedemikian digunakan, antara lain, untuk melakukan tindakan yang menyalahi undang-undang, tetapi kami tidak akan menyentuh isu ini. Kami berminat dengan Tor sebagai cara untuk pengguna biasa mengakses tapak web awam dengan selamat. Dan dalam kes ini, menggunakan Tor, kami boleh melindungi data kami daripada pengiklan yang menjengkelkan dan mereka tidak jujur ​​sepenuhnya langkah pemasaran, sembunyikan lokasi sebenar anda semasa dalam talian, dapatkan akses kepada sumber Internet yang diperlukan di negara di mana ia disekat atau tidak boleh diakses atas sebab tertentu.

Tetapi, malangnya, sistem ini bukan ubat penawar dan tidak mampu 100% melindungi penggunanya daripada pencerobohan privasi dan memberi mereka tanpa nama lengkap. Hakikatnya ialah Tor menyembunyikan fakta komunikasi antara pelanggan dan pelayan, tetapi tidak memberikannya perlindungan penuh menghantar data dengan cara yang sama seperti, katakan, yang dilakukan oleh VPN.

Untuk keselamatan 100%, penyulitan tambahan diperlukan sebagai saluran komunikasi itu sendiri (contohnya, menggunakan HTTPS apabila menyambung ke tapak, OTR apabila berkomunikasi dalam pemesej segera, PGP/GPG semasa menghantar e-mel, FTPS semasa memuat turun/memuat naik fail, SSH/OpenSSH apabila penganjuran akses jauh), dan data yang dihantar. Selain itu, Tor berfungsi menggunakan protokol SOKS, yang tidak disokong oleh semua aplikasi, dan sebaliknya - Tor tidak menyokong semua protokol yang digunakan oleh perkhidmatan popular. Sebagai contoh, rangkaian tidak memberikan kerahasiaan lengkap apabila menggunakan perkhidmatan VoIP dan BitTorrent. Skype tidak akan berfungsi dengan betul pada Tor secara lalai, dan dalam Pelayar Tor Flash dinyahaktifkan secara lalai, kerana ia boleh menyambung ke pelayan jauh dengan sendirinya, sekali gus mendedahkan data pengguna.

Selain itu, ISP anda akan melihat bahawa anda menggunakan Tor kerana alamatnya tersedia secara terbuka. Terdapat pendapat bahawa agensi perisikan menunjukkan minat khusus terhadap pengguna Tor - sama ada ini benar atau tidak, saya tidak tahu, tetapi saya juga tidak mahu menarik perhatian tambahan kepada diri sendiri apabila kelihatan seperti saya tidak melakukan apa-apa. teruk. Anehnya, ia adalah VPN yang membantu menyembunyikan fakta menggunakan Tor. Nah, sudah tiba masanya untuk mempertimbangkan teknologi tanpa nama ini.

VPN

VPN ialah nama umum untuk rangkaian atau sambungan yang dibuat dalam atau di atas rangkaian lain, seperti Internet. Ringkasnya, ia adalah terowong yang terdiri daripada klien VPN yang dipasang pada peranti pengguna dan pelayan VPN. Di dalam terowong ini, data yang ditukar antara pengguna dan sumber web disulitkan. Intipati teknologi VPN adalah untuk melindungi trafik mana-mana sistem rangkaian maklumat, persidangan audio dan video, sistem e-dagang, dsb.

Hari ini, VPN adalah salah satu kaedah pemindahan data yang paling boleh dipercayai kerana fakta bahawa teknologi ini menggabungkan pengalaman dua syarikat yang serius - Microsoft dan Cisco. Sebagai contoh, kerja bersama protokol PPTP (cetusan idea Microsoft) dan GRE (produk Cisco). Dan juga protokol yang lebih maju L2TP dan L2F juga perkembangan Microsoft dan Cisco.

Kerahsiaan data semasa sambungan VPN dipastikan oleh fakta bahawa penyulitan berlaku pada peringkat penghantar, dan penyahsulitan berlaku hanya pada peringkat penerima. Kandungan paket yang dipintas yang dihantar pada rangkaian sedemikian hanya boleh difahami oleh pemilik kunci penyulitan yang dikongsi, yang panjangnya merupakan parameter keselamatan yang paling penting.

Kunci dijana pada peranti dan pelayan pengguna dan hanya tersedia untuk mereka. Penjanaan berlaku berdasarkan data rawak seperti soalan rawak, tindak balas komputer anda, masa tindak balas, sistem pengendalian, dsb. Set faktor ini adalah unik. Mana-mana penyerang, untuk memilih kaedah penyahsulitan, perlu mengulangi semua faktor rawak ini, yang hampir mustahil, kerana perkhidmatan VPN moden menggunakan algoritma penyulitan yang berkuasa di peringkat organisasi kewangan.

Oleh itu, VPN melindungi semua data keluar dan masuk pada peranti pengguna. Pengguna juga menerima alamat IP pelayan VPN, yang menggantikannya sendiri, dan terdapat keupayaan untuk memilih IP mengikut lokasi. Katakan anda ingin menyambung ke mana-mana perkhidmatan sebagai pengguna dari AS, maka anda perlu memilih IP pelayan Amerika.
Terima kasih kepada penukaran dan penyulitan IP, data anda disimpan selamat daripada penggodam dan penceroboh lain, dan aktiviti Internet anda tersembunyi sepenuhnya.
Antara kelemahan VPN, kita boleh perhatikan penurunan kelajuan trafik. Anda juga mungkin perlu membayar untuk menggunakan perkhidmatan VPN yang baik jika anda memerlukan sambungan selamat dengan kerap.

Sesetengah penyedia VPN menghadapi masalah dengan kebocoran maklumat melalui IPv6 dan/atau rampasan DNS, tetapi saya percaya bahawa kini orang ramai telah memberi perhatian kepada perkara ini, penambahbaikan dalam perlindungan tidak akan lama lagi.

Jadi, mari kita ringkaskan sedikit.

1. VPN menghubungkan anda ke pelayan pilihan anda di negara yang anda inginkan. Tor memindahkan anda ke pelayan berbeza yang terletak di bahagian dunia yang berbeza tanpa kawalan anda ke atas proses tersebut.
2. VPN menyembunyikan lokasi sebenar anda dan menyediakan alamat IP baharu - pelayan yang anda pilih. Tor menyembunyikan IP sebenar anda dan menyediakan alamat rawak nod terakhir yang anda sambungkan.
3. VPN menyulitkan data anda sehingga ke pelayan dan kembali. Tor menghantar data yang dinyahsulit daripada nod terakhir yang anda sambungkan, meletakkannya dalam risiko.
4. Apabila anda memilih untuk menggunakan klien VPN, anda mempercayakan data anda kepada pembekal VPN tertentu, jadi anda mesti yakin dengannya. Dengan memilih Tor, anda mungkin mempercayakan data anda kepada kerajaan Amerika dan penaja projek lain - boleh dibahaskan, tetapi tidak mustahil.
5. VPN membolehkan anda melindungi surat-menyurat dalam perkhidmatan VoIP dan menggunakan torrents. Tor hanya akan membantu jika aplikasi VoIP menggunakan protokol yang sesuai.
6. VPN boleh membocorkan data jika ia menggunakan teknologi lapuk. Tor tidak boleh menyembunyikan fakta bahawa ia sedang digunakan.

Oleh itu, kita dapat melihat bahawa Tor dan VPN mempunyai kelebihan dan kekurangan mereka sendiri dan boleh memberi perkhidmatan kepada kita dalam situasi yang berbeza dan untuk tujuan yang berbeza.

Katakan, jika anda hanya perlu mengakses beberapa kandungan di tapak, maka anda boleh menggunakan mana-mana daripadanya, tetapi anda boleh menggunakan Skype di negara yang dilarang tanpa usaha tambahan hanya dengan VPN.

Jika anda perlu pergi dalam talian dari negara tertentu”, maka adalah lebih baik untuk menggunakan perkhidmatan VPN dengan lokasi yang sesuai, dan jika tiada perbezaan dari mana anda pergi, tetapi hanya tidak mahu namanya disiarkan adalah penting, maka Tor akan melakukannya.

Boleh jadi banyak contoh.

Untuk perlindungan maksimum, jika anda bekerja dengan data yang sangat berharga, anda boleh menggunakan gabungan Tor+VPN dan tidak takut kepada sesiapa atau apa-apa sahaja :)

Sebagai contoh, saya menggunakan Tor pada komputer, dan pada peranti mudah alih - . Saya juga menyambungkannya ke Google Chrome secara berkala untuk kemudahan. Sistem ini masih belum mengecewakan saya.

Jika saya tidak mengambil kira apa-apa kelebihan atau kekurangan teknologi ini, sila komen.