Menyediakan akses tanpa nama ke Internet melalui Tor dan VPN. Lima perkhidmatan VPN terbaik. Sengaja menyebabkan trafik VPN bocor

Saya banyak bercakap tentang keselamatan Mac, tetapi saya boleh mengabaikan topik menarik seperti VPN, walaupun saya telah menggunakan perkara ini selama lebih daripada setahun. Teknologi VPN direka untuk melindungi sambungan Internet anda. Ini benar terutamanya dalam rangkaian WiFi awam, yang kami gunakan di kedai kopi dan restoran.

Apabila tiada perlindungan, mana-mana pelajar yang bijak di meja sebelah boleh "mendengar" trafik dalam rangkaian. Dengan ketabahan tertentu, anda boleh mengekstrak maklumat log masuk daripadanya untuk pelbagai sumber Internet. Jika anda mempunyai tapak web di WordPress, maka log masuk dan kata laluan anda akan "bocor" dengan cepat.

Kedua ancaman sebenar– keadilan terpilih beberapa jabatan K9, yang secara berkala memilih kambing hitam dan memulakan kes jenayah untuk memuat turun perangkap torrent. Anda juga boleh menarik perhatian di luar negara, di mana kawalan hak cipta sangat ketat.

Dalam kedua-dua kes, salah satu daripada banyak perkhidmatan VPN yang kini secara aktif membuat laluan kepada orang ramai akan membantu kami.

Apakah VPN?

VPN ialah sambungan yang disulitkan ke komputer/pelayan yang pada asalnya digunakan sambungan jauh kepada rangkaian korporat. Contohnya, setelah meninggalkan negara lain, pekerja boleh menyambung ke rangkaian dalaman syarikat dan mendapat akses kepada semua sumber tempatan: fail, kalendar, pencetak, dsb. Jika pada masa ini anda memuatkan beberapa halaman atau fail daripada web global, maka ini akan berlaku bagi pihak pelayan yang berfungsi, dan kemudian ia akan dihantar melalui saluran yang disulitkan kepada pengguna jauh(kepada pekerja kami).

Gambar dari Habr

Betul-betul ini ciri menarik dan memberi dorongan kepada kemunculan pelayan VPN komersial, yang bertindak sebagai sejenis "lapisan" antara anda dan Internet dan "mendorong" semua trafik anda bagi pihak mereka sendiri.

Sambungan VPN perlu diwujudkan dengan sesuatu. Jika anda mempunyai pelayan anda sendiri, maka anda boleh "menaikkan"nya di sana. Untuk orang lain ada banyak perkhidmatan berbayar, yang untuk 7-10 $ malah akan memberi lebih banyak kemungkinan daripada VPN "buatan sendiri".

Faedah VPN

Bagaimanakah pelayan VPN menjadikan sambungan rangkaian lebih selamat? Seperti yang telah saya katakan, pelayan bertindak sebagai pengatur jarak yang menghantar semua trafik Internet melalui dirinya sendiri, dan trafik disulitkan pada bahagian "anda-pelayan-anda".

Oleh itu kelebihan utama: pembekal anda dan pengguna lain pada rangkaian dalaman tidak mengetahui sumber yang anda lawati dan perkara yang anda muat turun. Adalah mustahil untuk menganalisis trafik - ia adalah kekacauan digital yang tidak bermakna.

Jika anda bukan sahaja "membaca" Internet, tetapi log masuk ke akaun anda menggunakan log masuk dan kata laluan (forum, tapak web anda, media sosial, dompet elektronik, perbankan mudah alih) termasuk memuat turun sesuatu daripada torrents, kerahasiaan dan keselamatan yang disediakan oleh VPN adalah jelas.

Agar pihak ketiga masih dapat melihat sejarah aktiviti anda, mereka perlu mendapatkan kebenaran kehakiman untuk mengakses log pelayan VPN, sudah tentu, di negara tempat syarikat yang memilikinya didaftarkan. Biasanya mereka alamat sah terletak di beberapa Seychelles, dan log aktiviti Internet disimpan dari beberapa hari hingga beberapa minggu. Anda faham betapa sukarnya ini membuat pengawasan. Tetapi pembekal anda mungkin mula "mendengar" anda atas permintaan pertama daripada agensi penguatkuasaan undang-undang.

VPN mempunyai beberapa lagi faedah tambahan. Menyambung ke ke pelayan jauh anda mendapat alamat IP negara di mana ia berada. Pertama, ia menutup lokasi sebenar anda, dan kedua, ia memungkinkan untuk menggunakan sumber dalaman negara-negara ini.

Sebagai contoh, semasa musim saya menonton Formula 1 di British BBC (ia percuma untuk penduduk UK). Dengan menyambung ke pelayan Amerika, anda boleh mendengar Pandora atau menjadikan diri anda akaun Amerika Stor aplikasi. Beberapa negara Asia tidak membenarkan saya melakukan perbankan dalam talian. Ini juga boleh diubati dengan menukar alamat IP menggunakan VPN. Dalam semua kes ini, tapak akan "berfikir" bahawa pengguna akhir bukanlah anda, tetapi pelayan VPN anda.

Sudah tentu, kelebihan ini hanya wujud jika anda boleh memilih salah satu daripada beberapa pelayan VPN secara manual. Sebagai peraturan, hanya perkhidmatan berbayar yang mempunyai kelebihan sedemikian. Bagi pengguna akhir, keseluruhan pilihan ini bergantung kepada memilih bandar (negara) yang ingin disambungkannya: London, Hamburg, Tokyo, dsb.

Kelemahan VPN

Memandangkan pautan lain muncul antara anda dan sumber pada rangkaian, yang juga menyulitkan semua maklumat yang dihantar, ini memerlukan kehilangan kelajuan. Walau bagaimanapun, kerugiannya bukanlah malapetaka, saya masih dapat menonton video penstriman dalam 720p seperti biasa, jadi tiada perbezaan dalam memuatkan halaman Internet. Akan ada kehilangan kelajuan yang ketara jika sumber yang anda akses terletak di bandar atau negara anda sendiri. Apabila bekerja dengan sumber asing, sebagai peraturan, hampir tidak ada perbezaan dalam kelajuan.

Nah, ciri kedua ialah anda perlu mempercayai pembekal VPN anda. Lagipun, selalu ada kemungkinan bahawa ada seseorang dari FBI, FSB atau SBU di hujung sana.

Apa yang perlu anda perhatikan sebelum membeli?

  1. Bilangan dan lokasi pelayan. Lebih banyak, lebih mudah untuk mencari yang paling banyak pelayan pantas. Kestabilan dan kelajuan sambungan bergantung pada ini. Pilihan yang luas pelayan di negara yang berbeza lebih tahan terhadap kesalahan. Jika satu tidak berfungsi, anda sentiasa boleh menyambung ke yang lain.
  2. Bilangan peranti yang disambungkan secara serentak. Banyak penyedia VPN hanya membenarkan anda mempunyai dua sambungan aktif. Contohnya, MacBook dan iPad. Dalam kes ini, anda boleh menyambungkan iPhone anda hanya dengan melumpuhkan salah satu daripadanya. Ia kelihatan seperti karut, tetapi dalam praktiknya kadang-kadang menimbulkan kesulitan. Lagipun, anda hanya mahu menghidupkan VPN di mana-mana sahaja dan melupakannya.
  3. Kaedah kebenaran pada iOS. Terdapat dua pilihan. Yang pertama ialah kebenaran melalui PPTP/L2TP. Dalam kes ini, anda perlu pergi ke tetapan, buat sambungan VPN baharu di sana dan masukkan nama pengguna dan kata laluan anda secara manual. Tetapi ciri yang paling penting ialah sambungan VPN perlu diaktifkan sendiri melalui Tetapan setiap kali anda mahu menggunakannya. Kaedah kedua ialah kebenaran melalui sijil SSL. Ia mungkin terdengar rumit, tetapi sebenarnya ia adalah yang paling mudah dan paling cara yang mudah. Sebagai peraturan, anda perlu memasang aplikasi kecil untuk iOS, yang akan memasang segala-galanya untuk anda dalam beberapa klik. Bukan itu sahaja, ia juga berfungsi untuk memantau status akaun anda. Ini mudah apabila trafik tidak terhad. Nah, dan yang paling penting, hanya apabila menggunakan sijil ia menjadi fungsi yang tersedia"Sambung atas permintaan" dalam Tetapan VPN, yang secara automatik akan mewujudkan sambungan ke pelayan sebaik sahaja anda pergi ke dalam talian.
  4. Pelanggan untuk Mac. Mencari sesuatu yang sesuai secara organik dengan gaya OS X tidaklah begitu mudah. Ada yang menakutkan, yang lain sentiasa tergantung di Dok... Di samping itu, pelanggan yang baik boleh perform fungsi tambahan, sebagai contoh, sekat sebarang sambungan ke rangkaian yang tidak dikenali dan membolehkan VPN secara automatik.
  5. Berapa lama log aktiviti anda disimpan? Setiap perkhidmatan sentiasa menyimpan sejarah tindakan anda. Sebagai peraturan, ini adalah alamat sumber yang dilawati dan jumlah maklumat yang dihantar. bila-bila masa situasi kontroversi data ini boleh dipindahkan kepada pihak berkuasa penguatkuasaan undang-undang melalui perintah mahkamah negara tempat penyedia VPN didaftarkan. Masa penyimpanan untuk log berbeza untuk semua orang dan boleh dari satu hari hingga beberapa minggu.
  6. Protokol sambungan komputer meja. Biasanya ini ialah TCP atau UDP. DALAM butiran teknikal Saya tidak akan menerangkan secara terperinci, tetapi untuk melayari web, penstriman video, Skype, dll., pilihan kami ialah UDP.

Memilih VPN

Saya menghabiskan masa yang lama membaca artikel bertema tentang Habré, tetapi tiada yang jelas dan boleh difahami pengguna biasa belum jumpa. Kebanyakan penyedia VPN yang saya temui berpangkalan di AS, yang sangat memberi kesan kepada kelajuan sambungan. Tidak ada gunanya memandu semua lalu lintas melalui benua lain.

Dengan carian yang lebih terperinci, saya berjaya menemui beberapa penyelesaian yang menarik. Contohnya, dua penyedia VPN "kami": Kebrum dan ruVPN, serta American Cloak, yang mempunyai beberapa pelayan di Eropah. Jika anda tidak mahu membaca banyak, terus ke kesan Jubah, yang saya pilih.

Kebrum VPN (laman web)

Syarikat itu berdaftar di Seychelles dan menyimpan sejarah aktiviti dalam talian anda selama 3 hari. Terdapat klien kecil (dan bengkok) untuk Mac yang membolehkan anda menyambung ke VPN dalam satu klik dan juga memilih pelayan yang dikehendaki. miliknya masalah utama berakhir dengan ikon menjengkelkan dalam Dok yang mustahil untuk disembunyikan. Sudah tentu, terdapat helah khas untuk ini, tetapi saya tidak mahu bermain-main dalam kes ini. Anda perlu mendayakan VPN secara manual melalui Dok atau Bar Menu.

Berkenaan pelayan yang tersedia, maka terdapat sembilan kesemuanya, yang mana saya simpan hanya empat untuk diri saya sendiri:

  • Amsterdam
  • London
  • Luxembourg
  • Cologne

Anda boleh mempunyai dua sambungan rangkaian aktif (TCP atau UDP) pada satu akaun secara serentak. Contohnya, di rumah dan di tempat kerja (jika anda terlupa untuk mematikan komputer rumah). Jika anda mahu, anda juga boleh menyambungkan iPhone atau iPad anda kepada VPN (protokol PPTP atau L2TP/IPSec). Untuk $7 sebulan, trafik adalah tidak terhad, jadi anda hampir selalu boleh bekerja melalui pelayan VPN.

Sebagai pelanggan alternatif Saya menggunakan Tunnelblick. Ia jauh lebih mudah daripada yang standard, tetapi ia juga kelihatan menakutkan.

Kebrum sendiri berfungsi dengan baik. Tetapi kadangkala sambungan terputus sepenuhnya, itulah sebabnya anda perlu menukar pelayan secara manual. Menyambung melalui iOS tidak menyokong fungsi "Sambung atas permintaan"; sambungan VPN perlu dimulakan secara manual, yang menafikan semua kegunaannya pada peranti mudah alih, kerana ia mengambil masa yang lama dan anda hanya terlupa untuk melakukannya.

Saya bekerja dengan Kebrum untuk masa yang agak lama, kira-kira 5 bulan, dan secara keseluruhan saya boleh mengatakan bahawa ini adalah penyelesaian yang baik untuk harganya. Kelebihan utamanya: lalu lintas tanpa had, banyak pelayan dan harga yang rendah.

ruVPN (laman web)

Kehadiran tarif segera ketara. Semua trafik mereka tidak terhad, tetapi terdapat had laju. Pakej asas untuk 20 Mbit/saat akan dikenakan bayaran $10 setiap bulan.

Ternyata harga ini tidak termasuk menyambungkan peranti mudah alih. Jika anda ingin menyambungkan iPhone atau iPad lain pada kelajuan yang sama, anda perlu mengeluarkan $10 lagi. Selain itu, $20 untuk satu Mac dan satu peranti mudah alih tidak murah.

Syarikat ruVPN berdaftar di Norway, dan pelayan terletak di sana. Jadi, anda tidak akan dapat mendengar Pandora melalui Amerika Syarikat atau menonton Formula 1 di British BBC.

Dalam mempertahankan ruVPN, saya akan mengatakan bahawa ia berfungsi dengan cepat dan jauh lebih stabil daripada Kebrum. Tetapi harganya terlalu tinggi untuk maruah sebenar hanya dalam bentuk sijil SSL.

VPN Jubah (tapak web)

Jubah ialah perkhidmatan Amerika yang akhirnya saya pilih. Dia mempunyai sejumlah besar barangan tambahan dan laman web yang jelas di mana anda boleh mendapatkan maklumat yang komprehensif tentang selok-belok kerjanya.

Jadi, izinkan saya mulakan dengan fakta bahawa kebenaran pada peranti mudah alih dilakukan melalui sijil SSL, untuk memasang yang anda juga perlu memasang program percuma dari App Store, log masuk melaluinya dan pasang sijil dengan klik satu butang .

Cloak pada masa ini hanya berfungsi pada Mac, iPhone dan iPad, tetapi sama sekali tidak mempunyai had pada bilangan peranti yang disambungkan secara serentak. Jika anda mengambil akaun $9.99 dengan pakej trafik tanpa had, anda boleh memindahkan seluruh keluarga, datuk nenek dan datuk nenek anda kepada VPN.

Cloak mempunyai pelayan di lapan negara dan pelanggan OS X boleh menyambung secara automatik kepada yang terpantas berdasarkan ujian dalaman. Jika dikehendaki, negara boleh ditetapkan secara manual. Log pada pelayan disimpan selama 16 hari.

Saya terutama ingin memuji pelanggan yang berkualiti untuk OS X. Pertama sekali, ia cantik dan dibuat untuk orang ramai, bukan geek. Anda hanya perlu memasangnya dan tekan butang Selamatkan sambungan saya.

Kedua, ia sebenarnya cuba untuk menjamin sambungan anda dengan menyekat aktiviti internet pada semua rangkaian yang tidak dikenali sehingga sambungan VPN diwujudkan.

Senaraikan rangkaian mesra Anda boleh menukarnya dalam tetapan, dan mengaktifkan pilihan sambungan automatik di sana.

Bagi rancangan tarif, pada mulanya terdapat tiga daripadanya, tetapi hanya beberapa minggu yang lalu hanya tinggal dua lagi. Yang pertama berharga $2.99 ​​dengan had 5 GB sebulan, yang kedua berharga $9.99 setiap penuh tanpa had. Pada mulanya saya kekal pada pelan tarif 25 GB untuk $7.99, tetapi semalam saya beralih kepada tanpa had.

Satu lagi kelebihan besar ialah ketersediaan versi percubaan Cloak tanpa sebarang sekatan. Selepas pendaftaran, anda akan segera dipindahkan ke pakej Mini dengan trafik 5 GB selama 30 hari. Ia cukup untuk menilai keselesaan pelanggan dan kelajuan kerja. Dan jika anda tweet sesuatu yang lain tentang Cloak, anda akan mendapat 20% daripada pelan data anda, iaitu, 1 GB, secara percuma.

Ngomong-ngomong, tentang kelajuan - ia bukan sahaja bagus: anda tidak perasan sambungan ke VPN. Jika dengan Kebrum saya secara berkala terpaksa bertarung dengan pelayan dan mencari kelajuan yang boleh diterima, maka di sini semuanya berfungsi seperti jam. Berikut adalah beberapa ukuran di tempat yang berbeza dan pada masa yang berbeza (pelayan telah dipilih secara automatik).

Laju di kedai kopi di pusat bandar, 14:45

Cepat pulang, 7:20 malam.

Daripada ujian ia jelas dilihat bahawa apabila bekerja dengan sumber tempatan Kelajuan penghantaran menurun dengan ketara. Tetapi, apabila bekerja dengan orang asing, kerugiannya tidak ketara. Secara peribadi, ia cukup untuk saya, terutamanya kerana sambungannya sangat stabil. Jika ini tidak mencukupi untuk anda, maka anda harus melihat lebih dekat pada ruVPN.

Kesimpulannya

VPN mesti dimiliki oleh semua orang yang mengakses rangkaian daripada rangkaian awam. Ia tidak akan menjadikan anda tanpa nama sepenuhnya, tetapi ia akan "menyembunyikan" aktiviti dalam talian anda daripada mengintip dan melindungi data anda daripada pemintasan. Semua ini dengan satu sentuhan butang.

VPN juga akan berguna untuk mereka yang kadang-kadang menikmati torrenting. Jika anda banyak memanjakan diri, maka pastikan anda melihat dengan lebih dekat pada klien torrent cloud put.io. Ia bukan sahaja selamat, tetapi juga lebih cepat.



Jika anda mula membaca artikel ini, anda mungkin tidak mempunyai soalan tentang mengapa menggunakan VPN dan Tor. Setiap teknologi ini mampu menyediakan tahap privasi yang boleh diterima, yang sekurang-kurangnya menyembunyikan alamat IP dan trafik anda daripada mengintip mata. Walau bagaimanapun, kedua-dua VPN dan Tor, sebagai tambahan kepada beberapa kelebihan yang jelas, mempunyai kelemahan, eksploitasi yang boleh mendedahkan identiti sebenar anda.

Prasyarat untuk menggunakan Tor dan VPN pada masa yang sama

Masalah asas termasuk pemusatan kebanyakan penyelesaian VPN. Kawalan untuk rangkaian VPN berada di tangan pemiliknya; apabila menggunakan VPN, anda mesti memahami sepenuhnya dasar perkhidmatan dalam bidang pendedahan data dan penyimpanan log, dan membaca perjanjian perkhidmatan dengan teliti.

Contoh dari kehidupan sebenar: pada tahun 2011, FBI menangkap penggodam Cody Kretsinger, yang menggunakan perkhidmatan terkenal British HideMyAss untuk menggodam Sony. Surat-menyurat penggodam di IRC jatuh ke tangan fed, walaupun perkhidmatan itu adalah miliknya sendiri perjanjian Lesen menyatakan bahawa mereka hanya mengumpul statistik umum dan tidak merekodkan alamat IP pelanggan atau trafik mereka.

Nampaknya rangkaian Tor, sebagai penyelesaian yang lebih dipercayai dan terdesentralisasi, harus membantu mengelakkan situasi sedemikian, tetapi walaupun di sini ia bukan tanpa perangkap. Masalahnya ialah sesiapa sahaja boleh menjalankan nod keluar Tor mereka sendiri. Trafik pengguna melalui nod sedemikian dalam bentuk tidak disulitkan, yang membolehkan pemilik nod output menyalahgunakan kedudukannya dan menganalisis bahagian trafik yang melalui nod di bawah kawalannya.

Ini bukan sekadar pengiraan teori; pada 2016, saintis dari Universiti Timur Laut menerbitkan satu kajian di mana dalam masa 72 jam sahaja mereka menemui 110 nod keluar berniat jahat mengintip pengguna rangkaian tanpa nama. Adalah logik untuk mengandaikan bahawa sebenarnya terdapat lebih banyak nod sedemikian, dan memandangkan jumlah keseluruhan nod yang kecil (hanya kira-kira 7,000 pada Jun 2017), tiada apa yang menghalang organisasi yang berkaitan daripada menganalisis sebahagian besar trafik Tor.

Turut menimbulkan bunyi bising ialah kisah eksploitasi terbaru untuk pelayar Firefox yang FBI gunakan untuk penyahnamaan Pengguna Tor. Dan walaupun pembangun sedang giat berusaha untuk menghapuskan masalah sedemikian, anda tidak boleh memastikan bahawa tiada kelemahan yang tidak diketahui oleh orang awam.

Walaupun fakta bahawa Tor menawarkan tahap kerahasiaan yang lebih tinggi daripada VPN, anda perlu membayar untuk ini dalam kelajuan sambungan, ketidakupayaan untuk menggunakan rangkaian p2p (Torrent, Gnutella) dan masalah dengan akses kepada beberapa sumber Internet, kerana pentadbir sering menyekat julat alamat IP Tor.

Berita baiknya ialah anda boleh menggunakan kedua-dua teknologi bersama-sama untuk mengurangkan kelemahan masing-masing dan menambah tahap keselamatan tambahan, sudah tentu anda perlu membayarnya penurunan besar kelajuan. Adalah penting untuk memahami bahawa terdapat dua pilihan untuk menyambungkan VPN dan Tor; kami akan membincangkan secara terperinci tentang kelebihan dan kekurangan masing-masing.

Dalam konfigurasi ini, anda mula-mula menyambung ke pelayan VPN, dan kemudian menggunakan rangkaian Tor melalui sambungan VPN.

Ini menghasilkan rantaian berikut:


Peranti anda -> VPN -> Tor -> Internet


Inilah yang berlaku apabila anda menjalankan penyemak imbas Tor atau OS selamat Whonix (untuk keselamatan tambahan) pada sistem dengan VPN yang telah disambungkan. Dalam kes ini, adalah jelas bahawa IP luaran anda akan tergolong dalam julat Rangkaian Tor.

Kelebihan Tor berbanding VPN:

  • ISP anda tidak akan tahu anda menggunakan Tor (tetapi akan melihat anda disambungkan ke VPN), yang boleh membantu mengelakkan serangan masa dalam beberapa situasi (lihat di bawah).
  • Nod Tor yang masuk tidak akan mengetahui alamat IP sebenar anda, sebaliknya ia akan melihat alamat pelayan VPN anda. Ini ialah tahap perlindungan tambahan (dengan syarat anda menggunakan VPN tanpa nama yang tidak menyimpan log).
  • Akses kepada perkhidmatan tanpa nama rangkaian Tor (domain.onion) dikekalkan.
Kelemahan Tor berbanding VPN:
  • Pembekal VPN anda mengetahui alamat IP sebenar anda.
  • Tiada perlindungan terhadap nod keluar Tor yang berniat jahat, dan trafik yang tidak disulitkan boleh dipintas dan dianalisis.
  • Nod keluar Tor selalunya disekat IP.
Adalah penting untuk diperhatikan bahawa untuk menyembunyikan fakta menggunakan Tor dari mata pembekal, anda boleh menggunakan bukan sahaja VPN, tetapi juga Obfsproxy.

Konfigurasi ini melibatkan penyambungan pertama ke rangkaian TOR, dan kemudian menggunakan VPN melalui Tor untuk mengakses rangkaian.

Rantai sambungan kelihatan seperti ini:

Peranti anda -> VPN-> Tor -> VPN -> Internet


Kelebihan VPN berbanding Tor:
  • Memandangkan anda menyambung ke pelayan VPN melalui Tor, pembekal VPN tidak dapat mengetahui alamat IP sebenar anda, ia hanya melihat alamat nod keluar rangkaian Tor. Kami amat mengesyorkan menggunakan kaedah pembayaran tanpa nama (contohnya, bitcoin melalui pengadun) dan Tor untuk mengakses tapak web penyedia VPN apabila membeli langganan VPN.
  • Perlindungan daripada nod Tor yang berniat jahat, kerana data juga disulitkan menggunakan VPN.
  • Mengakses tapak yang menyekat sambungan daripada Tor
  • Keupayaan untuk memilih lokasi pelayan
  • Semua trafik dihalakan melalui Tor
Kecacatan
  • Perkhidmatan VPN boleh melihat trafik anda, walaupun ia tidak boleh mengaitkannya dengan anda
  • ISP anda melihat bahawa trafik sedang diarahkan ke salah satu nod Tor. Ini meningkatkan sedikit risiko serangan masa.

Untuk menyediakan VPN melalui Tor, anda boleh pergi dalam dua cara:

  • Gunakan pelayar Tor standard. Kelemahan pendekatan ini ialah anda perlu menjalankan dan memastikan penyemak imbas Tor sentiasa hidup apabila bekerja dengan VPN.
  • Pasang Tor Expert Bundle sebagai Perkhidmatan Windows. Persediaan ini agak rumit, tetapi anda akan mendapat Tor sentiasa berjalan pada komputer anda dan tidak perlu melancarkan penyemak imbas Tor sebelum menyambung ke VPN.

Menyediakan VPN melalui Tor menggunakan Pelayar Tor.

1. Lancarkan penyemak imbas Tor, pergi ke menu tetapan (Pilihan), kemudian Lanjutan -> Rangkaian -> Tetapan. Tetingkap tetapan proksi akan dibuka di hadapan anda. Tidak ada keperluan khusus untuk mengubah apa-apa di sini. Ia boleh dilihat bahawa semasa pelayar Tor didayakan, komputer anda berfungsi sebagai proksi SOCKS v5 dan menerima sambungan pada nombor port 9150.

2. Seterusnya, ia tetap menunjukkan kepada kami Pelanggan VPN gunakan proksi Tor yang berjalan pada komputer anda. Dalam kes OpenVPN, ini dilakukan dalam tetapan program seperti dalam tangkapan skrin. Perkara yang sama boleh dilakukan dalam fail konfigurasi OpenVPN dengan menentukan arahan stokin-proksi 127.0.0.1 9050

Menyediakan VPN melalui Tor menggunakan Himpunan Pakar.

Jaga VPN yang boleh dipercayai, cuba, dan anda akan dapat ketiadaan sepenuhnya fail log, lebih daripada 100 pelayan, OpenVPN tulen dan tiada aplikasi pihak ketiga. Perkhidmatan ini didaftarkan di Hong Kong, dan semua pelayan didaftarkan kepada dummies.

Tinggalkan komen dan soalan anda di bawah, dan ikuti kami di rangkaian sosial

Perkara pertama yang terlintas di fikiran apabila menyebut VPN ialah ketaknamaan dan keselamatan data yang dihantar. Betul ke? Mari kita fikirkan.

Apabila anda perlu mendapatkan akses kepada rangkaian korporat, hantar maklumat penting dengan selamat melalui saluran komunikasi terbuka, sembunyikan trafik anda daripada pengawasan pembekal anda, sembunyikan lokasi sebenar apabila menjalankan sebarang tindakan yang tidak sepenuhnya sah (atau tidak sah sama sekali), mereka biasanya menggunakan VPN. Tetapi adakah patut bergantung pada VPN secara membuta tuli, meletakkan keselamatan data anda dan keselamatan sendiri? Pasti tidak. kenapa? Mari kita fikirkan.

AMARAN

Semua maklumat disediakan untuk tujuan maklumat sahaja. Baik editor mahupun pengarang tidak bertanggungjawab untuk apa-apa kemungkinan bahaya disebabkan oleh bahan-bahan artikel ini.

Kami memerlukan VPN!

Rangkaian persendirian maya, atau ringkasnya VPN, ialah nama generik untuk teknologi yang membenarkan satu atau lebih sambungan rangkaian (rangkaian logik) disediakan melalui rangkaian lain, seperti Internet. Walaupun pada hakikatnya komunikasi boleh dilaksanakan melalui rangkaian awam dengan tahap kepercayaan yang tidak diketahui, tahap kepercayaan dalam binaan rangkaian logik tidak bergantung pada tahap kepercayaan dalam rangkaian asas disebabkan oleh penggunaan alat kriptografi (penyulitan, pengesahan, infrastruktur kunci awam, cara untuk melindungi daripada ulang tayang dan perubahan dalam mesej yang dihantar melalui rangkaian logik). Seperti yang anda lihat, secara teori semuanya berwarna merah jambu dan tidak berawan, tetapi dalam praktiknya semuanya agak berbeza. Dalam artikel ini, kami akan melihat dua perkara utama yang mesti anda ambil kira apabila menggunakan VPN.

Kebocoran trafik VPN

Masalah pertama dengan VPN ialah kebocoran trafik. Iaitu, trafik yang harus dihantar melalui sambungan VPN dalam bentuk yang disulitkan memasuki rangkaian borang terbuka. Senario ini bukan hasil pepijat dalam pelayan atau klien VPN. Semuanya jauh lebih menarik di sini. Pilihan paling mudah ialah memutuskan sambungan VPN secara tiba-tiba. Anda memutuskan untuk mengimbas hos atau subnet menggunakan Nmap, melancarkan pengimbas, keluar dari monitor selama beberapa minit, dan kemudian sambungan VPN tiba-tiba terputus. Tetapi pengimbas terus berfungsi. Dan pengimbasan datang dari alamat anda. Ini adalah keadaan yang tidak menyenangkan. Tetapi terdapat senario yang lebih menarik. Contohnya, kebocoran trafik VPN tersebar luas dalam rangkaian (pada hos) yang menyokong kedua-dua versi protokol IP (yang dipanggil rangkaian/hos dwi-tindan).

Akar Kejahatan

Kewujudan bersama dua protokol - IPv4 dan IPv6 - mempunyai banyak aspek menarik dan halus yang boleh membawa kepada akibat yang tidak dijangka. Walaupun IP 6 tidak serasi ke belakang dengan IP 4, kedua-dua versi dilekatkan bersama oleh Sistem Nama Domain (DNS). Untuk lebih jelas apa yang kami maksudkan kita bercakap tentang, mari kita lihat contoh mudah. Sebagai contoh, mari ambil tapak web (katakan www.example.com) yang mempunyai sokongan IPv4 dan IPv6. Sesuai dengannya Nama domain(www.example.com dalam kes kami) akan mengandungi kedua-dua jenis rekod DNS: A dan AAAA. Setiap rekod A mengandungi satu alamat IPv4, dan setiap rekod AAAA mengandungi satu alamat IPv6. Selain itu, satu nama domain boleh mempunyai beberapa rekod kedua-dua jenis. Oleh itu, apabila aplikasi yang menyokong kedua-dua protokol ingin berkomunikasi dengan tapak, ia boleh meminta mana-mana alamat yang tersedia. Keluarga alamat pilihan (IPv4 atau IPv6) dan alamat akhir yang akan digunakan oleh aplikasi (memandangkan terdapat beberapa untuk versi 4 dan 6) akan berbeza daripada satu pelaksanaan protokol ke yang lain.

Kewujudan bersama protokol ini bermakna apabila pelanggan yang menyokong kedua-dua tindanan ingin berkomunikasi dengan sistem lain, kehadiran rekod A dan AAAA akan mempengaruhi protokol yang akan digunakan untuk berkomunikasi dengan sistem tersebut.

VPN dan timbunan protokol dwi

Banyak pelaksanaan VPN tidak menyokong, atau lebih teruk lagi, mengabaikan IPv6 sepenuhnya. Apabila membuat sambungan perisian VPN menjaga pengangkutan trafik IPv4 dengan menambahkan laluan lalai untuk paket IPv4, dengan itu memastikan bahawa semua trafik IPv4 dihantar melalui sambungan VPN (bukannya dihantar secara jelas melalui penghala tempatan). Walau bagaimanapun, jika IPv6 tidak disokong (atau diabaikan sepenuhnya), setiap paket dengan alamat IPv6 destinasi dalam pengepalanya akan dihantar secara jelas melalui penghala IPv6 tempatan.

Sebab utama masalah ini terletak pada fakta bahawa walaupun IPv4 dan IPv6 adalah dua protokol berbeza yang tidak serasi antara satu sama lain, ia digunakan rapat dalam sistem nama domain. Oleh itu, untuk sistem yang menyokong kedua-dua susunan protokol, adalah mustahil untuk menjamin sambungan ke sistem lain tanpa mengamankan kedua-dua protokol (IPv6 dan IPv4).

Senario kebocoran trafik VPN yang sah

Pertimbangkan hos yang menyokong kedua-dua susunan protokol, menggunakan klien VPN (hanya berfungsi dengan trafik IPv4) untuk menyambung ke pelayan VPN dan disambungkan ke rangkaian dwi-tindan. Jika aplikasi pada hos perlu berkomunikasi dengan nod dwi-tindan, pelanggan biasanya menanyakan kedua-dua rekod DNS A dan AAAA. Memandangkan hos menyokong kedua-dua protokol, dan nod jauh akan mempunyai kedua-dua jenis rekod DNS (A dan AAAA), salah satu senario yang mungkin adalah menggunakan protokol IPv6 untuk komunikasi antara mereka. Dan oleh kerana klien VPN tidak menyokong versi keenam protokol, trafik IPv6 tidak akan dihantar melalui sambungan VPN, tetapi akan dihantar dalam teks yang jelas melalui rangkaian tempatan.

Senario ini meletakkan data berharga yang dihantar dalam teks yang jelas berisiko apabila kami fikir ia dihantar dengan selamat melalui sambungan VPN. Dalam kes khusus ini, kebocoran trafik VPN adalah kesan sampingan menggunakan perisian yang tidak menyokong IPv6 pada rangkaian (dan hos) yang menyokong kedua-dua protokol.

Sengaja menyebabkan trafik VPN bocor

Penyerang boleh dengan sengaja memaksa sambungan IPv6 pada komputer mangsa dengan menghantar mesej Iklan Penghala ICMPv6 palsu. Paket tersebut boleh dihantar menggunakan utiliti seperti rtadvd, Kit IPv6 Rangkaian SI6 atau THC-IPv6. Sebaik sahaja sambungan IPv6 diwujudkan, "komunikasi" dengan sistem yang menyokong kedua-dua susunan protokol boleh mengakibatkan, seperti yang dibincangkan di atas, membocorkan trafik VPN.

Walaupun serangan ini boleh membuahkan hasil (disebabkan oleh semakin banyak tapak yang menyokong IPv6), ia hanya akan membocorkan trafik apabila penerima menyokong kedua-dua versi protokol IP. Walau bagaimanapun, tidak sukar bagi penyerang untuk menyebabkan kebocoran trafik bagi mana-mana penerima (bertindan dua atau tidak). Dengan menghantar mesej Iklan Penghala palsu yang mengandungi pilihan RDNSS yang sesuai, penyerang boleh berpura-pura menjadi pelayan DNS rekursif tempatan, kemudian melakukan penipuan DNS untuk melakukan serangan lelaki di tengah dan memintas trafik yang sepadan. Seperti dalam kes sebelumnya, alatan seperti SI6-Toolkit dan THC-IPv6 boleh melakukan helah ini dengan mudah.

Tidak kira sama sekali jika trafik yang tidak bertujuan untuk mengintip berakhir di tempat terbuka di rangkaian. Bagaimana untuk melindungi diri anda dalam situasi sedemikian? Berikut adalah beberapa resipi berguna:

  1. Jika klien VPN dikonfigurasikan untuk menghantar semua trafik IPv4 melalui sambungan VPN, maka:
  • jika IPv6 tidak disokong oleh klien VPN, lumpuhkan sokongan untuk versi keenam protokol IP pada semua antara muka rangkaian. Oleh itu, aplikasi yang berjalan pada komputer tidak akan mempunyai pilihan selain menggunakan IPv4;
  • jika IPv6 disokong, pastikan semua trafik IPv6 juga dihantar melalui VPN.
  1. Untuk mengelakkan kebocoran trafik jika sambungan VPN tiba-tiba terputus dan semua paket dihantar melalui get laluan lalai, anda boleh:
  2. paksa semua trafik untuk melalui laluan VPN padam 0.0.0.0 192.168.1.1 // padam laluan get laluan lalai tambah 83.170.76.128 topeng 255.255.255.255 192.168.1.1 metrik 1
  • gunakan utiliti VPNetMon, yang memantau keadaan sambungan VPN dan, sebaik sahaja ia hilang, serta-merta menamatkan aplikasi yang ditentukan pengguna (contohnya, klien torrent, pelayar web, pengimbas);
  • atau utiliti VPNCheck, yang, bergantung pada pilihan pengguna, sama ada boleh melumpuhkan sepenuhnya kad rangkaian atau hanya menamatkan aplikasi yang ditentukan.
  1. Anda boleh menyemak sama ada mesin anda terdedah kepada kebocoran trafik DNS di tapak web, dan kemudian gunakan petua tentang cara membetulkan kebocoran yang diterangkan.

Penyahsulitan trafik VPN

Walaupun anda telah mengkonfigurasi semuanya dengan betul dan trafik VPN anda tidak bocor ke dalam rangkaian dengan jelas, ini belum lagi menjadi alasan untuk berehat. Intinya ialah jika seseorang memintas data yang disulitkan yang dihantar melalui sambungan VPN, dia akan dapat menyahsulitnya. Lebih-lebih lagi, ia tidak menjejaskan ini dalam apa-apa cara sama ada kata laluan anda adalah kompleks atau mudah. Jika anda menggunakan sambungan VPN berdasarkan protokol PPTP, maka anda boleh mengatakan dengan pasti 100% bahawa semua trafik yang disulitkan yang dipintas boleh dinyahsulit.

Titik kelemahan

Untuk sambungan VPN berdasarkan PPTP (Point-to-Point Tunneling Protocol), pengesahan pengguna dijalankan menggunakan protokol MS-CHAPv2 yang dibangunkan oleh oleh Microsoft. Walaupun fakta bahawa MS-CHAPv2 sudah lapuk dan sering menjadi subjek kritikan, ia terus digunakan secara aktif. Untuk akhirnya menghantarnya ke tong sampah sejarah, penyelidik terkenal Moxie Marlinspike mengambil perkara itu, yang melaporkan pada persidangan DEF CON kedua puluh bahawa matlamat telah dicapai - protokol telah digodam. Ia mesti dikatakan bahawa keselamatan protokol ini telah menjadi hairan sebelum ini, tetapi penggunaan MS-CHAPv2 yang begitu lama mungkin disebabkan oleh fakta bahawa ramai penyelidik hanya menumpukan pada kelemahannya terhadap serangan kamus. Penyelidikan terhad dan sejumlah besar pelanggan yang disokong, sokongan terbina dalam oleh sistem pengendalian - semua ini memastikan penggunaan meluas protokol MS-CHAPv2. Bagi kami, masalahnya terletak pada fakta bahawa MS-CHAPv2 digunakan dalam protokol PPTP, yang digunakan oleh banyak perkhidmatan VPN (contohnya, perkhidmatan yang besar seperti IPredator perkhidmatan VPN tanpa nama dan VPN The Pirate Bay).

Jika kita beralih kepada sejarah, maka pada tahun 1999, dalam kajiannya tentang protokol PPTP, Bruce Schneier menunjukkan bahawa "Microsoft meningkatkan PPTP dengan membetulkan kelemahan keselamatan utama. Walau bagaimanapun, kelemahan asas protokol pengesahan dan penyulitan ialah ia hanya selamat seperti kata laluan yang dipilih pengguna.” Atas sebab tertentu, ini membuatkan penyedia percaya bahawa tidak ada yang salah dengan PPTP dan jika anda memerlukan pengguna untuk mencipta kata laluan yang kompleks, maka data yang dihantar akan selamat. Perkhidmatan Riseup.net sangat diilhamkan oleh idea ini sehingga ia memutuskan untuk menjana kata laluan 21 aksara secara bebas untuk pengguna, tanpa memberi mereka peluang untuk menetapkan kata laluan mereka sendiri. Tetapi walaupun langkah yang sukar sedemikian tidak menghalang trafik daripada dinyahsulit. Untuk memahami sebabnya, mari kita lihat dengan lebih dekat protokol MS-CHAPv2 dan lihat cara Moxie Marlinspike berjaya memecahkannya.

Protokol MS-CHAPv2

Seperti yang telah disebutkan, MSCHAPv2 digunakan untuk pengesahan pengguna. Ia berlaku dalam beberapa peringkat:

  • pelanggan menghantar permintaan pengesahan kepada pelayan, secara terbuka menghantar log masuknya;
  • pelayan mengembalikan respons rawak 16-bait kepada pelanggan (Cabaran Pengesah);
  • pelanggan menjana PAC 16-bait (Peer Authenticator Challenge - respons pengesahan rakan sebaya);
  • pelanggan menggabungkan PAC, respons pelayan dan nama penggunanya ke dalam satu baris;
  • cincangan 8-bait diambil daripada rentetan yang diterima menggunakan algoritma SHA-1 dan dihantar ke pelayan;
  • pelayan mendapatkan semula cincang pelanggan ini daripada pangkalan datanya dan menyahsulit responsnya;
  • jika hasil penyahsulitan sepadan dengan respons asal, semuanya OK, dan sebaliknya;
  • seterusnya, pelayan mengambil PAC pelanggan dan, berdasarkan cincangan, menghasilkan AR 20-bait (Respons Pengesah), menghantarnya kepada pelanggan;
  • klien melakukan operasi yang sama dan membandingkan AR yang diterima dengan tindak balas pelayan;
  • jika semuanya sepadan, pelanggan disahkan oleh pelayan. Rajah menunjukkan gambar rajah visual operasi protokol.

Pada pandangan pertama, protokol kelihatan terlalu rumit - sekumpulan cincang, penyulitan, cabaran rawak. Ia sebenarnya tidak begitu rumit. Jika anda melihat dengan teliti, anda akan mendapati bahawa dalam keseluruhan protokol hanya satu perkara yang tidak diketahui - cincangan MD4 kata laluan pengguna, berdasarkan tiga kekunci DES dibina. Parameter selebihnya sama ada dihantar dalam teks yang jelas, atau boleh diperoleh daripada apa yang dihantar dalam teks yang jelas.


Oleh kerana hampir semua parameter diketahui, kita tidak boleh mempertimbangkannya, tetapi perhatikan dengan teliti apa yang tidak diketahui dan ketahui apa yang diberikannya kepada kita.


Jadi, apa yang kita ada: kata laluan yang tidak diketahui, cincangan MD4 yang tidak diketahui bagi kata laluan ini, yang diketahui teks kosong dan teks sifir yang terkenal. Setelah pemeriksaan lebih dekat, anda akan melihat bahawa kata laluan pengguna tidak penting bagi kami, tetapi hashnya penting, kerana ini yang diperiksa pada pelayan. Oleh itu, untuk pengesahan yang berjaya bagi pihak pengguna, serta untuk menyahsulit trafiknya, kita hanya perlu mengetahui cincang kata laluannya.

Setelah memintas lalu lintas di tangan, anda boleh cuba menyahsulitnya. Terdapat beberapa alatan (contohnya, asleap) yang membolehkan anda meneka kata laluan pengguna melalui serangan kamus. Kelemahan alat ini ialah ia tidak memberikan jaminan 100% hasil, dan kejayaan secara langsung bergantung pada kamus yang dipilih. Memilih kata laluan menggunakan kekerasan mudah juga tidak begitu berkesan - contohnya, dalam kes perkhidmatan VPN PPTP riseup.net, yang secara paksa menetapkan kata laluan sepanjang 21 aksara, anda perlu mencuba 96 pilihan aksara untuk setiap satu daripada 21 aksara . Ini menghasilkan 96^21 pilihan, iaitu lebih sedikit daripada 2^138. Dengan kata lain, anda perlu memilih kunci 138-bit. Dalam keadaan di mana panjang kata laluan tidak diketahui, masuk akal untuk memilih cincangan MD4 kata laluan. Memandangkan panjangnya ialah 128 bit, kami mendapat 2^128 pilihan - pada masa ini ini adalah mustahil untuk dikira.

Bahagikan dan perintah

Cincang MD4 kata laluan digunakan sebagai input untuk tiga operasi DES. Kekunci DES adalah 7 bait panjang, jadi setiap operasi DES menggunakan bahagian 7-bait cincang MD4. Semua ini memberi ruang untuk serangan pecah dan takluk klasik. Daripada memaksa sepenuhnya cincang MD4 (yang, seperti yang anda ingat, ialah 2^128 pilihan), kami boleh memilihnya dalam bahagian 7 bait. Memandangkan tiga operasi DES digunakan dan setiap operasi DES adalah bebas sepenuhnya daripada yang lain, ini memberikan jumlah kerumitan padanan sebanyak 2^56 + 2^56 + 2^56, atau 2^57.59. Ini sudah jauh lebih baik daripada 2^138 dan 2^128, tetapi masih terlalu banyak pilihan. Walaupun, seperti yang anda mungkin perasan, ralat menyelinap ke dalam pengiraan ini. Algoritma menggunakan tiga kekunci DES, setiap 7 bait bersaiz, iaitu 21 bait secara keseluruhan. Kekunci ini diambil daripada cincangan MD4 kata laluan, yang panjangnya hanya 16 bait.

Iaitu, 5 bait tiada untuk membina kunci DES ketiga. Microsoft menyelesaikan masalah ini hanya dengan mengisi bait yang hilang secara bodoh dengan sifar dan pada dasarnya mengurangkan keberkesanan kunci ketiga kepada dua bait.

Memandangkan kunci ketiga mempunyai panjang berkesan hanya dua bait, iaitu, 2^16 pilihan, pemilihannya mengambil masa beberapa saat, membuktikan keberkesanan serangan bahagi dan takluk. Jadi, kita boleh mengandaikan bahawa dua bait terakhir cincang diketahui, yang tinggal hanyalah memilih baki 14. Selain itu, membahagikannya kepada dua bahagian 7 bait, kita mempunyai jumlah pilihan untuk mencari sama dengan 2^ 56 + 2^56 = 2^57. Masih terlalu banyak, tetapi jauh lebih baik. Ambil perhatian bahawa operasi DES yang selebihnya menyulitkan teks yang sama, hanya menggunakan kekunci yang berbeza. Algoritma carian boleh ditulis seperti berikut:

Tetapi kerana teks disulitkan sama, adalah lebih tepat untuk melakukannya seperti ini:

Iaitu, terdapat 2^56 variasi kunci untuk dicari. Ini bermakna keselamatan MS-CHAPv2 boleh dikurangkan kepada kekuatan penyulitan DES sahaja.

Menggodam DES

Sekarang julat pemilihan kunci diketahui, terpulang kepada kuasa pengkomputeran untuk berjaya menyelesaikan serangan. Pada tahun 1998, Electronic Frontier Foundation membina sebuah mesin yang dipanggil Deep Crack, yang berharga $250,000 dan boleh memecahkan kunci DES dalam purata empat setengah hari. Pada masa ini, Pico Computing, yang mengkhusus dalam membina perkakasan FPGA untuk aplikasi kriptografi, telah membina peranti FPGA (kotak retak DES) yang melaksanakan DES sebagai saluran paip dengan satu operasi DES setiap kitaran jam. Dengan 40 teras pada 450 MHz, ia boleh menghitung 18 bilion kunci sesaat. Dengan kelajuan kekerasan sedemikian, kotak retak DES memecahkan kunci DES dalam kes paling teruk dalam 23 jam, dan secara purata dalam setengah hari. Mesin ajaib ini boleh didapati melalui perkhidmatan web komersial loudcracker.com. Jadi sekarang anda boleh menggodam mana-mana jabat tangan MS-CHAPv2 dalam masa kurang daripada sehari. Dan mempunyai cincang kata laluan di tangan, anda boleh mengesahkan bagi pihak pengguna ini pada perkhidmatan VPN atau hanya menyahsulit trafiknya.

Untuk mengautomasikan kerja dengan perkhidmatan dan memproses trafik yang dipintas, Moxie menjadikan utiliti chapcrack tersedia secara terbuka. Ia menghuraikan trafik rangkaian yang dipintas, mencari jabat tangan MS-CHAPv2. Untuk setiap jabat tangan yang ditemuinya, ia mencetak nama pengguna, teks biasa yang diketahui, dua teks sifir yang diketahui dan memecahkan kekunci DES ketiga. Di samping itu, ia menjana token untuk CloudCracker, yang mengekod tiga parameter yang diperlukan untuk perkhidmatan memecahkan kunci yang tinggal.

CloudCracker & Chapcrack

Sekiranya anda perlu memecahkan kunci DES daripada trafik pengguna yang dipintas, saya akan memberikan arahan langkah demi langkah yang ringkas.

  1. Muat turun pustaka Passlib, yang melaksanakan lebih daripada 30 algoritma pencincangan berbeza untuk bahasa Python, bongkar dan pasang: python setup.py install
  2. Pasang python-m2crypto - pembungkus OpenSSL untuk Python: sudo apt-get install python-m2crypto
  3. Muat turun utiliti chapcrack itu sendiri, bongkar dan pasang: python setup.py install
  4. Chapcrack dipasang, anda boleh mula menghuraikan lalu lintas yang dipintas. Utiliti menerima fail topi sebagai input, mencarinya untuk jabat tangan MS-CHAPv2, dari mana ia mengekstrak maklumat yang diperlukan untuk penggodaman. chapcrack parse -i ujian/pptp
  5. Daripada output data oleh utiliti chapcrack, salin nilai baris Penyerahan CloudCracker dan simpan pada fail (contohnya, output.txt)
  6. Pergi ke cloudcracker.com, pilih "Start Cracking" dalam panel Jenis fail, sama dengan “MS-CHAPv2 (PPTP/WPA-E)”, pilih fail output.txt yang disediakan sebelum ini dalam langkah sebelumnya, klik Seterusnya -> Seterusnya dan nyatakan e-mel anda yang mesej akan dihantar sebaik sahaja penggodaman selesai.

Malangnya, CloudCracker ialah perkhidmatan berbayar. Nasib baik, anda tidak perlu membayar sebanyak itu untuk menggodam kunci - hanya 20 dolar.

Apa nak buat?

Walaupun Microsoft menulis di laman webnya bahawa ia pada masa ini tidak mempunyai maklumat tentang serangan aktif menggunakan chapcrack, serta akibat daripada serangan tersebut untuk sistem pengguna, tetapi ini tidak bermakna semuanya teratur. Moxie mengesyorkan agar semua pengguna dan penyedia penyelesaian VPN PPTP mula berhijrah ke protokol VPN yang lain. Dan trafik PPTP dianggap tidak disulitkan. Seperti yang anda lihat, terdapat satu lagi situasi di mana VPN boleh mengecewakan kami dengan serius.


Kesimpulan

Kebetulan VPN dikaitkan dengan tanpa nama dan keselamatan. Orang ramai menggunakan VPN apabila mereka ingin menyembunyikan trafik mereka daripada pengawasan penyedia mereka, menggantikan lokasi geografi sebenar mereka dan sebagainya. Malah, ternyata trafik boleh "bocor" ke dalam rangkaian secara jelas, dan jika tidak jelas, maka trafik yang disulitkan boleh dinyahsulitkan dengan cepat. Semua ini sekali lagi mengingatkan kita bahawa kita tidak boleh bergantung secara membuta tuli pada janji-janji yang kuat tentang keselamatan yang lengkap dan tanpa nama. Seperti yang mereka katakan, percaya, tetapi sahkan. Oleh itu, berhati-hati dan pastikan sambungan VPN anda benar-benar selamat dan tanpa nama.

Perkhidmatan ini melindungi dan menambah baik sambungan Internet anda supaya anda boleh berasa tenang semasa melayari Internet. Spotflux menyulitkan dan memampatkan trafik mudah alih Internet, mengurangkan kos pemindahan data, membolehkan anda menyemak imbas dengan selamat, walaupun melalui Wi-Fi awam.

Psiphon

Perkhidmatan ini kegunaan teknologi VPN, proksi SSH dan HTTP untuk menyelesaikan masalah akses kepada sumber yang disekat. Psiphon membolehkan anda memintas penapisan, mendapatkan akses kepada maklumat yang anda minati, dan melindungi akaun dan kata laluan anda daripada penggodaman.

Betternet

Dengan Betternet anda tidak perlu risau tentang kata laluan anda digodam. Perkhidmatan ini membolehkan anda mengakses mana-mana tapak web di mana-mana negara, melayari Internet secara awanama di bawah alamat IP yang diubah, dan melindungi data anda daripada penyerang yang berpotensi.

Menyokong platform: Firefox, Chrome, IOS, Android, Windows

VPN CyberGhost

Perkhidmatan ini mudah dipasang dan menyediakan akses selamat dan tanpa had kepada mana-mana sumber di Internet, tidak kira di mana anda berada. CyberGhost VPN menawarkan tanpa nama tanpa menjejaskan privasi dalam talian anda.

SurfEasy

SurfEasy VPN membolehkan anda menggunakan mana-mana peranti, di mana-mana, pada mana-mana rangkaian, dan menyemak imbas mana-mana tapak web dengan selamat tanpa penapisan atau sekatan ISP. Perkhidmatan ini membolehkan anda menjalankan aktiviti tanpa nama, walaupun anda menyambung ke titik Wi-Fi awam atau menggunakan rangkaian tidak selamat.

Menyokong platform: Windows, Mac OS, IOS, Android

Hide.me

Hide.me menjadikan anda benar-benar tanpa nama dalam talian dengan menyembunyikan maklumat peribadi dan lokasi anda. Ia menyulitkan aktiviti anda, melindungi anda daripada penggodam dan aktiviti berniat jahat. Perkhidmatan VPN ini memintas penapisan dan menyediakan akses kepada sebarang maklumat di Internet.

Menyokong platform: Windows, Android

FinchVPN

FinchVPN menyediakan panel kawalan yang mudah digunakan dengan banyak pelayan VPN di lokasi yang berbeza di seluruh dunia. Pembangun mendakwa bahawa perkhidmatan itu tidak memantau aktiviti anda.

Menyokong platform: Windows, Mac OS, Linux, Android

proXPN

proXPN menyembunyikan maklumat anda daripada orang yang tidak dikenali dan menutup identiti serta lokasi anda. Perkhidmatan ini melindungi daripada penggodaman dan lain-lain tindakan berniat jahat. Ia juga membolehkan anda menyingkirkan penapisan dan melihat halaman sebagaimana adanya.

Menyokong platform: Windows, Mac OS

ZenMate

ZenMate menyulitkan dan menjamin sambungan internet anda untuk melindungi maklumat anda semasa anda menyemak imbas web. Perkhidmatan ini membolehkan anda melihat kandungan secara awanama di World Wide Web.

Menyokong platform: Chrome, Firefox, Opera, IOS, Android

ZPN

Boleh dipercayai dan VPN pantas perkhidmatan. Dia menyediakan 10 GB trafik percuma setiap bulan dan bertindak sebagai tembok api maya. Dengan itu anda boleh berhubung dengan orang ramai Titik Wi-Fi tanpa risiko.

Menyokong platform: Windows, iOS, Android

SecurityKISS

Perkhidmatan ini melindungi anda maklumat peribadi, menyediakan tanpa nama dan memintas sekatan Internet yang dikenakan oleh penyedia Internet atau negara. Menyediakan penggunaan percuma 300 MB sehari. Menggunakan teknologi pemampatan data, dengan itu menjamin kelajuan tinggi.

Menyokong platform: Windows, Mac OS, Linux, IOS, Android

VPN Hideman

VPN Hideman menyediakan penyulitan data dan kerahasiaan untuk sesi Internet. Ia menawarkan penggunaan percuma dengan had masa dan trafik (Tidak lebih daripada 2GB sebulan). Menggunakan alamat pelayan yang berbeza dari banyak negara di seluruh dunia, dengan itu meningkatkan keselamatan anda.

Menyokong platform: Windows, Mac OS, IOS, Android

ZenVPN

Perkhidmatan ini menawarkan akses yang pantas dan boleh dipercayai ke Internet. Ia melindungi maklumat anda daripada orang yang tidak dibenarkan, dengan itu memberikan kerahsiaan lengkap kepada data anda. Pakej ZenVPN percuma termasuk 250 MB trafik setiap hari.

Menyokong platform: Windows, Mac OS, IOS, Android

GetPrivate

GetPrivate menjamin keselamatan sambungan Internet anda di seluruh dunia. Perkhidmatan ini menyediakan lebar jalur tanpa had untuk semua sumber yang dilawati dan menyediakan akses kepada tapak tertutup.

Menyokong platform: Windows

Pertama, saya ingin ambil perhatian bahawa topik ini sangat luas, dan tidak kira bagaimana saya cuba menyampaikan semuanya sependek mungkin, tetapi pada masa yang sama tanpa kehilangan butiran yang diperlukan dan pada masa yang sama membentangkannya sejelas mungkin bagi pengguna biasa, artikel ini akan tetap penuh dengan pelbagai butiran teknikal dan syarat yang akan membuatkan anda perlu pergi ke Google. Ia juga diandaikan bahawa pembaca sudah biasa dengan sekurang-kurangnya aspek asas fungsi perkhidmatan yang paling popular dan rangkaian global itu sendiri.

Apakah itu anonimasi?
Sebagai tambahan kepada pendapat sensasi di seluruh penjuru Internet tentang penyembunyian itu alamat IP terdapat banyak butiran lain. Pada amnya, semua kaedah dan cara tanpa nama mempunyai matlamat untuk menyembunyikan penyedia. Melaluinya sudah mungkin untuk mendapatkan lokasi pengguna yang tepat secara fizikal, mempunyai maklumat tambahan tentangnya (IP, cap jari pelayar, log aktivitinya dalam segmen rangkaian tertentu, dll.). Dan juga kebanyakan kaedah dan cara bertujuan untuk penyembunyian/ketidakdedahan maksimum perkara ini maklumat tidak langsung, yang kemudian anda boleh meminta pembekal untuk pengguna yang dikehendaki.

Apakah cara untuk menamakan kehadiran dalam talian anda?
Jika kita bercakap tentang unit anonimasi yang berasingan (lagipun, terdapat juga skema dalam bentuk menggabungkan satu atau satu lagi cara tanpa nama), kita boleh menyerlahkan perkara berikut:
1) Pelayan proksi- Terdapat pelbagai jenis, dengan ciri tersendiri. Terdapat FAQ berasingan dan topik lain di forum untuk mereka;
2) Perkhidmatan VPN— mereka juga berfungsi menggunakan protokol yang berbeza, yang ditawarkan oleh pembekal untuk dipilih; lihat perbezaan dan ciri mereka di bawah;
3) terowong SSH, pada asalnya dicipta (dan masih berfungsi hari ini) untuk tujuan lain, tetapi juga digunakan untuk anonimasi. Prinsip operasi agak serupa dengan VPN, jadi dalam topik ini semua perbualan tentang VPN juga akan memasukkannya, tetapi perbandingan akan dibuat kemudian;
4) Pelayan khusus— kelebihan utama ialah masalah mendedahkan sejarah permintaan nod dari mana tindakan itu dijalankan hilang (seperti yang boleh berlaku dengan VPN/SSH atau proksi);
5) Hebat dan dahsyat Tor;
6) - rangkaian tanpa nama, terdesentralisasi yang beroperasi di atas Internet, tidak menggunakan pengalamatan IP(lihat di bawah untuk butiran);
7) Cara lain - rangkaian tanpa nama, penama dan lain-lain. Oleh kerana kekurangan populariti mereka, mereka belum lagi dikaji (dan oleh itu tidak mempunyai jaminan relatif kebolehpercayaan) oleh masyarakat, tetapi mereka agak menjanjikan, lihat juga di bawah untuk mereka;

Apakah yang patut disembunyikan, atau apakah data dan kaedah penyahnamaan untuk mendapatkannya?
Saya ingin ambil perhatian segera bahawa segala-galanya (yang utama) sekurang-kurangnya) alat dan kaedah untuk menyembunyikan data dalam senarai di bawah akan dibincangkan dalam baki soalan Soalan Lazim ini. Saya juga ingin menarik perhatian anda kepada satu sumber yang menarik, yang dikhususkan kepada soalan tentang maklumat yang kami tinggalkan tentang diri kami dalam talian apabila log masuk ke peranti yang berbeza;
1)alamat IP, atau pengecam paling popular di Internet. Membolehkan untuk mencari pembekal pengguna dan mengetahui alamat tepatnya melalui IP yang sama;
2)Pembekal DNS IP, yang boleh "hilang" melalui kaedah yang dipanggil ( DNS bocor). Adalah penting untuk ambil perhatian bahawa kebocoran ini boleh berlaku apabila diikat HTTP/SOCKS4(5 dalam beberapa kes) + Tor! Oleh itu, anda perlu berhati-hati di sini;
3) Jika kebanyakan trafik masuk dalam talian untuk masa yang lama melalui satu nod, sebagai contoh, Tor yang sama, maka anda boleh menjalankan apa yang dipanggil profil - mengaitkan aktiviti tertentu kepada nama samaran tertentu, yang boleh dikenal pasti melalui saluran lain;
4) Mendengar lalu lintas di nod keluar atau (lelaki di tengah);
5) Sambungan serentak ke saluran tanpa nama dan awam boleh menimbulkan masalah dalam beberapa situasi, contohnya, jika sambungan pelanggan terputus, kedua-dua saluran akan berhenti berfungsi, dan ia akan dapat ditentukan pada pelayan alamat yang diperlukan, membandingkan masa apabila pengguna memutuskan sambungan (namun, ini adalah kaedah yang agak berdarah dan jauh daripada kaedah penyahnamaan yang tepat);
6) Aktiviti penyahnamaan dalam sesi tanpa nama - menggunakan perkhidmatan awam, terutamanya yang sudah mempunyai maklumat tentang pengguna ini;
7)Alamat MAC, yang mana titik WiFi diterima apabila disambungkan kepadanya (atau ia boleh disandarkan oleh suis salah satu rangkaian tempatan yang melaluinya Internet diakses);
8) Maklumat daripada pelayar:

  • biskut- Ini fail teks dengan sebarang data (biasanya unik untuk setiap pengguna) yang disimpan oleh aplikasi (selalunya penyemak imbas) untuk pelbagai tugas, contohnya, pengesahan. Selalunya berlaku bahawa pelanggan pertama kali melawat sumber dari sesi terbuka, penyemak imbas menyimpan kuki, dan kemudian pelanggan disambungkan dari sesi tanpa nama, kemudian pelayan boleh memadankan kuki dan memikirkan klien;
  • Flash, Java, Adobe Reader— tiga pemalam pertama secara umumnya boleh dibezakan sebagai aplikasi berasaskan pelayar yang berasingan. Mereka boleh memintas proksi ( DNS bocor), serlahkan IP ( IP bocor), cipta kemiripan kuki tahan lama anda sendiri, dsb. Selain itu, ketiga-tiganya (Flash terutamanya bersalah dalam hal ini) sering berfungsi sebagai bantuan untuk mengeksploitasi beberapa kelemahan 0 hari atau 1 hari, yang kadangkala membenarkan seseorang untuk menembusi sistem itu sendiri;
  • JavaScript- dilaksanakan pada bahagian klien, tidak mempunyai keupayaan yang begitu luas dari segi deanon, walaupun ia boleh memberikan maklumat yang tepat tentang OS, jenis dan versi penyemak imbas, dan juga mempunyai akses kepada beberapa teknologi penyemak imbas yang juga boleh, sebagai contoh, bocorkan alamat IP;
  • Cap jari pelayar atau cap jari pelayar— satu set data yang sentiasa disediakan oleh penyemak imbas kepada pelayan apabila bekerja dengannya, yang boleh membentuk "cap jari digital" yang agak unik yang membolehkan pengguna mencari pengguna walaupun dalam sesi tanpa nama atau lebih baru, selepas meninggalkannya;

Bagaimanakah VPN berbeza daripada proksi?
1) Trafik antara pelanggan dan proksi dihantar dalam jelas, apabila menggunakan VPN penyulitan sudah dijalankan;
2) Kestabilan - dengan mencipta VPN sambungan biasanya malar, pemutusan sambungan jarang dibuat, dengan proksi ia berlaku lebih kerap. Tetapi semuanya bergantung kepada pembekal;
3) Selain menyulitkan sambungan, VPN menyediakan lebih banyak lagi perkhidmatan tanpa nama dalam erti kata bahawa mereka digunakan pelayan DNS Perkhidmatan VPN dan pendedahan data peribadi seperti kebocoran DNS tidak boleh berlaku, yang tidak lebih buruk daripada pendedahan alamat IP. Benar, proksi SOCKS5 dan SOCKS4a mempunyai keupayaan yang sama untuk memindahkan perkhidmatan DNS ke pelayan proksi;
4) Perkhidmatan VPN tidak menyimpan log atau menyimpan sangat sedikit log. masa yang singkat dan secara terperinci (atau begitulah yang mereka katakan), kebanyakan proksi tidak membuat janji sedemikian;

Sejauh manakah rangkaian pelayan proksi berkesan?
Sebaliknya, adalah tidak berkesan jika kita menumpukan pada nisbah peningkatan masa penyahnamaan kepada penurunan kelajuan sambungan daripada sumber akhir kepada pelanggan. Di samping itu, hampir semua kelemahan penyahnamaan yang wujud dalam pelayan proksi tidak hilang apabila rantaian serupa dibina daripadanya. Oleh itu, kita boleh membuat kesimpulan bahawa adalah lebih baik untuk tidak menggunakan kaedah ini apabila mencapai kerahsiaan.

Soalan Lazim tentang pelayan proksi tidak menyatakan tentang SOCKS4a, mengapa ia diperlukan?
Ini ialah versi perantaraan antara SOCKS 4 dan 5, di mana semuanya berfungsi sama seperti 4, kecuali SOCKS4a hanya menerima nama domain dan bukannya alamat IP sumber dan menyelesaikannya sendiri.

Bolehkah anda memberitahu kami lebih lanjut tentang ciri, kebaikan dan keburukan menyewa pelayan khusus?
Pelayan khusus tidak bertujuan untuk anonimisasi, tetapi untuk mengehos aplikasi, perkhidmatan dan segala-galanya yang pelanggan anggap perlu. Adalah penting untuk ambil perhatian bahawa penyewa disediakan dengan berasingan mesin fizikal, yang memberinya jaminan tertentu untuk mengawal sepenuhnya nod ini dan mencipta kelebihan penting untuk tidak mahu dikenali - keyakinan bahawa sejarah permintaan tidak akan bocor di mana-mana.
Memandangkan perkara di atas dan perkara lain, beberapa kelebihan boleh dikenalpasti alat ini dari sudut pandangan anonim:
1) Menyediakan proksi HTTP/SOCKS atau sambungan SSH/VPN pilihan anda;
2) Kawalan sejarah permintaan;
3) Menyelamatkan anda daripada serangan melalui Flash, Java, JavaScript, jika anda menggunakan penyemak imbas jauh;
Nah, terdapat juga kelemahan:
1) Kaedah yang sangat mahal;
2) Di sesetengah negara, tidak mahu dikenali tidak boleh diberikan secara priori, kerana penyewa dikehendaki memberikan maklumat peribadi: pasport, kad kredit, dsb.;
3) Semua sambungan ke pelayan khusus direkodkan oleh pembekalnya, jadi di sini surat kuasa wakil dari jenis yang sedikit berbeza timbul;

Melalui protokol apa kerja dalam proses dalam VPN dan apakah ciri yang mereka ada?
Adalah lebih baik untuk segera mempertimbangkan pilihan VPN sedia ada, iaitu, pakej dan teknologi yang ditawarkan oleh pembekal, melainkan sudah tentu kami menetapkan matlamat untuk meningkatkan pengetahuan kami tentang teori protokol rangkaian (walaupun terdapat pilihan menggunakan satu protokol tunggal , yang juga akan kami pertimbangkan).
SSL (Lapisan Soket Selamat) Protokol Soket Selamat - menggunakan keselamatan data kunci awam untuk mengesahkan identiti pemancar dan penerima. Mengekalkan penghantaran data yang boleh dipercayai melalui penggunaan kod pembetulan dan fungsi cincang yang selamat. Salah satu protokol paling mudah dan "tanpa nama rendah" untuk sambungan VPN, digunakan terutamanya oleh aplikasi klien VPN. Lebih kerap ia adalah sebahagian daripada beberapa jenis perjanjian apabila membuat sambungan VPN.
PPTP (Protokol Terowong Titik-ke-Titik) - digunakan paling kerap, agak pantas, mudah dikonfigurasikan, tetapi dianggap paling kurang selamat berbanding rakan sejawatnya yang lain.


L2TP (Protokol Terowong Lapisan 2) + IPSec(IPSec sering diabaikan daripada nama sebagai protokol tambahan). L2TP menyediakan pengangkutan, dan IPSec bertanggungjawab untuk penyulitan. Sambungan ini mempunyai penyulitan yang lebih kuat daripada PPTP, tahan terhadap kerentanan PPTP, dan juga memastikan integriti mesej dan pengesahan parti. Terdapat VPN berdasarkan IPSec sahaja atau L2TP sahaja, tetapi jelas sekali L2TP + IPSec menyediakan lebih banyak keupayaan keselamatan dan anonimasi daripada sama ada sahaja.



OpenVPN- selamat, terbuka, dan oleh itu meluas, membolehkan anda memintas banyak blok, tetapi memerlukan klien perisian yang berasingan. Secara teknikal, ini bukan protokol, tetapi pelaksanaan teknologi VPN. menjalankan semua operasi rangkaian melalui TCP atau UDP pengangkutan. Ia juga mungkin untuk bekerja melalui kebanyakan pelayan proksi, termasuk HTTP, SOCKS, NAT dan pelindung lonjakan. Untuk memastikan keselamatan saluran kawalan dan aliran data, OpenVPN menggunakan SSLv3/TLSv1.
SSTP- selamat seperti OpenVPN, tidak memerlukan pelanggan yang berasingan, tetapi sangat terhad dalam platform: Vista SP1, Win7, Win8. Merangkumi bingkai PPP V datagram IP untuk penghantaran melalui rangkaian. Untuk mengurus terowong dan menghantar bingkai data PPP, SSTP menggunakan sambungan TCP(pelabuhan 443). Mesej SSTP disulitkan dengan saluran protokol SSL HTTPS.


Secara berasingan, perlu diperhatikan perkhidmatan yang menyediakan perkhidmatan seperti "DoubleVPN", apabila sebelum mencapai nod yang dikehendaki, trafik melalui 2 pelayan VPN yang berbeza di wilayah yang berbeza. Atau terdapat penyelesaian yang lebih sukar - "QuadVPN", apabila 4 pelayan digunakan, yang pengguna boleh pilih sendiri dan susun mengikut susunan yang dia perlukan.

Apakah kelemahan VPN?
Sudah tentu, ia bukan tanpa nama seperti beberapa perkhidmatan lain seperti Tor, dan bukan sahaja kerana algoritma dan skema adalah berbeza. Selain itu, apabila menggunakan VPN, dalam situasi kritikal anda perlu lebih bergantung pada prestasi teliti tugas perkhidmatan ini (pengelogan minimum, kerja tanpa sandaran trafik, dll.).
Perkara seterusnya ialah walaupun VPN menyembunyikan IP dalam kebanyakan kes, ia juga menghalang Kebocoran DNS, tetapi terdapat situasi di mana kaedah anonimasi ini akan gagal. Iaitu:
1) Kebocoran IP melalui WebRTC - dijamin berfungsi pada Chrome dan Mozilla dan dilaksanakan melalui JavaScript biasa;
2) Kebocoran IP melalui Flash, yang memulakan sambungan ke pelayan dan memindahkan IP pelanggan kepadanya, memintas VPN (walaupun ia tidak selalu berfungsi);
Walaupun kes ini boleh dicegah dengan mematikan JS, Flash dan Java dalam penyemak imbas anda;
3) Apabila menggunakan tetapan klien secara lalai, apabila sambungan terputus, tidak seperti pelayan proksi, melayari rangkaian akan diteruskan secara langsung, tidak lagi melalui saluran maya, iaitu, ia akan menjadi bencana yang lengkap;
Tetapi ini boleh dielakkan dengan melaraskan jadual penghalaan, di mana anda boleh menentukan hanya get laluan pelayan VPN sebagai get laluan lalai atau mengkonfigurasi semula tembok api.

Apakah perbezaan antara terowong SSH dan VPN?
Terowong SSH tidak lebih daripada sambungan yang disulitkan menggunakan protokol SSH, di mana data disulitkan pada bahagian klien dan dinyahsulitkan pada penerima ( pelayan SSH). Ia dicipta untuk pengurusan selamat jauh OS, tetapi seperti yang telah ditulis di atas, ia juga digunakan untuk anonimasi. Menyokong 2 pilihan pengendalian: dengan melaksanakan proksi HTTP/SOCKS oleh aplikasi untuk mengarahkan trafik melalui pelayan proksi tempatan ke terowong SSH. Atau sambungan VPN yang hampir lengkap (boleh dikatakan serupa, jika kita mengambil versi terkini SSH dan OpenSSH) sambungan VPN.


VPN dibangunkan untuk menyediakan akses jauh yang selamat kepada sumber rangkaian korporat, dan oleh itu komputer yang disambungkan ke pelayan VPN menjadi sebahagian daripada rangkaian tempatan dan boleh menggunakan perkhidmatannya.


Iaitu, selain daripada aspek kecil teknikal, prinsip operasi adalah serupa. Dan perbezaan utama adalah itu Terowong SSH ialah sambungan titik ke titik, manakala sambungan VPN ialah sambungan peranti ke rangkaian(walaupun pakar boleh mengkonfigurasi semula mengikut budi bicara mereka).

Bagaimanakah Tor berfungsi dari sisi pelanggan?
Terdapat banyak variasi jawapan kepada soalan ini di Internet, tetapi saya ingin cuba membentangkan asas-asasnya semudah dan padat yang mungkin, menyelamatkan pembaca daripada menggali segunung maklumat analitikal dan kompleks.
Tor ialah sistem penghala yang hanya boleh diakses oleh pelanggan Tor itu sendiri, melalui rantaian di mana pelanggan menyambung kepada sumber yang diperlukannya. Dengan tetapan lalai, bilangan nod ialah tiga. menggunakan penyulitan berbilang peringkat. Berdasarkan ciri-ciri ini, kita boleh menerangkan secara ringkas skim umum penghantaran paket data daripada klien kepada sumber yang diminta melalui 3 nod (iaitu, dengan tetapan lalai): paket pertama disulitkan secara berurutan dengan tiga kekunci: pertama untuk nod ketiga, kemudian untuk yang kedua dan akhirnya untuk yang pertama. Apabila nod pertama menerima paket, ia menyahsulit lapisan "atas" sifir (seperti mengupas bawang) dan mengetahui ke mana hendak menghantar paket seterusnya. Pelayan kedua dan ketiga melakukan perkara yang sama. Dan pemindahan data yang disulitkan antara penghala perantaraan dijalankan melalui antara muka SOCKS, yang memastikan tidak mahu dikenali ditambah dengan konfigurasi semula laluan yang dinamik. Dan tidak seperti rantai proksi statik, konfigurasi penghala bawang boleh berubah dengan hampir setiap permintaan baharu, yang hanya merumitkan deanon.

Apakah kelebihan dan kekurangan Tor?
Antara kelebihan yang patut diketengahkan:
1) Salah satu tahap kerahasiaan tertinggi (dengan konfigurasi yang betul), terutamanya dalam kombinasi dengan kaedah lain seperti VPN;
2) Mudah digunakan - muat turun, gunakan (anda juga boleh melakukannya tanpa sebarang tetapan khas);
Kelemahan:
1) Kelajuan yang agak rendah, memandangkan trafik melalui rantaian nod, penyahsulitan berlaku setiap kali dan boleh melalui benua lain sama sekali;
2) Trafik output boleh didengari, dan jika tidak digunakan HTTPS, maka ia bagus untuk menapis untuk analisis;
3) Ia mungkin tidak membantu jika pemalam didayakan - Flash, Java dan juga dari JavaScript, tetapi pencipta projek mengesyorkan untuk melumpuhkan perkara ini;
4) Ketersediaan mengurus pelayan;

Jika tapak mengesan Tor, maka tidak ada cara saya boleh mengakses tapak ini tanpa nama menggunakannya?
Terdapat dua cara untuk pergi ke tapak sedemikian. Menggunakan skim yang lebih canggih yang secara de facto menjadikan lawatan ini lebih tanpa nama: pautan Tor ⇢ VPN, Boleh Tor ⇢ Proksi, jika anda tidak memerlukan anonimiti tambahan, tetapi hanya fakta menyembunyikan penggunaan Tor untuk pelayan tapak, tetapi anda mesti menggunakannya dalam urutan ini. Ternyata pertama permintaan itu melalui hos bawang, kemudian melalui VPN/Proksi, tetapi pada akhirnya ia kelihatan seperti itu sahaja VPN/Proksi(atau sambungan biasa).
Tetapi perlu diperhatikan bahawa interaksi sambungan ini menyebabkan perbincangan hangat di forum; berikut ialah bahagian mengenai Tor dan VPN di laman web projek bawang.


Atau anda boleh menggunakan apa yang dipanggil jambatan (jambatan) adalah nod yang tidak disenaraikan dalam direktori Tor'a pusat; anda boleh melihat cara mengkonfigurasinya.

Adakah mungkin untuk menyembunyikan fakta menggunakan Tor daripada pembekal?
Ya, penyelesaiannya akan hampir sama dengan yang sebelumnya, hanya litar akan pergi dalam susunan terbalik dan Sambungan VPN"baji sendiri" antara pelanggan Tor dan rangkaian penghala bawang. Perbincangan tentang pelaksanaan skim sedemikian dalam amalan boleh didapati di salah satu halaman dokumentasi projek.

Apakah yang perlu anda ketahui tentang I2P dan bagaimana rangkaian ini berfungsi?
I2P- rangkaian teragih, mengatur sendiri berdasarkan kesamaan pesertanya, dicirikan oleh penyulitan (pada peringkat apa ia berlaku dan dalam cara apa), pembolehubah perantara (hop), tidak digunakan di mana-mana sahaja alamat IP. Ia mempunyai laman web sendiri, forum dan perkhidmatan lain.
Secara keseluruhan, empat tahap penyulitan digunakan semasa menghantar mesej ( melalui, bawang putih, terowong, dan penyulitan lapisan pengangkutan ), sebelum penyulitan dalam setiap pakej rangkaian sebilangan kecil rawak bait rawak ditambah secara automatik untuk menganonimkan lagi maklumat yang dihantar dan merumitkan percubaan untuk menganalisis kandungan dan menyekat paket rangkaian yang dihantar.
Semua lalu lintas dibawa melalui terowong - laluan satu arah sementara melalui beberapa nod, yang boleh masuk atau keluar. Pengalamatan berlaku berdasarkan data daripada pangkalan data rangkaian yang dipanggil NetDb, yang diedarkan kepada satu darjah atau yang lain merentasi semua pelanggan I2P. NetDb mengandungi:

  • RouterInfos— butiran hubungan penghala (pelanggan) digunakan untuk membina terowong (untuk memudahkan, ia adalah pengecam kriptografi setiap nod);
  • LeaseSets— butiran hubungan penerima, digunakan untuk menyambung terowong keluar dan masuk.

Prinsip interaksi antara nod rangkaian ini.
Peringkat 1. Nod "Kate" membina terowong keluar. Dia beralih kepada NetDb untuk mendapatkan data tentang penghala dan membina terowong dengan penyertaan mereka.


Peringkat 2. Boris membina terowong input dengan cara yang sama seperti terowong keluar. Ia kemudian menerbitkan koordinatnya atau dipanggil "LeaseSet" kepada NetDb (perhatikan di sini bahawa LeaseSet dilalui melalui terowong keluar).


Peringkat 3. Apabila "Kate" menghantar mesej kepada "Boris", dia menanyakan LeaseSet "Boris" dalam NetDb. Dan ia memajukan mesej melalui terowong keluar ke pintu masuk penerima.


Perlu juga diperhatikan bahawa I2P mempunyai keupayaan untuk mengakses Internet melalui Outproxy khas, tetapi ia tidak rasmi dan, berdasarkan gabungan faktor, lebih teruk daripada nod keluar Tor. Juga, tapak dalaman pada rangkaian I2P boleh diakses daripada Internet luaran melalui pelayan proksi. Tetapi pada pintu masuk dan keluar ini terdapat kebarangkalian tinggi untuk kehilangan kerahasiaan, jadi anda perlu berhati-hati dan elakkan ini jika boleh.

Apakah kelebihan dan kekurangan rangkaian I2P?
Kelebihan:
1) Tahap tinggi kerahasiaan pelanggan (dengan sebarang tetapan dan penggunaan yang munasabah);
2) Desentralisasi lengkap, yang membawa kepada kestabilan rangkaian;
3) Kerahsiaan data: penyulitan hujung ke hujung antara pelanggan dan penerima;
4) Tahap kerahasiaan pelayan yang sangat tinggi (semasa mencipta sumber), alamat IPnya tidak diketahui;
Kelemahan:
1) Kelajuan rendah dan masa tindak balas yang panjang;
2) "Internet anda sendiri" atau pengasingan separa daripada Internet, dengan peluang untuk ke sana dan kemungkinan deanon meningkat;
3) Tidak melindungi daripada serangan melalui pemalam ( Java, Flash) Dan JavaScript, jika anda tidak melumpuhkannya;

Apakah perkhidmatan/projek lain yang ada untuk memastikan tidak dikenali?

  • Freenet - rangkaian peer-to-peer storan data teragih;
  • GNUnet ialah set perisian yang diselaraskan untuk sambungan peer-to-peer yang tidak memerlukan pelayan;
  • JAP - John Donym, berdasarkan Tor;
  • — perisian merentas platform untuk pertukaran e-mel tanpa pelayan, mesej segera dan fail menggunakan rangkaian F2F (rakan-ke-rakan) yang disulitkan;
  • Perfect Dark ialah pelanggan Jepun untuk Windows untuk perkongsian fail. Tanpa nama rangkaian Gelap Sempurna adalah berdasarkan keengganan untuk menggunakan sambungan langsung antara pelanggan akhir, yang tidak diketahui alamat IP dan penyulitan lengkap segala yang mungkin;

3 projek seterusnya amat menarik kerana matlamat mereka adalah untuk menyembunyikan pengguna dengan membebaskan diri mereka daripada pergantungan pembekal pada sambungan Internet, melalui pembinaan rangkaian tanpa wayar. Lagipun, maka Internet akan menjadi lebih teratur sendiri:

  • Netsukoku - Juruteknik Elektronik Rangkaian Mahir dalam Pembunuhan Tertinggi, Utiliti dan Pemautan Kamikaze;
  • B.A.T.M.A.N - Pendekatan Lebih Baik Untuk Rangkaian Ad-hoc Mudah Alih;

Adakah terdapat sebarang penyelesaian komprehensif untuk memastikan tidak mahu dikenali?
Selain pautan dan gabungan pelbagai kaedah, seperti Tor+VPN, yang diterangkan di atas, anda boleh menggunakan pengedaran Linux yang disesuaikan dengan keperluan ini. Kelebihan penyelesaian sedemikian ialah mereka sudah mempunyai kebanyakan penyelesaian gabungan ini, semua tetapan ditetapkan untuk menyediakan bilangan maksimum sempadan untuk penyahnama, semua perkhidmatan dan perisian yang berpotensi berbahaya dipotong, yang berguna dipasang, beberapa, sebagai tambahan kepada dokumentasi, mempunyai petua pop timbul yang tidak akan membiarkan pengguna lewat pada waktu petang hilang kewaspadaan.
Berdasarkan pengalaman saya dan beberapa orang lain yang berpengetahuan, saya akan memilih pengedaran Whonix, kerana ia mengandungi teknik terkini untuk memastikan kerahasiaan dan keselamatan pada rangkaian, sentiasa berkembang dan mempunyai konfigurasi yang sangat fleksibel untuk semua keadaan hidup dan mati. Ia juga mempunyai seni bina yang menarik dalam bentuk dua perhimpunan: Gerbang Dan Stesen kerja, yang berfungsi bersama. Kelebihan utama ini ialah jika ada 0 hari dalam Tor atau OS itu sendiri, yang melaluinya mereka akan cuba mendedahkan pengguna yang bersembunyi Whonix, maka ia hanya akan "dianonimkan" stesen kerja maya dan penyerang akan menerima maklumat "sangat berharga" seperti IP 192.168.0.1 Dan alamat MAC 02:00:01:01:01:01 .


Tetapi anda perlu membayar untuk kehadiran fungsi dan fleksibiliti sedemikian dalam konfigurasi - ini menentukan kerumitan konfigurasi OS, itulah sebabnya ia kadangkala diletakkan di bahagian bawah sistem pengendalian teratas untuk tidak mahu dikenali.
Analog yang lebih mudah untuk disediakan ialah analog yang agak terkenal yang disyorkan oleh Snowden dan Liberte, yang juga boleh digunakan dengan jayanya untuk tujuan ini dan yang mempunyai senjata yang sangat baik untuk memastikan tidak mahu dikenali.

Adakah terdapat sebarang pertimbangan lain apabila mencapai kerahsiaan?
Ya saya ada. Terdapat beberapa peraturan yang dinasihatkan untuk dipatuhi walaupun dalam sesi tanpa nama (jika matlamatnya adalah untuk mencapai kerahasiaan yang hampir lengkap, sudah tentu) dan langkah-langkah yang mesti diambil sebelum memasuki sesi ini. Sekarang kami akan menulis tentang mereka dengan lebih terperinci.
1) Apabila menggunakan VPN, Proksi dsb. Sentiasa tetapkan tetapan untuk menggunakan statik pelayan DNS pembekal perkhidmatan untuk mengelakkan kebocoran DNS. Atau tetapkan tetapan yang sesuai dalam penyemak imbas atau tembok api;
2) Jangan gunakan rantai Tor kekal, kerap menukar nod output (pelayan VPN, pelayan proksi);
3) Apabila menggunakan penyemak imbas, lumpuhkan, jika boleh, semua pemalam (Java, Flash, beberapa kraf Adobe lain) dan juga JavaScript (jika matlamatnya adalah untuk meminimumkan sepenuhnya risiko deanon), dan juga melumpuhkan penggunaan kuki, sejarah menyimpan, caching jangka panjang, jangan benarkan menghantar pengepala HTTP Ejen Pengguna Dan Perujuk HTTP atau gantikannya (tetapi penyemak imbas khas diperlukan untuk tidak mahu namanya disiarkan; kebanyakan yang standard tidak membenarkan kemewahan sedemikian), gunakan sambungan pelayar minimum, dsb. Secara umum, terdapat satu lagi sumber yang menerangkan tetapan untuk tidak dikenali dalam pelbagai penyemak imbas, yang juga patut dihubungi jika anda mahu;
4) Apabila mengakses rangkaian dalam mod tanpa nama, anda harus menggunakan OS "bersih", dikemas kini sepenuhnya dengan versi perisian stabil terkini. Ia harus bersih - supaya lebih sukar untuk membezakan "cap jari" itu, penyemak imbas dan perisian lain daripada penunjuk statistik purata, dan dikemas kini, supaya kemungkinan mengambil beberapa jenis perisian hasad dikurangkan dan mewujudkan tertentu masalah untuk diri sendiri yang menjejaskan kerja semua cara yang tertumpu pada anonimasi;
5) Berhati-hati apabila amaran tentang kesahihan sijil dan kunci kelihatan menghalang Serangan Mitm(mendengar tentang trafik yang tidak disulitkan);
6) Jangan benarkan sebarang aktiviti berhaluan kiri dalam sesi tanpa nama. Contohnya, jika pelanggan dari sesi tanpa nama mengakses halamannya di media sosial. rangkaian, maka pembekal Internetnya tidak akan mengetahuinya. Tetapi sosial rangkaian, walaupun tidak melihat alamat IP sebenar pelanggan, mengetahui dengan tepat siapa yang dilog masuk;
7) Jangan benarkan sambungan serentak ke sumber melalui tanpa nama dan saluran terbuka(huraian tentang bahaya telah diberikan di atas);
8) Cuba "mengelirukan" semua mesej anda dan produk lain dari penghasilan intelektual pengarang, kerana pengarang boleh ditentukan dengan ketepatan yang agak tinggi oleh jargon, perbendaharaan kata dan stilistik corak pertuturan. Dan sudah ada syarikat yang membuat keseluruhan perniagaan daripada ini, jadi jangan memandang rendah faktor ini;
9) Sebelum menyambung ke rangkaian tempatan atau titik wayarles tukar akses terlebih dahulu Alamat MAC;
10) Jangan gunakan mana-mana aplikasi yang tidak dipercayai atau tidak disahkan;
11) Adalah dinasihatkan untuk menyediakan diri anda dengan "sempadan terakhir", iaitu, beberapa jenis nod perantaraan kepada anda sendiri, yang melaluinya untuk menjalankan semua aktiviti (seperti yang dilakukan dengan pelayan khusus atau dilaksanakan dalam Whonix), supaya jika semua halangan sebelumnya diatasi atau jangkitan sistem kerja pihak ketiga mendapat akses kepada perantara kosong dan tidak mempunyai sebarang peluang khas untuk bergerak lebih jauh ke arah anda (atau peluang ini akan menjadi sangat mahal atau memerlukan kos yang sangat tinggi Kuantiti yang besar masa);

Kita boleh merumuskan dengan kesimpulan yang sangat jelas: semakin tanpa nama/selamat teknologi atau kaedah, semakin kurang kelajuan/kemudahan apabila menggunakannya. Tetapi kadangkala adalah lebih baik untuk kehilangan beberapa minit menunggu atau menghabiskan sedikit lebih banyak usaha dan masa menggunakan teknik yang rumit daripada kehilangan jumlah masa dan sumber lain yang jauh lebih besar daripada akibat yang mungkin berlaku akibat keputusan untuk berehat di suatu tempat.

Kemas kini terakhir pada 18 Januari 2016.



ARTIKEL BERKAITAN