Het eerste dat in je opkomt bij het noemen van een VPN is de anonimiteit en veiligheid van de verzonden gegevens. Is dit echt waar? Laten we het uitzoeken.

Wanneer u toegang tot een bedrijfsnetwerk nodig heeft, kunt u veilig verzenden belangrijke informatie Door open kanalen communicatie, om hun verkeer voor het toeziend oog van de provider te verbergen, om hun echte locatie te verbergen bij het uitvoeren van niet geheel legale (of helemaal niet legale) acties, nemen ze meestal hun toevlucht tot het gebruik van een VPN. Maar is het de moeite waard om blindelings op een VPN te vertrouwen, waardoor de veiligheid van uw gegevens en uw eigen veiligheid op het spel komen te staan? Absoluut nee. Waarom? Laten we het uitzoeken.

WAARSCHUWING

Alle informatie wordt uitsluitend ter informatie verstrekt. Noch de redactie, noch de auteur zijn hiervoor verantwoordelijk mogelijke schade veroorzaakt door de materialen van dit artikel.

We hebben een VPN nodig!

Een virtueel particulier netwerk, of simpelweg VPN, is een algemene naam voor technologieën die een of meer mogelijk maken netwerkverbindingen(logisch netwerk) bovenop een ander netwerk, zoals internet. Ondanks het feit dat communicatie kan worden geïmplementeerd via openbare netwerken met een onbekend niveau van vertrouwen, is het niveau van vertrouwen in de gebouwde omgeving groot logisch netwerk hangt niet af van de mate van vertrouwen in kernnetwerken dankzij het gebruik van cryptografietools (encryptie, authenticatie, infrastructuur openbare sleutels, betekent bescherming tegen herhalingen en wijzigingen in berichten die via een logisch netwerk worden verzonden). Zoals je kunt zien, is alles in theorie rooskleurig en onbewolkt, maar in de praktijk is alles enigszins anders. In dit artikel gaan we in op twee belangrijke punten waar je rekening mee moet houden bij het gebruik van een VPN.

VPN-verkeerslek

Het eerste probleem met VPN's is verkeerslekkage. Dat wil zeggen dat het verkeer dat via de VPN-verbinding in gecodeerde vorm moet worden verzonden, het netwerk binnenkomt open vorm. Dit scenario is niet het gevolg van een bug in de VPN-server of -client. Alles is hier veel interessanter. De eenvoudigste optie is om de VPN-verbinding plotseling te verbreken. U besloot een host of subnet te scannen met Nmap, startte de scanner, liep een paar minuten weg van de monitor en toen werd de VPN-verbinding plotseling verbroken. Maar de scanner blijft werken. En de scan komt van uw adres. Dit is zo'n onaangename situatie. Maar er zijn meer interessante scenario’s. Het lekken van VPN-verkeer is bijvoorbeeld wijdverbreid in netwerken (op hosts) die beide versies van het IP-protocol ondersteunen (zogenaamde dual-stacked netwerken/hosts).

Wortel van het kwaad

Het naast elkaar bestaan ​​van twee protocollen – IPv4 en IPv6 – heeft veel interessante en subtiele aspecten die tot onverwachte gevolgen kunnen leiden. Ondanks het feit dat de zesde versie van het IP-protocol dat niet heeft achterwaartse compatibiliteit bij de vierde versie worden beide versies aan elkaar “gelijmd” door het domeinnaamsysteem (DNS). Om duidelijker te maken wat we bedoelen waar we het over hebben Laten we eens kijken naar een eenvoudig voorbeeld. Laten we bijvoorbeeld een website nemen (laten we zeggen www.example.com) die zowel IPv4- als IPv6-ondersteuning biedt. De bijbehorende domeinnaam (in ons geval www.example.com) bevat beide typen DNS-records: A en AAAA. Elk A-record bevat één IPv4-adres en elk AAAA-record bevat één IPv6-adres. Bovendien kan één domeinnaam meerdere records van beide typen bevatten. Wanneer een applicatie die beide protocollen ondersteunt dus met de site wil communiceren, kan deze een van de beschikbare adressen opvragen. De voorkeursadresfamilie (IPv4 of IPv6) en het uiteindelijke adres dat door de applicatie zal worden gebruikt (aangezien er meerdere zijn voor versies 4 en 6) zullen verschillen van de ene protocolimplementatie tot de andere.

Dit naast elkaar bestaan ​​van protocollen betekent dat wanneer een client die beide stapels ondersteunt, met een ander systeem wil communiceren, de aanwezigheid van A- en AAAA-records van invloed zal zijn op welk protocol zal worden gebruikt om met dat systeem te communiceren.

VPN en dubbele protocolstack

Veel VPN-implementaties ondersteunen IPv6 niet, of erger nog, negeren het volledig. Bij het tot stand brengen van een verbinding software De VPN zorgt voor het transport van IPv4-verkeer door een standaardroute voor IPv4-pakketten toe te voegen, waardoor wordt gegarandeerd dat al het IPv4-verkeer via de VPN-verbinding wordt verzonden (in plaats van dat het via de gewone weg wordt verzonden). lokale router). Als IPv6 echter niet wordt ondersteund (of volledig wordt genegeerd), wordt elk pakket met een bestemmings-IPv6-adres in de header onversleuteld via de lokale IPv6-router verzonden.

De belangrijkste reden voor het probleem ligt in het feit dat hoewel IPv4 en IPv6 twee verschillende protocollen zijn die incompatibel zijn met elkaar, ze nauw worden gebruikt in het domeinnaamsysteem. Voor een systeem dat beide protocolstacks ondersteunt, is het dus onmogelijk om een ​​verbinding met een ander systeem te beveiligen zonder beide protocollen (IPv6 en IPv4) te beveiligen.

Legitiem VPN-verkeerslekscenario

Overweeg een host die beide protocolstacks ondersteunt, een VPN-client gebruikt (die alleen met IPv4-verkeer werkt) om verbinding te maken met de VPN-server, en is verbonden met een dual-stacked netwerk. Als een toepassing op de host moet communiceren met een dual-stacked knooppunt, vraagt ​​de client doorgaans zowel A- als AAAA DNS-records op. Omdat de host beide protocollen ondersteunt en het externe knooppunt beide typen DNS-records (A en AAAA) zal hebben, is een van de waarschijnlijke scenario's het gebruik van het IPv6-protocol voor de onderlinge communicatie. En omdat de VPN-client de zesde versie van het protocol niet ondersteunt, wordt IPv6-verkeer niet via de VPN-verbinding verzonden, maar in leesbare tekst via het lokale netwerk.

Dit scenario brengt waardevolle gegevens die in gewone tekst worden verzonden in gevaar als we denken dat deze veilig via de VPN-verbinding worden verzonden. In dit specifieke geval is er sprake van lekkage van VPN-verkeer bijwerking met behulp van software die IPv6 niet ondersteunt op een netwerk (en host) dat beide protocollen ondersteunt.

Het opzettelijk laten lekken van VPN-verkeer

Een aanvaller kan opzettelijk een IPv6-verbinding op de computer van een slachtoffer forceren door valse ICMPv6 Router Advertising-berichten te verzenden. Dergelijke pakketten kunnen worden verzonden met behulp van hulpprogramma's zoals rtadvd, de IPv6 Toolkit van SI6 Networks of THC-IPv6. Zodra een IPv6-verbinding tot stand is gebracht, kan “communicatie” met een systeem dat beide protocolstacks ondersteunt, zoals hierboven besproken, leiden tot lekkend VPN-verkeer.

Hoewel deze aanval behoorlijk vruchtbaar kan zijn (vanwege het groeiende aantal sites dat IPv6 ondersteunt), zal deze alleen verkeer lekken als de ontvanger beide versies van het IP-protocol ondersteunt. Het is echter niet moeilijk voor een aanvaller om verkeerslekken te veroorzaken voor elke ontvanger (dual-stacked of niet). Door valse Router Advertising-berichten te verzenden die de juiste RDNSS-optie bevatten, kan een aanvaller zich voordoen als een lokale recursieve DNS-server en vervolgens DNS-spoofing uitvoeren man-in-the-middle-aanval en het overeenkomstige verkeer onderscheppen. Net als in het vorige geval kunnen tools als SI6-Toolkit en THC-IPv6 deze truc gemakkelijk uitvoeren.

Het maakt helemaal niet uit of verkeer dat niet voor nieuwsgierige blikken is bedoeld, in duidelijke tekst op het netwerk terechtkomt. Hoe kunt u uzelf in dergelijke situaties beschermen? Hier zijn enkele nuttige recepten:

1. Als de VPN-client is geconfigureerd om al het IPv4-verkeer via de VPN-verbinding te verzenden:

• als IPv6 niet wordt ondersteund door de VPN-client, schakel dan de ondersteuning voor de zesde versie van het IP-protocol voor iedereen uit netwerkinterfaces. Applicaties die op de computer draaien, zullen dus geen andere keuze hebben dan IPv4 te gebruiken;
• als IPv6 wordt ondersteund: zorg ervoor dat al het IPv6-verkeer ook via de VPN wordt verzonden.

1. Om verkeerslekkage te voorkomen als de VPN-verbinding plotseling wegvalt en alle pakketten via de standaardgateway worden verzonden, kunt u:
2. forceer al het verkeer om via de VPN-route te gaan verwijder 0.0.0.0 192.168.1.1 // verwijder standaard gatewayroute voeg 83.170.76.128 toe masker 255.255.255.255 192.168.1.1 metrisch 1

• gebruik het VPNetMon-hulpprogramma, dat de status van de VPN-verbinding bewaakt en, zodra deze verdwijnt, door de gebruiker opgegeven applicaties onmiddellijk beëindigt (bijvoorbeeld torrent-clients, webbrowsers, scanners);
• of het VPNCheck-hulpprogramma, dat, afhankelijk van de keuze van de gebruiker, volledig kan worden uitgeschakeld netwerkkaart, of beëindig eenvoudigweg de opgegeven toepassingen.

1. Op de website kunt u controleren of uw machine kwetsbaar is voor DNS-verkeerslekken en vervolgens de beschreven tips toepassen om het lek te verhelpen.

Decodering van VPN-verkeer

Zelfs als je alles goed hebt geconfigureerd en je VPN-verkeer niet ongemerkt het netwerk binnenlekt, is dit nog geen reden om te ontspannen. Het punt is dat als iemand gecodeerde gegevens onderschept die via een VPN-verbinding worden verzonden, hij deze kan decoderen. Bovendien heeft het hier geen enkele invloed op of uw wachtwoord complex of eenvoudig is. Maak je gebruik van een VPN-verbinding op basis van het PPTP-protocol, dan kun je met honderd procent zekerheid zeggen dat al het onderschepte versleutelde verkeer ontsleuteld kan worden.

Achilleshiel

Voor VPN-verbindingen op basis van PPTP (Point-to-Point Tunneling Protocol) wordt gebruikersauthenticatie uitgevoerd met behulp van het MS-CHAPv2-protocol ontwikkeld door door Microsoft. Ondanks het feit dat MS-CHAPv2 verouderd is en vaak onderwerp van kritiek is, wordt het nog steeds actief gebruikt. Om het uiteindelijk naar de vuilnisbak van de geschiedenis te sturen, pakte de beroemde onderzoeker Moxie Marlinspike de zaak op, en op de twintigste DEF CON-conferentie meldde hij dat het doel was bereikt: het protocol was gehackt. Het moet gezegd worden dat de veiligheid van dit protocol eerder in twijfel is getrokken, maar zo'n langdurig gebruik van MS-CHAPv2 kan te wijten zijn aan het feit dat veel onderzoekers zich alleen concentreerden op de kwetsbaarheid ervan voor woordenboekaanvallen. Beperkt onderzoek en een groot aantal ondersteunde clients, ingebouwde ondersteuning door besturingssystemen - dit alles zorgde voor een brede acceptatie van het MS-CHAPv2-protocol. Voor ons ligt het probleem in het feit dat MS-CHAPv2 wordt gebruikt in het PPTP-protocol, dat door veel VPN-diensten wordt gebruikt (bijvoorbeeld grote als de anonieme VPN-dienst IPredator en de VPN van The Pirate Bay).

Als we naar de geschiedenis kijken, dan gaf Bruce Schneier al in 1999 in zijn studie van het PPTP-protocol aan dat “Microsoft PPTP verbeterde door grote beveiligingsfouten te corrigeren. De fundamentele zwakte van het authenticatie- en encryptieprotocol is echter dat het slechts zo veilig is als het wachtwoord dat de gebruiker kiest.” Om de een of andere reden zijn providers hierdoor gaan geloven dat er niets mis is met PPTP en dat de gebruiker dit moet uitvinden complexe wachtwoorden, dan zijn de verzonden gegevens veilig. De dienst Riseup.net was zo geïnspireerd door dit idee dat deze besloot om zelfstandig wachtwoorden van 21 tekens voor gebruikers te genereren, zonder hen de mogelijkheid te geven hun eigen wachtwoorden in te stellen. Maar zelfs zo’n harde maatregel verhindert niet dat het verkeer wordt gedecodeerd. Om te begrijpen waarom, laten we het MS-CHAPv2-protocol eens nader bekijken en zien hoe Moxie Marlinspike erin slaagde het te kraken.

MS-CHAPv2-protocol

Zoals reeds vermeld, wordt MSCHAPv2 gebruikt voor gebruikersauthenticatie. Het gebeurt in verschillende fasen:

• de client stuurt een authenticatieverzoek naar de server en verzendt daarbij publiekelijk zijn login;
• de server retourneert een willekeurig antwoord van 16 bytes naar de client (Authenticator Challenge);
• de client genereert een PAC van 16 bytes (Peer Authenticator Challenge - peer authenticatieantwoord);
• de client combineert de PAC, het serverantwoord en de gebruikersnaam op één regel;
• een hash van 8 bytes wordt uit de ontvangen string gehaald met behulp van het SHA-1-algoritme en naar de server gestuurd;
• de server haalt de hash uit zijn database van deze opdrachtgever en ontcijfert zijn antwoord;
• als het decoderingsresultaat overeenkomt met het oorspronkelijke antwoord, is alles in orde, en omgekeerd;
• vervolgens neemt de server de PAC van de client en genereert op basis van de hash een AR (Authenticator Response) van 20 bytes, die deze doorgeeft aan de client;
• de client voert dezelfde bewerking uit en vergelijkt de ontvangen AR met het serverantwoord;
• als alles overeenkomt, wordt de client geverifieerd door de server. De figuur toont een visueel diagram van de werking van het protocol.

Op het eerste gezicht lijkt het protocol overdreven ingewikkeld: een hoop hashes, encryptie, willekeurige uitdagingen. Eigenlijk is het niet zo ingewikkeld. Als je goed kijkt, zul je merken dat in het hele protocol slechts één ding onbekend blijft: de MD4-hash van het wachtwoord van de gebruiker, op basis waarvan drie DES-sleutels zijn gebouwd. De overige parameters worden ofwel in leesbare tekst verzonden, of kunnen worden verkregen uit wat in leesbare tekst wordt verzonden.

Omdat bijna alle parameters bekend zijn, kunnen we ze niet in overweging nemen, maar letten we goed op wat onbekend is en ontdekken wat het ons oplevert.

Dus wat we hebben: een onbekend wachtwoord, een onbekende MD4-hash van dit wachtwoord, een bekend leesbare tekst en de beroemde cijfertekst. Met meer gedetailleerde overweging U kunt zien dat het wachtwoord van de gebruiker voor ons niet belangrijk is, maar de hash ervan is wel belangrijk, aangezien het de hash is die op de server wordt gecontroleerd. Voor een succesvolle authenticatie namens de gebruiker en voor het ontsleutelen van zijn verkeer hoeven we dus alleen de hash van zijn wachtwoord te weten.

Nadat u het onderschepte verkeer in de hand heeft, kunt u proberen het te decoderen. Er zijn verschillende tools (bijvoorbeeld asleap) waarmee je het wachtwoord van een gebruiker kunt raden via een woordenboekaanval. Het nadeel van deze tools is dat ze geen 100% garantie op resultaat bieden en dat het succes direct afhangt van het gekozen woordenboek. Het selecteren van een wachtwoord met eenvoudig brute kracht is ook niet erg effectief - in het geval van de PPTP VPN-service riseup.net, die wachtwoorden met geweld van 21 tekens lang instelt, moet u bijvoorbeeld 96 tekenopties proberen voor elk van de 21 tekens . Dit resulteert in 96^21 opties, wat iets meer is dan 2^138. Met andere woorden: u moet een 138-bits sleutel selecteren. In een situatie waarin de wachtwoordlengte onbekend is, is het zinvol om een ​​MD4-hash van het wachtwoord te selecteren. Gezien het feit dat de lengte 128 bits is, krijgen we 2^128 opties - per op dit moment het is simpelweg onmogelijk om te berekenen.

Verdeel en heers

De MD4-hash van het wachtwoord wordt gebruikt als invoer voor drie DES-bewerkingen. DES-sleutels zijn 7 bytes lang, dus elke DES-bewerking gebruikt een stuk van 7 bytes van de MD4-hash. Dit alles laat ruimte voor de klassieke verdeel-en-heers-aanval. In plaats van de MD4-hash volledig brute kracht te geven (wat, zoals je je herinnert, 2 ^ 128 opties is), kunnen we deze in delen van 7 bytes selecteren. Omdat er drie DES-bewerkingen worden gebruikt en elke DES-bewerking volledig onafhankelijk is van de andere, levert dit een totale matching-complexiteit op van 2^56 + 2^56 + 2^56, oftewel 2^57,59. Dit is al aanzienlijk beter dan 2^138 en 2^128, maar nog steeds te veel groot aantal opties. Hoewel er, zoals je misschien al gemerkt hebt, een fout in deze berekeningen is geslopen. Het algoritme gebruikt drie DES-sleutels, elk 7 bytes groot, dat wil zeggen 21 bytes in totaal. Deze sleutels zijn afkomstig van de MD4-hash van het wachtwoord, die slechts 16 bytes lang is.

Dat wil zeggen dat er 5 bytes ontbreken om de derde DES-sleutel te bouwen. Microsoft loste dit probleem simpelweg op door de ontbrekende bytes domweg met nullen te vullen en daarmee de effectiviteit van de derde sleutel terug te brengen tot twee bytes.

Omdat de derde sleutel een effectieve lengte heeft van slechts twee bytes, dat wil zeggen 2^16 opties, duurt de selectie ervan een kwestie van seconden, wat de effectiviteit van de verdeel-en-heers-aanval bewijst. We kunnen dus aannemen dat de laatste twee bytes van de hash bekend zijn, het enige dat overblijft is het selecteren van de resterende 14. Door ze in twee delen van 7 bytes te verdelen, hebben we een totaal aantal zoekopties gelijk aan 2^ 56 + 2^56 = 2^57. Nog steeds te veel, maar veel beter. Houd er rekening mee dat de resterende DES-bewerkingen dezelfde tekst versleutelen, alleen met behulp van verschillende sleutels. Het zoekalgoritme kan als volgt worden geschreven:

Maar omdat de tekst op dezelfde manier wordt gecodeerd, is het juister om het als volgt te doen:

Dat wil zeggen dat er 2^56 varianten van sleutels zijn om doorheen te zoeken. Dit betekent dat de beveiliging van MS-CHAPv2 kan worden teruggebracht tot de kracht van DES-encryptie alleen.

DES hacken

Nu het bereik van de sleutelselectie bekend is, is het aan de rekenkracht om de aanval succesvol af te ronden. In 1998 bouwde de Electronic Frontier Foundation een machine genaamd Deep Crack, die 250.000 dollar kostte en een DES-sleutel in gemiddeld vier en een halve dag kon kraken. Momenteel heeft Pico Computing, gespecialiseerd in het bouwen van FPGA-hardware voor cryptografische toepassingen, een FPGA-apparaat (DES cracking box) gebouwd dat DES implementeert als een pijplijn met één DES-bewerking per klokcyclus. Met 40 kernen op 450 MHz kan het 18 miljard sleutels per seconde opsommen. Met zo'n brute snelheid kraakt de DES-kraakdoos een DES-sleutel in het ergste geval in 23 uur, en gemiddeld in een halve dag. Deze wondermachine is verkrijgbaar via de commerciële webservice Loudcracker.com. U kunt nu dus elke MS-CHAPv2-handshake in minder dan een dag hacken. En als u een wachtwoord-hash bij de hand heeft, kunt u namens deze gebruiker authenticeren op een VPN-service of eenvoudigweg zijn verkeer decoderen.

Om het werken met de service te automatiseren en onderschept verkeer te verwerken, heeft Moxie het chapcrack-hulpprogramma openbaar beschikbaar gemaakt. Het parseert onderschept netwerkverkeer, op zoek naar MS-CHAPv2-handshake. Voor elke handdruk die het vindt, drukt het de gebruikersnaam, de bekende platte tekst, twee bekende cijferteksten af ​​en kraakt de derde DES-sleutel. Bovendien genereert het een token voor CloudCracker, dat drie parameters codeert die nodig zijn voor de service om de resterende sleutels te kraken.

CloudCracker & Chapcrack

Als u DES-sleutels uit onderschept gebruikersverkeer moet kraken, zal ik een korte stapsgewijze instructie geven.

1. Download de Passlib-bibliotheek, die meer dan 30 implementeert verschillende algoritmen hashen voor Python-taal, uitpakken en installeren: python setup.py install
2. Installeer python-m2crypto - een OpenSSL-wrapper voor Python: sudo apt-get install python-m2crypto
3. Download het chapcrack-hulpprogramma zelf, pak het uit en installeer: python setup.py install
4. Chapcrack is geïnstalleerd, kunt u het onderschepte verkeer gaan analyseren. Het hulpprogramma neemt een cap-bestand als invoer, zoekt daarin naar MS-CHAPv2-handshake, waaruit het de informatie haalt die nodig is voor hacking.
5. chapcrack parse -i tests/pptp
6. Kopieer vanuit de gegevensuitvoer door het chapcrack-hulpprogramma de waarde van de CloudCracker Submission-regel en sla deze op in een bestand (bijvoorbeeld output.txt) Ga naar cloudcracker.com, selecteer “Start Cracking” in het paneel Bestandstype

, gelijk aan “MS-CHAPv2 (PPTP/WPA-E)”, selecteer het output.txt-bestand dat eerder in de vorige stap is voorbereid, klik op Volgende -> Volgende en geef uw e-mailadres aan waarnaar een bericht zal worden verzonden zodra de hacking plaatsvindt is voltooid.

Helaas is CloudCracker een betaalde dienst. Gelukkig hoef je niet zoveel te betalen om de sleutels te hacken: slechts 20 dollar.

Wat te doen? Hoewel Microsoft op haar website schrijft dat het momenteel geen informatie heeft over actieve aanvallen met behulp van chapcrack, evenals de gevolgen van dergelijke aanvallen voor gebruikerssystemen

, maar dit betekent niet dat alles in orde is. Moxie raadt alle gebruikers en aanbieders van PPTP VPN-oplossingen aan om te migreren naar een ander VPN-protocol. En PPTP-verkeer wordt als niet-versleuteld beschouwd. Zoals u kunt zien, is er nog een situatie waarin VPN ons ernstig in de steek kan laten.

Conclusie

Ik zal het ook hebben over de Whonix OS-distributie, die de meest geavanceerde prestaties op het gebied van netwerkanonimiteit implementeert, omdat onder andere beide geanalyseerde schema's erin zijn geconfigureerd en werken.

Laten we eerst enkele postulaten definiëren:
1. Het Tor-netwerk biedt hoog niveau anonimiteit van de klant, met inachtneming van alle verplichte regels voor het gebruik ervan. Dit is een feit: echte aanvallen bij het publiek op het netwerk zelf is het nog niet gebeurd.
2. Een vertrouwde VPN (SSH)-server garandeert de vertrouwelijkheid van de verzonden gegevens tussen hemzelf en de klant.
Voor het gemak bedoelen we in dit artikel dus dat Tor de anonimiteit van de klant garandeert, en VPN de vertrouwelijkheid van de verzonden gegevens.

Tor via VPN. Eerst VPN, dan Tor

In dit schema is de VPN-server een permanent invoerknooppunt, waarna het gecodeerde verkeer naar het Tor-netwerk wordt gestuurd. In de praktijk is het schema eenvoudig te implementeren: eerst maakt u verbinding met de VPN-server en start u vervolgens de Tor-browser, die automatisch de benodigde routering door de VPN-tunnel configureert.

Door een dergelijk schema te gebruiken, kun je het feit verbergen met behulp van Tor van onze internetprovider. We worden ook geblokkeerd voor het Tor-toegangsknooppunt, dat het VPN-serveradres zal zien. En in het geval van een theoretisch compromis van Tor worden we beschermd door de VPN-lijn, die uiteraard geen logs opslaat.
In plaats daarvan gebruiken VPN-proxyserver, heeft geen zin: zonder de encryptie die door een VPN wordt geboden, zullen we bij een dergelijk plan geen noemenswaardige voordelen krijgen.

Het is vermeldenswaard dat internetproviders, specifiek om het Tor-verbod te omzeilen, zogenaamde bridges bedachten.
Bridges zijn knooppunten van het Tor-netwerk die niet in de centrale Tor-directory staan, dat wil zeggen bijvoorbeeld niet zichtbaar zijn en daardoor moeilijker te detecteren.
Hoe u bruggen configureert, wordt gedetailleerd beschreven.
De Tor-site zelf kan ons verschillende bruggen bieden op .
U kunt ook bridge-adressen per post ontvangen door te sturen naar: [e-mailadres beveiligd] of [e-mailadres beveiligd] brief met de tekst: “haal bruggen”. Zorg ervoor dat u deze brief per post van gmail.com of yahoo.com verzendt
Als reactie ontvangen wij een brief met hun adressen:
« Hier zijn uw brugrelais:
brug 60.16.182.53:9001
brug 87.237.118.139:444
brug 60.63.97.221:443»
Deze adressen moeten worden opgegeven in de instellingen van Vidalia, de Tor-proxyserver.
Soms komt het voor dat bruggen geblokkeerd zijn. Om dit te omzeilen introduceerde Tor zogenaamde ‘versluierde bruggen’. Zonder in detail te treden, zijn ze moeilijker te detecteren. Om er verbinding mee te maken, moet u bijvoorbeeld de Pluggable Transports Tor Browser Bundle downloaden.

Pluspunten schema's:

• we zullen het feit dat we Tor gebruiken verbergen voor de internetprovider (of verbinding maken met Tor als de provider dit blokkeert). Hiervoor zijn echter speciale bruggen;
• we zullen ons IP-adres verbergen voor het Tor-toegangsknooppunt en het vervangen door het adres van de VPN-server, maar dit is niet de meest effectieve verhoging van de anonimiteit;
• bij een theoretisch compromis van Tor blijven we achter de VPN-server staan.

Nadelen schema's:

• we moeten de VPN-server vertrouwen als er geen significante voordelen van deze aanpak zijn.

VPN via Tor. Eerst Tor, dan VPN

In dit geval is de VPN-server een permanente uitlaatklep voor internet.


Een soortgelijk verbindingsschema kan worden gebruikt om Tor-knooppuntblokkering te omzeilen externe bronnen, plus het zou ons verkeer moeten beschermen tegen het afluisteren van het Tor-uitgangsknooppunt.
Er zijn veel technische problemen bij het tot stand brengen van een dergelijke verbinding. Weet u bijvoorbeeld nog dat de Tor-keten elke 10 minuten wordt bijgewerkt of dat Tor UDP niet doorlaat? De meest haalbare optie praktische uitvoering dit is het gebruik van twee virtuele machines (meer hierover hieronder).
Het is ook belangrijk op te merken dat elk exit-knooppunt de client gemakkelijk in de algemene stroom zal markeren, aangezien de meeste gebruikers naar verschillende bronnen gaan en bij gebruik van een soortgelijk schema de client altijd naar dezelfde VPN-server gaat.
Uiteraard heeft het gebruik van reguliere proxyservers na Tor niet zoveel zin, omdat het verkeer naar de proxy niet gecodeerd is.

Pluspunten schema's:

• bescherming tegen het afluisteren van verkeer op het Tor-exitknooppunt, maar de Tor-ontwikkelaars raden zelf aan om encryptie op applicatieniveau te gebruiken, bijvoorbeeld https;
• blokkeerbescherming Tor-adressen externe bronnen.

Nadelen schema's:

• complexe implementatie van de regeling;
• we moeten de exit-VPN-server vertrouwen.

Whonix-concept

Er zijn veel OS-distributies waarvan het hoofddoel is om anonimiteit en bescherming voor de klant op internet te bieden, bijvoorbeeld Tails en Liberte en anderen. Echter, de technologisch meest geavanceerde, voortdurend in ontwikkeling en effectieve oplossing, die de meest geavanceerde technieken implementeert om veiligheid en anonimiteit te garanderen, is de OS-distributiekit.
De distributie bestaat uit twee virtuele Debian-machines op VirtualBox, waarvan er één een gateway is die al het verkeer naar het Tor-netwerk stuurt, en de andere een geïsoleerd werkstation is dat alleen verbinding maakt met de gateway. Whonix implementeert een zogenaamd isolation proxy server-mechanisme. Ook bestaat de mogelijkheid om de gateway en het werkstation fysiek te scheiden.

Omdat het werkstation zijn externe IP-adres op internet niet kent, kunt u hiermee veel kwetsbaarheden neutraliseren. Als malware bijvoorbeeld root-toegang tot het werkstation krijgt, heeft deze niet de mogelijkheid om het echte IP-adres te achterhalen. Hier is een diagram van de werking van Whonix, afkomstig van de officiële website.


Whonix OS heeft volgens de ontwikkelaars met succes alle mogelijke lektests doorstaan. Zelfs applicaties zoals Skype, BitTorrent, Flash, Java, bekend om hun functies, hebben toegang open internetten Het omzeilen van Tor zijn ook met succes getest op de afwezigheid van de-anonimiserende datalekken.
Whonix OS implementeert veel nuttige anonimiteitsmechanismen, ik zal de belangrijkste noemen:

• al het verkeer van alle applicaties gaat via het Tor-netwerk;
• Om te beschermen tegen verkeersprofilering implementeert Whonix OS het concept van threadisolatie. Vooraf geïnstalleerde applicaties van Whonix zijn geconfigureerd om een ​​afzonderlijke Socks-poort te gebruiken, en aangezien elke Socks-poort een afzonderlijke keten van knooppunten in het Tor-netwerk gebruikt, is profilering onmogelijk;
• Er wordt beveiligde hosting van Tor Hidden-services aangeboden. Zelfs als een aanvaller de webserver hackt, kan hij de privésleutel van de ‘Hidden’-service niet stelen, aangezien de sleutel is opgeslagen op de Whonix-gateway;
• Whonix is ​​beschermd tegen DNS-lekken omdat het een geïsoleerd proxy-principe gebruikt in zijn architectuur. Alle DNS-verzoeken worden doorgestuurd naar Tor's DnsPort;
• Whonix ondersteunt de eerder besproken ‘versluierde bruggen’;
• Er wordt gebruik gemaakt van ‘Protocol-lekbescherming en vingerafdrukbescherming’-technologie. Dit vermindert het risico op klantidentificatie door het creëren van een digitale vingerafdruk van de browser of het systeem door gebruik te maken van de meest gebruikte waarden, bijvoorbeeld gebruikersnaam – “gebruiker”, tijdzone – UTC, enz.;
• het is mogelijk om anderen te tunnelen anonieme netwerken: Freenet, I2P, JAP, Retroshare via Tor, of werk rechtstreeks met elk van deze netwerken. Meer gedetailleerde informatie over de kenmerken van dergelijke verbindingen vindt u op de link;
• Het is belangrijk op te merken dat Whonix alle schema's voor het combineren van VPN/SSH/Proxy met Tor heeft getest, gedocumenteerd en, belangrijker nog, werkt (!) Meer gedetailleerde informatie hierover kunt u verkrijgen via de link;
• Whonix OS is volledig geopend project, met behulp van gratis software.

Het is echter vermeldenswaard dat Whonix OS ook zijn nadelen heeft:

• complexere opzet dan Tails of Liberte;
• twee vereist virtuele machines of afzonderlijke fysieke apparatuur;
• vereist meer aandacht voor onderhoud. U moet drie besturingssystemen controleren in plaats van één, wachtwoorden opslaan en het besturingssysteem bijwerken;
• In Whonix werkt de knop ‘Nieuwe identiteit’ in Tor niet. Feit is dat de Tor-browser en Tor zelf geïsoleerd zijn verschillende auto's Daarom heeft de knop "Nieuwe identiteit" geen toegang tot Tor-besturingselementen. Om een ​​nieuwe knooppuntketen te gebruiken, moet je de browser sluiten, de keten wijzigen met Arm, het Tor-configuratiescherm, Vidalia's analoge Tor-browser en start de browser opnieuw.

Het Whonix-project ontwikkelt zich afzonderlijk van Tor-project en andere applicaties die in de samenstelling zijn opgenomen, zal Whonix daarom niet beschermen tegen kwetsbaarheden in het Tor-netwerk zelf of bijvoorbeeld 0-day-kwetsbaarheden in firewall,Iptables.

De veiligheid van de operatie van Whonix kan worden samengevat met een citaat uit de wiki: " En nee, Whonix beweert niet te beschermen tegen zeer krachtige tegenstanders, een perfect veilig systeem te zijn, sterke anonimiteit te bieden, of bescherming te bieden tegen drieletterige instanties of overheidstoezicht en dergelijke.».
Als afdelingen van “drie letters” je zoeken, zullen ze je vinden :)

De kwestie van de vriendschap tussen Tor en VPN is controversieel. Geschillen op forums over dit onderwerp verdwijnen niet. Ik zal enkele van de meest interessante ervan geven:

1. sectie over Tor en VPN met officiële pagina Tor-project;
2. sectie van het Tails-distributieforum over het VPN/Tor-probleem met de meningen van Tails-ontwikkelaars. Het forum zelf is nu gesloten, maar Google heeft een cache met discussies bewaard;
3. sectie van het Liberte-distributieforum over het VPN/Tor-probleem met de meningen van Liberte-ontwikkelaars.

Als je dit artikel bent gaan lezen, heb je waarschijnlijk geen vraag over waarom je VPN en Tor zou gebruiken. Elk van deze technologieën is in staat een acceptabel niveau van privacy te bieden, waardoor uw IP-adres en verkeer op zijn minst worden verborgen nieuwsgierige ogen. Zowel VPN als Tor hebben echter naast een aantal voor de hand liggende voordelen ook nadelen, waarvan de exploitatie uw echte identiteit kan onthullen.

Vereisten voor het tegelijkertijd gebruiken van Tor en VPN

Fundamentele problemen zijn onder meer de centralisatie van de meeste VPN-oplossingen. Controle over VPN-netwerk in handen is van de eigenaar; wanneer u een VPN gebruikt, moet u het beleid van de dienst op het gebied van openbaarmaking van gegevens en logopslag volledig begrijpen en de serviceovereenkomst aandachtig lezen.

Een voorbeeld uit de praktijk: in 2011 arresteerde de FBI hacker Cody Kretsinger, die de bekende Britse dienst HideMyAss gebruikte om Sony te hacken. De correspondentie van de hacker op IRC viel in handen van de FBI, ook al staat de dienst op zichzelf licentieovereenkomst stelt dat ze alleen algemene statistieken verzamelen en geen IP-adressen van klanten of hun verkeer registreren.

Het lijkt erop dat het Tor-netwerk, als een betrouwbaardere en gedecentraliseerde oplossing, dergelijke situaties zou moeten helpen voorkomen, maar zelfs hier is het niet zonder valkuilen. Het probleem is dat iedereen zijn eigen Tor-exitknooppunt kan gebruiken. Gebruikersverkeer passeert zo'n knooppunt in ongecodeerde vorm, waardoor de eigenaar van het uitvoerknooppunt misbruik kan maken van zijn positie en dat deel van het verkeer kan analyseren dat door de knooppunten onder zijn controle gaat.

Dit zijn niet alleen theoretische berekeningen; in 2016 publiceerden wetenschappers van de Northeastern University een onderzoek waarin ze in slechts 72 uur tijd 110 kwaadaardige exit-knooppunten vonden die gebruikers van een anoniem netwerk bespioneerden. Het is logisch om aan te nemen dat er feitelijk meer van dergelijke knooppunten zijn, en gezien het totale kleine aantal knooppunten (slechts ongeveer 7.000 in juni 2017) weerhoudt niets de relevante organisaties ervan een aanzienlijk deel van het Tor-verkeer te analyseren.

Ook het recente verhaal over een exploit voor de Firefox-browser die de FBI gebruikte voor de-anonimisering zorgde voor veel ophef. Tor-gebruikers. En hoewel ontwikkelaars actief werken aan het elimineren ervan soortgelijke problemen, kun je er nooit zeker van zijn dat er geen kwetsbaarheden zijn die onbekend zijn bij het grote publiek.

Ondanks dat Tor een hoger niveau van anonimiteit biedt dan VPN, moet je hiervoor betalen aan de verbindingssnelheid, het onvermogen om p2p-netwerken (Torrent, Gnutella) te gebruiken en problemen met de toegang tot sommige internetbronnen, aangezien beheerders vaak een bereik blokkeren van Tor IP-adressen.

Het goede nieuws is dat beide technologieën samen kunnen worden gebruikt om de nadelen van beide te verzachten en toe te voegen extra niveau beveiliging, uiteraard moet u ervoor betalen grote daling snelheid. Het is belangrijk om te begrijpen dat er twee opties zijn om VPN en Tor te verbinden; we zullen gedetailleerd ingaan op de voor- en nadelen van beide.

In deze configuratie maak je eerst verbinding met de VPN-server en gebruik je vervolgens het Tor-netwerk via de VPN-verbinding.

Dit resulteert in de volgende keten:

Uw apparaat -> VPN -> Tor -> Internet

Dit is precies wat er gebeurt als je hardloopt Tor-browser of veilig Whonix OS (voor meer veiligheid) op een systeem waarop al een VPN is aangesloten. In dit geval is het duidelijk dat uw externe IP tot het Tor-netwerkbereik behoort.

Voordelen van Tor ten opzichte van VPN:

• Uw ISP weet niet dat u Tor gebruikt (maar ziet wel dat u verbonden bent met een VPN), wat in sommige situaties kan helpen een timingaanval te voorkomen (zie hieronder).
• Een binnenkomend Tor-knooppunt kent niet uw echte IP-adres, maar ziet het adres van uw VPN-server. Dit is een extra beschermingsniveau (op voorwaarde dat u een anonieme VPN gebruikt die geen logbestanden bijhoudt).
• Toegang tot anonieme diensten Tor-netwerk (domein.onion).

Nadelen van Tor ten opzichte van VPN:

• Uw VPN-provider kent uw echte IP-adres.
• Er is geen bescherming tegen kwaadaardige Tor-exitknooppunten en niet-versleuteld verkeer kan worden onderschept en geanalyseerd.
• Tor-exitknooppunten zijn vaak IP-geblokkeerd.

Het is belangrijk op te merken dat u, om het gebruik van Tor voor de ogen van de provider te verbergen, niet alleen een VPN kunt gebruiken, maar ook Obfsproxy.

Deze configuratie omvat eerst verbinding maken met het TOR-netwerk en vervolgens een VPN via Tor gebruiken om toegang te krijgen tot het netwerk.

De verbindingsketen ziet er als volgt uit:

Uw apparaat -> VPN-> Tor -> VPN -> Internet

Voordelen van VPN ten opzichte van Tor:

• Omdat je verbinding maakt met VPN-server via Tor kan de VPN-aanbieder jouw echte IP-adres niet achterhalen, hij ziet alleen het adres van het exit-knooppunt van het Tor-netwerk. We raden ten zeerste aan om bij aankoop van een VPN-abonnement een anonieme betaalmethode (bijvoorbeeld bitcoins die door een mixer gaan) en Tor te gebruiken om toegang te krijgen tot de website van de VPN-aanbieder.
• Bescherming tegen kwaadaardige Tor-nodes, omdat gegevens bovendien worden gecodeerd met behulp van VPN.
• Toegang tot sites die verbindingen van Tor blokkeren
• Mogelijkheid om serverlocatie te selecteren
• Al het verkeer wordt via Tor geleid

Gebreken

• De VPN-service kan uw verkeer zien, maar kan dit niet aan u koppelen
• Uw ISP ziet dat verkeer naar een van de Tor-knooppunten wordt geleid. Dit vergroot de kans op een timingaanval enigszins.

Om een ​​VPN via Tor in te stellen kun je op twee manieren te werk gaan:

• Gebruik een standaard Tor-browser. Het nadeel van deze aanpak is dat je de Tor-browser altijd moet gebruiken en ingeschakeld moet houden als je met een VPN werkt.

• Installeer Tor Expert Bundle als een Windows-service. Deze installatie is iets ingewikkelder, maar je zorgt ervoor dat Tor altijd op je computer draait en het is niet nodig om de Tor-browser te starten voordat je verbinding maakt met de VPN

Een VPN via Tor instellen met behulp van de Tor Browser.

1. Start de Tor-browser, ga vervolgens naar het instellingenmenu (Opties). Geavanceerd -> Netwerk -> Instellingen. Het venster Proxy-instellingen wordt voor u geopend. Er is geen specifieke noodzaak om hier iets te veranderen. Het is duidelijk dat terwijl de Tor-browser is ingeschakeld, uw computer werkt als een SOCKS v5-proxy en verbindingen op poortnummer 9150 accepteert.

2. Vervolgens moet het nog aan ons worden aangegeven VPN-client gebruik Tor-proxy die op uw computer draait. In het geval van OpenVPN gebeurt dit in de programma-instellingen zoals in de schermafbeelding. Hetzelfde kan worden gedaan in het OpenVPN-configuratiebestand door de richtlijn op te geven sokken-proxy 127.0.0.1 9050

Een VPN via Tor instellen met behulp van de Expert Bundle.

Zorg voor een betrouwbare VPN, probeer het en je zult het krijgen volledige afwezigheid logbestanden, meer dan 100 servers, pure OpenVPN en nee toepassingen van derden. De service is geregistreerd in Hong Kong en alle servers zijn geregistreerd voor dummies.

Laat hieronder uw opmerkingen en vragen achter en volg ons op sociale netwerken

Hallo allemaal!

Nu komen we bij meer interessante dingen. In dit artikel bekijken we de mogelijkheden om Tor te combineren met VPN/SSH/Proxy.
Kortheidshalve zal ik verder overal VPN schrijven, omdat jullie allemaal geweldig zijn en de voor- en nadelen van VPN, SSH, Proxy al kennen, die we eerder hebben bestudeerd en.
We zullen twee verbindingsopties overwegen:

• eerst VPN, dan Tor;
• eerst Tor en dan VPN.

Ik zal het ook hebben over de Whonix OS-distributie, die de meest geavanceerde prestaties op het gebied van netwerkanonimiteit implementeert, omdat onder andere beide geanalyseerde schema's erin zijn geconfigureerd en werken.
Eerdere delen hier:
Deel 1: .
Deel 2: .
Deel 3: .

Laten we eerst enkele postulaten definiëren:
1. Het Tor-netwerk biedt een hoge mate van klantanonimiteit, onderworpen aan alle verplichte regels voor het gebruik ervan. Dit is een feit: er zijn nog geen echte publieke aanvallen op het netwerk zelf geweest.
2. Een vertrouwde VPN (SSH)-server garandeert de vertrouwelijkheid van de verzonden gegevens tussen hemzelf en de klant.
Voor het gemak bedoelen we in dit artikel dus dat Tor de anonimiteit van de klant garandeert, en VPN de vertrouwelijkheid van de verzonden gegevens.

Tor via VPN. Eerst VPN, dan Tor

In dit schema is de VPN-server een permanent invoerknooppunt, waarna het gecodeerde verkeer naar het Tor-netwerk wordt gestuurd. In de praktijk is het schema eenvoudig te implementeren: eerst maakt u verbinding met de VPN-server en start u vervolgens de Tor-browser, die automatisch de benodigde routering door de VPN-tunnel configureert.


Door dit schema te gebruiken, kunnen we het feit dat we Tor gebruiken voor onze internetprovider verbergen. We worden ook geblokkeerd voor het Tor-toegangsknooppunt, dat het VPN-serveradres zal zien. En in het geval van een theoretisch compromis van Tor worden we beschermd door de VPN-lijn, die uiteraard geen logs opslaat.
Het gebruik van een proxyserver in plaats van een VPN heeft geen zin: zonder de codering die door de VPN wordt geboden, zullen we bij een dergelijk plan geen significante voordelen behalen.

Het is vermeldenswaard dat internetproviders, specifiek om het Tor-verbod te omzeilen, zogenaamde bridges bedachten.
Bridges zijn knooppunten van het Tor-netwerk die niet in de centrale Tor-directory staan, dat wil zeggen bijvoorbeeld niet zichtbaar zijn en daardoor moeilijker te detecteren.
Hoe u bruggen configureert, wordt gedetailleerd beschreven.
De Tor-site zelf kan ons verschillende bruggen bieden op .
U kunt ook bridge-adressen per post ontvangen door te sturen naar: [e-mailadres beveiligd] of [e-mailadres beveiligd] brief met de tekst: “haal bruggen”. Zorg ervoor dat u deze brief per post van gmail.com of yahoo.com verzendt
Als reactie ontvangen wij een brief met hun adressen:
« Hier zijn uw brugrelais:
brug 60.16.182.53:9001
brug 87.237.118.139:444
brug 60.63.97.221:443»
Deze adressen moeten worden opgegeven in de instellingen van Vidalia, de Tor-proxyserver.
Soms komt het voor dat bruggen geblokkeerd zijn. Om dit te omzeilen introduceerde Tor zogenaamde ‘versluierde bruggen’. Zonder in detail te treden, zijn ze moeilijker te detecteren. Om er verbinding mee te maken, moet u bijvoorbeeld de Pluggable Transports Tor Browser Bundle downloaden.

Pluspunten schema's:

• we zullen het feit dat we Tor gebruiken verbergen voor de internetprovider (of verbinding maken met Tor als de provider dit blokkeert). Hiervoor zijn echter speciale bruggen;
• we zullen ons IP-adres verbergen voor het Tor-toegangsknooppunt en het vervangen door het adres van de VPN-server, maar dit is niet de meest effectieve verhoging van de anonimiteit;
• bij een theoretisch compromis van Tor blijven we achter de VPN-server staan.

Nadelen schema's:

• we moeten de VPN-server vertrouwen als er geen significante voordelen van deze aanpak zijn.

VPN via Tor. Eerst Tor, dan VPN

In dit geval is de VPN-server een permanente uitlaatklep voor internet.


Een soortgelijk verbindingsschema kan worden gebruikt om het blokkeren van Tor-knooppunten door externe bronnen te omzeilen, en het zou ons verkeer moeten beschermen tegen afluisteren van het Tor-uitgangsknooppunt.
Er zijn veel technische problemen bij het tot stand brengen van een dergelijke verbinding. Weet u bijvoorbeeld nog dat de Tor-keten elke 10 minuten wordt bijgewerkt of dat Tor UDP niet doorlaat? De meest haalbare optie voor praktische implementatie is het gebruik van twee virtuele machines (meer hierover hieronder).
Het is ook belangrijk op te merken dat elk exit-knooppunt de client gemakkelijk in de algemene stroom zal markeren, aangezien de meeste gebruikers naar verschillende bronnen gaan en bij gebruik van een soortgelijk schema de client altijd naar dezelfde VPN-server gaat.
Uiteraard heeft het gebruik van reguliere proxyservers na Tor niet zoveel zin, omdat het verkeer naar de proxy niet gecodeerd is.

Pluspunten schema's:

• bescherming tegen het afluisteren van verkeer op het Tor-exitknooppunt, maar de Tor-ontwikkelaars raden zelf aan om encryptie op applicatieniveau te gebruiken, bijvoorbeeld https;
• bescherming tegen het blokkeren van Tor-adressen door externe bronnen.

Nadelen schema's:

• complexe implementatie van de regeling;
• we moeten de exit-VPN-server vertrouwen.

Whonix-concept

Er zijn veel OS-distributies waarvan het hoofddoel is om anonimiteit en bescherming voor de klant op internet te bieden, bijvoorbeeld Tails en Liberte en anderen. De technologisch meest geavanceerde, voortdurend evoluerende en effectieve oplossing die de meest geavanceerde technieken implementeert om veiligheid en anonimiteit te garanderen, is echter de OS-distributie.
De distributie bestaat uit twee virtuele Debian-machines op VirtualBox, waarvan er één een gateway is die al het verkeer naar het Tor-netwerk stuurt, en de andere een geïsoleerd werkstation is dat alleen verbinding maakt met de gateway. Whonix implementeert het mechanisme van de zogenaamde isolerende proxyserver. Ook bestaat de mogelijkheid om de gateway en het werkstation fysiek te scheiden.

Omdat het werkstation zijn externe IP-adres op internet niet kent, kunt u hiermee veel kwetsbaarheden neutraliseren. Als malware bijvoorbeeld root-toegang tot het werkstation krijgt, heeft deze niet de mogelijkheid om het echte IP-adres te achterhalen. Hier is een diagram van de werking van Whonix, afkomstig van de officiële website.


Whonix OS heeft volgens de ontwikkelaars met succes alle mogelijke lektests doorstaan. Zelfs applicaties zoals Skype, BitTorrent, Flash en Java, bekend om hun vermogen om toegang te krijgen tot het open internet zonder Tor te omzeilen, zijn ook met succes getest op de afwezigheid van de-anonimiserende datalekken.
Whonix OS implementeert veel nuttige anonimiteitsmechanismen, ik zal de belangrijkste noemen:

• al het verkeer van alle applicaties gaat via het Tor-netwerk;
• Om te beschermen tegen verkeersprofilering implementeert Whonix OS het concept van threadisolatie. Vooraf geïnstalleerde applicaties van Whonix zijn geconfigureerd om een ​​afzonderlijke Socks-poort te gebruiken, en aangezien elke Socks-poort een afzonderlijke keten van knooppunten in het Tor-netwerk gebruikt, is profilering onmogelijk;
• Er wordt beveiligde hosting van Tor Hidden-services aangeboden. Zelfs als een aanvaller de webserver hackt, kan hij de privésleutel van de ‘Hidden’-service niet stelen, aangezien de sleutel is opgeslagen op de Whonix-gateway;
• Whonix is ​​beschermd tegen DNS-lekken omdat het een geïsoleerd proxy-principe gebruikt in zijn architectuur. Alle DNS-verzoeken worden doorgestuurd naar Tor's DnsPort;
• Whonix ondersteunt de eerder besproken ‘versluierde bruggen’;
• Er wordt gebruik gemaakt van ‘Protocol-lekbescherming en vingerafdrukbescherming’-technologie. Dit vermindert het risico op klantidentificatie door het creëren van een digitale vingerafdruk van de browser of het systeem door gebruik te maken van de meest gebruikte waarden, bijvoorbeeld gebruikersnaam – “gebruiker”, tijdzone – UTC, enz.;
• het is mogelijk om andere anonieme netwerken te tunnelen: Freenet, I2P, JAP, Retroshare via Tor, of rechtstreeks met elk dergelijk netwerk te werken. Meer gedetailleerde informatie over de kenmerken van dergelijke verbindingen vindt u op de link;
• Het is belangrijk op te merken dat Whonix alle schema's voor het combineren van VPN/SSH/Proxy met Tor heeft getest, gedocumenteerd en, belangrijker nog, werkt (!) Meer gedetailleerde informatie hierover kunt u verkrijgen via de link;
• Whonix OS is een volledig open source-project dat gebruik maakt van gratis software.

Het is echter vermeldenswaard dat Whonix OS ook zijn nadelen heeft:

• complexere opzet dan Tails of Liberte;
• er zijn twee virtuele machines of afzonderlijke fysieke hardware vereist;
• vereist meer aandacht voor onderhoud. U moet drie besturingssystemen controleren in plaats van één, wachtwoorden opslaan en het besturingssysteem bijwerken;
• In Whonix werkt de knop ‘Nieuwe identiteit’ in Tor niet. Feit is dat de Tor-browser en Tor zelf geïsoleerd zijn op verschillende machines, daarom heeft de knop “Nieuwe identiteit” geen toegang tot Tor-beheer. Om een ​​nieuwe knooppuntketen te gebruiken, moet je de browser sluiten, de keten wijzigen met Arm, het Tor-configuratiescherm, Vidalia's equivalent in de Tor Browser, en de browser opnieuw starten.

Het Whonix-project wordt los ontwikkeld van het Tor-project en andere applicaties die daar deel van uitmaken, Whonix zal daarom niet beschermen tegen kwetsbaarheden in het Tor-netwerk zelf of bijvoorbeeld een 0-day-kwetsbaarheid in de firewall, Iptables.

De veiligheid van Whonix is ​​te omschrijven

In het licht van gebeurtenissen met betrekking tot internettoegangsbeperkingen, censuur en het blokkeren van sites, acht ik het noodzakelijk om u een vertaling te presenteren van een vergelijkend artikel over VPN-services uit de LifeHacker-bron.

Privé-internettoegang

Dit is onze favoriete service, en afgaande op het aantal prijzen dat ze hebben verzameld, ook die van jou. PIA biedt niet alleen verkeersversleuteling, maar ook anonimisering in combinatie met ontkoppeling van de regionale locatie. U kunt een uitvoerserver kiezen uit een lijst van bijna 1000 servers (in 10 verschillende landen). PIA slaat geen logbestanden op, verbiedt geen protocollen of IP-adressen en slaat geen informatie op over gebruikersacties. Ze ondersteunen ook verschillende autorisatiemethoden, bijna alle besturingssystemen (mobiel en desktop), en de kosten van services beginnen vanaf $ 7 per maand. Je kunt maximaal vijf verschillende apparaten aansluiten.

TorGuard

De dienst biedt keuze uit verschillende soorten servers voor verschillende soorten acties. Servers die het torrent-protocol ondersteunen – voor het downloaden van gegevens, servers met encryptie en anonimiteit – om een ​​veilig en privé bezoek aan het netwerk te garanderen, enz. Speciale aandacht richt zich op de kwestie van DNS-lekken - ze bieden zelfs hun eigen test ter verificatie. Kosten van vol VPN-service begint vanaf $ 10 per maand, en als je gespecialiseerde nodig hebt, zullen ze iets goedkoper zijn. De dienst heeft ruim 200 verkooppunten in 18 landen, geen logs, en bovendien beweren ze dat hun netwerk zo is geconfigureerd dat ze zelf geen idee hebben wat hun gebruikers op dit moment doen. Ze ondersteunen ook bijna alle besturingssystemen (mobiel en desktop) en bieden ook een gecodeerde e-mailservice.

IPVanish-VPN

Een interessant kenmerk van de dienst is het gebruik van gedeelde IP-adressen. Dit maakt het erg moeilijk om te identificeren welke gebruikers wat doen. Daarnaast beschikt de dienst over meer dan honderd outputservers in 47 verschillende landen en kan de gebruiker een outputserver kiezen als hij bijvoorbeeld behoefte heeft aan specifiek land. De software ondersteunt OS X, Windows, Ubuntu, iOS en Android. Daarnaast biedt de service configuratiehulpprogramma's waarmee u uw thuisrouter om ermee te werken. De kosten van de dienst bedragen $ 10/maand, en het is mogelijk om er twee aan te sluiten verschillende apparaten als ze verschillende protocollen gebruiken.

CyberGhost-VPN

De dienst bestaat al heel lang en beweert, net als andere deelnemers aan de beoordeling, geen logbestanden en geen beperkingen te hebben op protocoltypen en verkeer. De dienst biedt keuze uit uitvoerservers in 23 verschillende landen. Interessant is dat de service ook biedt gratis diensten, En gratis gebruikers ze kunnen het niet alleen gebruiken zonder verkeersbeperkingen, maar ze kunnen zelfs het land van de uitvoerserver kiezen ( vrije keuze bestaat uit 14 landen in plaats van 23, wat ook niet slecht is). De dienst ondersteunt vrijwel alle besturingssystemen.
Het enige verschil tussen gratis accounts is dat ze na 3 bedrijfsuren worden uitgeschakeld en alleen met de officiële client kunnen werken. De kosten van de service beginnen bij $ 7/maand; als u meer dan één apparaat moet aansluiten, moet u extra betalen.

Doe-het-zelf

Sommige mensen zijn van mening dat als iets correct moet worden gedaan, het beter is om het zelf te doen; en degenen onder hen die voldoende IT-vaardig zijn, kunnen eenvoudig hun eigen VPN-server maken. Als u geen uitvoerservers in verschillende landen nodig heeft, kunt u uw service organiseren met gebruik van OpenVPN of andere opties met open bron. Veel routers ondersteunen het OpenVPN-protocol, terwijl andere kunnen worden geïnstalleerd met aangepaste DD-WRT- of Tomato-firmware. Deze optie biedt u volledige controle over encryptie, toegang en andere connectiviteitsproblemen.

Andere diensten

Andere diensten omvatten het volgende:

Hideman VPN – platformonafhankelijk, geen logboekregistratie

Tunnelbear biedt onder andere een browser-add-on

AirVPN is misschien wel de meest veelzijdige dienst

VyprVPN is een goede dienst, maar ze houden logs bij van gebruikersactiviteiten

Mullvad is een Zweedse aanbieder die betalingen in Bitcoin accepteert voor meer anonimiteit. De servicekosten bedragen 5 euro/maand, voor uitvoerservers is er keuze uit vier landen.

25% privé-internettoegang
24% TorGuard
23% IPVanish
19% CyberGhost
09% doe-het-zelf