Vijf beste VPN-services. Tor versus VPN: het een, het ander of allebei? VPN en dubbele protocolstack

Daar wil ik eerst op wijzen dit onderwerp is zeer uitgebreid, en hoe ik ook probeer alles zo beknopt mogelijk over te brengen, maar tegelijkertijd zonder de nodige details te missen en het tegelijkertijd zo duidelijk mogelijk te presenteren voor de gemiddelde gebruiker, dit artikel zal toch wees vol met verschillende technische details en voorwaarden, waarvoor u naar Google moet gaan. Er wordt ook aangenomen dat de lezer op zijn minst bekend is met de basisaspecten van het functioneren van de meeste populaire diensten en het mondiale netwerk zelf.

Wat is anonimisering eigenlijk?
Naast de ophefmakende meningen in alle hoeken van het internet over de verhulling IP-adressen er zijn nog veel meer details. Over het algemeen hebben alle methoden en middelen voor anonimiteit tot doel de aanbieder te verbergen. Waarmee het al mogelijk is om de fysiek exacte locatie van de gebruiker te verkrijgen, met aanvullende informatie over hem (IP, browservingerafdrukken, logs van zijn activiteit in een bepaald netwerksegment, enz.). En ook de meeste methoden en middelen zijn gericht op het maximaliseren van het verbergen/niet-openbaar maken van deze indirecte informatie, waardoor het later mogelijk zal zijn om dit aan de aanbieder van de gewenste gebruiker te vragen.

Wat zijn de manieren om uw online aanwezigheid te anonimiseren?
Als we het hebben over afzonderlijke anonimiseringseenheden (er zijn immers ook schema's in de vorm van het combineren van een of andere manier van anonimiteit), kunnen we het volgende benadrukken:
1) Proxy-servers- er zijn verschillende soorten, met zijn eigen kenmerken. Er is een aparte FAQ en andere onderwerpen op het forum voor hen;
2) VPN-diensten— ze werken ook met verschillende protocollen, waaruit providers kunnen kiezen; zie hieronder de verschillen en kenmerken;
3) SSH-tunnels, zijn oorspronkelijk gemaakt (en functioneren nog steeds) voor andere doeleinden, maar worden ook gebruikt voor anonimisering. Het werkingsprincipe lijkt veel op VPN's, dus in dit onderwerp zullen alle gesprekken over VPN's deze ook impliceren, maar ze zullen later worden vergeleken;
4) Toegewijde servers— het belangrijkste voordeel is dat het probleem van het openbaar maken van de verzoekgeschiedenis van het knooppunt van waaruit de acties werden uitgevoerd verdwijnt (zoals het geval kan zijn bij VPN/SSH of een proxy);
5) Geweldig en verschrikkelijk Tor;
6) - een anoniem, gedecentraliseerd netwerk dat bovenop internet werkt en geen gebruik maakt van IP-adressering(zie hieronder voor details);
7) Andere middelen - anonieme netwerken, anonimisatoren etc. Vanwege hun gebrek aan populariteit zijn ze nog niet bestudeerd (en hebben ze daarom geen relatieve garantie op betrouwbaarheid) door de gemeenschap, maar ze zijn behoorlijk veelbelovend, zie ook hieronder over hen;

Wat is de moeite waard om te verbergen, of wat zijn de-anonimisering van gegevens en methoden om deze te verkrijgen?
Ik zou meteen willen opmerken dat alle (tenminste elementaire) middelen en methoden voor het verbergen van gegevens in de onderstaande lijst aan bod zullen komen in de resterende vragen van deze FAQ. Ik zou ook uw aandacht willen vestigen op een interessante bron, die gewijd is aan de vragen welke informatie we online over onszelf achterlaten wanneer we inloggen op verschillende apparaten;
1)IP-adres, of de meest populaire identificatie op internet. Maakt het mogelijk om de provider van de gebruiker te vinden en zijn exacte adres te achterhalen via hetzelfde IP-adres;
2)IP DNS-provider , die kan worden "verloren" via een methode genaamd ( DNS-lekken). Het is belangrijk op te merken dat deze lekkage kan optreden tijdens het verlijmen HTTP/SOKKEN4(5 in sommige gevallen) + Tor! Daarom moet je hier bijzonder voorzichtig zijn;
3) Als het meeste verkeer lange tijd online gaat via één knooppunt, bijvoorbeeld dezelfde Tor, dan kun je zogenaamde profilering uitvoeren - bepaalde activiteit toeschrijven aan een bepaald pseudoniem, dat via andere kanalen kan worden geïdentificeerd;
4) Luisteren naar verkeer op het uitgangsknooppunt of (man in het midden);
5) Gelijktijdige verbinding met anonieme en open kanalen kan in sommige situaties problemen veroorzaken. Als de verbinding van de client bijvoorbeeld wordt verbroken, zullen beide kanalen stoppen met functioneren en zal het mogelijk zijn om op de server te bepalen vereiste adres, waarbij het tijdstip wordt vergeleken waarop gebruikers de verbinding verbraken (dit is echter een nogal hemorragische en verre van nauwkeurige methode voor de-anonimisering);
6) Het deanonimiseren van activiteiten in een anonieme sessie - gebruik maken van openbare diensten, vooral degenen die al informatie over deze gebruiker hebben;
7)MAC-adres wie ontvangt WiFi-hotspot wanneer u er verbinding mee maakt (of er kan een back-up van worden gemaakt door schakelaars van een van de lokale netwerken waarmee toegang tot internet is verkregen);
8) Informatie van browsers:

  • Koekjes- dit zijn tekstbestanden met enkele gegevens (meestal uniek voor elke gebruiker) die door een applicatie (vaak een browser) worden opgeslagen voor verschillende taken, bijvoorbeeld authenticatie. Het komt vaak voor dat de client de bron eerst bezocht vanuit een open sessie, de browser cookies opsloeg en vervolgens verbinding maakte vanuit een anonieme sessie, waarna de server de cookies kan matchen en de client kan achterhalen;
  • Flits, Java, Adobe Reader — de eerste drie plug-ins kunnen over het algemeen worden onderscheiden als individuele toepassingen browsergebaseerd. Ze kunnen proxy's omzeilen ( DNS-lekken), markeer IP ( IP-lekken), creëer je eigen schijn van langlevende cookies, etc. Ook dienen ze alle drie (vooral Flash maakt zich hier schuldig aan) vaak als hulpmiddel bij het misbruiken van sommige 0-day of 1-day kwetsbaarheden, waardoor je soms het systeem zelf binnendringen;
  • JavaScript- uitgevoerd aan de clientzijde, heeft niet zo'n breed scala aan mogelijkheden in termen van deanon, hoewel het nauwkeurige informatie kan bieden over het besturingssysteem, het type en de versie van de browser, en ook toegang heeft tot een aantal browsertechnologieën die ook, lek bijvoorbeeld het IP-adres;
  • Browser-vingerafdruk of browservingerafdruk— een reeks gegevens die de browser voortdurend aan de server verstrekt wanneer hij ermee werkt, en die een vrij unieke “digitale vingerafdruk” kan vormen waarmee het mogelijk zal zijn de gebruiker zelfs in een anonieme sessie of later, na het verlaten ervan, te vinden;

Waarin verschilt een VPN van een proxy?
1) Verkeer tussen de client en de proxy wordt in duidelijke tekst verzonden met behulp van een VPN, encryptie is al aan de gang;
2) Stabiliteit - bij het maken van een VPN-verbinding is deze meestal constant, er worden zelden verbroken, bij proxy's komen ze relatief vaker voor. Maar het hangt allemaal af van de aanbieder;
3) Naast het versleutelen van de verbinding biedt VPN een meer anonieme dienst in de zin dat de DNS-servers van de VPN-dienst worden gebruikt en er geen openbaarmaking van privégegevens zoals DNS-lekken kan plaatsvinden, wat niet erger is dan het openbaar maken van het IP-adres. Het is waar dat SOCKS5 en SOCKS4a proxy's dezelfde mogelijkheid hebben om de DNS-service over te dragen naar een proxyserver;
4) VPN-diensten houden geen logboeken bij of houden deze slechts voor zeer korte perioden bij en niet in detail (althans dat is wat ze zeggen), de meeste proxyservers doen dergelijke beloften niet;

Hoe effectief is een keten van proxyservers?
Het is eerder ineffectief als we ons concentreren op de verhouding tussen de toename van de deanonimiseringstijd en de afname van de verbindingssnelheid van de uiteindelijke bron naar de client. Bovendien verdwijnen vrijwel alle de-anonimiseringsnadelen die inherent zijn aan proxyservers niet wanneer er soortgelijke ketens van worden opgebouwd. Daarom kunnen we concluderen dat het beter is om deze methode niet te gebruiken bij het bereiken van anonimiteit.

De FAQ over proxyservers zegt niets over SOCKS4a, waarom is dit nodig?
Dit is een tussenversie tussen SOCKS 4 en 5, waarin alles op dezelfde manier functioneert als 4, behalve dat SOCKS4a alleen domeinnaam in plaats van het IP-adres van de bron, wordt dit zelf opgelost.

Kunt u ons meer vertellen over de kenmerken, voor- en nadelen van het huren van dedicated servers?
Een dedicated server is niet bedoeld voor anonimisering, maar voor het hosten van applicaties, diensten en al het andere dat de klant nodig acht. Het is belangrijk op te merken dat de huurder wordt voorzien van een aparte fysieke machine, die hem enige garantie geeft op volledige controle over dit knooppunt en een belangrijk voordeel creëert op het gebied van anonimiteit: het vertrouwen dat de aanvraaggeschiedenis nergens zal lekken.
Gezien het bovenstaande en andere punten kunnen een aantal voordelen worden geïdentificeerd van dit product vanuit een anonimiseringsoogpunt:
1) Het opzetten van een HTTP/SOCKS-proxy of SSH/VPN-verbinding naar keuze;
2) Controle van de aanvraaggeschiedenis;
3) Bespaart u een aanval via Flash, Java, JavaScript, als u een externe browser gebruikt;
Welnu, er zijn ook nadelen:
1) Zeer dure methode;
2) In sommige landen kan anonimiteit niet a priori worden gegarandeerd, omdat de huurder persoonlijke informatie moet verstrekken: paspoort, creditcard, enz.;
3) Alle verbindingen met een speciale server worden geregistreerd door de provider, dus hier ontstaat een volmacht van een iets ander type;

Via welke protocollen werk in uitvoering in VPN's en welke functies hebben ze?
Het is beter om meteen de bestaande VPN-opties te overwegen, dat wil zeggen welke bundels en technologieën door providers worden aangeboden, tenzij we ons natuurlijk ten doel stellen onze kennis van de theorie van netwerkprotocollen te vergroten (hoewel er opties zijn die één enkel protocol gebruiken, die we ook zullen overwegen).
SSL (Veilige socketlaag) Secure Sockets Protocol - maakt gebruik van gegevensbeveiliging met openbare sleutels om de identiteit van de zender en ontvanger te verifiëren. Zorgt voor een betrouwbare gegevensoverdracht door het gebruik van correctiecodes en veilige hash-functies. Een van de eenvoudigste en ‘laag-anonimiteit’-protocollen voor VPN-verbindingen, voornamelijk gebruikt door VPN-clienttoepassingen. Vaker is het onderdeel van een of andere deal bij het maken van een VPN-verbinding.
PPTP (Point-to-Point-tunnelprotocol) - wordt het vaakst gebruikt, is vrij snel, eenvoudig te configureren, maar wordt als het minst veilig beschouwd in vergelijking met zijn andere tegenhangers.


L2TP (Laag 2-tunnelprotocol) + IPSec(IPSec wordt vaak weggelaten uit de naam als hulpprotocol). L2TP zorgt voor transport en IPSec is verantwoordelijk voor de encryptie. Deze verbinding heeft een sterkere codering dan PPTP, is bestand tegen PPTP-kwetsbaarheden en garandeert ook berichtintegriteit en partijauthenticatie. Er zijn VPN's die alleen op IPSec of alleen L2TP zijn gebaseerd, maar uiteraard bieden L2TP + IPSec meer beveiligings- en anonimiseringsmogelijkheden dan elk afzonderlijk.



OpenVPN- veilig, open en daarom wijdverbreid, stelt u in staat veel blokkades te omzeilen, maar vereist een afzonderlijke softwareclient. Technisch gezien is dit geen protocol, maar een implementatie van VPN-technologie. voert alle netwerkoperaties uit TCP of UDP vervoer. Het is ook mogelijk om via de meeste proxyservers, waaronder HTTP, SOCKS, te werken NAT en overspanningsbeveiligers. Om controlekanaal- en draadbeveiliging te garanderen OpenVPN-gegevens gebruikt SSLv3/TLSv1.
SSTP- zo veilig als OpenVPN, vereist geen aparte client, maar is zeer beperkt in platforms: Vista SP1, Win7, Win8. Kapselt PPP-frames V IP-datagrammen voor verzending via het netwerk. Om de tunnel te beheren en PPP-dataframes te verzenden, gebruikt SSTP TCP-verbinding(poort 443). Het SSTP-bericht is gecodeerd met een SSL-protocolkanaal HTTPS.


Afzonderlijk is het de moeite waard om diensten op te merken die diensten leveren zoals "DoubleVPN", wanneer verkeer voordat het het gewenste knooppunt bereikt, via 2 verschillende VPN-servers in verschillende regio's gaat. Of er is een nog moeilijkere oplossing: “QuadVPN”, wanneer er 4 servers worden gebruikt, die de gebruiker zelf kan kiezen en in de volgorde kan rangschikken die hij nodig heeft.

Wat zijn de nadelen van VPN’s?
Het is natuurlijk niet zo anoniem als sommige andere diensten zoals Tor, en niet alleen omdat het algoritme en het schema anders zijn. Bovendien zult u bij het gebruik van een VPN in kritieke situaties meer moeten vertrouwen op de gewetensvolle uitvoering van de taken van deze dienst (minimale logboekregistratie, werken zonder verkeersback-ups, enz.).
Het volgende punt is dat hoewel een VPN in de meeste gevallen IP verbergt, het ook voorkomt DNS-lek, maar er zijn situaties waarin deze anonimiseringsmethode zal mislukken. Namelijk:
1) IP-lek via WebRTC - werkt gegarandeerd op Chrome en Mozilla en geïmplementeerd via regulier JavaScript;
2) IP-lek via Flash, dat een verbinding met de server tot stand bracht en het IP-adres van de client ernaar overbracht, waarbij de VPN werd omzeild (hoewel dit niet altijd werkt);
Hoewel deze gevallen kunnen worden voorkomen door JS, Flash en Java in uw browser uit te schakelen;
3) Bij gebruik klantinstellingen wanneer de verbinding verbroken wordt, zal het surfen op het netwerk standaard, in tegenstelling tot proxyservers, direct doorgaan en niet langer via een virtueel kanaal, dat wil zeggen dat het een complete ramp zal zijn;
Maar dit kan worden vermeden door de routeringstabel aan te passen, waarbij alleen de VPN-servergateway wordt opgegeven als de standaard standaardgateway, of door de firewall opnieuw te configureren.

Wat is het verschil tussen SSH-tunnels en VPN's?
Een SSH-tunnel is niets meer dan een verbinding die is gecodeerd met behulp van het SSH-protocol, waarbij gegevens aan de clientzijde worden gecodeerd en bij de ontvanger worden gedecodeerd ( SSH-servers). Het is gemaakt voor veilig beheer op afstand van het besturingssysteem, maar zoals hierboven al geschreven, wordt het ook gebruikt voor anonimisering. Ondersteunt 2 bedieningsopties: door een HTTP/SOCKS-proxy door de applicatie te implementeren om verkeer via een lokale proxyserver naar een SSH-tunnel te leiden. Of er is een creatie van een bijna volwaardige (je zou iets soortgelijks kunnen zeggen, als we nemen nieuwste versies SSH en OpenSSH) VPN-verbindingen.


VPN is ontwikkeld om veilige toegang op afstand te bieden tot bronnen van bedrijfsnetwerken, en daarom wordt een computer die is aangesloten op de VPN-server onderdeel van het lokale netwerk en kan hij de diensten ervan gebruiken.


Dat wil zeggen dat, afgezien van de technische ondergeschikte aspecten, de werkingsprincipes vergelijkbaar zijn. En het belangrijkste verschil is dat Een SSH-tunnel is een point-to-point-verbinding, terwijl een VPN-verbinding een apparaat-naar-netwerk-verbinding is(hoewel specialisten naar eigen goeddunken opnieuw kunnen configureren).

Hoe werkt Tor vanaf de clientkant?
Er zijn veel variaties in de antwoorden op deze vraag op internet, maar ik wil proberen de basisprincipes zo eenvoudig en beknopt mogelijk te presenteren, zodat de lezer niet door bergen analytische en complexe informatie hoeft te graven.
Tor is een systeem van routers dat alleen toegankelijk is voor klanten van Tor zelf, via een keten waarvan de klant verbinding maakt met de bron die hij nodig heeft. Met standaardinstellingen is het aantal knooppunten drie. maakt gebruik van codering op meerdere niveaus. Op basis van deze kenmerken kunnen we kort het algemene schema beschrijven voor het leveren van een datapakket van de client aan de gevraagde bron via 3 knooppunten (dat wil zeggen, met standaardinstellingen): het pakket wordt eerst sequentieel gecodeerd met drie sleutels: eerst voor de derde knooppunt, dan voor de tweede en tenslotte voor de eerste. Wanneer het eerste knooppunt het pakket ontvangt, decodeert het de “bovenste” laag van het cijfer (zoals het pellen van een ui) en weet het waar het pakket vervolgens naartoe moet worden gestuurd. De tweede en derde server doen hetzelfde. En de overdracht van gecodeerde gegevens tussen tussenliggende routers wordt uitgevoerd via SOCKS-interfaces, wat anonimiteit garandeert in combinatie met dynamische herconfiguratie van routes. En in tegenstelling tot statische proxyketens is configuratie uien routers kan bij vrijwel elk nieuw verzoek veranderen, wat de decaan alleen maar ingewikkelder maakt.

Wat zijn de voor- en nadelen van Tor?
Onder de voordelen is het de moeite waard om te benadrukken:
1) Een van de hoogste niveaus van anonimiteit (met de juiste configuratie), vooral in combinatie met andere methoden zoals VPN;
2) Gemakkelijk te gebruiken - downloaden, gebruiken (je kunt het zelfs doen zonder speciale instellingen);
Gebreken:
1) Relatief lage snelheid, aangezien het verkeer door een keten van knooppunten gaat, vindt decodering elke keer plaats en kan het geheel via een ander continent gaan;
2) Uitvoerverkeer kan worden afgeluisterd en indien niet gebruikt HTTPS, dan is het geweldig om te filteren voor analyse;
3) Het helpt mogelijk niet als plug-ins zijn ingeschakeld - Flits, Java en zelfs van JavaScript, maar de makers van het project raden aan deze dingen uit te schakelen;
4) Beschikbaarheid van beheerservers;

Als een site Tor detecteert, kan ik dan op geen enkele manier anoniem toegang krijgen tot deze site?
Er zijn twee manieren om op zo'n site te komen. Door gebruik te maken van een geavanceerder schema dat dit bezoek de facto nog anoniemer maakt: een link Tor ⇢VPN, Kan Tor ⇢ Proxy, als je geen extra anonimiteit nodig hebt, maar alleen het feit dat je het gebruik van Tor voor de siteserver verbergt, maar je moet het in deze volgorde gebruiken. Het blijkt dat het verzoek eerst via uienhosts gaat en vervolgens via VPN/Proxy, maar uiteindelijk lijkt het erop dat het gewoon zo is VPN/Proxy(of zelfs een gewone verbinding).
Maar het is vermeldenswaard dat de interactie van deze verbindingen verhitte discussies op forums veroorzaakt; hier is het gedeelte over Tor en VPN op de website van het uienproject.


Of u kunt de zogenaamde bruggen (bruggen) knooppunten zijn die niet in de centrale Tor’a-directory staan, kunt u zien hoe u ze kunt configureren;

Is het mogelijk om op de een of andere manier het gebruik van Tor voor de provider te verbergen?
Ja, de oplossing zal bijna volledig vergelijkbaar zijn met de vorige, alleen zal het schema in de omgekeerde volgorde werken en zal de VPN-verbinding “ingeklemd” worden tussen Tor’a-clients en het netwerk van uienrouters. Een bespreking van de implementatie van een dergelijk schema in de praktijk is te vinden op een van de projectdocumentatiepagina's.

Wat moet u weten over I2P en hoe werkt dit netwerk?
I2P- een gedistribueerd, zelforganiserend netwerk gebaseerd op de gelijkheid van zijn deelnemers, gekenmerkt door encryptie (in welke stadia het plaatsvindt en op welke manieren), intermediaire variabelen (hops), worden nergens gebruikt IP-adressen. Het heeft zijn eigen websites, forums en andere diensten.
In totaal worden er vier coderingsniveaus gebruikt bij het verzenden van een bericht ( door, knoflook, tunnel, en ook encryptie van de transportlaag), vóór de codering, wordt automatisch een klein willekeurig aantal willekeurige bytes aan elk netwerkpakket toegevoegd om de verzonden informatie verder te anonimiseren en pogingen om de inhoud te analyseren en verzonden netwerkpakketten te blokkeren te bemoeilijken.
Al het verkeer wordt door tunnels gevoerd: tijdelijke unidirectionele paden die door een aantal knooppunten lopen en die inkomend of uitgaand kunnen zijn. De adressering vindt plaats op basis van gegevens uit de zogenaamde netwerkdatabase NetDb, die in één of andere mate over alle klanten verdeeld is I2P. NetDb bevat:

  • Routerinfo— contactgegevens van routers (clients) worden gebruikt om tunnels te bouwen (ter vereenvoudiging zijn dit cryptografische identificatiegegevens van elk knooppunt);
  • LeaseSets— contactgegevens van ontvangers, gebruikt om uitgaande en inkomende tunnels met elkaar te verbinden.

Het principe van interactie tussen de knooppunten van dit netwerk.
Fase 1. Knooppunt “Kate” bouwt uitgaande tunnels. Hij wendt zich tot NetDb voor gegevens over routers en bouwt met hun deelname een tunnel.


Fase 2. Boris bouwt een invoertunnel op dezelfde manier als een uitgaande tunnel. Vervolgens publiceert het zijn coördinaten of zogenaamde "LeaseSet" naar NetDb (merk hier op dat de LeaseSet door de uitgaande tunnel wordt gevoerd).


Fase 3. Wanneer “Kate” een bericht naar “Boris” stuurt, vraagt ​​hij de LeaseSet van “Boris” op in NetDb. En het stuurt het bericht via uitgaande tunnels door naar de gateway van de ontvanger.


Het is ook vermeldenswaard dat I2P de mogelijkheid heeft om toegang te krijgen tot internet via een speciale Outproxy, maar deze zijn niet officieel en zijn, op basis van een combinatie van factoren, zelfs slechter dan Tor-exitknooppunten. Ook zijn interne sites in het I2P-netwerk toegankelijk vanaf het externe internet via een proxyserver. Maar bij deze toegangs- en uitgangspoorten is de kans groot dat u enige anonimiteit verliest, dus u moet voorzichtig zijn en dit indien mogelijk vermijden.

Wat zijn de voor- en nadelen van een I2P-netwerk?
Voordelen:
1) Hoge mate van klantanonimiteit (bij redelijke instellingen en gebruik);
2) Volledige decentralisatie, wat leidt tot netwerkstabiliteit;
3) Vertrouwelijkheid van gegevens: end-to-end-codering tussen de opdrachtgever en de geadresseerde;
4) Een zeer hoge mate van anonimiteit van de server (bij het aanmaken van een bron), het IP-adres is niet bekend;
Gebreken:
1) Lage snelheid En grote tijd antwoord;
2) “Je eigen internet” of gedeeltelijke isolatie van internet, met de mogelijkheid om daar te komen en een verhoogde kans op deanon;
3) Beschermt niet tegen aanvallen via plug-ins ( Java, flits) En JavaScript, als u ze niet uitschakelt;

Welke andere diensten/projecten zijn er om anonimiteit te garanderen?

  • Freenet - peer-to-peer-netwerk gedistribueerde gegevensopslag;
  • GNUnet is een gecoördineerde set software voor peer-to-peer-verbindingen waarvoor geen servers nodig zijn;
  • JAP - Johannes Donim, gebaseerd op Tor;
  • — platformonafhankelijke software voor de serverloze uitwisseling van brieven, instant messages en bestanden met behulp van een gecodeerd peer-to-peer F2F-netwerk (friend-to-friend);
  • Perfect Dark is een Japanse client voor Windows voor het delen van bestanden. Anonimiteit van het netwerk Perfect donker is gebaseerd op de weigering om directe verbindingen tussen eindklanten te gebruiken, het onbekende IP-adressen en volledige encryptie van al het mogelijke;

De volgende drie projecten zijn vooral interessant omdat ze tot doel hebben de gebruiker te verbergen door zichzelf te bevrijden van de providerafhankelijkheid van een internetverbinding, door de aanleg van draadloze netwerken. Het internet zal dan immers nog meer zelforganiserend worden:

  • Netsukuku - Netwerkelektronica-technicus, bekwaam in ultieme moord, nutsvoorzieningen en kamikaze-uplinking;
  • B.A.T.M.A.N - Betere benadering van mobiele ad-hocnetwerken;

Zijn die er? alomvattende oplossingen om anonimiteit te garanderen?
Naast bundels en combinaties van verschillende methoden, zoals Tor+VPN hierboven beschreven, kunt u Linux-distributies gebruiken die zijn afgestemd op deze behoeften. Het voordeel van een dergelijke oplossing is dat ze de meeste van deze gecombineerde oplossingen al hebben, alle instellingen zijn ingesteld om ervoor te zorgen maximale hoeveelheid grenzen voor deanonymizers, alle potentieel gevaarlijke diensten en software zijn verwijderd, nuttige diensten zijn geïnstalleerd, sommige hebben, naast de documentatie, pop-uptips waardoor u laat in de nacht uw waakzaamheid niet verliest.
Op basis van mijn ervaring en die van enkele andere deskundige mensen zou ik voor de Whonix-distributie kiezen, omdat deze de nieuwste technieken bevat om anonimiteit en veiligheid op het netwerk te garanderen, voortdurend evolueert en een zeer flexibele configuratie heeft voor alle gelegenheden van leven en dood. Het heeft ook een interessante architectuur in de vorm van twee assemblages: Poort En Werkstation, die samen functioneren. Het belangrijkste voordeel hiervan is dat, indien aanwezig 0-dag in Tor of het besturingssysteem zelf, waarmee ze zullen proberen de verborgen gebruiker te onthullen Whonix, dan wordt alleen het virtuele werkstation “geanonimiseerd” en ontvangt de aanvaller “zeer waardevolle” informatie zoals IP-adres 192.168.0.1 En Mac-adres 02:00:01:01:01:01.


Maar je moet betalen voor de aanwezigheid van dergelijke functionaliteit en flexibiliteit in de configuratie - dit bepaalt de complexiteit van de besturingssysteemconfiguratie, en daarom wordt deze soms onderaan de topbesturingssystemen geplaatst voor anonimiteit.
Gemakkelijker op te zetten analogen zijn de vrij bekende die worden aanbevolen door Snowden en Liberte, die ook met succes voor deze doeleinden kunnen worden gebruikt en die een zeer goed arsenaal hebben om anonimiteit te garanderen.

Zijn er nog andere overwegingen bij het bereiken van anonimiteit?
Ja, dat heb ik gedaan. Er zijn een aantal regels waaraan het raadzaam is om zich zelfs in een anonieme sessie te houden (als het doel is om vrijwel volledige anonimiteit te bereiken natuurlijk) en maatregelen die moeten worden genomen voordat u aan deze sessie begint. Nu zullen we er meer in detail over schrijven.
1) Bij gebruik VPN, proxy enz. Stel de instellingen altijd in op statisch gebruik DNS-servers serviceprovider om DNS-lekken te voorkomen. Of stel de juiste instellingen in de browser in of firewall;
2) Gebruik geen permanente Tor-ketens, verander regelmatig uitvoerknooppunten (VPN-servers, proxyservers);
3) Schakel bij gebruik van de browser, indien mogelijk, alle plug-ins (Java, Flash, enkele andere Adobe-producten) en zelfs JavaScript uit (als het doel is om de risico's van deanon volledig te minimaliseren), en schakel ook het gebruik van cookies en geschiedenis uit bewaren, caching op lange termijn, geen HTTP-headers verzenden toestaan Gebruiker-agent En HTTP-verwijzing of vervang ze (maar voor anonimiteit zijn speciale browsers nodig; de meeste standaardbrowsers laten deze luxe niet toe), gebruik een minimum aan browserextensies, enz. Over het algemeen is er nog een andere bron die instellingen voor anonimiteit in verschillende browsers beschrijft, die ook de moeite waard is om te raadplegen als je dat wilt;
4) Wanneer u in de anonieme modus toegang krijgt tot het netwerk, moet u een “schoon”, volledig bijgewerkt besturingssysteem gebruiken met de nieuwste versie stabiele versies DOOR. Het moet schoon zijn - zodat het moeilijker is om de ‘vingerafdrukken’ ervan, de browser en andere software te onderscheiden van de gemiddelde statistische indicatoren, en bijgewerkt, zodat de kans op het oppikken van een of andere vorm van malware wordt verkleind en er bepaalde problemen voor uzelf die het werk van alle op anonimisering gerichte middelen in gevaar brengen;
5) Wees voorzichtig als waarschuwingen over de geldigheid van certificaten en sleutels voorkomen Mitm-aanvallen(afluisteren van niet-versleuteld verkeer);
6) Sta geen enkele linkse activiteit toe in de anonieme sessie. Bijvoorbeeld als een cliënt uit een anonieme sessie zijn pagina op sociale media bezoekt. netwerk, dan weet zijn internetprovider er niets van. Maar sociaal het netwerk weet, ondanks dat het het echte IP-adres van de klant niet ziet, precies wie er is ingelogd;
7) Sta geen gelijktijdige verbinding met de bron toe via een anoniem en open kanaal (het gevaar werd hierboven beschreven);
8) Probeer al uw berichten en andere producten van de intellectuele productie van de auteur te ‘verdoezelen’, aangezien de auteur met vrij hoge nauwkeurigheid kan worden bepaald aan de hand van het jargon, de woordenschat en de stilistiek van spraakpatronen. En er zijn al bedrijven die hier een hele business van maken, dus onderschat deze factor niet;
9) Voordat u verbinding maakt met het lokale netwerk of draadloos punt de toegang vooraf wijzigen MAC-adres;
10) Gebruik geen onbetrouwbare of niet-geverifieerde applicaties;
11) Het is raadzaam om uzelf te voorzien van een “voorlaatste grens”, dat wil zeggen een soort tussenknooppunt naast uw eigen knooppunt, waarlangs alle activiteiten kunnen worden uitgevoerd (zoals wordt gedaan met speciale servers of geïmplementeerd in Whonix), zodat als alle eerdere obstakels zijn overwonnen of het werksysteem is geïnfecteerd, derde partijen toegang zouden krijgen tot de tussenliggende blanco en geen speciale kansen zouden hebben om verder in uw richting te gaan (of deze kansen zouden erg duur of zeer kostbaar zijn ) grote hoeveelheid tijd);

We kunnen samenvatten met een heel voor de hand liggende conclusie: hoe anoniemer/veiliger de technologie of methode, hoe minder snelheid/gemak het zal zijn bij het gebruik ervan. Maar soms is het beter om een ​​paar minuten te wachten of wat meer moeite en tijd te besteden aan het gebruik van complexe technieken dan om vervolgens een aanzienlijk grotere hoeveelheid tijd en andere middelen te verliezen aan de gevolgen die kunnen optreden als gevolg van de beslissing om ergens te ontspannen.

Laatst bijgewerkt op 18 januari 2016.

Technologische bescherming van persoonlijke gegevens op internet is in de 21e eeuw wijdverspreid geworden. Dit komt door de uitgebreide ontwikkeling van internet over de hele wereld. Gebruikers begonnen na te denken over hoe ze hun persoonlijke gegevens konden beschermen.

VPN verbergt uw IP-adres en codeert al het verkeer. Door verbinding te maken met een VPN kunt u inhoud ontgrendelen die niet beschikbaar is in uw land. Koop momenteel eenvoudig VPN, evenals een groot aantal diensten die vergelijkbare diensten bieden.

Veel gebruikers vragen zich af hoe ze de beste VPN-service kunnen kiezen.

Om de vergelijking te maken en de beste service te kiezen, is het noodzakelijk om over de selectiecriteria te praten.

Criteria voor de selectie van de beste VPN-service

In dit artikel zullen we alle selectiecriteria opsommen, maar sommige ervan lijken misschien onbelangrijk. Het hangt af van het doel waarvoor je VPN wilt gebruiken.

Doeleinden om de beste VPN-service te kiezen:

VPN biedt volledige veiligheid en anonimiteit op internet.

Het is alleen nodig om de beste VPN-service te kiezen.
Laten we de selectiecriteria eens nader bekijken.

Soorten VPN-verbindingen

Er zijn verschillende soorten verbindingen:

  • PPTP VPN - geïmplementeerd in de meeste besturingssystemen, maar het wordt als een onveilig protocol beschouwd
  • SSTP VPN - protocol is ontwikkeld door Microsoft. Dit protocol is alleen geïmplementeerd in Windows 7 en latere versies en op het mobiele platform Windows Phone
  • OpenVPN is een populair open source-protocol. Wordt veel gebruikt en onderscheidt zich door zijn betrouwbaarheid. Slechts één minpuntje van het protocol dat verbinding extra software moet installeren
  • L2TP VPN via IPSec - is ingebouwd in de meeste besturingssystemen. Betrouwbaar en snel protocol.

De beste VPN-service zou verbinding moeten kunnen maken via L2TP VPN via IPSec en bovendien een OpenVPN-verbinding kunnen hebben.

Het ontbreken van serverlogboeken

De meeste servers wereldwijd draaien op het besturingssysteem Linux. In tegenstelling tot Windows in het besturingssysteem kan het logsysteem (logboekverbindingen) volledig worden uitgeschakeld.

Anonimiteit verdwijnt wanneer de VPN-server logs bijhoudt.

U moet de website van het bedrijf die VPN-diensten aanbiedt zorgvuldig onderzoeken. Het kan zijn dat het bedrijf beweert dat de logboeken niet worden bijgehouden. En in de "Overeenkomst over het gebruik van diensten" die wordt genomen bij registratie of aankoop zal VPN aangeven dat de logs worden opgeslagen.

Sommige VPN-services houden logboeken binnen 2-4 weken bij. Als dit op de site staat, is praten over de anonimiteit van de dienst onmogelijk.

De beste VPN-service is nooit loggen.

Laat de VPN-service zien dat u VPN gebruikt?

Voor de eenvoud configureert u dat de VPN-services hun toevlucht hebben genomen tot het omleiden van de verbinding van een domein naar een IP-adres. In dit geval ziet de adresserver eruit als een domein, bijvoorbeeld: usvpn.vpnservice-website.com

Dit is handig voor systeembeheerders van het bedrijf, omdat wanneer dit nodig is het IP-adres van de VPN-server moet worden gewijzigd. De verbinding werkt nog steeds voor alle gebruikers.

Alle ISP's registreren gebruikersactiviteiten op internet. Ze zullen weten dat u verbinding maakt met een domein usvpn.vpnservice-website.com en de verbinding geeft direct aan dat u een VPN gebruikt.

Het adres om verbinding te maken met de VPN-server moet eruitzien als het IP-adres 77.120.108.165

Als u een OpenVPN-verbinding gebruikt, moet u de certificaten controleren om het servicedomein daarin op te geven.

In welk land geregistreerde VPN-service

Dit punt is misschien wel het belangrijkste bij het kiezen van de beste VPN-service.

Vaak zijn er geschillen in welk land de VPN-service moet worden geregistreerd om anonimiteit aan hun klanten te bieden.

Als het kantoor zich in de VS of Europa bevindt, wordt dit als gevaarlijk beschouwd, aangezien de internationale politie in deze landen actief is.

Sommigen geloven dat het goed is als een VPN-service wordt geregistreerd in derdewereldlanden zoals Belize of Brazilië.

Wij zijn van mening dat de beste VPN-service geen kantoor mag hebben.

Het maakt niet uit in welk land het kantoor is. Als het bedrijf een kantoor heeft, betekent dit dat er een plaats is waar de politie kan komen of een formeel verzoek kan indienen.

Elk bedrijf is verplicht zich te houden aan de wetten van het land waarin het gevestigd is.
De VPN-service is verplicht om een ​​formeel verzoek van de politie in dit land in ontvangst te nemen en de informatie waarnaar wordt verwezen te verstrekken.

Als er dus een register of een bedrijfskantoor is, kan de VPN-service de anonimiteit van zijn gebruikers niet garanderen.

Ondersteuning voor alle besturingssystemen

Moderne technologie biedt toegang tot alle besturingssystemen zoals Windows, Mac OS, Linux, iOS, Android, Windows Phone.

Maar voordat u koopt, moet u ervoor zorgen dat het bedrijf uw platform ondersteunt.

Typen uitgegeven IP-adressen

Er worden 2 soorten IP-adressen uitgegeven door de VPN-server:

  • Gedeeld IP - biedt één openbaar IP-adres voor alle clients. In de regel is het IP-adres constant en verandert het niet bij het opnieuw verbinden met de VPN-server
  • Dedicated IP - elke client krijgt een uniek IP-adres dat kan veranderen wanneer er opnieuw verbinding wordt gemaakt

Is er een gratis proeftoegang?

Moet vrij zijn om de service te testen vóór aankoop.
Met een dergelijke toegang kunt u een VPN-verbinding configureren en begrijpen hoe deze werkt.

De beste VPN-service moet een gratis proeftoegang hebben.

Als de service gratis VPN-toegang en onbeperkt in de tijd biedt, is dit een extra pluspunt.

Eigen programma voor VPN-verbindingen

Eigen programma voor VPN-verbindingen zet snel een verbinding op. Normaal gesproken zijn dergelijke programma's nodig bij het gebruik van een OpenVPN-verbinding, omdat de instelling van de verbinding voor een beginner intimiderend kan lijken.

L2TP VPN via IPSec is geconfigureerd voor 1 minuut. In dit geval is het programma niet vereist.

Betaalmethoden en redelijke prijs

Bekijk de website van het bedrijf. Controleer: er is een handige manier om te betalen. Momenteel zijn er veel betalingssystemen, zoals betaling met debet- en creditcards, elektronisch geld, PayPal en andere.

Als u de beste VPN-service voor uzelf vindt, spelen de kosten van de services geen grote rol. Toch moet de prijs betaalbaar voor u zijn. Betrouwbare bedrijven bieden korting als je betaalt voor een abonnement voor een heel jaar. Dat kan bespaar hierop.

Beschikbaarheid van technische ondersteuning

VPN-technologie werkt te allen tijde betrouwbaar. Maar er zijn momenten waarop er verbindingsfouten optreden. Kom in dit geval de technische ondersteuningsdienst te hulp. Controleer het voordat je koopt.

Handig is dat de website een Live Chat- of ticketingsysteem heeft.

Als er ondersteuning wordt geboden via ICQ, Jabber of Skype, levert dit enkele problemen op, omdat niet alle clients deze programma's voortdurend gebruiken.

Beoordeel VPN-dienst Chameleon. Zal dit het beste voor u zijn?

Wij bieden VPN-diensten door L2TP via IPSec te verbinden.

Op onze servers zijn geen logs aanwezig, er wordt verbinding gemaakt met de IP-adressen.

Ondersteunt alle populaire besturingssystemen.

Ondersteuning voor alle klanten

Wij beantwoorden graag vragen over het opzetten van de verbinding, adviseren u over de veiligheid en anonimiteit van internet en helpen u bij het kiezen van de beste oplossing.

Het eerste dat in je opkomt bij het noemen van een VPN is de anonimiteit en veiligheid van de verzonden gegevens. Is dit echt waar? Laten we het uitzoeken.

Wanneer u toegang moet krijgen tot een bedrijfsnetwerk, belangrijke informatie veilig moet verzenden via open communicatiekanalen, uw verkeer moet verbergen voor het toeziend oog van uw provider, uw echte locatie moet verbergen wanneer u niet geheel legale (of helemaal niet legale) acties uitvoert , gebruik je meestal een VPN. Maar is het de moeite waard om blindelings op een VPN te vertrouwen, waardoor de veiligheid van uw gegevens en... eigen veiligheid? Absoluut nee. Waarom? Laten we het uitzoeken.

WAARSCHUWING

Alle informatie wordt uitsluitend ter informatie verstrekt. Noch de redactie, noch de auteur zijn verantwoordelijk voor eventuele schade veroorzaakt door de materialen van dit artikel.

We hebben een VPN nodig!

Een virtueel particulier netwerk, of kortweg VPN, is een verzamelnaam voor technologieën waarmee een of meer netwerkverbindingen (een logisch netwerk) via een ander netwerk, zoals internet, kunnen worden aangeboden. Ondanks het feit dat communicatie kan worden geïmplementeerd via openbare netwerken met een onbekend vertrouwensniveau, is het vertrouwensniveau in het opgebouwde logische netwerk niet afhankelijk van het vertrouwensniveau in de onderliggende netwerken als gevolg van het gebruik van cryptografische hulpmiddelen (encryptie, authenticatie , infrastructuur openbare sleutels, betekent bescherming tegen herhalingen en wijzigingen in berichten die via een logisch netwerk worden verzonden). Zoals je kunt zien, is alles in theorie rooskleurig en onbewolkt, maar in de praktijk is alles enigszins anders. In dit artikel gaan we in op twee belangrijke punten waar je rekening mee moet houden bij het gebruik van een VPN.

VPN-verkeerslek

Het eerste probleem met VPN's is verkeerslekkage. Dat wil zeggen dat het verkeer dat in gecodeerde vorm via de VPN-verbinding verzonden moet worden, in leesbare tekst het netwerk binnenkomt. Dit scenario is niet het gevolg van een bug in de VPN-server of -client. Alles is hier veel interessanter. De eenvoudigste optie is om de VPN-verbinding plotseling te verbreken. U besloot een host of subnet te scannen met Nmap, startte de scanner, liep een paar minuten weg van de monitor en toen werd de VPN-verbinding plotseling verbroken. Maar de scanner blijft werken. En de scan komt van uw adres. Dit is zo’n vervelende situatie. Maar er zijn meer interessante scenario’s. Het lekken van VPN-verkeer is bijvoorbeeld wijdverbreid in netwerken (op hosts) die beide versies van het IP-protocol ondersteunen (zogenaamde dual-stacked netwerken/hosts).

Wortel van het kwaad

Het naast elkaar bestaan ​​van twee protocollen – IPv4 en IPv6 – heeft veel interessante en subtiele aspecten die tot onverwachte gevolgen kunnen leiden. Hoewel IP 6 niet achterwaarts compatibel is met IP 4, worden beide versies aan elkaar gelijmd door het Domain Name System (DNS). Laten we, om duidelijker te maken waar we het over hebben, naar een eenvoudig voorbeeld kijken. Laten we bijvoorbeeld een website nemen (laten we zeggen www.example.com) die zowel IPv4- als IPv6-ondersteuning biedt. De bijbehorende domeinnaam (in ons geval www.example.com) bevat beide typen DNS-records: A en AAAA. Elk A-record bevat één IPv4-adres en elk AAAA-record bevat één IPv6-adres. Bovendien kan één domeinnaam meerdere records van beide typen bevatten. Wanneer een applicatie die beide protocollen ondersteunt dus met de site wil communiceren, kan deze een van de beschikbare adressen opvragen. De voorkeursadresfamilie (IPv4 of IPv6) en het uiteindelijke adres dat door de applicatie zal worden gebruikt (aangezien er meerdere zijn voor versies 4 en 6) zullen verschillen van de ene protocolimplementatie tot de andere.

Dit naast elkaar bestaan ​​van protocollen betekent dat wanneer een client die beide stapels ondersteunt, met een ander systeem wil communiceren, de aanwezigheid van A- en AAAA-records van invloed zal zijn op welk protocol zal worden gebruikt om met dat systeem te communiceren.

VPN en dubbele protocolstack

Veel VPN-implementaties ondersteunen IPv6 niet, of erger nog, negeren het volledig. Wanneer een verbinding tot stand is gebracht, zorgt de VPN-software voor het transport van IPv4-verkeer - door een standaardroute voor IPv4-pakketten toe te voegen, waardoor ervoor wordt gezorgd dat al het IPv4-verkeer via de VPN-verbinding wordt verzonden (in plaats van dat het ongehinderd via de lokale router wordt verzonden) . Als IPv6 echter niet wordt ondersteund (of volledig wordt genegeerd), wordt elk pakket met een bestemmings-IPv6-adres in de header onversleuteld via de lokale IPv6-router verzonden.

De belangrijkste reden voor het probleem ligt in het feit dat hoewel IPv4 en IPv6 twee verschillende protocollen zijn die incompatibel zijn met elkaar, ze nauw worden gebruikt in het domeinnaamsysteem. Voor een systeem dat beide protocolstacks ondersteunt, is het dus onmogelijk om een ​​verbinding met een ander systeem te beveiligen zonder beide protocollen (IPv6 en IPv4) te beveiligen.

Legitiem VPN-verkeerslekscenario

Overweeg een host die beide protocolstacks ondersteunt, een VPN-client gebruikt (die alleen met IPv4-verkeer werkt) om verbinding te maken met de VPN-server, en is verbonden met een dual-stacked netwerk. Als een toepassing op de host moet communiceren met een dual-stacked knooppunt, vraagt ​​de client doorgaans zowel A- als AAAA DNS-records op. Omdat de host beide protocollen ondersteunt en het externe knooppunt beide typen DNS-records (A en AAAA) zal hebben, is een van de waarschijnlijke scenario's het gebruik van het IPv6-protocol voor de onderlinge communicatie. En omdat de VPN-client de zesde versie van het protocol niet ondersteunt, wordt IPv6-verkeer niet via de VPN-verbinding verzonden, maar in leesbare tekst via het lokale netwerk.

Dit scenario brengt waardevolle gegevens die in gewone tekst worden verzonden in gevaar als we denken dat deze veilig via de VPN-verbinding worden verzonden. In dit specifieke geval is het lekken van VPN-verkeer een neveneffect van het gebruik van niet-IPv6-software op een netwerk (en host) dat beide protocollen ondersteunt.

Het opzettelijk laten lekken van VPN-verkeer

Een aanvaller kan opzettelijk een IPv6-verbinding op de computer van een slachtoffer forceren door valse ICMPv6 Router Advertising-berichten te verzenden. Dergelijke pakketten kunnen worden verzonden met behulp van hulpprogramma's zoals rtadvd, de IPv6 Toolkit van SI6 Networks of THC-IPv6. Zodra een IPv6-verbinding tot stand is gebracht, kan “communicatie” met een systeem dat beide protocolstacks ondersteunt, zoals hierboven besproken, leiden tot lekkend VPN-verkeer.

Hoewel deze aanval behoorlijk vruchtbaar kan zijn (vanwege het groeiende aantal sites dat IPv6 ondersteunt), zal deze alleen verkeer lekken als de ontvanger beide versies van het IP-protocol ondersteunt. Het is echter niet moeilijk voor een aanvaller om verkeerslekken te veroorzaken voor elke ontvanger (dual-stacked of niet). Door valse Router Advertising-berichten te verzenden die de juiste RDNSS-optie bevatten, kan een aanvaller zich voordoen als een lokale recursieve DNS-server en vervolgens DNS-spoofing uitvoeren om een ​​man-in-the-middle-aanval uit te voeren en het bijbehorende verkeer te onderscheppen. Net als in het vorige geval kunnen tools als SI6-Toolkit en THC-IPv6 deze truc gemakkelijk uitvoeren.

Het maakt helemaal niet uit of verkeer dat niet voor nieuwsgierige blikken is bedoeld, in duidelijke tekst op het netwerk terechtkomt. Hoe kunt u uzelf in dergelijke situaties beschermen? Hier zijn enkele nuttige recepten:

  1. Als de VPN-client is geconfigureerd om al het IPv4-verkeer via de VPN-verbinding te verzenden:
  • als IPv6 niet wordt ondersteund door de VPN-client, schakel dan de ondersteuning voor de zesde versie van het IP-protocol op alle netwerkinterfaces uit. Applicaties die op de computer draaien, zullen dus geen andere keuze hebben dan IPv4 te gebruiken;
  • als IPv6 wordt ondersteund, zorg er dan voor dat al het IPv6-verkeer ook via de VPN wordt verzonden.
  1. Om verkeerslekkage te voorkomen als de VPN-verbinding plotseling wegvalt en alle pakketten via de standaardgateway worden verzonden, kunt u:
  2. forceer al het verkeer om via de VPN-route te gaan verwijder 0.0.0.0 192.168.1.1 // verwijder standaard gatewayroute voeg 83.170.76.128 toe masker 255.255.255.255 192.168.1.1 metrisch 1
  • gebruik het VPNetMon-hulpprogramma, dat de status van de VPN-verbinding bewaakt en, zodra deze verdwijnt, door de gebruiker opgegeven applicaties onmiddellijk beëindigt (bijvoorbeeld torrent-clients, webbrowsers, scanners);
  • of het VPNCheck-hulpprogramma, dat, afhankelijk van de keuze van de gebruiker, de netwerkkaart volledig kan uitschakelen of eenvoudigweg de opgegeven applicaties kan beëindigen.
  1. Op de website kunt u controleren of uw machine kwetsbaar is voor DNS-verkeerslekken en vervolgens de beschreven tips toepassen om het lek te verhelpen.

Decodering van VPN-verkeer

Zelfs als je alles goed hebt geconfigureerd en je VPN-verkeer niet ongemerkt het netwerk binnenlekt, is dit nog geen reden om te ontspannen. Het punt is dat als iemand gecodeerde gegevens onderschept die via een VPN-verbinding worden verzonden, hij deze kan ontsleutelen. Bovendien heeft het hier geen enkele invloed op of uw wachtwoord complex of eenvoudig is. Maak je gebruik van een VPN-verbinding op basis van het PPTP-protocol, dan kun je met honderd procent zekerheid zeggen dat al het onderschepte versleutelde verkeer ontsleuteld kan worden.

Achilleshiel

Voor VPN-verbindingen op basis van PPTP (Point-to-Point Tunneling Protocol) wordt de gebruikersauthenticatie uitgevoerd met behulp van het door Microsoft ontwikkelde MS-CHAPv2-protocol. Ondanks het feit dat MS-CHAPv2 verouderd is en vaak onderwerp van kritiek is, wordt het nog steeds actief gebruikt. Om het uiteindelijk naar de vuilnisbak van de geschiedenis te sturen, pakte de beroemde onderzoeker Moxie Marlinspike de zaak op, en op de twintigste DEF CON-conferentie meldde hij dat het doel was bereikt: het protocol was gehackt. Het moet gezegd worden dat de veiligheid van dit protocol al eerder in twijfel is getrokken, maar zo'n langdurig gebruik van MS-CHAPv2 kan te wijten zijn aan het feit dat veel onderzoekers zich alleen concentreerden op de kwetsbaarheid ervan voor woordenboekaanvallen. Beperkt onderzoek en een groot aantal ondersteunde clients, ingebouwde ondersteuning door besturingssystemen - dit alles zorgde voor een brede acceptatie van het MS-CHAPv2-protocol. Voor ons ligt het probleem in het feit dat MS-CHAPv2 wordt gebruikt in het PPTP-protocol, dat door veel VPN-diensten wordt gebruikt (bijvoorbeeld grote als de anonieme VPN-dienst IPredator en de VPN van The Pirate Bay).

Als we naar de geschiedenis kijken, dan gaf Bruce Schneier al in 1999 in zijn studie van het PPTP-protocol aan dat “Microsoft PPTP verbeterde door grote beveiligingsfouten te corrigeren. De fundamentele zwakte van het authenticatie- en encryptieprotocol is echter dat het slechts zo veilig is als het wachtwoord dat de gebruiker kiest.” Om de een of andere reden zijn providers hierdoor gaan geloven dat er niets mis is met PPTP en dat de gebruiker dit moet uitvinden complexe wachtwoorden, dan zijn de verzonden gegevens veilig. De dienst Riseup.net was zo geïnspireerd door dit idee dat deze besloot om zelfstandig wachtwoorden van 21 tekens voor gebruikers te genereren, zonder hen de mogelijkheid te geven hun eigen wachtwoorden in te stellen. Maar zelfs zo’n harde maatregel verhindert niet dat het verkeer wordt gedecodeerd. Om te begrijpen waarom, laten we het MS-CHAPv2-protocol eens nader bekijken en zien hoe Moxie Marlinspike erin slaagde het te kraken.

MS-CHAPv2-protocol

Zoals reeds vermeld, wordt MSCHAPv2 gebruikt voor gebruikersauthenticatie. Het gebeurt in verschillende fasen:

  • de client stuurt een authenticatieverzoek naar de server en verzendt daarbij publiekelijk zijn login;
  • de server retourneert een willekeurig antwoord van 16 bytes naar de client (Authenticator Challenge);
  • de client genereert een PAC van 16 bytes (Peer Authenticator Challenge - peer authenticatieantwoord);
  • de client combineert de PAC, het serverantwoord en de gebruikersnaam op één regel;
  • er wordt een hash van 8 bytes uit de ontvangen string gehaald met behulp van het SHA-1-algoritme en naar de server gestuurd;
  • de server haalt de hash uit zijn database van deze opdrachtgever en ontcijfert zijn antwoord;
  • als het decoderingsresultaat overeenkomt met het oorspronkelijke antwoord, is alles in orde, en omgekeerd;
  • vervolgens neemt de server de PAC van de client en genereert op basis van de hash een AR (Authenticator Response) van 20 bytes, die deze doorgeeft aan de client;
  • de client voert dezelfde bewerking uit en vergelijkt de ontvangen AR met het serverantwoord;
  • als alles overeenkomt, wordt de client geverifieerd door de server. De figuur toont een visueel diagram van de werking van het protocol.

Op het eerste gezicht lijkt het protocol overdreven ingewikkeld: een hoop hashes, encryptie, willekeurige uitdagingen. Eigenlijk is het niet zo ingewikkeld. Als je goed kijkt, zul je merken dat in het hele protocol slechts één ding onbekend blijft: de MD4-hash van het wachtwoord van de gebruiker, op basis waarvan drie DES-sleutels zijn gebouwd. De overige parameters worden ofwel in leesbare tekst verzonden, of kunnen worden verkregen uit wat in leesbare tekst wordt verzonden.


Omdat bijna alle parameters bekend zijn, kunnen we ze niet in overweging nemen, maar letten we goed op wat onbekend is en ontdekken wat het ons oplevert.


Dus wat we hebben: een onbekend wachtwoord, een onbekende MD4-hash van dit wachtwoord, een bekend leesbare tekst en de beroemde cijfertekst. Met meer gedetailleerde overweging U kunt zien dat het wachtwoord van de gebruiker voor ons niet belangrijk is, maar de hash ervan is wel belangrijk, aangezien het de hash is die op de server wordt gecontroleerd. Voor een succesvolle authenticatie namens de gebruiker en voor het ontsleutelen van zijn verkeer hoeven we dus alleen de hash van zijn wachtwoord te weten.

Nadat u het onderschepte verkeer in de hand heeft, kunt u proberen het te decoderen. Er zijn verschillende tools (bijvoorbeeld asleap) waarmee je het wachtwoord van een gebruiker kunt raden via een woordenboekaanval. Het nadeel van deze tools is dat ze geen 100% garantie op resultaat bieden en dat het succes direct afhangt van het gekozen woordenboek. Het selecteren van een wachtwoord met eenvoudig brute kracht is ook niet erg effectief - in het geval van de PPTP VPN-service riseup.net, die wachtwoorden met geweld van 21 tekens lang instelt, moet u bijvoorbeeld 96 tekenopties proberen voor elk van de 21 tekens . Dit resulteert in 96^21 opties, wat iets meer is dan 2^138. Met andere woorden: u moet een 138-bits sleutel selecteren. In een situatie waarin de lengte van het wachtwoord onbekend is, is het zinvol om een ​​MD4-hash van het wachtwoord te selecteren. Gezien het feit dat de lengte 128 bits is, krijgen we 2^128 opties - per op dit moment het is simpelweg onmogelijk om te berekenen.

Verdeel en heers

De MD4-hash van het wachtwoord wordt gebruikt als invoer voor drie DES-bewerkingen. DES-sleutels zijn 7 bytes lang, dus elke DES-bewerking gebruikt een gedeelte van 7 bytes van de MD4-hash. Dit alles laat ruimte voor de klassieke verdeel-en-heers-aanval. In plaats van de MD4-hash volledig brute kracht te geven (wat, zoals je je herinnert, 2 ^ 128 opties is), kunnen we deze in delen van 7 bytes selecteren. Omdat er drie DES-bewerkingen worden gebruikt en elke DES-bewerking volledig onafhankelijk is van de andere, levert dit een totale matching-complexiteit op van 2^56 + 2^56 + 2^56, oftewel 2^57,59. Dit is al aanzienlijk beter dan 2^138 en 2^128, maar nog steeds te veel opties. Hoewel er, zoals je misschien al gemerkt hebt, een fout in deze berekeningen is geslopen. Het algoritme gebruikt drie DES-sleutels, elk 7 bytes groot, dat wil zeggen in totaal 21 bytes. Deze sleutels zijn afkomstig van de MD4-hash van het wachtwoord, die slechts 16 bytes lang is.

Dat wil zeggen dat er 5 bytes ontbreken om de derde DES-sleutel te bouwen. Microsoft loste dit probleem simpelweg op door de ontbrekende bytes domweg met nullen te vullen en daarmee de effectiviteit van de derde sleutel terug te brengen tot twee bytes.

Omdat de derde sleutel een effectieve lengte heeft van slechts twee bytes, dat wil zeggen 2^16 opties, duurt de selectie ervan een kwestie van seconden, wat de effectiviteit van de verdeel-en-heers-aanval bewijst. We kunnen dus aannemen dat de laatste twee bytes van de hash bekend zijn, het enige dat overblijft is het selecteren van de resterende 14. Door ze in twee delen van 7 bytes te verdelen, hebben we een totaal aantal zoekopties gelijk aan 2^ 56 + 2^56 = 2^57. Nog steeds te veel, maar veel beter. Houd er rekening mee dat de resterende DES-bewerkingen dezelfde tekst versleutelen, alleen met behulp van verschillende sleutels. Het zoekalgoritme kan als volgt worden geschreven:

Maar omdat de tekst op dezelfde manier wordt gecodeerd, is het juister om het als volgt te doen:

Dat wil zeggen dat er 2^56 varianten van sleutels zijn om doorheen te zoeken. Dit betekent dat de beveiliging van MS-CHAPv2 kan worden teruggebracht tot de kracht van DES-encryptie alleen.

DES hacken

Nu het bereik van de sleutelselectie bekend is, is het aan de rekenkracht om de aanval succesvol af te ronden. In 1998 bouwde de Electronic Frontier Foundation een machine genaamd Deep Crack, die 250.000 dollar kostte en een DES-sleutel in gemiddeld vier en een halve dag kon kraken. Momenteel heeft Pico Computing, gespecialiseerd in het bouwen van FPGA-hardware voor cryptografische toepassingen, een FPGA-apparaat (DES cracking box) gebouwd dat DES implementeert als een pijplijn met één DES-bewerking per klokcyclus. Met 40 kernen op 450 MHz kan het 18 miljard sleutels per seconde opsommen. Met zo'n brute kracht kraakt de DES-kraakdoos een DES-sleutel in het ergste geval in 23 uur, en gemiddeld in een halve dag. Deze wondermachine is verkrijgbaar via de commerciële webservice Loudcracker.com. U kunt nu dus elke MS-CHAPv2-handshake in minder dan een dag hacken. En met een wachtwoord-hash kunt u namens deze gebruiker authenticeren op een VPN-service of eenvoudigweg zijn verkeer decoderen.

Om het werken met de service te automatiseren en onderschept verkeer te verwerken, heeft Moxie het chapcrack-hulpprogramma openbaar beschikbaar gemaakt. Ze parseert onderschept netwerk verkeer, op zoek naar MS-CHAPv2-handshake. Voor elke handdruk die het vindt, drukt het de gebruikersnaam, de bekende platte tekst, twee bekende cijferteksten af ​​en kraakt de derde DES-sleutel. Bovendien genereert het een token voor CloudCracker, dat drie parameters codeert die nodig zijn voor de service om de resterende sleutels te kraken.

CloudCracker & Chapcrack

Als u DES-sleutels uit onderschept gebruikersverkeer moet kraken, zal ik een korte stapsgewijze instructie geven.

  1. Download de Passlib-bibliotheek, die meer dan 30 implementeert verschillende algoritmen hashen voor Python-taal, uitpakken en installeren: python setup.py install
  2. Installeer python-m2crypto - een OpenSSL-wrapper voor Python: sudo apt-get install python-m2crypto
  3. Download het chapcrack-hulpprogramma zelf, pak het uit en installeer: python setup.py install
  4. Chapcrack is geïnstalleerd, kunt u beginnen met het analyseren van het onderschepte verkeer. Het hulpprogramma accepteert een cap-bestand als invoer, zoekt ernaar naar MS-CHAPv2-handshake, waaruit het de informatie haalt die nodig is voor hacking.
  5. chapcrack parse -i tests/pptp
  6. Kopieer vanuit de gegevensuitvoer door het chapcrack-hulpprogramma de waarde van de CloudCracker Submission-regel en sla deze op in een bestand (bijvoorbeeld output.txt) Ga naar cloudcracker.com, selecteer “Start Cracking” in het paneel Bestandstype

, gelijk aan “MS-CHAPv2 (PPTP/WPA-E)”, selecteer het output.txt-bestand dat eerder in de vorige stap is voorbereid, klik op Volgende -> Volgende en geef uw e-mailadres aan waarnaar een bericht zal worden verzonden zodra de hacking plaatsvindt is voltooid.

Helaas is CloudCracker een betaalde dienst. Gelukkig hoef je niet zoveel te betalen om de sleutels te hacken: slechts 20 dollar.

Wat te doen?


Hoewel Microsoft op haar website schrijft dat het momenteel geen informatie heeft over actieve aanvallen met behulp van chapcrack, evenals de gevolgen van dergelijke aanvallen op gebruikerssystemen, betekent dit niet dat alles in orde is. Moxie raadt alle gebruikers en aanbieders van PPTP VPN-oplossingen aan om te migreren naar een ander VPN-protocol. En PPTP-verkeer wordt als niet-versleuteld beschouwd. Zoals u kunt zien, is er nog een situatie waarin VPN ons ernstig in de steek kan laten.

Conclusie

Ik zal het ook hebben over de Whonix OS-distributie, die de meest geavanceerde prestaties op het gebied van netwerkanonimiteit implementeert, omdat onder andere beide geanalyseerde schema's erin zijn geconfigureerd en werken.

Laten we eerst enkele postulaten definiëren:
1. Het Tor-netwerk biedt hoog niveau anonimiteit van de klant, met inachtneming van alle verplichte regels voor het gebruik ervan. Dit is een feit: er zijn nog geen echte publieke aanvallen op het netwerk zelf geweest.
2. Een vertrouwde VPN (SSH)-server garandeert de vertrouwelijkheid van de verzonden gegevens tussen hemzelf en de klant.
Voor het gemak bedoelen we in dit artikel dus dat Tor de anonimiteit van de cliënt garandeert, en VPN de vertrouwelijkheid van de verzonden gegevens.

Tor via VPN. Eerst VPN, dan Tor

Bij dit schema is de VPN-server een permanent invoerknooppunt, waarna het versleutelde verkeer naar het Tor-netwerk wordt gestuurd. In de praktijk is het schema eenvoudig te implementeren: eerst maakt u verbinding met de VPN-server en start u vervolgens de Tor-browser, die automatisch de benodigde routering door de VPN-tunnel configureert.

Door dit schema te gebruiken, kunnen we het feit dat we Tor gebruiken voor onze internetprovider verbergen. We worden ook geblokkeerd voor het Tor-toegangsknooppunt, dat het VPN-serveradres zal zien. En in het geval van een theoretisch compromis van Tor worden we beschermd door de VPN-lijn, die uiteraard geen logs opslaat.
Het gebruik van een proxyserver in plaats van een VPN heeft geen zin: zonder de codering die door de VPN wordt geboden, zullen we bij een dergelijk plan geen significante voordelen behalen.

Het is vermeldenswaard dat internetproviders, specifiek om het Tor-verbod te omzeilen, zogenaamde bridges bedachten.
Bruggen zijn zulke knooppunten Tor-netwerken, die niet in de centrale Tor-directory staan, dat wil zeggen bijvoorbeeld niet zichtbaar zijn, of , en daarom moeilijker te detecteren zijn.
Hoe u bruggen configureert, wordt gedetailleerd beschreven.
De Tor-site zelf kan ons verschillende bruggen bieden op .
U kunt ook bridge-adressen per post ontvangen door te sturen naar: [e-mailadres beveiligd] of [e-mailadres beveiligd] brief met de tekst: “haal bruggen”. Zorg ervoor dat u deze brief per post van gmail.com of yahoo.com verzendt
Als reactie ontvangen wij een brief met hun adressen:
« Hier zijn uw brugrelais:
brug 60.16.182.53:9001
brug 87.237.118.139:444
brug 60.63.97.221:443»
Deze adressen moeten worden opgegeven in de instellingen van Vidalia, de Tor-proxyserver.
Soms komt het voor dat bruggen geblokkeerd zijn. Om dit te omzeilen introduceerde Tor zogenaamde ‘versluierde bruggen’. Zonder in detail te treden, zijn ze moeilijker te detecteren. Om er verbinding mee te maken, moet u bijvoorbeeld de Pluggable Transports Tor Browser Bundle downloaden.

Pluspunten schema's:

  • we zullen het feit dat we Tor gebruiken verbergen voor de internetprovider (of verbinding maken met Tor als de provider dit blokkeert). Hiervoor zijn echter speciale bruggen;
  • we zullen ons IP-adres verbergen voor het Tor-toegangsknooppunt en het vervangen door het adres van de VPN-server, maar dit is niet de meest effectieve verhoging van de anonimiteit;
  • bij een theoretisch compromis van Tor blijven we achter de VPN-server staan.

Nadelen schema's:

  • we moeten de VPN-server vertrouwen als er geen significante voordelen van deze aanpak zijn.
VPN via Tor. Eerst Tor, dan VPN

In dit geval is de VPN-server een permanente uitlaatklep voor internet.


Een soortgelijk verbindingsschema kan worden gebruikt om de blokkering van Tor-knooppunten door externe bronnen te omzeilen, en het zou ons verkeer moeten beschermen tegen afluisteren van het Tor-uitgangsknooppunt.
Er zijn veel technische problemen bij het tot stand brengen van een dergelijke verbinding. Weet u bijvoorbeeld nog dat de Tor-keten elke 10 minuten wordt bijgewerkt of dat Tor UDP niet doorlaat? De meest haalbare optie voor praktische implementatie is het gebruik van twee virtuele machines (meer hierover hieronder).
Het is ook belangrijk op te merken dat elk exit-knooppunt de client gemakkelijk in de algemene stroom zal markeren, aangezien de meeste gebruikers naar verschillende bronnen gaan, en bij gebruik van een soortgelijk schema gaat de client altijd naar dezelfde VPN-server.
Uiteraard heeft het gebruik van reguliere proxyservers na Tor niet zoveel zin, omdat het verkeer naar de proxy niet gecodeerd is.

Pluspunten schema's:

  • bescherming tegen het afluisteren van verkeer op het Tor-exitknooppunt, maar de Tor-ontwikkelaars raden zelf aan om encryptie op applicatieniveau te gebruiken, bijvoorbeeld https;
  • bescherming tegen het blokkeren van Tor-adressen door externe bronnen.

Nadelen schema's:

  • complexe implementatie van de regeling;
  • we moeten de exit-VPN-server vertrouwen.
Whonix-concept

Er zijn veel OS-distributies waarvan het hoofddoel is om anonimiteit en bescherming voor de klant op internet te bieden, bijvoorbeeld Tails en Liberte en anderen. De technologisch meest geavanceerde, voortdurend evoluerende en effectieve oplossing die de meest geavanceerde technieken implementeert om veiligheid en anonimiteit te garanderen, is echter de OS-distributie.
De distributie bestaat uit twee virtuele Debian-machines op VirtualBox, waarvan er één een gateway is die al het verkeer naar het Tor-netwerk stuurt, en de andere een geïsoleerd werkstation is dat alleen verbinding maakt met de gateway. Whonix implementeert een zogenaamd isolation proxy server-mechanisme. Ook bestaat de mogelijkheid om de gateway en het werkstation fysiek te scheiden.

Omdat het werkstation zijn externe IP-adres op internet niet kent, kunt u hiermee veel kwetsbaarheden neutraliseren. Als malware bijvoorbeeld root-toegang tot het werkstation krijgt, krijgt deze niet de kans om het echte IP-adres te achterhalen. Hier is een diagram van de werking van Whonix, afkomstig van de officiële website.


Whonix OS heeft volgens de ontwikkelaars met succes alle mogelijke lektests doorstaan. Zelfs applicaties zoals Skype, BitTorrent, Flash en Java, bekend om hun vermogen om toegang te krijgen tot het open internet zonder Tor te omzeilen, zijn ook met succes getest op de afwezigheid van de-anonimiserende datalekken.
Whonix OS implementeert veel nuttige anonimiteitsmechanismen, ik zal de belangrijkste noemen:

  • al het verkeer van alle applicaties gaat via het Tor-netwerk;
  • Om te beschermen tegen verkeersprofilering implementeert Whonix OS het concept van threadisolatie. Vooraf geïnstalleerde applicaties van Whonix zijn geconfigureerd om een ​​afzonderlijke Socks-poort te gebruiken, en aangezien elke Socks-poort een afzonderlijke keten van knooppunten in het Tor-netwerk gebruikt, is profilering onmogelijk;
  • Er wordt beveiligde hosting van Tor Hidden-services aangeboden. Zelfs als een aanvaller de webserver hackt, kan hij de privésleutel van de ‘Hidden’-service niet stelen, aangezien de sleutel is opgeslagen op de Whonix-gateway;
  • Whonix is ​​beschermd tegen DNS-lekken omdat het een geïsoleerd proxy-principe gebruikt in zijn architectuur. Alle DNS-verzoeken worden doorgestuurd naar Tor's DnsPort;
  • Whonix ondersteunt de eerder besproken versluierde bruggen;
  • Er wordt gebruik gemaakt van ‘Protocol-lekbescherming en vingerafdrukbescherming’-technologie. Dit vermindert het risico op klantidentificatie door het creëren van een digitale vingerafdruk van de browser of het systeem door gebruik te maken van de meest gebruikte waarden, bijvoorbeeld gebruikersnaam – “gebruiker”, tijdzone – UTC, enz.;
  • het is mogelijk om andere anonieme netwerken te tunnelen: Freenet, I2P, JAP, Retroshare via Tor, of rechtstreeks met elk dergelijk netwerk te werken. Meer gedetailleerde informatie over de kenmerken van dergelijke verbindingen vindt u op de link;
  • Het is belangrijk op te merken dat Whonix alle schema's voor het combineren van VPN/SSH/Proxy met Tor heeft getest, gedocumenteerd en, belangrijker nog, werkt (!) Meer gedetailleerde informatie Meer hierover kunt u lezen via deze link;
  • Whonix OS is een volledig open source-project dat gebruik maakt van gratis software.

Het is echter vermeldenswaard dat Whonix OS ook zijn nadelen heeft:

  • complexere opzet dan Tails of Liberte;
  • er zijn twee virtuele machines of afzonderlijke fysieke hardware vereist;
  • vergt meer aandacht voor onderhoud. U moet drie besturingssystemen controleren in plaats van één, wachtwoorden opslaan en het besturingssysteem bijwerken;
  • In Whonix werkt de knop ‘Nieuwe identiteit’ in Tor niet. Feit is dat de Tor-browser en Tor zelf geïsoleerd zijn op verschillende machines, daarom heeft de knop “Nieuwe identiteit” geen toegang tot Tor-beheer. Om een ​​nieuwe knooppuntketen te gebruiken, moet je de browser sluiten, de keten wijzigen met Arm, het Tor-configuratiescherm, Vidalia's analoge Tor-browser en start de browser opnieuw.

Het Whonix-project wordt los van het Tor-project en andere applicaties die daar deel van uitmaken ontwikkeld, daarom zal Whonix niet beschermen tegen kwetsbaarheden in het Tor-netwerk zelf of bijvoorbeeld een 0-day-kwetsbaarheid in de firewall, Iptables.

De veiligheid van de operatie van Whonix kan worden samengevat met een citaat uit de wiki: " En nee, Whonix beweert niet te beschermen tegen zeer krachtige tegenstanders, een perfect veilig systeem te zijn, sterke anonimiteit te bieden, of bescherming te bieden tegen drieletterige instanties of overheidstoezicht en dergelijke.».
Als afdelingen van “drie letters” je zoeken, zullen ze je vinden :)

De kwestie van de vriendschap tussen Tor en VPN is controversieel. Geschillen op forums over dit onderwerp verdwijnen niet. Ik zal enkele van de meest interessante ervan geven:

  1. sectie over Tor en VPN van de officiële Tor-projectpagina;
  2. sectie van het Tails-distributieforum over het VPN/Tor-probleem met de meningen van Tails-ontwikkelaars. Het forum zelf is nu gesloten, maar Google heeft een cache met discussies bewaard;
  3. sectie van het Liberte-distributieforum over het VPN/Tor-probleem met de meningen van Liberte-ontwikkelaars.

Als ik ergens een VPN aanbeveel om privacy en veiligheid online te garanderen, krijg ik vaak opmerkingen als “dan is Tor beter.” Ja, Tor heeft bewezen een goed hulpmiddel te zijn om online anonimiteit te behouden, maar door een VPN te gebruiken, kunt u uw online activiteiten ook verbergen voor buitenstaanders, zoals adverteerders, hackers en andere “snoopers”.
Laten we dus eens kijken hoe deze twee tools verschillen en welke voordelen we kunnen behalen door ze allemaal te gebruiken.

Tor

Het Tor-systeem is gemaakt onder federaal bevel van het US Naval Research Laboratory. De broncode werd later overgebracht naar gemeenschappelijk gebruik”om de ontwikkeling van het systeem te versnellen. Als gevolg hiervan werd een open source client-serverapplicatie ontwikkeld waarvan de functionaliteit door iedereen kon worden getest.

Tor is een set proxyservers in verschillende punten wereld, verenigd in een systeem dat een internetverbinding biedt die beschermd is tegen toezicht. Zo blijf je anoniem bij het bezoeken van websites, e-mailen, bloggen, etc. Anonimisering van verkeer wordt uitgevoerd dankzij een gedistribueerd netwerk van zogenaamde “nodes” - servers waartussen gegevens worden overgedragen. Hierdoor kunt u verkeersanalyse vermijden met behulp van technologieën die uw rechten op vertrouwelijkheid van gegevens, persoonlijke correspondentie, online privacy en privacy van communicatie in het algemeen schenden.

Bovendien heeft het Tor-systeem de mogelijkheid om verborgen webbronnen te creëren op pseudo-topniveaudomeinen.onion. Dergelijke sites worden onder meer gebruikt om illegale acties te ondernemen, maar we zullen niet op dit aspect van de kwestie ingaan. We zijn geïnteresseerd in Tor als middel voor gewone gebruikers om veilig toegang te krijgen tot openbare websites. En in dit geval kunnen we met behulp van Tor onze gegevens beschermen tegen vervelende en niet helemaal eerlijke adverteerders marketingbewegingen, verberg uw echte locatie terwijl u online bent, krijg toegang tot noodzakelijke internetbronnen in landen waar deze om een ​​of andere reden geblokkeerd of ontoegankelijk zijn.

Maar helaas is dit systeem geen wondermiddel en is het niet in staat zijn gebruikers 100% te beschermen tegen schending van de privacy en hen volledige anonimiteit. Feit is dat Tor het feit van de communicatie tussen de client en de server verbergt, maar niet biedt volledige bescherming verzonden gegevens op dezelfde manier als bijvoorbeeld een VPN.

Voor 100% veiligheid is extra codering vereist voor de communicatiekanalen zelf (bijvoorbeeld het gebruik van HTTPS bij het verbinden met sites, OTR bij het communiceren in instant messengers, PGP/GPG bij het verzenden van e-mails, FTPS bij het downloaden/uploaden van bestanden, SSH/OpenSSH bij organiseren toegang op afstand) en verzonden gegevens. Bovendien werkt Tor met het SOKS-protocol, dat niet door alle applicaties wordt ondersteund, en omgekeerd: Tor ondersteunt niet alle protocollen waar populaire diensten gebruik van maken. Het netwerk biedt bijvoorbeeld geen volledige anonimiteit bij het gebruik van VoIP-diensten en BitTorrent. Skype werkt standaard niet correct via Tor en in Tor-browser Flash is standaard gedeactiveerd, omdat het zelfstandig verbinding kan maken met externe servers en zo gebruikersgegevens kan onthullen.

Bovendien zal uw ISP zien dat u Tor gebruikt, omdat de adressen ervan openbaar beschikbaar zijn. Er is een mening dat inlichtingendiensten speciale interesse tonen in Tor-gebruikers - of dit waar is of niet, ik heb geen idee, maar ik wil ook geen extra aandacht op mezelf vestigen als het lijkt alsof ik niets doe slecht. Vreemd genoeg is het een VPN die het gebruik van Tor helpt verbergen. Welnu, het is tijd om deze anonimiteitstechnologie te overwegen.

VPN

VPN is de algemene naam voor een netwerk of verbinding die tot stand komt binnen of bovenop een ander netwerk, zoals internet. Simpel gezegd is het een tunnel die bestaat uit een VPN-client die op het apparaat van de gebruiker is geïnstalleerd en een VPN-server. Binnen deze tunnel worden de gegevens die worden uitgewisseld tussen de gebruiker en webbronnen gecodeerd. De essentie van VPN-technologie is het beschermen van het verkeer van alle informatienetwerksystemen, audio- en videoconferenties, e-commercesystemen, enz.

Tegenwoordig is VPN een van de meest betrouwbare methoden voor gegevensoverdracht vanwege het feit dat deze technologie de ervaring van twee serieuze bedrijven omvat: Microsoft en Cisco. Bijvoorbeeld het gezamenlijke werk van het PPTP-protocol (het geesteskind van Microsoft) en GRE (een product van Cisco). En ook het nog geavanceerdere protocol L2TP en L2F zijn dat ook Microsoft-ontwikkelingen en Cisco.

De vertrouwelijkheid van gegevens tijdens een VPN-verbinding wordt gewaarborgd doordat de codering plaatsvindt op het niveau van de afzender en de decodering alleen op het niveau van de ontvanger. De inhoud van de onderschepte pakketten die op een dergelijk netwerk worden verzonden, is alleen begrijpelijk voor de eigenaren van de gedeelde coderingssleutel, waarvan de lengte de belangrijkste beveiligingsparameter is.

De sleutel wordt gegenereerd op het apparaat en de server van de gebruiker en is alleen voor hem/haar beschikbaar. Het genereren gebeurt op basis van willekeurige gegevens zoals een willekeurige vraag, de reactie van uw computer, de reactietijd, het besturingssysteem, enz. Deze reeks factoren is uniek. Elke aanvaller zal, om een ​​decoderingsmethode te selecteren, al deze willekeurige factoren moeten herhalen, wat vrijwel onmogelijk is, aangezien moderne VPN-diensten krachtige coderingsalgoritmen gebruiken op het niveau van financiële organisaties.

VPN beschermt dus alle uitgaande en inkomende gegevens op het apparaat van de gebruiker. De gebruiker ontvangt ook het IP-adres van de VPN-server, die zijn eigen adres vervangt, en er is de mogelijkheid om een ​​IP-adres op locatie te selecteren. Stel dat u als gebruiker uit de VS verbinding wilt maken met een dienst, dan moet u het IP-adres van de Amerikaanse server selecteren.
Dankzij IP-wijziging en encryptie worden uw gegevens beschermd tegen hackers en andere indringers en zijn uw internetactiviteiten volledig verborgen.
Onder de nadelen van VPN’s kunnen we een afname van de verkeerssnelheid opmerken. Als je regelmatig een beveiligde verbinding nodig hebt, zul je waarschijnlijk ook moeten betalen voor het gebruik van een goede VPN-service.

Sommige VPN-aanbieders hebben een probleem met het lekken van informatie via IPv6 en/of DNS-kaping, maar ik denk dat nu het publiek hier aandacht aan heeft besteed, verbeteringen in de bescherming niet lang op zich zullen laten wachten.

Laten we het dus een beetje samenvatten.

  1. Een VPN verbindt u met een server naar keuze in het door u gewenste land. Tor brengt u over naar verschillende servers in verschillende delen van de wereld zonder dat u controle heeft over het proces.
  2. VPN verbergt uw echte locatie en biedt een nieuw IP-adres: de server die u kiest. Tor verbergt uw echte IP en biedt een willekeurig adres van het laatste knooppunt waarmee u verbinding hebt gemaakt.
  3. VPN codeert uw gegevens helemaal tot aan de server en terug. Tor verzendt gedecodeerde gegevens vanaf het laatste knooppunt waarmee u verbinding hebt gemaakt, waardoor deze in gevaar komt.
  4. Wanneer u ervoor kiest een VPN-client te gebruiken, vertrouwt u uw gegevens toe aan een specifieke VPN-provider, dus u moet daar vertrouwen in hebben. Door voor Tor te kiezen, vertrouwt u mogelijk uw gegevens toe aan de Amerikaanse overheid en andere projectsponsors - discutabel, maar niet onmogelijk.
  5. Met VPN kunt u correspondentie in VoIP-diensten beschermen en torrents gebruiken. Tor helpt alleen als de VoIP-applicatie de juiste protocollen gebruikt.
  6. Een VPN kan gegevens lekken als deze gebruik maakt van verouderde technologie. Tor kan niet verbergen dat het wordt gebruikt.
We kunnen dus zien dat Tor en VPN hun eigen voor- en nadelen hebben en ons in verschillende situaties en voor verschillende doeleinden van dienst kunnen zijn.

Laten we zeggen dat als u alleen toegang wilt tot bepaalde inhoud op de site, u deze allemaal kunt gebruiken, maar u kunt Skype gebruiken in een land waar het zonder extra inspanning alleen met een VPN verboden is.

Als u online wilt gaan vanaf specifiek land”, dan is het beter om een ​​VPN-dienst te gebruiken met een geschikte locatie, en als het niet uitmaakt waar je vandaan reist, maar alleen anonimiteit belangrijk is, dan volstaat Tor.

Er kunnen veel voorbeelden zijn.

Voor maximale bescherming, als je met zeer waardevolle gegevens werkt, kun je de Tor+VPN-combinatie gebruiken en voor niemand of iets bang zijn :)

Ik gebruik Tor bijvoorbeeld op een computer en op mobiele apparaten - . Voor het gemak verbind ik het ook af en toe met Google Chrome. Dit systeem heeft mij nog niet in de steek gelaten.

Als ik geen rekening heb gehouden met eventuele voor- of nadelen van deze technologieën, geef dan commentaar.



GERELATEERDE ARTIKELEN