VPN сейчас актуален, как никогда раньше. Даже в домашних роутерах стали появляться не только VPN-серверы, а еще и с аппаратным ускорением шифрования. Что же такое VPN и для чего он вообще нужен? Попробуем рассказать об этом.
Получилось так, что учебниках не дают определения того, что такое - VPN. Якобы, и так всё понятно. На самом деле, аббревиатура VPN даёт некоторое понятие о том, что такое VPN (Virtual Private Network, то есть виртуальная частная сеть). Вроде бы понятно. Сеть - несколько связанных устройств. Виртуальная - неосязаемая, находящаяся не в виде проводов, а так, по интернету. Что такое «частная», тоже вроде бы очевидно. Такая, в которую могут зайти не все, кто захотел, а только те, кому “разрешили”. Если копнуть чуть глубже, то именно эта составляющая VPN и является самой главной, так как она определяет ряд требований к этой самой «частности».
Надо как-то обозначать участников этой сети и ту информацию, которой они обмениваются, чтобы она не смешивалась с чужой.
Просто необходимо эту информацию защитить от посторонних глаз. Ну хотя бы зашифровать, что снова накладывает следующий круг ограничений, связанных со стойкостью этого шифрования.
Надо сохранять целостность такого способа передачи информации — не пускать посторонних в частную сеть, проверять источник передаваемых сообщений и следить за тем, чтобы информация нигде не просачивалась в «голом виде».
Классификация
VPN тоже бывает разный. Его виды различают по степени защищённости, по способу реализации и по назначению.
По степени защищённости
Защищённые. Наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищенную сеть на основе ненадёжной сети, как правило, Интернета.
Доверительные. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными.
По способу реализации
В виде специального программно-аппаратного обеспечения. Реализация сети VPN осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.
В виде программного решения. Используют персональный компьютер со специальным программным обеспечением, дающим функциональность VPN.
Интегрированное решение. Функциональность VPN обеспечивает комплекс, решающий также задачи роверки сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.
По назначению
Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.
Remote Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или интернет-киоска.
Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних конфиденциальной информации.
Internet VPN. Используется для предоставления доступа к интернету провайдерами, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях. L2TP был широко распространён в середине 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит. В настоящее время (2012) проводной интернет дешёвый или безлимитный, а на стороне пользователя зачастую есть маршрутизатор, на котором включать-выключать интернет не так удобно, как на компьютере. Поэтому L2TP-доступ отходит в прошлое.
Client/Server VPN. Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети. Например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика используется его шифрование.
Уязвимости
Если думали, что включили vpn и всё, анонимусы, то спешу вас предостеречь, злоумышленник способен узнать ваше реальное “имя” в сети. Это можно сделать с помощью уязвимости webRTC. Далее немного справки. WebRTC (Real Time Communication) - технология, которая позволяет пользователям передавать потоковые аудио и видео данные между мобильными приложениями и браузерами. WebRTC является прямым конкурентом Skype. Данная веб-технология позволяет разработчикам избежать препятствий при создании специализированных сервисов, работающих с контекстуальной информацией в реальном времени.
Благодаря WebRTC пользователи могут создавать видеоконференции прямо в браузерах без каких-либо посредников. WebRTC имеет полностью открытый исходный код и часто рекламируется компанией Google, особенно в команде разработчиков Google Chrome. Самым ярким примером реализацией возможностей WebRTC является контакт-центр, который предоставляет дополнительные возможности для клиентов и агентов. WebRTC позволяет пользователям нескольких браузеров передавать свои данные друг другу. Для хранения и обработки данных не требуется сервер-посредник. Вся обработка данных осуществляется браузерами или мобильными приложениями.
А теперь ближе к теме.
Самая большая угроза использования WebRTC заключается в том, что эта веб-технология определяет ваш фактический IP-адрес. Когда ваше соединение напрямую связано с любым другим пользователем, веб-сайтом, браузером или любым мобильным приложением, сетевые настройки ограничены. Чтобы создать аудио-видеосвязь, браузер должен работать с локальными IP-адресами.
Известно, что лучшим решением защиты от утечки IP-адреса является отключение технологии WebRTC, если вы ее используете. WebRTC применяет локальное шифрование, чтобы поддерживать конфиденциальность коммуникаций, но бытует мнение, что данная технология более опасна, чем обычные услуги конференцсвязи. Технология представляет опасность для пользовательских браузеров, которые могут быть атакованы вредоносными программами.
Эту технологию можно отключить. Расписывать, как это сделать, я не буду, ибо эту информацию легко найти в сети. Но скажу, как проверить, нужно ли вам вообще искать эту информацию. Для этого есть сайт Проверка на утечку через WebRTC: устранение утечки IP | ExpressVPN .
ВАЖНО чтобы всё корректно работало необходимо сначала подключится к vpn, а уже потом проводить тест.
Также хотелось бы добавить, что я пользуюсь Hoxx VPN в браузере Firefox и утилитой anonim8 на своём Kali Linux. Меня всё устраивает. Я не знаю, можно ли скачать anonim8 отдельно, но точно знаю, что он есть в составе утилиты LasyScript. Кстати, можно будет как-нибудь сделать по ней подробный гайд. И по PC версии, и по версии для Termux. Что думаете по этому поводу?
Говоря про VPN нельзя не упомянуть про TOR. Это, можно сказать частный случай VPN, а точнее это цепочка прокси серверов, между которыми постоянно переключает ваше соединение.
Если подробнее, то пользователи сети Tor запускают «луковый» прокси-сервер на своей машине, который подключается к серверам Tor, периодически образуя цепочку сквозь сеть Tor, которая использует многоуровневое шифрование. Каждый пакет данных, попадающий в систему, проходит через три различных прокси-сервера — узла, которые выбираются случайным образом. Перед отправлением пакет последовательно шифруется тремя ключами: сначала для третьего узла, потом для второго и в конце, для первого. Когда первый узел получает пакет, он расшифровывает «верхний» слой шифра (аналогия с тем, как чистят луковицу) и узнаёт, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом. В то же время, программное обеспечение «лукового» прокси-сервера предоставляет SOCKS-интерфейс. Программы, работающие по SOCKS-интерфейсу, могут быть настроены на работу через сеть Tor, который, мультиплексируя трафик, направляет его через виртуальную цепочку Tor и обеспечивает анонимный веб-серфинг в сети.
Внутри сети Tor трафик перенаправляется от одного маршрутизатора к другому и окончательно достигает точки выхода, из которой чистый (нешифрованный) пакет данных уже доходит до изначального адреса получателя (сервера). Трафик от получателя обратно направляется в точку выхода сети Tor.
teaser-tor-1.png
Узлы в сети TOR тоже бывают разные.
Входные узлы (entry node)
Входные узлы служат для принятия инициированных клиентами сети Tor соединений, их шифрования и дальнейшего перенаправления к следующему узлу. Следует отметить, что изменение передаваемой информации на пути от клиента сети до входного узла не представляется возможным, так как согласно технической спецификации протокола Tor, каждый пересылаемый блок данных защищён имитовставкой. Также невозможен перехват соединения на пути к входному узлу, поскольку применяется гибридное шифрование сеансовым ключом TLS, не допускающим утечек информации о типе или содержании пакетов.
Посреднические узлы (middleman node)
Посреднический узел, также иногда называемый невыходным (non-exit node), передаёт шифрованный трафик только между другими узлами сети Tor, что не позволяет его пользователям напрямую подключаться к сайтам, находящимся вне зоны .onion. Обслуживание посреднического узла гораздо менее рискованно, поскольку он не становится причиной жалоб, свойственных для выходного. Кроме того, IP-адреса посреднических узлов не появляются в логах .
Выходные узлы (exit node)
Последние в цепочке серверы Tor называются выходными узлами. Они выполняют роль передаточного звена между клиентом сети Tor и публичным Интернетом. Это делает их наиболее уязвимой частью всей системы. Поэтому каждый ретранслятор Tor имеет гибкие настройки правил вывода трафика, которые позволяют регулировать использование тех или иных портов, протоколов и лимитов скорости для запущенного пользователем узла сети. Эти правила представлены в каталоге Tor, следовательно, клиент автоматически будет избегать подключения к закрытым ресурсам. В любом случае, пользователю, решившему запустить у себя выходной узел, следует быть готовым к возникновению различных нештатных ситуаций. Специально для помощи энтузиастам в таких случаях появились соответствующие руководства от The Tor Project, Inc и EFF.
Сторожевые узлы (guard node)
Сеть Tor уязвима к атакам, при которых атакующий контролирует оба конца канала передачи (то есть, входной и выходной узлы цепочки). Каждый раз при построении цепочки узлов Tor существует опасность, что она будет скомпрометирована таким образом.
Поэтому, в версии Tor 0.1.1.2-alpha были впервые внедрены так называемые сторожевые узлы. Начиная с версии Tor 0.1.1.11-alpha они используются по умолчанию. Философская предпосылка этой технологии заключается в том, что для большинства пользователей Tor единичные скомпрометированные соединения практически так же плохи, как и постоянные.
При использовании полностью случайных входных и выходных узлов в каждой цепочке, вероятность компрометации цепочки постоянна и составляет приблизительно (C/N)*в квадрате* , где C — количество узлов, контролируемых атакующим, а N — полное количество узлов сети. Из этого следует, что если атакующий достаточно долго контролирует даже незначительное число узлов, каждый постоянный пользователь Tor рано или поздно использует скомпрометированную цепочку.
Чтобы избежать этого, клиент Tor выбирает небольшое число узлов в качестве сторожевых и использует один из них в качестве входного узла для каждой создаваемой цепочки, пока эти узлы в рабочем состоянии. Если ни один из сторожевых узлов пользователя не контролируется атакующим, все цепочки данного пользователя будут надёжными. Но и в том случае, если один или даже все сторожевые узлы пользователя попали под контроль атакующего, вероятность компрометации каждой его цепочки составляет не 100 %, а менее, чем C/N.
Таким образом, в условиях контроля атакующим небольшой части узлов сети (C≪N), технология сторожевых узлов уменьшает вероятность быть скомпрометированным хотя бы один раз, не влияя на математическое ожидание количества скомпрометированных соединений для произвольно выбранного пользователя. Проще говоря, она обеспечивает надёжность соединений для большинства пользователей за счёт «концентрации» скомпрометированных соединений у меньшей части пользователей. С учётом вышеупомянутой философии, это является выигрышным решением для большинства пользователей сети Tor.
Мостовые узлы (bridge relay)
Ретрансляторы, называемые бриджами (Tor Bridges) являются узлами сети Tor, адреса которых не публикуются в сервере каталогов и используются в качестве точек входа как для загрузки каталогов, так и для построения цепочек. Поскольку открытого списка мостов не существует, даже блокировка всех публичных адресов Tor не повлияет на доступность этих скрытых ретрансляторов. Корневые серверы мостовых узлов собирают IP-адреса бриджей и передают их пользователям по электронной почте, через веб-серверы или путём запросов, что значительно повышает их цензурозащищённость. Добавление функции мостов в Tor стало ответом на попытки блокирования адресов сети некоторыми цензорами. Но даже этого может быть недостаточно, поскольку ряд программ фильтрации может отследить незашифрованные запросы к каталогам Tor. Поэтому программное обеспечение сети начиная с версии 0.2.0.23-rc по умолчанию используют шифрование запросов и периодическую смену TLS для имитации работы веб-браузеров. Однако, данный способ маскировки является труднореализуемой задачей там, где происходит блокирование TLS, как, например, в Иране. В перспективе планируется ввести возможность имитации множества протоколов.
Выходные анклавы (exit enclave)
Выходной анклав — это ретранслятор Tor, который позволяет выйти на обычный сервис, находящийся по тому же IP-адресу, что и сам «анклав». Эта функция полезна для ресурсов, которые используются через Tor, чтобы воспрепятствовать перехвату трафика между выходным узлом и сервисом. В частности, её использует поисковая система DuckDuckGo.
Начиная с версии 0.2.3 не поддерживаются.
Также у тора есть некоторые ограничения, о которых речь пойдёт дальше.
Tor предназначен для скрытия факта связи между клиентом и сервером, однако он принципиально не может обеспечить полное скрытие передаваемых данных, поскольку шифрование в данном случае является лишь средством достижения анонимности в Интернете. Поэтому для сохранения более высокого уровня конфиденциальности необходима дополнительная защита самих коммуникаций. Также важно шифрование передаваемых через Tor файлов с помощью их упаковки в криптографические контейнеры и применение методов стеганографии.
Tor работает только по протоколу SOCKS, поддерживаемому не всеми приложениями, через которые может понадобиться вести анонимную деятельность. Методом решения этой проблемы является использование специализированных программных прокси-серверов и аппаратных проксификаторов. Также существуют отдельные способы торификации как различных приложений, так и целых операционных систем.
Tor не поддерживает UDP, что не позволяет использовать протоколы VoIP и BitTorrent без риска утечек. Эта проблема может быть решена при помощи туннелирования во Whonix и в OnionCat.
Сеть Tor не может скрыть от интернет-провайдера факт использования самой себя, так как её адреса находятся в открытом доступе, а порождаемый ею трафик распознаётся с помощью снифферов и DPI. В некоторых случаях уже это становится дополнительной угрозой для пользователя. Для её предотвращения разработчиками Tor были созданы средства маскировки трафика. Также существуют способы скрыть использование Tor при помощи VPN, SSH и Proxy chain.
Tor не в состоянии защитить компьютер пользователя от вредоносного, в частности шпионского программного обеспечения, которое может быть использовано для деанонимизации. Методом защиты от таких программ является применение как грамотно настроенных IPS и DLP, так и общих мер сетевой безопасности, включая расширения браузеров при веб-серфинге (напр. NoScript и RequestPolicy для Firefox). Наиболее же эффективным способом будет использование специализированных операционных систем, где все необходимые меры безопасности реализованы по умолчанию с учётом специфики использования Tor.
Использование Tor как шлюза на пути к Всемирной сети позволяет защитить права пользователей из стран с интернет-цензурой лишь на некоторое время, ведь такой стране достаточно заблокировать доступ даже не ко всем серверам сети Tor, а только к центральным серверам каталогов. В этом случае энтузиастам рекомендуется настроить у себя мостовой узел Tor, который позволит заблокированным пользователям получить к нему доступ. На официальном сайте проекта любой пользователь может найти актуальный список мостов для своей сети. В случае, если он также заблокирован, можно подписаться на официальную рассылку Tor, отправив письмо с темой «get bridges» на E-Mail bridges@torproject.org или использовать специальный плагин для WordPress, который позволяет постоянно генерировать картинку-CAPTCHA с адресами мостов. Но даже использование таковых не является панацеей, так как с момента создания Tor-бриджей появилось множество способов их раскрытия.
У текущей архитектуры скрытых сервисов имеются сложности с масштабируемостью, поскольку нагрузка от клиентов ложится на точки выбора соединения, которыми являются обычные узлы сети Tor, не предназначенные для подобных нагрузок. Для частичного решения этой проблемы скрытые сервисы создают несколько точек выбора соединения, самостоятельно руководствуясь своим уровнем значимости. Но даже при этом остается трудность балансирования нагрузки. И хотя скрытые сервисы поддерживают такие решения, как HAProxy, возможность перенаправления клиентов на разные IP-адреса, как это делает, например, Round robin DNS, отсутствует. Кроме того, низкая отказоустойчивость точек выбора соединения делает их уязвимыми перед DDoS-атаками, которые, будучи направлены на несколько точек, могут сделать скрытый сервис недоступным для клиентов. Для решения этой проблемы разработчики Tor в 2006 году предложили в своей работе «Valet Services: Improving Hidden Servers with a Personal Touch» новый вид узлов, которые будут размещаться перед точками выбора соединения и позволят разгрузить скрытые сервисы. В июле 2015 года началось открытое тестирование балансировщика OnionBalance, который позволит запросам скрытых сервисов распределяться между множеством экземпляров Tor.
Можно было бы ещё очень долго писать про скандалы по поводу Tor критику в его адрес и прочее, но вам наврядли будет это интересно. А так, мне было интересно это писать, вам, надеюсь было интересно это читать. За сим я откланяюсь, вам желаю хорошего дня и быстрого vpn соединения.
Источник: https://codeby.net/threads/princip-rabo … tor.67893/
Отредактировано maclien800 (2020-07-06 16:02:41)