Если Вы начали читать данную статью, наверняка, у вас не возникает вопрос зачем пользоваться VPN и Tor. Каждая из этих технологий способна обеспечить приемлемый уровень приватности, а это как минимум скрыть ваш IP адрес и трафик от посторонних глаз. Вместе с тем как VPN, так и Tor помимо ряда очевидных достоинств, обладают недостатками, эксплуатация которых может позволить раскрыть вашу настоящую личность.
Пример из жизни, в 2011 году ФБР арестовала хакера Cody Kretsinger, который пользовался достаточно известным британским сервисом HideMyAss для взлома Sony. Переписка хакера в IRC попала в руки федералов, даже не смотря на то, что сервис в своём лицензионном соглашении утверждает, что они собирают только общую статистику и не записывают IP-адреса клиентов и их трафик.
Казалось бы, сеть Tor, как более надежное и децентрализованное решение должна помочь избежать подобных ситуаций, но и тут не обошлось без подводных камней. Проблема в том, что каждый может запустить свой выходной узел Tor. Трафик пользователей проходит через такой узел в незашифрованном виде, что позволяет владельцу выходного узла злоупотреблять своим положением и анализировать ту часть трафика которая проходит через подконтрольные ему узлы.
Это не просто теоретические выкладки, в 2016 году ученые из университета Northeastern опубликовали исследование в котором всего за 72 часа нашли 110 вредоносных выходных узлов, шпионящих за пользователями анонимной сети. Логично предположить, что таких узлов на самом деле больше, а учитывая общее небольшое количество узлов (всего около 7000 на июнь 2017) ничто не мешает соответствующим организациям анализировать значительную часть Tor трафика.
Также много шуму наделала недавняя история с эксплойтом для браузера Firefox который ФБР использовала для деанонимизации пользователей Tor. И хотя разработчики активно работают над устранением подобных проблем, никогда нельзя быть уверенным в том, что не существуют уязвимости не известные широкой общественности.
Не смотря на то, что Tor предполагает более высокий уровень анонимности чем VPN, за это приходится платить скоростью соединения, невозможностью использовать p2p сети (Torrent, Gnutella) и проблемы с доступом к некоторым ресурсам интернет, так как часто админы блокируют диапазон IP адресов Tor.
Хорошая новость заключается в том, что можно совместно использовать обе технологии с целью нивелировать недостатки каждой и добавить дополнительный уровень безопасности, конечно за это придется заплатить еще большим снижением скорости. При этом важно понимать, что существует два варианта связки VPN и Tor, подробно остановимся на достоинствах и недостатках каждого.
В такой конфигурации вы сначала подключаетесь к VPN серверу, а потом используете сеть Tor поверх VPN соединения.
Получается следующая цепочка:
Ваше устройство -> VPN -> Tor -> Интернет
Достоинства Tor через VPN:
Данная конфигурация предполагает сначала соединение с сетью TOR, а потом использование VPN поверх Tor для выхода в сеть.
Цепочка соединений выглядит следующим образом:
Ваше устройство -> VPN-> Tor -> VPN -> Интернет
Чтобы настроить VPN через Tor можно пойти двумя путями:
1. Запустите Tor браузер, перейдите в меню настроек (Options), далее Advanced -> Network -> Settings . Перед вами откроется окно настроек Прокси. Здесь нет особой необходимости что-то менять. Видно, что пока включен Tor браузер ваш компьютер работает как SOCKS v5 прокси и принимает соединения на порту номер 9150.
2. Далее осталось указать нашему VPN клиенту использовать Tor прокси запущенный на вашем компьютере. В случае с OpenVPN это делается в настройках программы как на снимке экрана. Тоже самое можно сделать в файле конфигурации OpenVPN указав директиву socks-proxy 127.0.0.1 9050
Позаботьтесь о надежном VPN, попробуйте , при этом Вы получите полное отсутствие лог файлов, более 100 серверов, чистый OpenVPN и никаких сторонних приложений. Сервис зарегистрирован в Гонконге, а все сервера оформлены на подставных лиц.
Оставляйте свои комментарии и вопросы ниже, а также подписывайтесь на нас в социальных сетях
Я много рассказывал о безопасности Mac, но практически обошёл стороной такую интересная тему как VPN, хоть и пользуюсь этой штукой более года. Технология VPN предназначена для защиты вашего интернет-соединения. Это особенно актуально в публичных WiFi-сетях, которыми мы пользуемся в кофейнях и ресторанчиках.
Когда защиты нет, то любой подкованный школьник за соседним столиком может «слушать» трафик внутри сети. При определённой усидчивости из него можно выловить данные для входа на различные интернет-ресурсы. Если у вас есть сайт на WordPress, то логин и пароль от него «утекут» очень быстро.
Вторая реальная угроза – выборочное правосудие какого-то отдела К9, который периодически выбирает козлов отпущения и возбуждает уголовные дела за загрузку торрент-ловушек. Привлечь к себе внимание можно и заграницей, где контроль за соблюдением авторских прав особенно строгий.
В обоих случаях нам поможет один из множества VPN-сервисов, которые сейчас активно шагают в массы.
VPN - это зашифрованное подключения к компьютеру/серверу, которое изначально использовалось для удалённого подключения к корпоративным сетям. Например, уехав в другую страну, сотрудник мог подключится к внутренней сети компании и получить доступ ко всем локальных ресурсам: файлам, календарям, принтерам и т.п. Если в это время загрузить какую-то страничку или файл из глобальной паутины, то это произойдёт от имени рабочего сервера, а потом по зашифрованному каналу отправится удалённому пользователю (нашему сотруднику).
Картинка с Хабра
Именно эта интересная особенность и дала толчок к появлению коммерческих VPN-серверов, которые выступают своеобразной «прокладкой» между вами и интернет и «гоняют» весь ваш трафик от своего имени.
VPN-соединение нужно с чем-то устанавливать. Если у вас есть собственный сервер, то «поднять» его можно прямо там. Для всех остальных существует множество платных услуг, которые за 7-10 $ дадут даже больше возможностей, чем «самопальный» VPN.
Каким же образом VPN-сервер делает подключения к сети безопаснее? Как я уже говорил, сервер выступает в виде прокладки, которая пропускает весь интернет трафик через себя, причём трафик зашифрован на стороне «вы-сервер-вы».
Отсюда и главное преимущество: ваш провайдер и другие пользователи во внутренней сети, не знают какие ресурсы вы посещаете и что загружаете. Проанализировать трафик невозможно - это бессмысленная цифровая каша.
Если вы не просто «читаете» интернет, а заходите в свои аккаунты с использованием логина и пароля (форумы, свои сайты, социальные сети, электронные кошельки, мобильный банкинг) в том числе и скачиваете что-то с торрентов, то анонимность и безопасность, которые даёт VPN очевидны.
Чтобы третьи лица все же смогли посмотреть вашу историю активности, им нужно получить судебное разрешение на доступ к логам VPN-сервера, разумеется в той стране, где зарегистрирована владеющая ими компания. Обычно их юридические адреса находятся на каких-то Сейшелах, а логи интернет активности хранятся от нескольких дней, до нескольких недель. Сами понимаете, как это усложняет слежку. А вот ваш провайдер может начать «слушать» вас по первому же запросу правоохранительных органов.
У VPN есть ещё несколько дополнительных преимуществ. Подключаясь к удалённому серверу вы получаете IP-адрес страны, в которой он находится. Во-первых, это маскирует ваше реальное месторасположение, а во-вторых, даёт возможность пользоваться внутренними ресурсами этих стран.
Например, в сезон я смотрю Формулу 1 на британском BBC (для жителей Великобритании это бесплатно). Подключившись к американскому серверу можно слушать Pandora или сделать себе американский аккаунт в App Store. Из некоторых азиатских стран меня не пускало в онлайн-банкинг. Это тоже лечится при помощи смены IP-адреса благодаря VPN. Во всех этих случаях сайты будут «думать», что конечный пользователь не вы, а ваш VPN-север.
Разумеется, такое преимущества есть только а том случае, если вы вручную можете выбирать один из нескольких VPN-серверов. Как правило, такими преимуществами обладают лишь платные сервисы. Для конечного пользователя весь это выбор сводится лишь к выбору города (страны), к которому он хочет подключится: Лондон, Гамбург, Токио и т.п.
Поскольку между вами и ресурсами в сети появляется ещё одно звено, которое ещё и шифрует всю передаваемую информацию, то это влечёт за собой потери в скорости. Впрочем, потери не катастрофические, мне по-прежнему удаётся нормально смотреть потоковое видео в 720р, так что разницы в загрузке интернет-страничек нет. Ощутимые потери скорости будут в том случае, если ресурс к которому вы обращаетесь находится в вашем же городе или стране. При работе с иностранными ресурсами, как правило, разницы в скорости почти нет.
Ну и вторая особенность - вам нужно доверять вашему VPN-провайдеру. Ведь всегда есть вероятность, что на том конце есть кто-то из ФБР, ФСБ или СБУ.
Я долго читал тематически статьи на Хабре, но ничего внятно-понятного для обычного пользователя не нашёл. Многие поставщики VPN, попадавшиеся мне, находились а США, а это сильно влияет на скорость подключения. Гонять весь трафик через другой континент нет никакого смысла.
При более детальном поиске мне таки удалось найти несколько интересных решений. Например, два «наших» VPN-провайдера: Kebrum и ruVPN, а также американский Cloak, у которого есть несколько серверов в Европе. Если вы не хотите много читать, то сразу переходите к впечатлениям от Cloak, именно на нем я и остановил свой выбор.
Компания зарегистрирована на Сейшелах и хранит историю ваших действий в сети на протяжении 3 дней. Есть маленький (и кривенький) клиент для Mac, который позволяет подключатся к VPN в один клик и также выбирать нужные сервера. Его главная проблема оказалась в назойливой иконке в Dock, которую невозможно спрятать. Конечно, для этого есть специальный трюк, но морочиться в этом случае мне не хочется. Включать VPN придётся вручную через Dock или Menubar.
Что касается доступных серверов, то всего их девять, из которых я оставил для себя лишь четыре:
На одном аккаунте можно одновременно иметь два активных подключения к сети (TCP или UDP). Например, дома и на работе (если вы забыли выключить домашний компьютер). При желании, можно даже подключить к VPN свой iPhone или iPad (протоколы PPTP или L2TP/IPSec). За 7 $ в месяц трафик не ограничен, так что можно практически всегда работать через VPN-сервер.
В качестве альтернативного клиента я использовал Tunnelblick. Он гораздо удобнее стандартного, но выглядит также страшненько.
Сам Kebrum работает весьма неплохо. Но иногда подключение падает намертво, из-за чего приходится вручную менять сервер. Подключение через iOS не поддерживает функцию «Подключатся по запросу», VPN-соединение приходится запускать вручную, что сводит на нет всю его полезность на мобильных устройствах, так это долго да и банально забываешь это сделать.
С Kebrum я проработал достаточно долго, около 5 месяцев и в целом могу сказать, что это неплохое решение за свою цену. Его главные преимущества: безлимитный трафик, много серверов и низкая цена.
Сразу бросается в глаза наличие тарифов. У всех их трафик не ограничен, но есть ограничения по скорости. Базовый пакет на 20 МБит/сек обойдётся вам в 10 $ ежемесячно.
Оказалось, что в эту стоимость не входит подключение мобильных устройств. Если вы хотите подключить ещё iPhone или iPad на такой же скорости, то придётся выложить ещё 10 $. И того, 20 $ за один Mac и одно мобильно устройство - не дёшево.
Компания ruVPN зарегистрирована в Норвегии, там же находятся сервер. Так что, послушать послушать Pandora через США или посмотреть Formula 1 на британском BBC не получится.
В защиту ruVPN скажу, что работает быстро и гораздо стабильнее Kebrum. Но цена уж слишком великовата при реальном достоинстве в виде лишь SSL-сертификата.
Cloak - американский сервис на котором я в итоге и остановил свой выбор. У него оказалось огромное количество дополнительных плюшек и внятный сайт, где можно получить исчерпывающую информацию о тонкостях его работы.
Итак, начну с того, что авторизация на мобильных устройствах идёт через SSL-сертификат, для установки которого также надо поставить из App Store бесплатную программу, залогиниться через неё и установить сертификат нажатием одной кнопки.
Cloak пока работает только на Mac, iPhone и iPad, но не имеет абсолютно никакого ограничения по количеству одновременно подключённых устройств. Если взять аккаунт за 9.99 $ с неограниченным пакетом трафика, то можно пересадить на VPN всю семью, дедушек и бабушек.
Сервера у Cloak находятся в восьми странах, причём клиент для OS X автоматически умеет подключаться к самому быстрому из них на основе внутреннего теста. При желании страну можно задать вручную. Логи на сервере хранятся в течение 16 дней.
Особенно хочу похвалить качественный клиент для OS X. Во-первых, он красивый и сделан для людей, а не гиков. Его нужно просто поставить и нажать кнопочку Secure my connection.
Во-вторых, он действительно пытается обезопасить ваше подключения, блокируя интернет-активность во всех незнакомых сетях, пока не будет установлено VPN-соединение.
Список дружественных сетей можно изменить в настройках, там же активировать опцию автоматического подключения.
Что касается тарифных планов, то их поначалу было три, но буквально пару недель назад осталось всего два. Первый стоит 2.99 $ с ограничением 5 Гб в месяц, второй - 9.99 $ за полный безлимит. Сам же я поначалу остался на тарифном плане 25 Гб за 7.99 $, но вчера перебрался на безлимитный.
Ещё один огромный плюс - наличие пробной версии Cloak без каких-то ограничений. После регистрации вас сразу перекинут на пакет Mini с 5 Гб трафика на 30 дней. Вполне достаточно чтобы оценить удобство клиентов и скорость работы. А если вы ещё что-то твитнете про Cloak, то получите бесплатно 20% от вашего тарифного плана, то есть 1 Гб.
Кстати, о скорости - она не просто хороша: подключение к VPN не замечаешь. Если с Kebrum мне периодически приходилось бороться с серверами и искать приемлемый по скорости, то тут все работает как часы. Вот несколько замеров в разных местах и разное время (сервер выбирался автоматически).
Из тестов хорошо видно, что при работе с локальными ресурсами скорость передачи падает достаточно существенно. Но, при работе с зарубежными - потери не существенны. Лично мне её вполне, тем более - подключение очень стабильно. Если же вам этого мало, то стоит присмотреться к ruVPN.
VPN – штука необходимая абсолютно всем, кто выходит в сеть из публичных сетей. Он не сделает вас полностью анонимным, но «спрячет» вашу активность в сети от любопытных глаз и убережёт ваши данные от перехвата. Все это по нажатию одной кнопки.
VPN придётся весьма кстати и тем, кто периодически балуется торрентами. Если же балуетесь много, то обязательно присмотритесь ещё и к облачному торрент-клиенту put.io. Это не только безопасно, но ещё и гораздо быстрее.
Также я расскажу про дистрибутив ОС Whonix, реализующий самые передовые достижения в области сетевой анонимности, ведь в нём, помимо всего прочего, настроены и работают обе анализируемые схемы.
Для начала давайте определимся с некоторыми постулатами:
1. Сеть Tor обеспечивает высокий уровень анонимности клиента при соблюдении всех обязательных правил её использования. Это факт: реальных атак в паблике на саму сеть, ещё не было.
2. Доверенный VPN-(SSH)-сервер обеспечивает конфиденциальность передаваемых данных между собой и клиентом.
Таким образом, для удобства в рамках данной статьи мы подразумеваем, что Tor обеспечивает анонимность клиента, а VPN - конфиденциальность передаваемых данных.
VPN-сервер при такой схеме является постоянным входным узлом, после него шифрованный траффик отправляется уже в сеть Tor. На практике схема реализуется просто: сначала производится подключение к VPN-серверу, далее запускается Tor-браузер, который автоматически настроит нужную маршрутизацию через VPN-тоннель.
Использование такой схемы позволяет скрыть сам факт использования Tor от нашего Интернет-провайдера. Также мы будем закрыты от входного узла Тора, который будет видеть адрес VPN-сервера. А в случае теоретической компрометации Tor, нас защитит рубеж VPN, который, разумеется, не хранит никаких логов.
Использование вместо VPN прокси-сервера, лишено смысла: без шифрования, обеспечиваемого VPN, мы не получим каких-либо значимых плюсов в такой схеме.
Стоит отметить, что специально для обхода запрета Tor интернет-провайдерами придумали так называемые bridges (мосты).
Мосты – это такие узлы сети Tor, которые не занесены в центральный каталог Tor, то есть не видны, например, или , а, следовательно, труднее обнаруживаются.
Как настроить мосты, подробно написано .
Несколько мостов может дать нам сам сайт Tor по адресу .
Можно также получить адреса мостов по почте, отправив на адрес [email protected] или [email protected] письмо с текстом: «get bridges». Обязательно отправлять это письмо с почты от gmail.com или yahoo.com
В ответ мы получим письмо с их адресами:
«Here are your bridge relays:
bridge 60.16.182.53:9001
bridge 87.237.118.139:444
bridge 60.63.97.221:443
»
Эти адреса нужно будет указать в настройках Vidalia – прокси-сервера Tor.
Иногда происходит так, что и мосты блокируются. Для обхода этого в Tor введены так называемые «obfuscated bridges». Не вдаваясь в подробности, их труднее обнаружить. Чтобы к ним подключиться, надо, например, скачать, Pluggable Transports Tor Browser Bundle .
Плюсы схемы:
Минусы схемы:
В таком случае VPN-сервер является постоянным выходным узлом в сеть Интернет. 
Подобная схема подключения может использоваться для обхода блокировки узлов Tor внешними ресурсами, плюс она должна защитить наш траффик от прослушивания на выходном узле Tor.
Существует немало технических сложностей в установлении такого подключения, например, вы же помните, что цепочка Tor обновляется раз в 10 минут или то, что Tor не пропускает UDP? Самый жизнеспособный вариант практической реализации это использование двух виртуальных машин (об этом чуть ниже).
Важно также отметить, что любой выходной узел легко выделит клиента в общем потоке, так как большинство пользователей идут на разные ресурсы, а при использовании подобной схемы клиент идёт всегда на один и тот же VPN-сервер.
Естественно, что использование обычных прокси-серверов после Tor не имеет особого смысла, так как траффик до прокси не шифруется.
Плюсы схемы:
Минусы схемы:
Существует множество дистрибутивов ОС, основной целью которых является обеспечение анонимности и защиты клиента в Интернете, например, Tails и Liberte и другие. Однако наиболее технологичным, постоянно развивающимся и эффективным решением, реализующим самые передовые техники по обеспечению безопасности и анонимности, является дистрибутив ОС .
Дистрибутив состоит из двух виртуальных машин Debian на VirtualBox, одна из которых является шлюзом, отправляющим весь траффик в сеть Tor, а другая – изолированной рабочей станцией, подключающейся только к шлюзу. Whonix реализует в себе механизм так называемого изолирующего прокси-сервера. Существует также вариант физического разделения шлюза и рабочей станции.
Так как рабочая станция не знает свой внешний ip-адрес в Интернете, это позволяет нейтрализовать множество уязвимостей, например, если вредоносное ПО получит root-доступ к рабочей станции, у него не будет возможности узнать реальный ip-адрес. Вот схема работы Whonix, взятая с его официального сайта.
ОС Whonix, как утверждают разработчики, успешно прошла все возможные тесты на утечки . Даже такие приложения как Skype, BitTorrent, Flash, Java, известные своими особенностями выходить в открытый Интернет в обход Tor, также были успешно протестированы на предмет отсутствия утечек деанонимизирующих данных.
ОС Whonix реализует много полезных механизмов анонимности, я укажу наиболее важные:
Однако стоит отметить, что ОС Whonix имеет и свои недостатки:
Проект Whonix развивается отдельно от проекта Tor и иных приложений, входящих в его состав, следовательно Whonix не защитит от уязвимостей в самой сети Tor или, например, 0-day-уязвимости в межсетевом экране, Iptables.
Безопасность работы Whonix можно описать цитатой из его wiki : «And no, Whonix does not claim to protect from very powerful adversaries, to be a perfectly secure system, to provide strong anonymity, or to provide protection from three-letter agencies or government surveillance and such
».
Если вас ищут ведомства «их трёх букв», вас найдут 🙂
Вопрос дружбы Tor и VPN - неоднозначный. Споры на форумах по этой теме не утихают. Я приведу некоторые наиболее интересные из них:
Всем привет!
Вот мы и дошли до более интересных вещей. В этой статье мы рассмотрим варианты комбинирования Tor с VPN/SSH/Proxy.
Для краткости далее я буду писать везде VPN, ведь вы все - молодцы и уже знаете плюсы и минусы VPN, SSH, Proxy, которые мы изучили ранее и .
Мы рассмотрим два варианта подключений:
Стоит отметить, что специально для обхода запрета Tor интернет-провайдерами придумали так называемые bridges (мосты).
Мосты – это такие узлы сети Tor, которые не занесены в центральный каталог Tor, то есть не видны, например, или , а, следовательно, труднее обнаруживаются.
Как настроить мосты, подробно написано .
Несколько мостов может дать нам сам сайт Tor по адресу .
Можно также получить адреса мостов по почте, отправив на адрес [email protected] или [email protected] письмо с текстом: «get bridges». Обязательно отправлять это письмо с почты от gmail.com или yahoo.com
В ответ мы получим письмо с их адресами:
«Here are your bridge relays:
bridge 60.16.182.53:9001
bridge 87.237.118.139:444
bridge 60.63.97.221:443
»
Эти адреса нужно будет указать в настройках Vidalia – прокси-сервера Tor.
Иногда происходит так, что и мосты блокируются. Для обхода этого в Tor введены так называемые «obfuscated bridges». Не вдаваясь в подробности, их труднее обнаружить. Чтобы к ним подключиться, надо, например, скачать, Pluggable Transports Tor Browser Bundle .
Плюсы схемы:
Плюсы схемы:
Так как рабочая станция не знает свой внешний ip-адрес в Интернете, это позволяет нейтрализовать множество уязвимостей, например, если вредоносное ПО получит root-доступ к рабочей станции, у него не будет возможности узнать реальный ip-адрес. Вот схема работы Whonix, взятая с его официального сайта.
ОС Whonix, как утверждают разработчики, успешно прошла все возможные тесты на утечки . Даже такие приложения как Skype, BitTorrent, Flash, Java, известные своими особенностями выходить в открытый Интернет в обход Tor, также были успешно протестированы на предмет отсутствия утечек деанонимизирующих данных.
ОС Whonix реализует много полезных механизмов анонимности, я укажу наиболее важные:
Безопасность работы Whonix можно описать
Сначала хочу отметить, что данная тема очень обширна, и как бы я не старался донести все максимально сжато, но в то же время не упуская нужных подробностей и при этом излагать как можно более понятно для рядового пользователя, эта статья все равно будет пестрить различными техническими деталями и терминами, из-за которых придется лезть в гугл. Также предполагается, что читатель знаком хотя бы с основными моментами функционирования большинства популярных служб и самой глобальной сети.
В чем вообще заключается анонимизация?
Кроме нашумевшего на всех углах интернета мнения о сокрытии IP-адреса
есть еще множество других деталей. По большому счету все методы и средства анонимности преследуют цель сокрытия провайдера. Через которого уже можно получить физически точное местоположение пользователя, обладая дополнительной информацией о нем (IP, «отпечатки» браузера, логи его активности в определенном сегменте сети и пр.). А также большинство методов и средств направлены на максимальное сокрытие/нераскрытие этой косвенной информации, по которой позже можно будет спрашивать у провайдера нужного юзера.
Какие есть способы анонимизации пребывания в сети?
Если говорить про обособленные единицы анонимизации (ведь есть еще схемы в виде комбинирования того или иного средства анонимности), то можно выделить следующие:
1) Прокси-серверы
— бывают разных видов, со своими особенностями. По ним есть отдельный FAQ и другие топики на форуме;
2) VPN-сервисы
— тоже работают по разным протоколам, которые предлагают провайдеры на выбор, их различия и особенности см. ниже;
3) SSH-туннели
, изначально создавались (и функционируют по сей день) для других целей, но также используются для анонимизации. По принципу действия довольно схожи с VPN’ами, поэтому в данной теме все разговоры о VPN будут подразумевать и их тоже, но сравнение их все же будет позже;
4) Dedicated-серверы
— самое основное преимущество в том, что пропадает проблема раскрытия истории запросов узла, с которого проводились действия (как это может быть в случае с VPN/SSH или прокси);
5) Великий и ужасный Tor
;
6) — анонимная, децентрализованная сеть, работающая поверх интернета, не использующая IP-адресацию
(подробнее см. ниже);
7) Иные средства — анонимные сети, анонимайзеры
и др. В силу пока недостаточной популярности они еще не изучены (а следовательно не имеют относительной гарантии надежности) сообществом, но достаточно перспективны, о них также см. ниже;
Что стоит скрывать, или какие есть деанонимизирующие данные и методы их получения?
Сразу отмечу, что все (основные по крайней мере) средства и методы для сокрытия данных в ниже представленном списке будут освещены в остальных вопросах этого FAQ’a. Еще хочу обратить внимание на один интересный ресурс , который посвящен вопросам, какую информацию мы оставляем о себе в сети, заходя в разных устройств;
1) IP-адрес
, или самый популярный идентификатор в интернете. Дает возможность найти провайдера юзера и узнать у него точный адрес через тот же IP;
2) IP DNS провайдера
, который можно «потерять» через метод, называемый (утечки DNS
). Важно отметить, что эта утечка может произойти при связке HTTP/SOCKS4
(5 в некоторых случаях) + Tor! Поэтому тут надо быть особенно внимательными;
3) Если большая часть траффика долго выходит в интернет через один узел, например, тот же Tor, то можно провести так называемое профилирование — отнести определенную активность к определенному псевдониму, который можно сдеанонить через другие каналы;
4) Прослушивание трафика на выходном узле или (man in the middle);
5) Одновременное подключение к анонимному и открытому каналам может в некоторых ситуациях создать непрятности, например, при обрывании соединения у клиента, оба канала перестанут функционировать, и на сервере можно будет определить нужный адрес, сопоставив время отсоединения пользователей (правда, это довольно геморный и далеко неточный способ деанонимизации);
6) Деанонимизирующая активность в анонимном сеансе — пользвоание публичными сервисами, особенно теми, на которых уже есть информация об этом пользователе;
7) MAC-адрес
, который получает WiFi точка при подключении к ней (или он может быть бэкапнут коммутаторами одной из локальных сетей, через которую был осуществлен выход в интернет);
8) Информация из браузеров:
Чем VPN отличается от прокси?
1) Трафик между клиентом и прокси передается в открытом виде, при использовании VPN уже идет шифрование;
2) Стабильность — при создании VPN соединения как правило постоянная, редко создаются разъединения, у прокси они происходят относительно чаще. Но все зависит от провайдера;
3) Кроме шифрования соединения VPN предоставляет более анонимный сервис в том плане, что используются DNS сервера VPN сервиса и не может произойти раскрытия приватных данных типа DNS leak , что ни чуть не хуже, чем раскрытие IP-адресаю Правда у SOCKS5 и SOCKS4a-прокси есть такая же возможность переложить DNS сервис на прокси-сервер;
4) VPN сервисы не ведут журналов или ведут на очень короткие сроки и неподробно (по крайней мере они так говорят), большинство прокси-серверов не дают таких обещаний;
Насколько эффективна цепочка из прокси-серверов?
Скорее она неэффективна, если ориентироваться по соотношению прироста времени деанонимизации на уменьшение скорости соединения от конечного ресурса к клиенту. К тому же, почти все недостатки деанонимизации, присущие прокси-серверам не исчезают при построении из них подобных цепочек. Поэтому можно сделать вывод, что данным методом при достижении анонимности лучше не пользоваться.
В FAQ’e про прокси-серверы не сказано о SOCKS4a, зачем он нужен?
Это промежуточная версия между 4 и 5 SOCKS’ами, в которой все функционирует аналогично 4, за исключением того, что SOCKS4a принимает только доменное имя вместо IP-адреса ресурса и сам его резолвит.
Можно поподробнее об особенностях, плюсах и минусах аренды dedicated-серверов?
Выделенный сервер предназначается далеко не для анонимизации, а для хостинга приложений, сервисов и всего другого, чегу заказчик посчитает нужным. Важно отметить, что арендатору предоставляется отдельная физическая машина, что дает ему некий гарант полного контроля этого узла и созадет важное преимущество для анонимности — уверенность в том, что история запросов никуда не утечет.
Учитывая вышесказанное и другие моменты можно выделить ряд преимуществ данного средства с точки зрения анонимизации:
1) Настройка HTTP/SOCKS-прокси или SSH/VPN-соединения на выбор;
2) Контроль истории запросов;
3) Спасает при атаке через Flash, Java, JavaScript, если использовать удаленный браузер;
Ну и недостатки тоже присутствуют:
1) Сильно дорогой метод;
2) В некоторых странах априори не может предоставлять анонимность, потому что арендатор обязан предоставить о себе данные: паспорт, кредитка и др;
3) Все соединения с выделенныем сервером логируются у его провайдера, так что тут возникает доверенность немного другого плана;
Через какие протоколы идет работа в VPN и какие у них есть особенности?
Лучше сразу рассматривать существующие сейчас варианты VPN, то есть какие связки и технологии предлагают провайдеры, если мы конечно не ставим цель поднять знания теории сетевых протоколов (хотя есть варианты с использоавнием одного единственного протокола, что мы также рассмотрим).
SSL
(Secure Socket Layer
) протокол защищенных сокетов — использует защиту данных с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надежность передачи данных за счет использования корректирующих кодов и безопасных хэш-функций. Один из наиболее простых и «низкоанонимных» протоколов для VPN-соединений, использоуется в основном прилоежниями-клиентами для VPN. Чаще является частью какой-нибудь свзяки при создении VPN-соединения.
PPTP
(Point-to-Point Tunneling Protocol
) — используется наиболее часто, довольно быстрый, легко настраивается, но считается наименее защищённым относительно других своих собратьев.
L2TP
(Layer 2 Tunneling Protocol
) + IPSec
(часто IPSec опускают в названии, как вспомогательный протокол). L2TP обеспечивает транспорт, а IPSec отвечает за шифрование. Данная связка имеет более сильное шифрование, чем PPTP, устойчива к уязвимостям PPTP, обеспечивает также целостность сообщений и аутентификацию сторон. Есть VPN на основе только протокола IPSec или только L2TP, но, очевидно, что L2TP + IPSec дают больше возможностей в защите и анонимизации, чем по отдельности.
OpenVPN
— безопасный, открытый, а следовательно, распространённый, позволяет обходить многие блокировки, но требует отдельного программного клиента. Технически это не протокол, а реализация технологии VPN. проводит все сетевые операции через TCP
или UDP
транспорт. Также возможна работа через большую часть прокси серверов, включая HTTP, SOCKS, через NAT
и сетевые фильтры. Для обеспечения безопасности управляющего канала и потока данных OpenVPN использует SSLv3/TLSv1
.
SSTP
— такой же безопасный, как и OpenVPN, отдельного клиента не требует, однако сильно ограничен в платформах: Vista SP1, Win7, Win8. Инкапсулирует PPP-кадры
в IP-датаграммы
для передачи по сети. Для управления туннелем и передачи PPP-кадров данных протокол SSTP использует TCP-подключение
(порт 443). Сообщение SSTP шифруется каналом SSL протокола HTTPS
.
Отдельно стоит отметить сервисы, предоставляющие такие услуги как «DoubleVPN», когда перед достижением нужного узла траффик проходит 2 разных VPN-сервера в разных регионах. Или существует еще более жесткое решение — «QuadVPN», когда используется 4 сервера, которые пользователь может выбрать сам и расположить в нужном ему порядке.
Какие минусы есть у VPN?
Конечно же, не такая анонимность, как у некоторых других сервисов типа Tor’a, и не только потому, что алгоритм и схема другие. Также при использовании VPN все таки в критических ситуациях придется больше полагаться на добросовестное исполнение обязанностей этого сервиса (минимальное журналирование, работа без бэкапов трафика и пр.).
Следующий момент состоит в том, что хоть VPN и скрывает IP в большинстве случаев, а также предотвращает DNS leak
, но есть ситуации, при которых и этот метод анонимизации даст сбой. А именно:
1) IP leak через WebRTC — на хроме и мозилле работает гарантированно и реализовывается через обычный JavaScript;
2) Утечка IP через Flash, инициировавший соединение с сервером и передавший ему IP клиента в обход VPN (правда работает не всегда);
Хотя эти случае можно предотвратить выключив у себя в браузере JS, Flash и Java;
3) При использовании клиентских настроек по умолчанию при разрыве соединения, в отличие от прокси-серверов, серфинг в сети будет продолжаться напрямую, уже не через виртульный канал, то есть будет полное палево;
Но этого можно избежать подкорректировав таблицу маршрутизации, где в качестве основного шлюза по умолчанию указать только шлюз VPN-сервера или перенастроить файрвол.
В чем различие между SSH-тунелями и VPN?
SSH-туннель ни что иное, как шифруемое по протоколу SSH соединение, где данные шифруются на стороне клиента и расшифровываются у получателя (SSH-сервера
). Создается для удаленного защищенного управления ОС, но как уже было написано выше, применяется еще для анонимизации. Поддерживает 2 варианта работы: посредством реализации приложением HTTP/SOCKS-прокси для направления траффика через локальный прокси-сервер в SSH-туннель. Или происходит создание практически полноценного (можно скзазать аналогичного, если брать последние версии SSH и OpenSSH) VPN-соединения.
VPN же разрабатывался в целях обеспечивать защищенный удаленный доступ к ресурсам корпоративных сетей, а следовательно компьютер, подключенный к VPN-серверу становиться частью локальной сети и может пользоваться ее сервисами.
То есть кроме технических мелких аспектов принципы функционирования схожи. А основное отличие состоим в том, что SSH-туннель — это соединение точка-точка, а VPN-соединение — это соединение устройство-сеть
(хотя спецы могут и перенастроить по своему усмотрению).
Как работает Tor со стороны клиента?
В сети море вариаций ответов на этот вопрос, но хочу попробовать изложить основы как можно более просто и лаконично, избавив читателя от копания в горах аналитической и сложной информации.
Tor — система маршрутизаторов, доступных только клиентам самого Tor’a, через цепочку которых клиент соединяется с нужным ему ресурсом. При дефолтных настройках количество узлов — три. использует многоуровневое шифрование. Опираясь на эти особенности, можно кратко описать общую схему доставки пакета данных от клиента к запрашиваемому ресурсу через 3 узла (то есть при настрйоках по умолчанию): предварительно пакет последовательно шифруется тремя ключами: сначала для третьего узла, потом для второго и в конце, для первого. Когда первый узел получает пакет, он расшифровывает «верхний» слой шифра (как при очистки луковицы) и узнаёт, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом. А передача зашифрованных данных между промежуточнимы маршрутизаторами осуществляется через SOCKS-интерфейсы, что обеспечивает анонимность в купе с динамичным переконфигурированием маршрутов. И в отличие от статических прокси-цепочек, конфигурации луковых маршрутизаторов
может меняться чуть ли не скаждым новым запросом, что только усложняет деанон.
Какие преимущества и недостатки есть у Tor’a?
Из преимуществ стоит выделить:
1) Один из самых высоких уровней анонимности (при должной конфигурации), особнно в комбинации с другими способами типа VPN;
2) Простота в использовании — скачал, пользуйся (можно даже без особых настроек);
Недостатки:
1) Относительно низкая скорость, так как трафик идет через цепочку узлов, каждый раз происходит расшифровка и может проходить вообще через другой континент;
2) Выходной трафик может прослушиваться, а если не использовать HTTPS
, то и прекрасно фильтроваться для анализа;
3) Может не спасти при включенных плагинах — Flash, Java
и даже от JavaScript’a
, но создатели проекта рекомендуют эти дела отключать;
4) Наличие урпавляющих серверов;
Если сайт детектит Tor, то я никак не могу зайти на этот сайт анонимным используя его?
Попасть на такой сайт можно двумя способами. При помощи более изощренной схемы, которая де-факто делает это посещение еще более анонимным: связка Tor ⇢ VPN
, можно Tor ⇢ Proxy
, если не нужна дополнительная анонимность, а только факт сокрытия использования Tor для сервера сайта, но надо исползьовать именно в этой последовательности. Так получается, что сначала запрос идет через луковые хосты, затем через VPN/Proxy
, а на выходе выглядит, как будто просто VPN/Proxy
(или вообще обычное соединение).
Но стоит заметить, что взаимодействие этих связок вызывает бурные обсуждения на форумах, вот раздел о Tor и VPN на сайте лукового проекта.
Либо можно использовать так называемые мосты
(bridges
) — это узлы, не занесенные в центральный каталог Tor’a, как их настраивать можно посмотреть .
Можно ли как-то скрыть от провайдера факт использования Tor’a?
Да, решение будет почти полносью аналогичное предыдущему, только схема пойдет в обратном порядке и VPN соединение «вклинивается» между клиентов Tor’a и сетью луковых маршутизаторов. Обсуждение реализации такой схемы на практике можно найти на одной из страниц документации проекта.
Что следует знать о I2P, и как эта сеть работает?
I2P
— распределенная, самоорганизующаяся сеть, основанная на равноправии ее участников, отличающаяся шифрованием (на каких этапах оно происходит и какими способами), переменнами посредниками (хопами), нигде не используются IP-адреса
. В ней есть свои сайты, форумы и другие сервисы.
В сумме при пересылке сообщения используется четыре уровня шифрования (сквозное, чесночное, туннельное
, а также шифрование транспортного уровня
), перед шифрованием в каждый сетевой пакет автоматически добавляется небольшое случайное количество случайных байт, чтобы ещё больше обезличить передаваемую информацию и затруднить попытки анализа содержимого и блокировки передаваемых сетевых пакетов.
Весь трафик передается по туннелям — временные однонаправленные пути, проходящие через ряд узлов, которые бывают входящими или исходящими. Адрессация происходит на основе данных из так называемой сетевой базы NetDb
, которая распределена в той или иной мере по всем клиентам I2P
. NetDb
содержит в себе:
Принцип взаимодействия узлов этой сети.
Этап 1. Узел «Kate» строит исходящие туннели. Он обращается к NetDb за данными о роутерах и строит туннель с их участием.
Этап 2. «Boris» строит входной туннель аналогично тому, как и строится исходящий туннель. Затем он публикует свои координаты или так называемый «LeaseSet» в NetDb (здесь отметьте, что LeaseSet передается через исходящий туннель).
Этап 3. Когда «Kate» отправляет сообщение «Boris’у», он запрашивает в NetDb LeaseSet «Boris’а». И по исходящим туннелям пересылает сообщение к шлюзу адресата.
Еще стоит отметить, что у I2P есть возможность выхода в Интернет через специальные Outproxy, но они неофициальные и по совокупности факторов даже хуже выходных узлов Тоr. Также внутренние сайты в сети I2P доступны из внешнего Интернета через прокси-сервер. Но на этих входных и выходных шлюзах высока вероятность частично потерять анонимность, так что надо быть осторожным и по возможности этого избегать.
Какие есть преимущества и недостатки у I2P сети?
Преимущества:
1) Высокий уровень анонимности клиента (при любых разумных настрйоках и использовании);
2) Полная децентрализация, что ведёт к устойчивости сети;
3) Конфиденциальность данных: сквозное шифрование между клиентом и адресатом;
4) Очень высокая степень анонимности сервера (при создании ресурса), не известен его IP-адрес;
Недостатки:
1) Низкая скорость и большое время отклика;
2) «Свой интернет» или частичная изолированность от интернета, с возможностью туда попасть и повышением вероятности деанона;
3) Не спасает от атаки через плагины (Java, Flash
) и JavaScript
, если не отклчить их;
Какие еще есть сервисы/проекты по обеспечению анонимности?
Следующие 3 проекта особенно интересные тем, что их цель — скрыть пользователя реализуется путем освобождения от провайдерской зависимости при интернет-соединении, за счет построения беспроводных сетей. Ведь тогда интернет станет еще более самоорганизованным:
Есть ли какие-то комплексные решения по обеспечению анонимности?
Кроме связок и комбинаций различных методов, вроде Tor+VPN
, описанных выше можно воспользоваться дистрибутивами линукса, заточенными на эти потребности. Преимущество такого решения в том, что в них уже есть большинство этих комбинированных решений, все настройки выставленны на обеспечение максимального количества рубежей для деанонимизаторов, все потенциально опасные службы и софт вырезаны, полезные установлены, в некоторых помимо документации есть всплывающие подсказки, которые не дадут поздним вечером потерять бдительность.
По своему опыту и некоторых других знающих людей я бы выбрал дистрибутив Whonix , так как он содержит в себе самые новые техники по обеспечению анонимности и безопасности в сети, постоянно развивается и имеет очень гибкую настройку на все случаи жизни и смерти. Также имеет интересную архитектуру в виде двух сборок: Gateway
и Workstation
, которые в функционируют в связке. Основное преимущество этого состоит в том, что если в результате появления какой-нибудь 0-day
в Tor или самой ОС, через которую попробуют раскрыть прятавшегося пользователя Whonix
, то будет «деанонимизирована» только виртуальная Workstation и атакующий получит «очень ценную» информацию типа IP 192.168.0.1
и Mac address 02:00:01:01:01:01
.
Но за наличие такого функционала и гибкости в настройке надо платить — этим обуславливается сложность конфигурации ОС из-за чего ее порой ставят в низ топа операционок для анонимности.
Более легкие в настройке аналоги — это довольно известные , рекомендованный Сноуденом, и Liberte , которые также можно с успехом использовать в этих целях и которые обладают очень хорошим арсеналом для обеспечения анонимности.
Есть еще какие-нибудь моменты при достижении анонимности?
Да, есть. Существует ряд правил, которых желательно придерживаться даже в анонимном сеансе (если стоит цель достичь практически полной анонимности, конечно) и мер, которые необходимо предпринять перед входом в этот сеанс. Сейчас о них будет написано подробнее.
1) При использвоании VPN, Proxy
и пр. всегда в настрйоках устанавливать использование статических DNS-серверов
провайдера сервиса, дабы избежать утечек DNS. Или выставлять должные настройки в барузере или межсетевом экране;
2) Не использовать постоянные цепочки Tor, регулярно менять выходные узлы (VPN-серверы, прокси-серверы);
3) При пользовании браузером отключать по возможности все плагины (Java, Flash, еще какие-нибудь Adobe’вские поделки) и даже JavaScript (если задача полностью минимализировать риски деанона), а также отрубать использование cookies, ведение истории, долгосрочного кэширования, не разрешать отправлять HTTP-заголовки User-Agent
и HTTP-Referer
или подменять их (но это специальные браузеры для анонимности нужны, большинство стандартных не позволяют такую роскошь), использовать минимум браузерных расширений и тд. Вообще есть еще один ресурс , описывающий настройки для анонимности в различных браузерах, к которому тоже при желании стоит обратиться;
4) При выходе в анонимном режиме в сеть следует исопльзовать «чистую», полностью обновленную ОС с самыми последними стабильными версиями ПО. Чистая она должна быть — чтобы было сложнее отличить «отпечатки» ее, браузера и другого софта от среднестатистических показателей, а обновленная, чтобы понижалась вероятность подхватить какую-нибудь малварь и создать себе определенных проблем, ставящих под угрозу работу всех сосредоточенных для анонимизации средств;
5) Быть внимательным при появлении предупреждений о валидности сертификатов и ключей, для предотвращения Mitm-атак
(прослушки незашифрованного трафика);
6) Не допускать никакой левой активности в анонимном сеансе. Например, если клиент из анонимного сеанса заходит на свою страницу в соц. сети, то его интернет-провайдер об этом не узнает. Но соц. сеть, несмотря на то, что не видит реальный IP-адрес клиента, точно знает, кто зашел;
7) Не допускать одновременного подключения к ресурсу по анонимному и открытому каналу (описание опасности было приведено выше);
8) Стараться «обфусцировать» все свои сообщения и другие продукты авторского интеллектуального производства, так как по жаргону, лексике и стиллистике речевых оборотов можно с довольно большой точностью определить автора. И уже есть конторы, которые делают на этом целый бизнес, так что не надо недооценивать этот фактор;
9) Перед подключением к локальной сети или беспроводной точке доступа предварительно менять MAC-адрес
;
10) Не использовать любое недоверенное или непроверенное приложение;
11) Желательно обеспечить себе «предпоследний рубеж», то есть какой-то промежуточный узел до своего, через который вести всю активность (как это делается с dedicated-серверами или реализовано в Whonix
), чтобы в случае преодоления всех предыдущих преград или заражения рабочей системы третие лица получали доступ к болванке-посреднику и не имели особых возможностей продвигаться в вашу сторону дальше (или эти возможности были бы карйне дороги или требовали затраты очень большого количества времени);
Подытожить можно вполне очевидным выводом: чем анонимнее/безопаснее технология или метод, тем меньше скорости/удобства будет при их использовании. Но порой бывает лучше потерять пару-тройку минут в ожидании или потратить чуть больше сил и времени на пользвование сложными техниками, чем терять потом значительно большее количество времени и других ресурсов от последствиий, которые могут произойти из-за решения где-то подрасслабиться.
Last updated by at Январь 18, 2016 .
