Do záložek
KontaktyO webu

Je možné analyzovat síťový provoz vpn. Principy organizace účtování IP provozu

Všem je jasné, že váš poskytovatel ví o všech vašich pohybech na internetu, často se objevují příběhy, že zaměstnanci firmy sledují návštěvnost zákazníků. Jak se to stane, dá se tomu předejít?

Jak jste sledováni?

Poskytovatelé v Ruské federaci jsou povinni analyzovat uživatelský provoz z hlediska souladu s ruskou legislativou. Zejména bod 1.1 federální zákon ze dne 07.07.2003 N 126-FZ (ve znění ze dne 5.12.2017) „O komunikacích“ zní:

Komunikační operátoři jsou povinni poskytovat oprávněným státním orgánům, které se zabývají operativně pátrací činností nebo zajišťující bezpečnost Ruské federace, informace o uživatelích komunikačních služeb a o jim poskytovaných komunikačních službách, jakož i další informace potřebné k plnění svěřených úkolů. těmto orgánům v případech stanovených federálními zákony.

Samotný poskytovatel provoz samozřejmě neukládá. Provádí však jeho zpracování a klasifikaci. Výsledky se zapisují do souborů protokolu.

Analýza základních informací se provádí v automatický režim. Obvykle se provoz vybraného uživatele zrcadlí na servery SORM (prostředky operativně-vyhledávacích opatření), které jsou řízeny Ministerstvem vnitra, FSB apod. a tam se již provádí analýza.

Nedílná součást moderní systémy SORM-2 je kruhová vyrovnávací paměť pro ukládání dat. Měl by ukládat provoz procházející poskytovatelem za posledních 12 hodin. SORM-3 byl představen od roku 2014. Jeho hlavním rozdílem je dodatečné úložiště, které by mělo obsahovat tříletý archiv veškerého vyúčtování a všech protokolů připojení.

Jak číst provoz pomocí DPI

Příklad obvodu od VAS Expert

DPI (Deep Packet Inspection) lze použít jako součást SORM nebo samostatně. Jsou to systémy (obvykle hardwarové a softwarové systémy - hardware se speciálním softwarem), které fungují na všech úrovních kromě první (fyzické, bitové) síťový model OSI.

V nejjednodušším případě poskytovatelé používají DPI ke kontrole přístupu ke zdrojům (zejména ke stránkám webů z „černé“ listiny Roskomnadzor podle federálního zákona č. 139 o změnách zákona „O ochraně dětí před informacemi škodlivými). na jejich zdraví a vývoj“ nebo torrenty). Obecně lze však říci, že řešení lze použít na čtení vašeho provozu.

Odpůrci DPI tvrdí, že právo na soukromí je zakotveno v ústavě a technologie porušuje síťovou neutralitu. To ale nebrání využití technologie v praxi.

DPI snadno analyzuje obsah, který je přenášen přes nešifrované protokoly HTTP, FTP.

Některé systémy také používají heuristiku, nepřímé znaky, které pomáhají identifikovat službu. Jsou to například časové a numerické charakteristiky provozu a také speciální bajtové sekvence.

HTTPS je složitější. Na úrovni TLS, počínaje verzí 1.1, která se dnes často používá pro šifrování v HTTPS, se však doménové jméno webu přenáší jako prostý text. Poskytovatel tak bude moci zjistit, kterou doménu jste navštívili. Ale co tam dělali, on soukromý klíč nebude vědět.

V každém případě poskytovatelé neprověřují všechny

Je to příliš nákladné. Ale teoreticky mohou sledovat něčí provoz na vyžádání.

Co si systém (nebo soudruh major) všiml, se obvykle zkoumá ručně. Nejčastěji ale poskytovatel žádný SORM nemá (zejména pokud se jedná o malého poskytovatele). Vše vyhledávají a nacházejí řadoví zaměstnanci v databázi s logy.

Jak jsou sledovány torrenty

Torrentový klient a tracker si zpravidla vyměňují data pomocí protokolu HTTP. Jedná se o otevřený protokol, což znamená, viz výše: prohlížení uživatelského provozu pomocí MITM útoku, analýza, dešifrování, blokování pomocí DPI. Poskytovatel může zkoumat mnoho dat: kdy stahování začalo nebo skončilo, kdy začala distribuce, kolik provozu bylo distribuováno.

Sidery je těžší najít. Nejčastěji se v takových případech sami specialisté stávají vrstevníky. Se znalostí IP adresy sederu může peer odeslat poskytovateli oznámení s názvem distribuce, její adresou, časem zahájení distribuce, skutečnou IP adresou sederu atd.

V Rusku je zatím bezpečno – všechny zákony omezují možnosti správy trackerů a dalších distributorů pirátského obsahu, nikoli však běžných uživatelů. Nicméně v některých Evropské země používání torrentů je spojeno s vysokými pokutami. Pokud se tedy chystáte do zahraničí, nenechte se nachytat.

Co se stane, když web navštívíte

Poskytovatel uvidí adresu URL, kterou jste otevřeli, pokud analyzuje obsah paketů, které obdržíte. To lze provést například pomocí MITM útoku (útok „man-in-the-middle“, muž uprostřed).

Z obsahu balíčků můžete získat historii vyhledávání, analyzovat historii dotazů, dokonce číst korespondenci a přihlášení pomocí hesel. Pokud ovšem web nepoužívá k autorizaci nešifrované připojení HTTP. Naštěstí je to čím dál tím méně běžné.

Pokud web pracuje s HTTPS, pak poskytovatel vidí pouze IP adresu serveru a název domény, stejně jako dobu připojení k němu a objem provozu. Zbytek dat je zašifrován a nelze je dešifrovat bez soukromého klíče.

A co MAC adresa

Poskytovatel v každém případě vidí vaši MAC adresu. Přesněji MAC adresa zařízení, které se připojuje k jeho síti (a nemusí to být počítač, ale například router). Faktem je, že autorizace pro mnoho poskytovatelů se provádí pomocí přihlašovacího jména, hesla a MAC adresy.

Ale MAC adresy na mnoha routerech lze změnit ručně. Ano a na počítačích MAC adresy síťový adaptér nastavit ručně. Pokud to tedy uděláte před první autorizací (nebo to později změníte a požádáte o opětovné navázání účtu na novou MAC adresu), poskytovatel neuvidí skutečnou MAC adresu.

Co se stane, když máte povolenou VPN

Pokud používáte VPN, pak poskytovatel vidí, že šifrovaný provoz (s vysokým koeficientem entropie) je odesílán na konkrétní IP adresu. Navíc může zjistit, že IP adresy z tohoto rozsahu se prodávají pro VPN služby.

Kam jde provoz ze služby VPN, poskytovatel nemůže automaticky sledovat. Pokud však porovnáte provoz předplatitele s provozem jakéhokoli serveru podle časových razítek, můžete provést další sledování. Jen to vyžaduje složitější a dražší technická řešení. Z nudy takovou věc určitě nikdo nevyvine a nepoužije.

Stává se, že náhle VPN „spadne“ - to se může stát kdykoli a na jakémkoli operačním systému. Jakmile VPN přestane fungovat, provoz se automaticky začne otevírat a poskytovatel jej může analyzovat.

Je důležité, že i když analýza provozu ukáže, že příliš mnoho paketů neustále chodí na IP adresu, která by potenciálně mohla patřit k VPN, nic nepokazíte. V Rusku není zakázáno používat VPN - je zakázáno poskytovat takové služby k obcházení stránek z „černé listiny“ Roskomnadzoru.

Co se stane, když zapnete Tor

Když se připojíte přes Tor, ISP také vidí šifrovaný provoz. A nebude schopen rozluštit, co právě děláte na internetu.

Na rozdíl od VPN, kde je provoz obvykle směřován na stejný server po dlouhou dobu, Tor automaticky mění IP adresy. V souladu s tím může poskytovatel určit, že jste pravděpodobně používali Tor ze šifrovaného provozu a častých změn adres, a poté to zohlednit v protokolech. Legálně za to ale taky nic nedostanete.

Zároveň může někdo použít vaši IP adresu v síti Tor pouze v případě, že jste v nastavení nakonfigurovali Exit Node.

A co anonymní režim?

Tento režim nepomůže skrýt váš provoz před ISP. Je potřeba předstírat, že jste prohlížeč nepoužívali.

Neuloženo v anonymním režimu cookies, data stránek a historie procházení. Vaše akce však vidí poskytovatel, Správce systému a webové stránky, které navštěvujete.

Ale jsou tu i dobré zprávy.

Poskytovatel o vás ví hodně, ne-li všechno. Rozpočet malých firem však neumožňuje nákup DPI zařízení, instalaci SORM nebo nastavení efektivního monitorovacího systému.

Pokud provádíte právní úkony na internetu otevřeně a pro úkony, které zahrnují důvěrnost, používáte VPN, Tor nebo jiné prostředky anonymity, je pravděpodobnost, že se „dostanete na tužku“ k poskytovateli a speciálním službám, minimální. Ale pouze 100% právní jednání dávají 100% záruku.

Rozumíme základům "anonymity" v síti.

Článek vám pomůže rozhodnout se, zda potřebujete VPN konkrétně a vybrat poskytovatele, a také pohovořit o úskalích této technologie a jejích alternativách.

Tento materiál je jen příběh o VPN s přehledem poskytovatelů, určený pro obecný rozvoj a řešení drobných každodenních problémů. Nenaučí vás, jak dosáhnout naprosté anonymity na síti a 100% soukromí provozu.

Co je to VPN?

Soukromá virtuální síť(virtuální privátní síť) - síť zařízení, která je vytvořena nad druhým a v rámci které se díky šifrovacím technologiím vytvářejí zabezpečené kanály pro výměnu dat.

Server VPN spravuje uživatelské účty v této síti a slouží jako jejich vstupní bod do Internetu. Přes něj se přenáší šifrovaný provoz.

Níže budeme hovořit o poskytovatelích, kteří poskytují přístup k serverům VPN v rozdílné země. Nejprve si ale ujasněme, proč je to nutné?

Výhody používání VPN

1. Změna "adresy"

V jakých případech potřebuje Rus, který dodržuje zákony, jinou IP?

2. Ochrana před malými zlými duchy

Poskytovatel VPN vás nezachrání před vládní perzekucí, ale ochrání vás před:

  • Správce kancelářské sítě, který na vás sbírá špínu nebo jen rád čte cizí dopisy;
  • Školáci, kteří se oddávají poslechu provozu veřejného WiFi bodu.

Nevýhody používání VPN

Rychlost

Rychlost připojení k internetu při použití poskytovatel VPN může být nižší než bez něj. Především se to týká bezplatných VPN. Kromě toho může být nestabilní: v závislosti na denní době nebo umístění vybraného serveru.

Technické obtíže

Poskytovatel VPN může zaznamenat výpadky. Zvláště pokud je malý a málo známý.

Nejčastější problém: vpn se odpojil a nikomu to neřekl. Nutné stopa takže vaše připojení je zablokováno v případě problémů se serverem.

Jinak by to mohlo být takto: napíšete škodolibé komentáře k článku svého spolubydlícího a VPN se tiše vypnula a v admin panelu se objevila skutečná IP, přehlédli jste to a soused si toho všiml a připravuje plán pomsty.

Pomyslná anonymita

Informace o vašem provozu jsou sdíleny s třetí stranou. Poskytovatelé VPN se v rozhovorech často ptají: „Vedete si protokoly? Odpovídají: „Ne, ne, samozřejmě, že ne!“. Ale nikdo jim nevěří. A jsou pro to důvody.

Licenční smlouvy mnoha poskytovatelů VPN otevřeně říkají, že uživatel nemá právo porušovat autorská práva, spouštět hackerské programy, rozesílat spamy a v případě porušení je jeho účet bez náhrady zablokován. Příklad: Smluvní podmínky ExpressVPN. Z toho vyplývá, že akce uživatele v síti jsou řízeny.

A někteří šikovní poskytovatelé VPN, jako je Astrill, vyžadují k aktivaci potvrzení SMS. účet(nefunguje pro ruská čísla). Chcete skrýt svou IP a šifrovat provoz? Dobře, ale pro případ nechejte číslo.

A dotazníky při registraci účtů jsou někdy napínané zbytečnými dotazy. Proč by například poskytovatel VPN potřeboval PSČ osoby? Posílat balíčky na Nový rok?

Identita uživatele je také možná identifikovaný podle bankovních karet(nebo prostřednictvím peněženek platebních systémů, přes které jsou doplňovány virtuální karty). Někteří poskytovatelé VPN lákají uživatele tím, že přijímají kryptoměny jako platbu. To je plus pro anonymitu.

Výběr služby VPN

Poskytovatelé VPN - alespoň desetník. Jde přece o ziskový byznys s nízkou vstupní hranicí. Pokud položíte takovou otázku na fóru, přiběhnou majitelé služeb a zaplní se svou reklamou.

Abychom vám pomohli s výběrem, vznikl web bestvpn.com, kde jsou zveřejňována hodnocení a recenze poskytovatelů VPN.

Pojďme si krátce promluvit o nejlepších službách VPN (podle bestvpn.com), které mají aplikaci pro iOS.

ExpressVPN

96 měst v 78 zemích. 30denní záruka vrácení peněz v případě přerušení služby. Existují aplikace pro OS X, Windows, iOS a Android. Můžete pracovat s 5 zařízeními současně.

Cena: od 9,99 USD do 12,95 USD měsíčně (v závislosti na platebním období).

Soukromý přístup k internetu

25 zemí. Existují aplikace pro OS X, Windows, webové stránky projektu.

Cena: od 2,50 USD do 6,95 USD měsíčně (v závislosti na platebním období).

IP Vanish VPN

Více než 60 zemí. Existují klienti VPN pro iOS, Android, Windows, Mac, Ubuntu, Chromebook a routery. Je možné pracovat s více zařízeními najednou.

Pro optimistické paranoiky

Velmi zajímavý marketingový tah. Navrhují provozovat šifrovaný provoz ne přes jeden, ale dva nebo tři servery.

Můj názor na tuto věc je tento: pokud je VPN potřeba pouze ke skrytí země, ze které pocházíte, pak to nedává smysl. A pokud je opravdu co skrývat, pak má smysl přenášet to přes tři zahraniční servery najednou?

Alternativy

Vlastní server OpenVPN

Tor

Provoz v síti Tor je přenášen prostřednictvím několika nezávislých serverů v různých částech světa v šifrované podobě. To ztěžuje určení původní IP adresy uživatele. Ale poučný příběh Rosse Ulbrichta (majitele Hedvábné stezky) nám připomíná, že americké zpravodajské služby jsou schopny mnohé.

Profesionálové:

  • Je zdarma;
  • Přístup do sítě cibule („darknet“). Existuje řada webů dostupných pouze z prohlížeče Tor. Tohle jsou jejich vyhledávače(Grams), obchody, knihovny, kryptoměnové burzy, kontextové reklamní systémy, Onion Wiki encyklopedie. Ale pro Rusa, který dodržuje zákony, není v této síti nic zajímavého.

Mínusy:

  • Pomalá rychlost.

Co si myslí Roskomnadzor?

Zaměstnanci oddělení jsou extrémně nešťastní z toho, že Rusové usilují o anonymitu na síti. Nedávno mluvčí Roskomnadzoru označil uživatele Tor za „sociální spodinu“ a samotná agentura prosazuje zákaz anonymizátorů. Ale Rusové takové názory neposlouchají. Egor Minin (zakladatel RuTracker) tvrdí, že polovina uživatelů jeho zdroje může blokování obejít.

Řekli jsme našim čtenářům o principech fungování VPN a na příkladu levných VPN služeb ukázali, jak a proč používat VPN tunely.

Dnes se chceme znovu dotknout tématu služeb VPN, zejména proto, že poptávka po těchto službách každým dnem roste, protože vládní regulace internetu v Rusku a dalších zemích SNS se zvyšuje, uživatelé čelí řadě omezení Internet, stejně jako situace z informační bezpečnost Síť se každým dnem zhoršuje.

Při výběru poskytovatele VPN služeb jsme toho našli dost kvalitní služby: TheSafety.US

Řekněme hned, že ceny za VPN služby TheSafety.US nejsou nejnižší, předplatné stojí někde od 30 $ měsíčně, ale to je kompenzováno vysokou kvalitou poskytovaných služeb a rozmanitostí balíčků a předplatného. Pusťme se tedy do testování TheSafety.US a zhodnoťme tuto VPN službu v praxi.

Pro ostatní operační systémy viz nastavení:

Co se mi hned líbilo? Že si můžete vybrat server v zemi, která vám vyhovuje. Běžná VPN, Double VPN a Offshore VPN jsou pro vás k dispozici ve 20 zemích: USA, Kanada, Německo, Velká Británie (Anglie), Nizozemsko, Itálie, Ukrajina, Francie, Španělsko, Belgie, Polsko, Česká republika, Portugalsko, Švýcarsko, Irsko, Litva, Finsko, Lucembursko, offshore VPN v Panamě a Malajsii. Můžete si vybrat různé země a směry sami, včetně VPN v offshore zemích (Offshore VPN) - to je nejvyšší úroveň zabezpečení, protože v těchto zemích neexistuje přísná kontrola ze strany státu.

Kdy je potřeba vybrat konkrétní zemi serveru VPN? Když stojíte před úkolem svou IP adresu nejen skrýt, ale ukázat, že je například z Německa, USA nebo Polska. To je nezbytné pro přístup k takovým internetovým zdrojům, jejichž majitelé vkládají filtry pro návštěvníky z určitých zemí.

V našem článku jsme se již seznámili s tím, jak technologie VPN funguje. Prozradíme vám, jak služba Double VPN funguje.

Technologie Double VPN - řetězec dvou serverů s různými vstupními a výstupními IP adresami. V tomto případě se připojíte k IP1 prvního serveru se všemi daty zašifrovanými, poté je váš provoz zašifrován podruhé a odeslán na IP2 druhého serveru. Díky tomu budete na internetu s IP3. Tato technologie pomáhá poskytovat vysoce účinnou ochranu, protože veškerý váš provoz bude zašifrován dvakrát a bude procházet různými zeměmi.

Testoval jsem například řetěz Německo - Česká republika, šifrovaný provoz nejprve prošel serverem v Německu, poté serverem v České republice a teprve poté vstoupil do externích internetových zdrojů. To umožnilo poskytnout velmi silné zabezpečení jako u řetězu ponožek a navíc dvojité šifrování přenášených dat. Tudíž ani první server nebude znát moji externí IP, tím méně mého poskytovatele internetu.

Na snímku obrazovky kontrola mé IP, provedená na webu 2ip.ru, ukazuje IP adresu v Praze.

Pokud si stáhnete vyhledávač yandex.ru, dá nám to domovská stránka pro Prahu:

Jak víme, v poslední době poskytovatelé internetu „zapisují“ veškerý internetový provoz uživatelů a ukládají jej po určitou dobu. Tento stav existuje v Rusku, Bělorusku, Číně a dalších zemích se silnou vládní regulací internetu.

Tito. některé organizace a úředníci budou vědět, které stránky navštěvujete, jaké informace přijímáte a přenášíte na internetu. Nejsou to žádné „prázdné hororové příběhy“, pojďme si v praxi ověřit, co je po naší návštěvě internetu zaznamenáno v logech poskytovatelů.

Pro tento experiment použijeme analyzátory provozu (sniffery) nebo Wireshark, což je bezplatný open source software.

Pro své experimenty jsem použil program Packetyzer. Co tedy vidíme, když pracujeme na internetu pod vlastní IP adresou, bez VPN:

Snímek obrazovky výše ukazuje, že jsem sledoval počasí na: počasí.tut.by(to je na obrázku zvýrazněno fixem).

A následující snímek obrazovky obecně ukazuje, jaké stránky jsem v té době navštívil:

A teď používáme Služba VPN z TheSafety.US , zkusme analyzovat provoz pomocí snifferu Packetyzer a uvidíme, že veškerý provoz je šifrován pomocí silného algoritmu, není možné zjistit, které stránky byly navštíveny:

Mimochodem, s , veškerý provoz je také šifrován, viz níže uvedené snímky obrazovky:

Protokoly se také nezapisují na servery TheSafety.US a připojení se provádí na adresu IP, nikoli na název domény.

Pro ještě větší anonymitu používají servery TheSafety.US vynucenou změnu parametru TTL.

TTL - čas žít nebo životnost odeslaného paketu. Pro rodinu OS Windows standardní hodnota TTL = 128, pro Unix TTL = 64. Odeslanému paketu je přiřazena hodnota TTL a tato hodnota je snížena o jednu každým hostitelem na jeho trase (například při otevření určitého webu prochází paket vašeho požadavku několika hostiteli , dokud se nedostane na server, na kterém se nachází otevíraný web). Když se hodnota TTL odeslaného paketu stane 0, paket zmizí. To znamená, že můžeme říci, že pomocí hodnoty TTL přenášeného paketu můžete zjistit, kolik hostitelů paket prošel. To znamená, že můžete nepřímo zjistit, za kolika hostiteli se váš počítač nachází. Servery TheSafety.US vynutí tuto hodnotu na výchozí. To lze ověřit pomocí standardních příkazů ping a tracert. Podívejte se na snímky obrazovky těchto příkazů níže:

Dnes si povíme, jaká data o uživateli poskytovatel ukládá, a také obecně o tom, co může vědět a co ne. Vidíte například, jaké stránky navštěvujete? A proč poskytovatel sleduje uživatele?

Obecně to s poskytovateli není tak jednoduché, ti musí ze zákona naslouchat návštěvnosti uživatelů - porušují zákon, co tam dělají, samozřejmě nekoukají, ale hlavní data zaznamenávají, lidé ne zkontrolovat režim bez důvodu).

  • Pokud uživatel otevře určitou stránku, je viditelná pro poskytovatele?. Ano, ve většině případů je viditelný název domény, zřídka jen IP adresa. Zaznamenává také čas, kdy jste na stránku vstoupili. Obsah webu je také viditelný
  • Co když na stránky přistupuji pomocí zabezpečeného protokolu https? Poskytovatel pak vidí pouze název webu nebo jeho IP adresu a to je vše, nevidí obsah, jelikož https je zabezpečené připojení se šifrováním, proto se doporučuje jej používat.
  • Jak může poskytovatel zjistit, že jsem si stáhl film nebo program přes torrent? Jde o to, že stahovač torrentů komunikuje s torrent trackerem přes HTTP, takže poskytovatel vidí vše, co jste si stáhli (pouze analýzou stránky, odkud byl soubor .torrent stažen) a kdy (spuštěno/dokončeno). Je také možné se připojit přes HTTPS, ale z nějakého důvodu ani největší torrent CIS takový protokol nepodporuje, ale proč je záhadou.
  • Ukládá poskytovatel vše, co stahuji? Ne, to je fyzicky nemožné, žádné pevné disky by nestačily. Provoz je zpracováván za chodu, tříděn a jsou vedeny statistiky, což je přesně to, co se roky ukládá.
  • Může ISP vědět, že jsem si stáhl soubor .torrent? Ano, možná to je to, co se snaží sledovat - interakci mezi torrent klientem a serverem, nemohou analyzovat provoz v torrentové síti, protože je to velmi, velmi drahé.
  • A pokud použiji VPN, tak poskytovatel nic nevidí? Je tam prostě taková věc, že ​​u VPN ano, poskytovatel vidí nepořádek - tedy šifrovaná data a analyzovat je a ještě více je nerozšifruje, protože je to téměř nereálné. Ale zjistit podle IP serverů, že se jedná o VPN speciálně pro šifrování provozu - může. To znamená, že uživatel má co skrývat, vyvodit vlastní závěry
  • Pokud používám OpenVPN, budou přes něj fungovat všechny programy, včetně aktualizace systému Windows? Teoreticky ano a obecně by to tak mělo být. V praxi ale vše závisí na nastavení.
  • Může ISP zjistit skutečnou IP adresu určitého webu, pokud jsem k němu přistupoval přes VPN? Vlastně ne, ale je tu další bod. Pokud náhle VPN přestane fungovat nebo dojde k nějaké chybě, Windows prostě začnou fungovat normální mód, tedy bez použití VPN – jen přímo. Abyste to napravili, musíte za prvé nakonfigurovat samotné OpenVPN a za druhé použít další firewall (doporučuji Outpost Firewall), ve kterém můžete vytvářet globální pravidla provozu.
  • To znamená, že pokud je VPN chybná, poskytovatel uvidí, na kterém webu jsem? Bohužel ano, vše se bude automaticky zaznamenávat.
  • Může TOR poskytnout anonymitu? Může, ale je žádoucí jej mírně nakonfigurovat, aby používal IP adresy pro vše kromě CIS a také aby se adresy měnily častěji, například každé tři minuty. Pro nejlepší efekt vám také doporučuji používat opakovače (mosty).
  • Co vidí poskytovatel, když přijímám pakety z neustále různých oblastí IP? ISP mají systém pro detekci použití TOR, ale nejsem si jistý, zda tento systém funguje s relé. Skutečnost použití TOR je také zaznamenána a také říká poskytovateli, že tento uživatel může něco skrývat
  • Vidí ISP adresu webu přes Tor nebo VPN? Ne, pouze VPN IP nebo výstupní uzel Tor.
  • Je celé jméno adresy viditelné pro ISP při použití protokolu HTTPS? Ne, je viditelná pouze adresa domény (tedy pouze site.com), doba připojení a přenesený objem. Tyto údaje však nejsou pro poskytovatele z hlediska informací nijak zvlášť užitečné. Pokud používáte HTTP, tak vidíte vše, co se přenáší - jak celou adresu, tak vše, co jste napsali/odeslali ve zprávě např. poštou, ale opět to neplatí pro Gmail - tam je provoz šifrován.
  • To znamená, že pokud použiji šifrování připojení, pak už mohu být na seznamu podezřelých? Ne, fakt ne. Na jednu stranu ano, ale na druhou stranu šifrování dat a dokonce globální šifrování celé sítě mohou využívat nejen někteří hackeři nebo uživatelé, ale i jednoduché organizace, kterým jde o bezpečný přenos dat, což je logické zejména v bankovním sektoru.
  • Vidí poskytovatel fakt, že používá I2P? Vidí, ale zatím je tento typ sítě poskytovatelům málo známý jako například Tor, který díky své oblíbenosti přitahuje stále větší pozornost zpravodajských agentur. Poskytovatel vidí I2P provoz jako šifrovaná připojení k různým IP adresám, což znamená, že klient pracuje s P2P sítí.
  • Jak poznám, že jsem pod SORM? Tato zkratka je dešifrována následovně - Systém technických možností pro operativně-pátrání. A pokud jste připojeni k internetu v Ruské federaci, pak jste již ve výchozím nastavení pod dohledem. Tento systém je přitom zcela oficiální a provoz přes něj musí procházet, jinak poskytovatelé internetu a telekomunikační operátoři jednoduše zruší licenci.
  • Jak zobrazit veškerý provoz na vašem počítači tak, jak jej vidí poskytovatelé? S tím vám pomůže utilita pro sledování provozu, nejlepší svého druhu je analyzátor Wireshark.
  • Existuje nějaký způsob, jak pochopit, že jste sledováni? Dnes už skoro žádný není, občas snad s aktivním útokem jako MitM (Man in the middle). Pokud se používá pasivní sledování, pak je technicky nereálné jej odhalit.
  • Ale co pak dělat, je možné sledování nějak zkomplikovat? Internet, tedy připojení k němu, můžete rozdělit na dvě části. Seďte na sociálních sítích, na seznamkách, sledujte zábavné weby, filmy, to vše dělejte prostřednictvím běžného připojení. A šifrované spojení používat samostatně a zároveň paralelně - např. na toto nastavené virtuální stroj. Budete tak mít víceméně přirozené prostředí, abych tak řekl, protože mnoho webů šifruje provoz a Google ve svých službách i další velké společnosti. Ale na druhou stranu, téměř všechny zábavní weby NEŠifrují provoz. To znamená, že toto je norma - když má uživatel otevřený i šifrovaný provoz. Jiná věc je, když poskytovatel vidí, že provoz uživatele je pouze šifrovaný, zde samozřejmě mohou vznikat dotazy.

Doufám, že jste našli nějaké užitečné odpovědi

21.06.2017 | Vladimír Chazov

virtuální technologie privátní síť(VPN) umožňuje vytvořit bezpečný zabezpečené připojení v potenciálně nebezpečném segmentu veřejné sítě, jako je internet. Technologie byla vyvinuta tak, aby umožňovala vzdáleným uživatelům přístup k podnikovým síťovým aplikacím, ale její vývoj umožnil sloučit firemní pobočky do jedné sítě. Podívejme se na hlavní způsoby organizace VPN v podnikové síti a pomocí sítě telekomunikačního operátora.

Výhody a nevýhody používání VPN

Hlavní výhodou použití VPN je poskytnout potřebnou úroveň zabezpečení sítě při vzdáleném přístupu. informační systémy prostřednictvím veřejné sítě. Když síťové vybavení nemůže zajistit soukromí přenosu dat, VPN vám umožňuje šifrovat provoz v rámci zabezpečeného kanálu.

Dalším plusem jsou náklady na řešení: zatímco položení privátní sítě mezi vzdálenými kancelářemi může stát stovky tisíc rublů, cena za použití VPN řešení začíná od nuly, o to více za propojení jednotlivých zaměstnanců pracujících „v terénu“ do podnikové sítě“.

Nevýhodou je omezený výkon VPN řešení: ovlivňuje jej rychlost přístupu k internetu, typy protokolů, které ISP používá, a způsob šifrování. Výkon mohou ovlivnit i další faktory.

Protokoly VPN

Existuje několik protokolů pro bezpečný vzdálený přístup a šifrování přenášených podnikových dat:

  • zabezpečení IP (IPsec);
  • Secure Sockets Layer (SSL) a Transport Layer Security (TLS);
  • Point-to-Point Tunneling Protocol (PPTP);
  • Layer 2 Tunneling Protocol (L2TP);
  • Otevřete VPN.

A mezi nejčastěji používané typy připojení patří vzdálený uživatelský přístup do podnikové sítě (remote-access VPN) a připojení dvou point-to-point sítí (site-to-site VPN). Pojďme se jim věnovat podrobněji.

Vzdálený přístup VPN

Tato technologie slouží k zajištění bezpečného přístupu zaměstnanců společnosti k podnikové síti a jejím zdrojům prostřednictvím veřejného internetu. To platí zejména tehdy, když se k připojení k internetu používá veřejný hotspot. WiFi přístup nebo jiné nezabezpečené způsoby připojení. Aplikace je zapnutá jako klient VPN vzdálený počítač nebo mobilní zařízení se připojuje k VPN bráně firemní sítě, na které je uživatel autentizován a autorizován. Po úspěšném dokončení tohoto postupu získá uživatel přístup k internímu síťové zdroje (souborový server, databáze, tiskárny a další), jako by byl připojen lokální síť.

Pro stráž vzdálený přístup IPsec nebo SSL jsou nejběžněji používané protokoly, ačkoli SSL je více zaměřen na poskytování zabezpečeného připojení k jedné aplikaci (jako je SharePoint nebo E-mailem), a nikoli do celé vnitřní sítě. Je také možné připojit Layer2 pomocí tunelovacích protokolů, jako jsou PPTP a L2TP přes připojení IPsec.


Schéma vzdáleného přístupu VPN

Point-to-point připojení VPN

Spojení typu point-to-point se používá k propojení celé místní sítě v jednom místě s místní sítí v jiném. Standardním scénářem je připojení vzdálených poboček k centrále nebo datovému centru společnosti. To nevyžaduje instalaci klientů VPN na uživatelská zařízení, protože připojení zajišťuje brána VPN a přenos dat mezi zařízeními v různých sítích je transparentní.

Nejoblíbenějším způsobem zabezpečení spojení typu point-to-point je IPsec (přes internet), ale široce se používá také cloudová možnost MPLS založená na operátorovi, bez použití veřejných sítí. V druhém případě se zpřístupní připojení vrstvy 3 (MPLS IP VPN) nebo vrstvy 2 (virtuální privátní LAN služba - VPLS).

Existuje několik dalších scénářů pro použití připojení VPN:

  • mezi dvěma jednotlivá zařízení např. servery ve dvou oddělených datových centrech, kdy bezpečnostní požadavky standardní podnikové sítě nestačí;
  • připojení ke zdrojům cloudové infrastruktury (infrastructure-as-a-service);
  • hostování brány VPN v cloudu a poskytování přístupu poskytovatelem cloudu.


Schéma připojení VPN typu Point-to-Point

Kontrola zabezpečení připojení VPN

Bez ohledu na to, jaký typ VPN používáte, musíte provést vlastní ověření, abyste zajistili vysokou úroveň zabezpečení. Dodržením několika jednoduchých kroků zabezpečíte svou síť před nelegálním vniknutím.

Zpravodajská služba

Určete typ sítě VPN, kterou používáte, a port, na kterém služba VPN naslouchá připojení. To lze provést pomocí jakéhokoli nástroje pro skenování portů, jako je Nmap . V závislosti na typu VPN to může být UDP port 500 (IPSec), TCP port 1723, TCP port 443 (SSL VPN), UDP port 1194 (OpenVPN) nebo jakýkoli jiný nestandardní port.

Používání

Po úspěšném určení portu VPN jej musíte prohledat, abyste zjistili výrobce a verzi služby VPN. K tomu použijte nástroj ike-scan. Jakmile budete mít potřebné informace, vyhledejte na internetu, na webu výrobce a v katalogu CVE informace o zranitelnostech ve službě, které by mohly být zneužity k infiltraci existujících exploitů nebo k vytvoření nových.

Autentizace

Služba VPN, která naslouchá příchozím připojením, musí správně ověřit přihlašovací údaje poskytnuté klientem. Nestačí jen zkontrolovat přihlašovací jméno a heslo, pro zvýšení spolehlivosti je nutné použít bezpečnostní certifikáty. Je také nutné používat kompetentní politiku hesel (složitost, doby uchování, automatické generování atd.), která spolu s certifikátem vyloučí útoky a hackování hádáním hesla.

V příštím článku si povíme více o protokolech VPN a také technologii Virtual Private LAN Service (VPLS).

Připojení VPN je důležitým nástrojem při organizování podnikových sítí, ale je třeba mít na paměti, že jej musí podporovat telekomunikační operátor nebo poskytovatel internetových služeb. Mnoho z nich poskytuje přístup pomocí překladu adres NAT a většina zařízení podporuje tunelování GRE (Generic Routing Encapsulation). K vytváření sítí VPN se používají zejména protokoly PPTP, které vyžadují vybavení NAT pro podporu ALG (Application-level gateway).



1 hvězdička2 hvězdičky3 hvězdičky4 hvězdičky5 hvězdiček 5,00 / 3
Domov Internet Je možné analyzovat síťový provoz vpn. Principy organizace účtování IP provozu
Související články: