21.06.2017 | Vladimir Khazov
Virtuaalse privaatvõrgu (VPN) tehnoloogia võimaldab teil luua turvalise ja turvalise ühenduse avaliku võrgu potentsiaalselt ohtlikus segmendis (nt Internet). Tehnoloogia töötati välja selleks, et võimaldada kaugkasutajatele juurdepääsu ettevõtte võrgurakendustele, kuid selle arendamine võimaldas ühendada ettevõtte filiaalid üheks võrguks. Vaatame peamised võimalused VPN-i korraldamiseks ettevõtte võrgus ja sideoperaatori võrgu kasutamisel.
Kasutamise plussid ja miinused VPN
VPN-i kasutamise peamine eelis on kaugjuurdepääsuks vajaliku võrgu turvalisuse taseme tagamine infosüsteemid avaliku võrgu kaudu. Millal võrguseadmed ei saa tagada andmeedastuse privaatsust, VPN võimaldab krüpteerida liiklust turvalises kanalis.
Teine eelis on lahenduse maksumus: kui privaatvõrgu rajamine kaugkontorite vahel võib maksta sadu tuhandeid rublasid, siis VPN-lahenduse kasutamise hind algab nullist, see kehtib eriti üksikute "valdkonnas" töötavate töötajate ühendamise kohta. ettevõtte võrku"
Puuduseks on VPN-lahenduse piiratud jõudlus: seda mõjutavad Interneti-juurdepääsu kiirus, Interneti-teenuse pakkuja kasutatavate protokollide tüübid ja krüpteerimismeetod. Toimivust võivad mõjutada ka muud tegurid.
VPN-protokollid
Turvaliseks kaugjuurdepääsuks ja edastatavate ettevõtteandmete krüptimiseks on mitu protokolli:
- IP-turvalisus (IPsec);
- Secure Sockets Layer (SSL) ja transpordikihi turvalisus (TLS);
- Point-To-Point tunneliprotokoll (PPTP);
- 2. kihi tunneliprotokoll (L2TP);
- OpenVPN.
Ja kõige sagedamini kasutatavad ühendusetüübid hõlmavad kaugjuurdepääsu ettevõtte võrgule (kaugjuurdepääsu VPN) ja punkt-punkti ühendust kahe saidi vahel (saitidevaheline VPN). Vaatame neid üksikasjalikumalt.
Kaugjuurdepääsu VPN
See tehnoloogia kasutatakse ettevõtte töötajatele turvalise juurdepääsu tagamiseks ettevõtte võrgule ja selle ressurssidele avaliku Interneti kaudu. See kehtib eriti siis, kui Interneti-ühenduse loomiseks kasutatakse avalikku leviala. WiFi-ühendus või muud ebaturvalised ühendusviisid. Rakendus – VPN-klient sisse lülitatud kaugarvuti või mobiilseadeühendub ettevõtte võrgu VPN-lüüsiga, mis autentib ja volitab kasutajat. Pärast selle protseduuri edukat lõpetamist saab kasutaja juurdepääsu sisemistele võrguressurssidele (failiserver, andmebaasid, printerid jne), nagu oleks ta ühendatud kohalik võrk.
Kaitseks kaugjuurdepääs kõige sagedamini kasutatavad protokollid on IPsec või SSL, kuigi SSL on rohkem keskendunud turvalise ühenduse pakkumisele ühe rakendusega (nt SharePoint või e-mail), mitte kogu sisevõrgule. Samuti on IPsec-ühenduse kaudu võimalik luua Layer2-ühendus, kasutades tunneldusprotokolle nagu PPTP ja L2TP.
VPN-i kaugjuurdepääsu skeem
Punkt-punkti VPN-ühendus
Punkt-punkti ühendust kasutatakse kogu kohaliku võrgu ühendamiseks ühes kohas teise kohtvõrguga. Standardstsenaarium on kaugharude ühendamine ettevõtte keskkontori või andmekeskusega. Sel juhul pole vaja VPN-kliente kasutajaseadmetesse installida, kuna ühendust töötleb VPN-lüüs ja andmeedastus erinevates võrkudes olevate seadmete vahel toimub läbipaistvalt.
Kõige populaarsem viis punktist punkti ühenduste turvamiseks on IPsec (interneti kaudu), kuid levinud on ka operaatori MPLS pilve võimalus ilma avalikke võrke kasutamata. Viimasel juhul muutuvad kättesaadavaks Layer3 (MPLS IP VPN) või Layer2 (Virtual Private LAN Service – VPLS) ühendused.
VPN-ühenduste kasutamiseks on veel mitu stsenaariumi:
- kahe eraldi seadme, näiteks serverite vahel kahes eraldi andmekeskuses, kui standardse ettevõttevõrgu turvanõuetest ei piisa;
- ühendus pilvetaristu ressurssidega (infrastruktuur-teenusena);
- VPN-lüüsi majutamine pilves ja juurdepääsu pakkumine pilveteenuse pakkujale.
Punkt-punkti VPN-ühenduse skeem
VPN-ühenduse turvalisuse kontrollimine
Olenemata sellest, millist tüüpi VPN-i kasutate, peate kõrge turvalisuse tagamiseks: enesekontroll. Pärast mitme kulutamist lihtsad toimingud, kaitsete oma võrku ebaseadusliku sissetungi eest.
Intelligentsus
Määrake kasutatava VPN-i tüüp ja port, mille kaudu VPN-teenus ühendusi kuulab. Seda saab teha mis tahes pordi skaneerimise tööriistaga, näiteks Nmap. Sõltuvalt VPN-i tüübist võib see olla UDP port 500 (IPSec), TCP port 1723, TCP port 443 (SSL VPN), UDP port 1194 (OpenVPN) või mõni muu mittestandardne port.
Kasutamine
Pärast VPN-pordi edukat tuvastamist peate selle skannima, et teha kindlaks VPN-teenuse tootja ja versioon. Selleks kasutage ike-scan tööriista. Kui olete vajaliku teabe teada saanud, otsige Internetist, müüja veebisaidilt ja CVE-kataloogist teavet selle teenuse haavatavuste kohta, mida saaks kasutada olemasolevatesse rünnakutesse tungimiseks või uute loomiseks.
Autentimine
VPN-teenus, mis kuulab sissetulevaid ühendusi, peab õigesti kinnitama kliendi antud mandaadid. Usaldusväärsuse suurendamiseks ei piisa lihtsalt oma sisselogimise ja parooli kontrollimisest, tuleb kasutada turvasertifikaate. Samuti on kohustuslik kasutada pädevat paroolipoliitikat (keerukus, säilitusperioodid, automaatne genereerimine jne), mis koos sertifikaadiga hoiab ära rünnakud ja parooli äraarvamise.
Järgmises artiklis räägime sellest lähemalt VPN-protokollid, samuti virtuaalse privaatvõrguteenuse (VPLS) tehnoloogia kohta.
VPN-ühendus on ettevõtte võrkude korraldamisel oluline tööriist, kuid tuleb meeles pidada, et selle tuge peab pakkuma sideoperaator või Interneti-teenuse pakkuja. Paljud neist pakuvad juurdepääsu NAT-aadressi tõlkimise abil ja enamik seadmeid toetab GRE (Generic Routing Encapsulation) tunnelit. Eelkõige VPN-võrkude loomiseks kasutatakse PPTP-protokolle, mis nõuavad NAT-seadmeid, et toetada ALG-d (rakendustaseme lüüsi).
Kõigile on selge, et teie pakkuja on kursis kõigi teie liikumistega Internetis, sageli räägitakse ettevõtte töötajatest, kes jälgivad kliendiliiklust. Kuidas see juhtub, kas seda saab vältida?
Kuidas teid jälgitakse?
Vene Föderatsiooni teenusepakkujad peavad analüüsima kasutajaliiklust, et tagada vastavus Venemaa õigusaktidele. Eelkõige punkti 1.1 Föderaalseadus 07.07.2003 N 126-FZ (muudetud 05.12.2017) "Side kohta" ütleb:
Telekommunikatsioonioperaatorid on kohustatud tagama operatiivse uurimistegevuse või turvalisuse tagamise volitatud valitsusasutused Venemaa Föderatsioon, teave sideteenuste kasutajate ja neile pakutavate sideteenuste kohta, samuti muu teave, mis on vajalik neile asutustele pandud ülesannete täitmiseks föderaalseadustega kehtestatud juhtudel.
Pakkuja ise muidugi liiklust ei salvesta. Kuid see töötleb ja klassifitseerib seda. Tulemused salvestatakse logifailidesse.
Põhiteabe analüüs viiakse läbi aastal automaatrežiim. Tavaliselt peegeldatakse valitud kasutaja liiklust SORM-serverites (operatiivsete uurimismeetmete tööriistad), mida kontrollivad Siseministeerium, FSB jne ning seal tehakse analüüs.
Lahutamatu osa kaasaegsed süsteemid SORM-2 on tsükliline andmesalvestuspuhver. See peaks salvestama teenusepakkujat viimase 12 tunni jooksul läbinud liikluse. SORM-3 on rakendatud alates 2014. aastast. Selle peamine erinevus on täiendav salvestusruum, mis peaks sisaldama kõigi arvelduste ja ühenduse logide kolmeaastast arhiivi.
Kuidas lugeda liiklust DPI abil
Näidisskeem VAS Expertilt
DPI-d (Deep Packet Inspection) saab kasutada SORM-i osana või eraldi. Need on süsteemid (tavaliselt riist- ja tarkvarasüsteemid – eritarkvaraga riistvara), mis töötavad üldse peale OSI võrgumudeli esimeste (füüsiliste, bittide) tasemete.
Lihtsamal juhul kasutavad pakkujad DPI-d, et kontrollida juurdepääsu ressurssidele (eelkõige Roskomnadzori musta nimekirja saitide lehtedele vastavalt föderaalseadusele nr 139, mis käsitleb seaduse „Laste kaitset kahjuliku teabe eest”) muutmise kohta. nende tervis ja areng” või torrentid) . Kuid üldiselt saab lahendust kasutada ka teie liikluse lugemiseks.
DPI vastased väidavad, et õigus privaatsusele on põhiseaduses kirjas ja tehnoloogia rikub võrguneutraalsust. Kuid see ei takista meid tehnoloogiat praktikas kasutamast.
DPI analüüsib hõlpsalt sisu, mis edastatakse krüptimata HTTP- ja FTP-protokollide kaudu.
Mõned süsteemid kasutavad ka heuristikat – kaudseid märke, mis aitavad teenust tuvastada. Need on näiteks liikluse ajalised ja numbrilised karakteristikud, aga ka spetsiaalsed baidijadad.
HTTPS-iga on see keerulisem. Kuid TLS-i kihis, alates versioonist 1.1, mida tänapäeval kasutatakse sageli HTTPS-i krüptimiseks, domeeninimi saidi kohta edastatakse selge tekstina. Nii saab teenusepakkuja teada, millist domeeni te külastasite. Aga mida nad seal tegid? privaatvõti ei saagi teada.
Igal juhul ei kontrolli pakkujad kõiki
See on liiga kallis. Kuid teoreetiliselt saavad nad soovi korral kellegi liiklust jälgida.
Seda, mida süsteem (või seltsimees major) on märkinud, uuritakse tavaliselt käsitsi. Kuid enamasti pole pakkujal (eriti kui tegemist on väikese pakkujaga) SORM-i. Kõik otsivad ja leiavad tavatöötajad logidega andmebaasist.
Kuidas torrente jälgitakse
Torrent klient ja jälgija vahetavad andmeid tavaliselt HTTP-protokolli kaudu. See on avatud protokoll, mis tähendab, vt ülal: kasutajaliikluse vaatamine MITM-i rünnaku abil, analüüs, dekrüpteerimine, blokeerimine DPI abil. Pakkuja saab uurida palju andmeid: millal allalaadimine algas või lõppes, millal levitamine algas, kui palju liiklust jaotati.
Sidereid on raskem leida. Enamasti saavad sellistel juhtudel spetsialistid ise eakaaslasteks. Teades külvaja IP-aadressi, saab partner saata pakkujale teatise distributsiooni nime, selle aadressi, levitamise algusaja, külvaja IP-aadressi jms.
Venemaal on see praegu turvaline - kõik seadused piiravad jälgijate ja teiste piraatsisu levitajate, kuid mitte tavakasutajate haldusvõimalusi. Mõnes Euroopa riigis on torrentide kasutamine aga täis suuri trahve. Nii et kui reisite välismaale, ärge jääge vahele.
Mis juhtub saidi külastamisel
Pakkuja näeb teie avatud URL-i, kui ta analüüsib teie vastuvõetud pakettide sisu. Seda saab teha näiteks MITM-ründe (“man-in-the-middle” rünnak) abil.
Pakettide sisust saate hankida otsinguajaloo, analüüsida päringute ajalugu, lugeda isegi kirjavahetust ja paroolidega sisselogimisi. Kui sait kasutab autoriseerimiseks muidugi krüptimata HTTP-ühendust. Õnneks on seda järjest harvem.
Kui sait töötab HTTPS-iga, näeb pakkuja ainult serveri IP-aadressi ja domeeninime, samuti sellega ühenduse aega ja liikluse mahtu. Ülejäänud andmed on krüptitud ja ilma privaatvõtmeta on neid võimatu dekrüpteerida.
Aga MAC-aadress
Pakkuja näeb teie MAC-aadressi igal juhul. Täpsemalt selle seadme MAC-aadress, mis ühendub selle võrku (ja see ei pruugi olla arvuti, vaid näiteks ruuter). Fakt on see, et autoriseerimine paljude pakkujatega toimub sisselogimise, parooli ja MAC-aadressi abil.
Kuid paljude ruuterite MAC-aadresse saab käsitsi muuta. Jah, ja arvutites MAC-aadress võrguadapter käsitsi installitud. Nii et kui teete seda enne esimest autoriseerimist (või muudate seda hiljem ja palute määrata konto uuele MAC-aadressile), ei näe teenusepakkuja tegelikku MAC-aadressi.
Mis juhtub, kui VPN on lubatud?
Kui kasutate VPN-i, näeb pakkuja, et krüpteeritud liiklus (kõrge entroopiakoefitsiendiga) saadetakse kindlale IP-aadressile. Lisaks võib ta teada saada, et selle vahemiku IP-aadresse müüakse VPN-teenuste jaoks.
Pakkuja ei saa automaatselt jälgida, kuhu VPN-teenuse liiklus läheb. Kuid kui võrrelda abonendi liiklust mis tahes ajatemplite abil serveri liiklusega, saate teha täiendavat jälgimist. See nõuab lihtsalt keerukamat ja kallimat tehnilisi lahendusi. Igavusest ei hakka keegi midagi sellist kindlasti arendama ja kasutama.
See juhtub, et äkki VPN "kukkub ära" - see võib juhtuda igal ajal ja mis tahes operatsioonisüsteemis. Pärast VPN-i töötamise lõpetamist hakkab liiklus automaatselt avalikult voolama ja pakkuja saab seda analüüsida.
On oluline, et isegi kui liiklusanalüüs seda näitab suur maht pakette saadetakse pidevalt IP-aadressile, mis võib potentsiaalselt kuuluda VPN-ile, siis ei riku te midagi. Venemaal ei ole VPN-i kasutamine keelatud; selliste teenuste osutamine Roskomnadzori musta nimekirja saitidele on keelatud.
Mis juhtub, kui lubate Tori?
Tori kaudu ühenduse loomisel näeb teenusepakkuja ka krüptitud liiklust. Ja dešifreerige see, mida te Internetis teete hetkel, ta ei saa seda teha.
Erinevalt VPN-ist, kus liiklus suunatakse tavaliselt pika aja jooksul samasse serverisse, muudab Tor IP-aadresse automaatselt. Sellest lähtuvalt saab teenusepakkuja krüptitud liikluse ja sagedaste aadressimuutuste põhjal kindlaks teha, et kasutasite tõenäoliselt Tori, ning kajastada seda siis logides. Aga ka selle eest ei juhtu sinuga seaduse järgi midagi.
Samas saab keegi Tor-võrgus sinu IP-aadressi kasutada vaid siis, kui oled seadistustes konfigureerinud Exit Node.
Aga inkognito režiim?
See režiim ei aita teie liiklust Interneti-teenuse pakkuja eest varjata. Seda on vaja teeselda, et te ei kasutanud brauserit.
Inkognito režiimis neid ei salvestata küpsised, veebisaidi andmed ja sirvimisajalugu. Kuid teie tegevus on teenusepakkujale nähtav, süsteemiadministraator ja veebisaidid, mida külastate.
Kuid on häid uudiseid
Teenusepakkuja teab sinust palju, kui mitte kõike. Väikeettevõtete eelarve ei võimalda aga osta DPI-seadmeid, paigaldada SORM-i ega luua tõhusat jälgimissüsteemi.
Kui sooritate Internetis juriidilisi toiminguid avalikult ja konfidentsiaalsust nõudvate toimingute puhul kasutate VPN-i, Tori või muid anonüümsuse tagamise vahendeid, on teie Interneti-teenuse pakkuja ja luureteenuste sihtmärgiks sattumise tõenäosus minimaalne. Kuid ainult 100% õiguslikud toimingud annavad 100% garantii.
Rääkisime oma lugejatele VPN-i toimimise põhimõtetest ja näitasime odavate VPN-teenuste näitel, kuidas ja miks VPN-tunneleid kasutada.
Täna tahame veel kord puudutada VPN-teenuste teemat, eriti kuna nõudlus nende teenuste järele kasvab iga päevaga, kuna Venemaa ja teiste SRÜ riikide valitsuse Interneti-regulatsioon suureneb, seisavad kasutajad silmitsi mitmete piirangutega. Internet, aga ka olukord Infoturve Internetis muutub iga päevaga hullemaks.
VPN-teenuse pakkujat valides leidsime üsna kvaliteetse teenuse: TheSafety.US
Ütleme kohe, et TheSafety.US VPN-teenuste hinnad ei ole kõige madalamad, tellimus maksab kuskil 30 dollarit kuus, kuid selle kompenseerib pakutavate teenuste kõrge kvaliteet ning pakettide ja tellimuste mitmekesisus. Niisiis, alustame TheSafety.US testimist ja hindame seda VPN-teenust praktikas.
Teistele operatsioonisüsteemid vaata sätteid:
Mis mulle kohe meeldis? Et saad valida endale sobivas riigis serveri. Tavaline VPN, Double VPN ja Offshore VPN on teile saadaval 20 riigis: USA, Kanada, Saksamaa, Suurbritannia (Inglismaa), Holland, Itaalia, Ukraina, Prantsusmaa, Hispaania, Belgia, Poola, Tšehhi Vabariik, Portugal, Šveits, Iirimaa , Leedu, Soome, Luksemburg, offshore VPN Panamas ja Malaisias. Saate ise valida erinevaid riike ja sihtkohti, sealhulgas avamereriikide VPN-i (Offshore VPN) – see kõrgeim tase turvalisus, kuna neis riikides puudub riigipoolne range kontroll.
Millal peate valima konkreetse VPN-serveri riigi? Kui seisate silmitsi ülesandega mitte lihtsalt oma IP-aadressi varjata, vaid näidata, et see on pärit näiteks Saksamaalt, USA-st või Poolast. See on vajalik juurdepääsuks Interneti-ressurssidele, mille omanikud määravad teatud riikidest pärit külastajatele filtrid.
Meie artiklis oleme juba näinud, kuidas see töötab VPN-tehnoloogia. Räägime teile, kuidas teenus Double VPN töötab.
Topelt VPN-tehnoloogia - kahest serverist koosnev kett, mille sisend- ja väljund-IP-aadressid erinevad. Sel juhul loote ühenduse esimese serveri IP1-ga, kusjuures kõik andmed on krüptitud, seejärel krüpteeritakse teie liiklus teist korda ja saadetakse teise serveri IP2-le. Selle tulemusel olete Internetis IP3-ga. See tehnoloogia aitab pakkuda väga tõhusat turvalisust, kuna kogu teie liiklus on topeltkrüpteeritud ja läbib erinevaid riike.
Näiteks katsetasin ketti Saksamaa – Tšehhi, läbis krüpteeritud liiklus esmalt Saksamaal asuva serveri, seejärel Tšehhi Vabariigis asuva serveri kaudu ja alles seejärel sisenes välistesse Interneti-ressurssidesse. See võimaldas pakkuda väga tugevat turvalisust, nagu soxide ahela puhul, pluss edastatavate andmete topeltkrüptimist. Seega ei tea isegi esimene server minu välist IP-d, veel vähem minu Interneti-teenuse pakkujat.
Ekraanipildil näitab minu IP-i kontroll veebisaidil 2ip.ru IP-aadressi Prahas.
Kui laadime otsingumootori yandex.ru, annab see meile avaleht Praha jaoks:
Nagu me teame, "salvestavad" Interneti-teenuse pakkujad hiljuti kogu kasutajate Interneti-liikluse ja salvestavad seda teatud aja jooksul. Selline olukord valitseb Venemaal, Valgevenes, Hiinas ja teistes riikides, kus Internet on valitsuse poolt rangelt reguleeritud.
Need. Teatud organisatsioonid ja ametnikud on teadlikud sellest, milliseid saite te külastate, millist teavet saate ja Internetis edastate. Need ei ole "tühjad õudusjutud"; kontrollime praktikas, mis on pärast meie Interneti-külastust teenusepakkujate logidesse salvestatud.
Selle katse jaoks kasutame liiklusanalüsaatoreid (nuusutajad) või Wiresharki, mis on tasuta tarkvara.
Kasutasin oma katseteks Packetyzeri programmi. Niisiis, mida me näeme, kui surfame Internetis oma IP-aadressi kasutades ilma VPN-ita:
Ülaltoodud ekraanipilt näitab, et vaatasin ilma kohta: pogoda.tut.by(see on joonisel markeriga esile tõstetud).
Ja järgmine ekraanipilt näitab, milliseid saite ma sel ajal külastasin:
Nüüd kasutame VPN-teenus saidilt TheSafety.US, proovime Packetyzeri nuusutajaga liiklust analüüsida ja vaatame, et kogu liiklus on tugeva algoritmiga krüpteeritud, pole võimalik näha, milliseid saite külastati:
Muide, rakendusega on kogu liiklus ka krüptitud, vaadake allolevaid ekraanipilte:
Samuti ei kirjutata TheSafety.US serverites logisid ja ühendus tekib IP-aadressiga, mitte domeeninimega.
Veelgi suurema anonüümsuse huvides kasutavad TheSafety.US serverid TTL parameetri sunniviisilist muutmist.
TTL – aeg elada või saadetud paketi eluiga. OS-i perekonna jaoks Windowsi standard TTL väärtus = 128, Unixi jaoks TTL = 64. Saadetud paketile määratakse TTL väärtus ja seda väärtust vähendab iga host marsruudil ühe võrra (näiteks konkreetse saidi avamisel läbib teie päringu pakett mitut hosti kuni ei jõua serverisse, kus avatav sait asub). Kui saadetud paketi TTL väärtuseks saab 0, siis pakett kaob. See tähendab, et võime öelda, et edastatud paketi TTL väärtuse abil saate teada, mitu hosti pakett läbis. See tähendab, et saate kaudselt määrata, mitme hosti taga teie arvuti asub. TheSafety.US serverid sunnivad muutma selle väärtuse standardseks. Seda saab kontrollida tavaliste ping- ja tracert-käskude abil. Vaadake allolevaid ekraanipilte nendest käskudest:
Tänapäeval ilmub üle maailma internetti üha rohkem erinevaid piiranguid. Valitsused on mures OpenVPN-i kasutamise pärast ja me peame neist mööda minema ja leidma viise teenuste ühendamiseks nagu tavaliselt. Näiteks Hiina suur tulemüür blokeerib mõned VPN-võrgud nii Hiinas kui ka väljaspool seda.
Loomulikult on võimatu näha VPN-tunneleid läbivaid andmeid. Kuid keerukad tulemüürid kasutavad pakettide dekrüpteerimiseks tõhusalt DPI-tehnikaid, isegi neid, mis on krüptitud SSL-krüptimisega.
Neid on erinevaid viise probleemi lahendusi, kuid enamik neist hõlmab serveri enda sätete muutmist. Selles artiklis vaatleme erinevaid teile saadaolevaid meetodeid. Kui soovite VPN-i signaale peita ja teil pole pordi 443 edastamist, peate võtma ühendust oma VPN-i pakkujaga ja uurima, kas nad on nõus teile mõnda allolevatest lahendustest pakkuma.
Edastamine TCP-pordi 443 kaudu
See on üks kõige enam lihtsaid viise. VPN-liikluse edastamiseks pordis 443 ei ole vaja keerukat serveri seadistust.
Pidage meeles, et vaikimisi kasutab VPN TCP-porti 80. Tavaliselt kontrollivad tulemüürid porti 80 ega luba selle kaudu krüptitud liiklust. Vaikimisi suunab HTTPS andmed ümber pordi 443 kaudu. Seda porti kasutavad ka veebihiiglased, nagu Twitter, Gmail, pangad ja muud ressursid, mis ka sellega töötavad.
OpenVPN kasutab sarnaselt HTTPS-iga SSL-krüptimist ja seda on pordi 443 kasutamisel üsna raske tuvastada. Selle blokeerimine takistab Interneti kasutamist, seega ei sobi see Interneti-tsensoritele.
Edastamist toetavad peaaegu kõik VPN-i kliendid, nii et saate hõlpsalt lülituda pordile 443. Kui teie VPN-i pakkuja seda funktsiooni kliendis ei paku, peate nendega kohe ühendust võtma.
Kahjuks OpenVPN ei kasuta standardmeetod SSL, nii et kui kasutatakse sügavat pakettide kontrolli, nagu Hiinas, saab krüptitud liikluse ära tunda. Sel juhul vajate täiendavaid kaitsevahendeid.
Obfsproxy
Server krüpteerib andmed hägustamise abil, hägustades koodi ja takistades OpenVPN-i tuvastamist. Seda strateegiat kasutab Tor Hiinas asuvatest plokkidest mööda hiilimiseks. OpenVPN-i jaoks on saadaval krüptimine
Obfsproxy nõuab installimist nii klientarvutisse kui ka VPN-serverisse. Muidugi pole see nii turvaline kui tunnelimismeetodid, liiklus pole krüpteeritud, kuid kanal pole ka ülekoormatud. See on suurepärane kasutajatele sellistes riikides nagu Süüria või Etioopia, kus Interneti-ühendus on probleem. Obfsproxyt on üsna lihtne seadistada ja installida, mis on kindel eelis.
SSL-tunneldamine OpenVPN-i jaoks
Socket Security Layeri (SSL) saab kasutada OpenVPN-i tõhusa asendajana. Paljud puhverserverid kasutavad seda ühenduse turvamiseks. Lisaks peidab see protokoll täielikult VPN-i kasutamise. Kuna OpenVPN põhineb TLS-il või SSL-krüptimisel, erineb see protokoll tavapärastest SSL-kanalitest oluliselt ja seda pole paketikaevandamise abil keeruline tuvastada. Selle vältimiseks saate lisada täiendava krüpteerimiskihi, kuna DPI ei tunne SSL-kanalite sõltumatuid kihte.
Järeldus
Loomulikult ei erine OpenVPN ilma põhjaliku analüüsita tavalisest SSL-liiklusest. Turvalisust saab suurendada pordi 443 kaudu edastamisega. Sellistes riikides nagu Hiina või Iraan sellest aga ei piisa. Nende riikide valitsused on Interneti-liikluse jälgimiseks välja töötanud keerukad meetmed. Võtke neid tegureid kindlasti arvesse, et vältida tarbetuid probleeme.
Õppime Internetis anonüümsuse põhitõdesid.
Artikkel aitab teil otsustada, kas vajate konkreetselt VPN-i, ja valida pakkuja, ning räägib teile ka selle tehnoloogia lõkse ja selle alternatiividest.
See materjal on lihtsalt lugu VPN-ist koos pakkujate ülevaatega, mõeldud üldiseks arendamiseks ja igapäevaste pisiprobleemide lahendamiseks.
See ei õpeta teile, kuidas saavutada Internetis täielik anonüümsus ja 100% liikluse privaatsus.
Mis on VPN? Virtuaalne privaatvõrk
(virtuaalne privaatvõrk) on seadmete võrk, mis luuakse üksteise peale ja mille sees luuakse tänu krüpteerimistehnoloogiatele turvalised kanalid andmevahetuseks.
VPN-server haldab selles võrgus kasutajakontosid ja toimib nende jaoks Internetti sisenemise punktina. Selle kaudu edastatakse krüpteeritud liiklust.
Allpool räägime pakkujatest, kes pakuvad juurdepääsu VPN-serveritele erinevates riikides. Aga kõigepealt mõelgem välja, miks see vajalik on?
VPN-i kasutamise eelised
1. Aadressi muutmine
Millistel juhtudel vajab seaduskuulekas venelane teistsugust IP-d?
2. Kaitse väikeste kurjade vaimude eest
- VPN-i pakkuja ei päästa teid võimude tagakiusamise eest, kuid kaitseb teid järgmiste eest:
- kontorivõrgu administraator, kes kogub teie vastu süüstavaid tõendeid või lihtsalt meeldib lugeda teiste inimeste kirju;
Koolilapsed, kes kuulavad end avaliku WiFi-punkti liiklust kuulamas.
VPN-i kasutamise miinused
Kiirus Interneti-ühenduse kiirus kell kasutades VPN-i
pakkuja võib olla madalam kui ilma selleta. Esiteks kehtib see tasuta VPN-ide kohta. Lisaks võib see olla ebastabiilne: olenevalt kellaajast või valitud serveri asukohast.
Tehnilised probleemid
VPN-i pakkujal võib esineda katkestusi. Eriti kui see on väike ja vähetuntud. Kõige tavalisem probleem: VPN katkes ega öelnud kellelegi midagi. Vajalik jälg
et tagada teie ühenduse blokeerimine serveriga seotud probleemide korral.
Vastasel juhul võib see olla nii: kirjutate oma toakaaslase artiklitele vihaseid kommentaare, kuid VPN lülitub vaikselt välja ja tegelik IP ilmub administraatori paneelile, jätsite sellest märkamata ja teie naaber märkas ja koostab kättemaksuplaani.
Kujutletav anonüümsus
Teavet teie liikluse kohta jagatakse kolmanda osapoolega. VPN-i pakkujatelt küsitakse intervjuudes sageli: "Kas salvestate logisid?" Nad vastavad: "Ei, ei, muidugi mitte!" Kuid keegi ei usu neid. Ja selleks on põhjused. IN litsentsilepingud
Ja mõned kiired VPN-i pakkujad, näiteks Astrill, nõuavad aktiveerimiseks SMS-i kinnitust konto(ei tööta vene numbrite puhul). Kas soovite oma IP-aadressi peita ja liiklust krüptida? Ok, aga jäta igaks juhuks oma number.
Ja kontode registreerimisel ankeedid on mõnikord tüütud ebavajalike küsimustega. Näiteks miks on VPN-i pakkujal vaja inimese sihtnumbrit? Kas saadate uueks aastaks pakke?
Samuti on kasutaja identiteet Võib olla tuvastanud pangakaardid(või maksesüsteemide rahakottide kaudu, mille kaudu virtuaalkaarte täiendatakse). Mõned VPN-i pakkujad meelitavad kasutajaid, aktsepteerides maksena krüptovaluutasid. See on anonüümsuse pluss.
VPN-teenuse valimine
VPN-i pakkujaid on kümmekond peenraha. Lõppude lõpuks on see madala sisenemisbarjääriga kasumlik äri. Kui esitate foorumis sellise küsimuse, hakkavad teenuseomanikud jooksma ja pommitavad teid oma reklaamidega.
Valiku hõlbustamiseks loodi veebisait bestvpn.com, kus avaldatakse VPN-i pakkujate hinnangud ja ülevaated. 
Räägime lühidalt sellest parimad VPN-teenused(bestvpn.com andmetel), millel on iOS-i jaoks rakendus.
ExpressVPN
96 linna 78 riigis. Teenuse katkemise korral 30-päevane raha tagasi garantii. Rakendusi on OS X, Windows, iOS ja Android. Saate korraga töötada 5 seadmega.
Hind: 9,99–12,95 dollarit kuus (olenevalt makseperioodist).
Privaatne Interneti-juurdepääs
25 riiki. Rakendusi on OS X, Windows, projekti veebisait.
Hind: 2,50–6,95 dollarit kuus (olenevalt makseperioodist).
IP Vanish VPN
Rohkem kui 60 riiki. VPN-i kliendid on olemas iOS, Android, Windows, Mac, Ubuntu, Chromebookid ja ruuterid. Võimalik töötada mitme seadmega korraga.
Optimistlikud paranoid
Väga huvitav turundustrikk. Nad teevad ettepaneku käivitada krüpteeritud liiklus mitte ühe, vaid kahe või kolme serveri kaudu.
Minu arvamus selles küsimuses on järgmine: kui VPN-i on vaja ainult selleks, et varjata, millisest riigist te pärit olete, siis pole sellel mõtet. Aga kui tõesti on midagi varjata, siis mis mõtet on seda korraga kolme teise inimese serveri kaudu edastada?
Alternatiivid
Oma OpenVPN-i server
Tor
Tor-võrgu liiklust edastatakse mitme sõltumatu serveri kaudu erinevates maailma paikades krüpteeritud kujul. See muudab kasutaja algse IP-aadressi kindlaksmääramise keeruliseks. Kuid Ross Ulbrichti (Siiditee omanik) hoiatav lugu tuletab meile meelde, et Ameerika luureagentuurid on võimelised paljudeks asjadeks.
Plussid:
- Tasuta;
- Juurdepääs sibulavõrgule (“darknet”). Söö terve seeria saidid, millele pääseb juurde ainult Tori brauser. Need on nende omad otsingumootorid(grammid), poed, raamatukogud, krüptovaluutabörsid, kontekstuaalsed reklaamisüsteemid, Sibula Wiki entsüklopeedia. Kuid seaduskuulekale venelasele pole selles võrgus midagi huvitavat.
Miinused:
- Aeglane kiirus.
Mida arvab Roskomnadzor?
Osakonna töötajad on äärmiselt rahulolematud sellega, et venelased püüdlevad internetis anonüümsuse poole. Hiljuti nimetas Roskomnadzori pressiesindaja Tori kasutajaid sotsiaalseks saasteks ja agentuur ise pooldab anonüümseks muutjate keelustamist. Kuid venelased ei võta selliseid arvamusi kuulda. Egor Minin (RuTraceri asutaja) väidab, et pooled tema ressursi kasutajad teavad, kuidas blokeeringust mööda minna.
