VPN: zašto i kako sakriti svoj IP i šifrirati promet. Što davatelj usluga zna o korisniku? VPN s udaljenim pristupom

Čitateljima smo ispričali principe rada VPN-a i na primjeru jeftinih VPN usluga pokazali kako i zašto koristiti VPN tunele.

Danas se želimo još jednom dotaknuti teme VPN usluga, pogotovo zato što potražnja za ovim uslugama raste svakim danom, kako se vladina regulacija interneta u Rusiji i drugim zemljama ZND-a povećava, korisnici se suočavaju s nizom ograničenja na Internet, kao i situacija sa sigurnost informacija mreža je svakim danom sve gora.

Prilikom odabira pružatelja VPN usluga, pronašli smo dosta kvalitetnu uslugu: TheSafety.US

Recimo odmah da cijene VPN usluga od TheSafety.US nisu najniže, pretplata košta negdje od 30 dolara mjesečno, ali to se kompenzira visoka kvaliteta pružene usluge i razne pakete i pretplate. Dakle, počnimo testirati TheSafety.US i procijeniti ovu uslugu VPN u praksi.

Za ostale operativne sustave pogledajte postavke:

Što mi se odmah svidjelo? Da možete odabrati poslužitelj u zemlji koja vam odgovara. Regular VPN, Double VPN i Offshore VPN dostupni su vam u 20 zemalja: SAD, Kanada, Njemačka, UK (Engleska), Nizozemska, Italija, Ukrajina, Francuska, Španjolska, Belgija, Poljska, Češka, Portugal, Švicarska, Irska, Litva, Finska, Luksemburg, offshore VPN u Panami i Maleziji. Možete sami birati različite zemlje i odredišta, uključujući VPN u offshore zemljama (Offshore VPN) - ovo najviša razina sigurnosti, budući da u tim zemljama ne postoji stroga državna kontrola.

Kada trebate odabrati određenu zemlju VPN poslužitelja? Kada se suočite sa zadatkom ne samo sakriti svoju IP adresu, već pokazati da je iz Njemačke, SAD-a ili Poljske, na primjer. Ovo je potrebno za pristup internetskim resursima čiji vlasnici postavljaju filtre za posjetitelje iz određenih zemalja.

U našem smo članku već naučili kako VPN tehnologija funkcionira. Recimo vam kako funkcionira Double VPN usluga.

Dvostruka VPN tehnologija - lanac od dva poslužitelja s razlikom u ulaznim i izlaznim IP adresama. U u ovom slučaju povezujete se na IP1 prvog poslužitelja sa svim šifriranim podacima, a zatim se vaš promet drugi put šifrira i šalje na IP2 drugog poslužitelja. Kao rezultat toga, bit ćete na Internetu s IP3. Ova tehnologija pomaže u pružanju vrlo učinkovite zaštite jer će sav vaš promet biti dvostruko šifriran i prolaziti kroz različite zemlje.

Na primjer, testirao sam lanac Njemačka – Češka, kriptirani promet prvo je prolazio kroz server u Njemačkoj, potom preko servera u Češkoj, a tek onda ulazio u vanjske internetske resurse. To je omogućilo pružanje vrlo jake sigurnosti, kao kod lanca soxa, plus dvostruku enkripciju prenesenih podataka. Dakle, čak ni prvi server neće znati moj vanjski IP, a još manje moj Internet provider.

Na snimci zaslona provjera moje IP adrese na web stranici 2ip.ru pokazuje IP adresu u Pragu.

Ako učitamo tražilicu yandex.ru, dat će nam početna stranica za Prag:

Kao što znamo, internetski provajderi u posljednje vrijeme “bilježe” sav internetski promet korisnika i pohranjuju ga određeno vrijeme. Ovakvo stanje postoji u Rusiji, Bjelorusiji, Kini i drugim zemljama sa snažnom državnom regulacijom interneta.

Oni. Određene organizacije i službenici bit će svjesni koje stranice posjećujete, koje informacije primate i prenosite na internetu. Ovo nisu "prazne horor priče"; provjerimo u praksi što se bilježi u logovima provajdera nakon našeg posjeta Internetu.

Za ovaj eksperiment koristit ćemo analizatore prometa (sniffere) ili Wireshark koji su besplatni softveri.

Za svoje eksperimente koristio sam program Packetyzer. Dakle, što vidimo kada surfamo internetom koristeći našu IP adresu, bez VPN-a:

Gornji snimak zaslona pokazuje da sam pogledao vremensku prognozu na: pogoda.tut.by(ovo je na slici označeno markerom).

A sljedeća snimka zaslona pokazuje koje sam stranice posjetio u to vrijeme:

Sada koristimo VPN uslugu od TheSafety.US, pokušajmo analizirati promet s Packetyzer snifferom i vidjeti da je sav promet šifriran jakim algoritmom, nemoguće je vidjeti koja su mjesta posjećena:

Usput, uz , sav je promet također šifriran, pogledajte snimke zaslona u nastavku:

Također, na poslužiteljima TheSafety.US ne pišu se dnevnici i veza se odvija na IP adresu, a ne na naziv domene.

Za još veću anonimnost, TheSafety.US poslužitelji koriste prisilnu promjenu TTL parametra.

TTL - vrijeme za život ili životni vijek poslanog paketa. Za OS obitelj Windows standard TTL vrijednost = 128, za Unix TTL = 64. Poslanom paketu se dodjeljuje TTL vrijednost, a ovu vrijednost smanjuje za jedan svaki host na svojoj ruti (na primjer, kada otvarate određenu stranicu, vaš paket zahtjeva prolazi kroz nekoliko hostova dok ne dođe do poslužitelja na kojem se nalazi stranica koja se otvara). Kada TTL vrijednost poslanog paketa postane 0, paket nestaje. Odnosno, možemo reći da pomoću TTL vrijednosti poslanog paketa možete saznati kroz koliko hostova je paket prošao. To znači da neizravno možete odrediti iza koliko se hostova nalazi vaše računalo. TheSafety.US poslužitelji prisilno mijenjaju ovu vrijednost u standardnu. Ovo se može provjeriti pomoću standarda ping naredbe i tracert. U nastavku pogledajte snimke zaslona ovih naredbi koje se izvode:

Prvo što vam padne na pamet kada se spomene VPN je anonimnost i sigurnost podataka koji se prenose. Je li stvarno? Hajdemo shvatiti.

Kada trebate pristupiti korporativna mreža, siguran za prijenos važna informacija preko otvorenih komunikacijskih kanala, kako bi sakrili svoj promet od budnog oka davatelja, kako bi sakrili svoju stvarnu lokaciju prilikom provođenja bilo kakvih ne sasvim legalnih (ili nimalo legalnih) radnji, najčešće posežu za korištenjem VPN-a. Ali vrijedi li se slijepo oslanjati na VPN, stavljajući sigurnost svojih podataka i vlastitu sigurnost na kocku? Definitivno ne. Zašto? Hajdemo shvatiti.

UPOZORENJE

Sve informacije su date samo u informativne svrhe. Ni urednici ni autor nisu odgovorni za bilo kakvu moguću štetu prouzročenu materijalima ovog članka.

Trebamo VPN!

Virtualna privatna mreža, ili jednostavno VPN, opći je naziv za tehnologije koje omogućuju jednu ili više mrežne veze(logička mreža) na vrhu druge mreže, kao što je Internet. Unatoč činjenici da se komunikacije mogu provoditi putem javnih mreža s nepoznatom razinom povjerenja, razina povjerenja u izgrađenu logičku mrežu ne ovisi o razini povjerenja u temeljnim mrežama zbog korištenja kriptografskih alata (enkripcija, autentifikacija infrastruktura javnih ključeva, sredstva za zaštitu od ponavljanja i promjena poruka koje se prenose preko logičke mreže). Kao što vidite, u teoriji je sve ružičasto i bez oblaka, ali u praksi je sve nešto drugačije. U ovom ćemo članku pogledati dvije glavne točke koje morate uzeti u obzir kada koristite VPN.

Curenje VPN prometa

Prvi problem s VPN-ovima je curenje prometa. Odnosno, promet koji bi se trebao prenositi kroz VPN vezu u kriptiranom obliku ulazi u mrežu u čistom tekstu. Ovaj scenarij nije rezultat pogreške u VPN poslužitelju ili klijentu. Ovdje je sve puno zanimljivije. Najjednostavnija opcija je iznenadni prekid VPN veze. Odlučili ste skenirati host ili podmrežu koristeći Nmap, pokrenuli ste skener, udaljili se od monitora na nekoliko minuta, a zatim je VPN veza iznenada prekinuta. Ali skener nastavlja raditi. A skeniranje dolazi s vaše adrese. Ovo je tako neugodna situacija. Ali ima zanimljivijih scenarija. Na primjer, curenje VPN prometa rašireno je u mrežama (na hostovima) koje podržavaju obje verzije IP protokola (tzv. dual-stacked mreže/hostovi).

Korijen zla

Koegzistencija dvaju protokola – IPv4 i IPv6 – ima mnogo zanimljivih i suptilnih aspekata koji mogu dovesti do neočekivanih posljedica. Unatoč činjenici da šesta verzija IP protokola nema kompatibilnost unatrag s četvrtom verzijom, obje su ove verzije "zalijepljene" zajedno putem Domain Name System (DNS). Da bi bilo jasnije o čemu govorimo, pogledajmo jednostavan primjer. Na primjer, uzmimo web stranicu (recimo www.example.com) koja ima podršku za IPv4 i IPv6. Odgovarajući tome Naziv domene(www.example.com u našem slučaju) će sadržavati obje vrste DNS zapisa: A i AAAA. Svaki A zapis sadrži jednu IPv4 adresu, a svaki AAAA zapis sadrži jednu IPv6 adresu. Štoviše, jedan naziv domene može imati nekoliko zapisa obje vrste. Dakle, kada aplikacija koja podržava oba protokola želi komunicirati sa web mjestom, može zatražiti bilo koju od dostupnih adresa. Preferirana obitelj adresa (IPv4 ili IPv6) i konačna adresa koju će koristiti aplikacija (s obzirom da ih ima nekoliko za verzije 4 i 6) razlikovat će se od jedne implementacije protokola do druge.

Ova koegzistencija protokola znači da kada klijent koji podržava oba skupa želi komunicirati s drugim sustavom, prisutnost A i AAAA zapisa će utjecati na to koji će se protokol koristiti za komunikaciju s tim sustavom.

VPN i dvostruki protokol protokola

Mnoge VPN implementacije ne podržavaju, ili još gore, potpuno ignoriraju IPv6. Prilikom uspostavljanja veze softver VPN se brine za prijenos IPv4 prometa dodavanjem zadane rute za IPv4 pakete, čime se osigurava da se sav IPv4 promet šalje kroz VPN vezu (umjesto da se šalje čistim putem lokalni usmjerivač). Međutim, ako IPv6 nije podržan (ili je potpuno zanemaren), svaki paket s odredišnom IPv6 adresom u zaglavlju bit će poslan u čistom obliku putem lokalnog IPv6 usmjerivača.

Glavni razlog problema leži u činjenici da iako su IPv4 i IPv6 dva različita protokola koji nisu međusobno kompatibilni, blisko se koriste u sustavu naziva domena. Dakle, za sustav koji podržava oba skupa protokola, nemoguće je osigurati vezu s drugim sustavom bez osiguranja oba protokola (IPv6 i IPv4).

Legitimni scenarij curenja VPN prometa

Razmotrite host koji podržava oba skupa protokola, koristi VPN klijent (koji radi samo s IPv4 prometom) za povezivanje s VPN poslužiteljem i povezan je s mrežom s dva niza. Ako aplikacija na glavnom računalu treba komunicirati s dvoslojnim čvorom, klijent obično postavlja upite za A i AAAA DNS zapise. Budući da host podržava oba protokola, a udaljeni čvor će imati obje vrste DNS zapisa (A i AAAA), jedan od vjerojatnih scenarija bit će korištenje IPv6 protokola za komunikaciju između njih. A budući da VPN klijent ne podržava šestu verziju protokola, IPv6 promet neće biti poslan kroz VPN vezu, već će se slati čistim tekstom kroz lokalnu mrežu.

Ovaj scenarij dovodi vrijedne podatke koji se prenose u jasnom tekstu u opasnost kada mislimo da se prenose sigurno preko VPN veze. U ovom konkretnom slučaju, curenje VPN prometa nuspojava je korištenja softvera koji nije IPv6 na mreži (i hostu) koji podržava oba protokola.

Namjerno izazivanje curenja VPN prometa

Napadač može namjerno prisiliti IPv6 vezu na žrtvino računalo slanjem lažnih ICMPv6 Router Advertisement poruka. Takvi se paketi mogu slati pomoću uslužnih programa kao što su rtadvd, IPv6 Toolkit SI6 Networks ili THC-IPv6. Jednom kada se IPv6 veza uspostavi, "komunikacija" sa sustavom koji podržava oba skupa protokola može rezultirati, kao što je gore navedeno, curenjem VPN-a promet.

I premda ovaj napad može biti vrlo plodonosan (zbog sve većeg broja stranica koje podržavaju IPv6), promet će propuštati samo ako primatelj podržava obje verzije IP protokola. Međutim, napadaču nije teško prouzročiti curenje prometa za bilo kojeg primatelja (s dvoslojnim ili ne). Slanjem lažnih reklamnih poruka usmjerivača koje sadrže odgovarajuću RDNSS opciju, napadač se može pretvarati da je lokalni rekurzivni DNS poslužitelj, a zatim izvesti lažiranje DNS-a kako bi izvršio napad čovjeka u sredini i presreo odgovarajući promet. Kao i u prethodnom slučaju, alati kao što su SI6-Toolkit i THC-IPv6 mogu lako izvesti ovaj trik.

Uopće nije važno ako promet koji nije namijenjen znatiželjnim očima završi na otvorenom na mreži. Kako se zaštititi u takvim situacijama? Evo nekoliko korisnih recepata:

  1. Ako je VPN klijent konfiguriran da šalje sav IPv4 promet preko VPN veze, tada:
  • ako IPv6 nije podržan od strane VPN klijenta, onemogućite podršku za šestu verziju IP protokola na svim mrežnim sučeljima. Stoga aplikacije koje se izvode na računalu neće imati izbora nego koristiti IPv4;
  • ako je IPv6 podržan, osigurajte da se sav IPv6 promet također šalje kroz VPN.
  1. Kako biste izbjegli curenje prometa ako VPN veza iznenada padne i svi se paketi pošalju kroz zadani pristupnik, možete:
  2. prisili sav promet da ide kroz VPN rutu brisanje 0.0.0.0 192.168.1.1 // brisanje zadane rute pristupnika dodaj 83.170.76.128 masku 255.255.255.255 192.168.1.1 metriku 1
  • koristiti uslužni program VPNetMon koji prati stanje VPN veze i, čim ona nestane, trenutno prekida aplikacije koje je odredio korisnik (na primjer, torrent klijente, web preglednike, skenere);
  • ili uslužni program VPNCheck, koji, ovisno o izboru korisnika, može potpuno onemogućiti Mrežna kartica, ili jednostavno prekinuti navedene aplikacije.
  1. Možete provjeriti je li vaše računalo ranjivo na curenje DNS prometa na web stranici, a zatim primijeniti savjete o tome kako popraviti opisano curenje.

Dešifriranje VPN prometa

Čak i ako ste sve ispravno konfigurirali i vaš VPN promet ne curi u mrežu u čistom obliku, to još nije razlog za opuštanje. Radi se o tome da ako netko presretne kriptirane podatke koji se prenose putem VPN veze, on će ih moći dešifrirati. Štoviše, na to ni na koji način ne utječe je li vaša lozinka složena ili jednostavna. Ako koristite VPN vezu temeljenu na PPTP protokolu, tada sa 100% sigurnošću možete reći da se sav presretnuti kriptirani promet može dekriptirati.

Ahilova peta

Za VPN veze temeljene na PPTP (Point-to-Point Tunneling Protocol), provjera autentičnosti korisnika provodi se korištenjem MS-CHAPv2 protokola koji je razvio od strane Microsofta. Unatoč činjenici da je MS-CHAPv2 zastario i vrlo često predmet kritike, i dalje se aktivno koristi. Da bi ga konačno poslali na smetlište povijesti, uhvatio se poznati istraživač Moxie Marlinspike koji je na dvadesetoj DEF CON konferenciji izvijestio da je cilj postignut - protokol je hakiran. Mora se reći da je sigurnost ovog protokola i ranije bila zbunjena, ali tako duga upotreba MS-CHAPv2 može biti posljedica činjenice da su se mnogi istraživači usredotočili samo na njegovu ranjivost na napade rječnikom. Ograničeno istraživanje i veliki broj podržanih klijenata, ugrađena podrška od strane operativnih sustava - sve je to osiguralo široko usvajanje MS-CHAPv2 protokola. Za nas problem leži u činjenici da se MS-CHAPv2 koristi u PPTP protokolu, koji koriste mnogi VPN servisi (na primjer, tako veliki kao anonimni VPN servis IPredator i The Pirate Bay’s VPN).

Ako se vratimo u povijest, tada je već 1999. godine, u svojoj studiji o PPTP protokolu, Bruce Schneier naznačio da je “Microsoft poboljšao PPTP ispravljanjem velikih sigurnosnih nedostataka. Međutim, temeljna slabost protokola za autentifikaciju i enkripciju je ta da je siguran onoliko koliko je sigurna lozinka koju korisnik odabere.” Iz nekog razloga, to je natjeralo pružatelje usluga da vjeruju da nema ništa loše u PPTP-u i ako od korisnika zahtijevate da izmišlja složene lozinke, tada će preneseni podaci biti sigurni. Usluga Riseup.net bila je toliko inspirirana ovom idejom da je odlučila samostalno generirati lozinke od 21 znaka za korisnike, ne dajući im priliku da sami postave. Ali čak ni tako stroga mjera ne sprječava dešifriranje prometa. Da bismo razumjeli zašto, pogledajmo pobliže MS-CHAPv2 protokol i vidimo kako ga je Moxie Marlinspike uspio razbiti.

MS-CHAPv2 protokol

Kao što je već spomenuto, MSCHAPv2 se koristi za autentifikaciju korisnika. To se događa u nekoliko faza:

  • klijent šalje zahtjev za autentifikaciju poslužitelju, javno prenoseći svoju prijavu;
  • poslužitelj vraća 16-bajtni slučajni odgovor klijentu (Authenticator Challenge);
  • klijent generira 16-bajtni PAC (Peer Authenticator Challenge - odgovor ravnopravne provjere autentičnosti);
  • klijent kombinira PAC, odgovor poslužitelja i svoje korisničko ime u jednu liniju;
  • 8-bajtni hash uzima se iz primljenog niza pomoću SHA-1 algoritma i šalje poslužitelju;
  • poslužitelj dohvaća hash ovog klijenta iz svoje baze podataka i dekriptira njegov odgovor;
  • ako rezultat dešifriranja odgovara izvornom odgovoru, sve je u redu, i obrnuto;
  • nakon toga, poslužitelj uzima klijentov PAC i, na temelju hasha, generira 20-bajtni AR (Authenticator Response), prosljeđujući ga klijentu;
  • klijent izvodi istu operaciju i uspoređuje primljeni AR s odgovorom poslužitelja;
  • ako se sve poklapa, klijenta autentificira poslužitelj. Slika prikazuje vizualni dijagram rada protokola.

Protokol se na prvi pogled čini prekompliciranim - hrpa hashiranja, enkripcija, nasumičnih izazova. Zapravo i nije tako komplicirano. Ako bolje pogledate, primijetit ćete da u cijelom protokolu samo jedna stvar ostaje nepoznata - MD4 hash korisničke lozinke, na temelju koje se grade tri DES ključa. Preostali parametri se ili prenose čistim tekstom ili se mogu dobiti iz onoga što se prenosi čistim tekstom.


Budući da su gotovo svi parametri poznati, ne možemo ih ne razmatrati, već obratiti pažnju na ono što je nepoznato i saznati što nam to daje.


Dakle, ono što imamo: nepoznatu lozinku, nepoznati MD4 hash te lozinke, poznati otvoreni tekst i poznati šifrirani tekst. Nakon detaljnijeg pregleda, primijetit ćete da nam korisnička lozinka nije bitna, ali je bitan njen hash, jer se upravo on provjerava na poslužitelju. Dakle, za uspješnu autentifikaciju u ime korisnika, kao i za dekriptiranje njegovog prometa, trebamo znati samo hash njegove lozinke.

Imajući pri ruci presretnuti promet, možete ga pokušati dešifrirati. Postoji nekoliko alata (na primjer, asleap) koji vam omogućuju da pogodite korisničku lozinku putem napada rječnikom. Nedostatak ovih alata je što ne daju 100% jamstvo rezultata, a uspjeh izravno ovisi o odabranom rječniku. Odabir lozinke korištenjem jednostavne grube sile također nije vrlo učinkovit - na primjer, u slučaju PPTP-a VPN usluga riseup.net, koji prisiljava lozinke da budu duge 21 znak, morao bi isprobati 96 varijacija znakova za svaki od 21 znaka. To rezultira s 96^21 opcija, što je malo više od 2^138. Drugim riječima, trebate odabrati 138-bitni ključ. U situaciji kada je duljina lozinke nepoznata, ima smisla odabrati MD4 hash lozinke. S obzirom da je njegova duljina 128 bita, dobivamo 2^128 opcija - po ovaj trenutak to je jednostavno nemoguće izračunati.

Podijeli pa vladaj

MD4 hash lozinke koristi se kao ulaz za tri DES operacije. DES ključevi dugi su 7 bajtova, tako da svaka DES operacija koristi 7-bajtni dio MD4 hash-a. Sve to ostavlja prostora za klasični napad podijeli pa vladaj. Umjesto potpuno brutalnog forsiranja MD4 hash-a (koji, kao što se sjećate, ima 2^128 opcija), možemo ga odabrati u dijelovima od 7 bajtova. Budući da se koriste tri DES operacije i da je svaka DES operacija potpuno neovisna o drugima, to daje ukupnu složenost podudaranja od 2^56 + 2^56 + 2^56, ili 2^57,59. Ovo je već značajno bolje od 2^138 i 2^128, ali još uvijek previše veliki broj opcije. Iako se, kao što ste možda primijetili, u ove izračune uvukla pogreška. Algoritam koristi tri DES ključa, svaki veličine 7 bajta, odnosno ukupno 21 bajt. Ovi ključevi su uzeti iz MD4 hash-a lozinke, koja je duga samo 16 bajtova.

Odnosno, nedostaje 5 bajtova za izgradnju trećeg DES ključa. Microsoft je riješio ovaj problem jednostavno tako što je glupo popunio bajtove koji nedostaju nulama i u biti smanjio učinkovitost trećeg ključa na dva bajta.


Budući da treći ključ ima efektivnu duljinu od samo dva bajta, to jest 2^16 opcija, njegov odabir traje nekoliko sekundi, što dokazuje učinkovitost napada podijeli pa vladaj. Dakle, možemo pretpostaviti da su posljednja dva bajta hasha poznata, preostaje samo odabrati preostalih 14. Također, podijelivši ih na dva dijela od po 7 bajtova, imamo ukupan broj opcija za pretraživanje jednak 2^ 56 + 2^56 = 2^57. Još uvijek previše, ali puno bolje. Imajte na umu da preostale DES operacije šifriraju isti tekst, samo koristeći različite ključeve. Algoritam pretraživanja može se napisati na sljedeći način:

Ali budući da je tekst isto šifriran, ispravnije je to učiniti ovako:

To jest, postoji 2^56 varijanti ključeva za pretraživanje. To znači da se sigurnost MS-CHAPv2 može svesti samo na snagu DES enkripcije.

Hakiranje DES-a

Sada kada je poznat raspon odabira ključa, na računalnoj je snazi ​​da uspješno završi napad. Godine 1998., Electronic Frontier Foundation izgradila je stroj pod nazivom Deep Crack, koji je koštao 250.000 dolara i mogao je razbiti DES ključ u prosjeku za četiri i pol dana. Trenutno je Pico Computing, koji se specijalizirao za izradu FPGA hardvera za kriptografske aplikacije, napravio FPGA uređaj (DES cracking box) koji implementira DES kao cjevovod s jednom DES operacijom po taktu. S 40 jezgri na 450 MHz, može nabrojati 18 milijardi ključeva u sekundi. S takvom brute-force brzinom, DES cracking box u najgorem slučaju razbije DES ključ za 23 sata, au prosjeku za pola dana. Ovaj čudesni stroj dostupan je putem komercijalnog web servisa loudcracker.com. Dakle, sada možete hakirati bilo koje MS-CHAPv2 rukovanje za manje od jednog dana. A imajući pri ruci hash zaporke, možete se autentificirati u ime ovog korisnika na VPN usluzi ili jednostavno dekriptirati njegov promet.

Za automatizaciju rada s uslugom i obradu presretnutog prometa, Moxie je objavio u otvoreni pristup chapcrack uslužni program. Raščlanjuje presretnuti mrežni promet tražeći MS-CHAPv2 rukovanje. Za svako rukovanje koje pronađe, ispisuje korisničko ime, poznati otvoreni tekst, dva poznata šifrirana teksta i razbija treći DES ključ. Osim toga, generira token za CloudCracker, koji kodira tri parametra potrebna servisu za probijanje preostalih ključeva.

CloudCracker & Chapcrack

U slučaju da trebate deaktivirati DES ključeve iz presretnutog korisničkog prometa, dat ću vam kratke upute korak po korak.

  1. Preuzmite biblioteku Passlib, koja implementira više od 30 različitih algoritama raspršivanja za jezik Python, raspakirajte i instalirajte: python setup.py install
  2. Instalirajte python-m2crypto - OpenSSL omotač za Python: sudo apt-get install python-m2crypto
  3. Preuzmite sam uslužni program chapcrack, raspakirajte i instalirajte: python setup.py install
  4. Chapcrack je instaliran, možete početi analizirati presretnuti promet. Uslužni program prihvaća cap datoteku kao ulaz, traži u njoj MS-CHAPv2 rukovanje, iz kojeg izvlači informacije potrebne za hakiranje. chapcrack parse -i testovi/pptp
  5. Iz izlaza podataka uslužnog programa chapcrack kopirajte vrijednost retka CloudCracker Submission i spremite je u datoteku (na primjer, output.txt)
  6. Idite na cloudcracker.com, na ploči “Start Cracking” odaberite File Type jednako “MS-CHAPv2 (PPTP/WPA-E)”, odaberite output.txt datoteku prethodno pripremljenu u prethodnom koraku, kliknite Next -> Next i navedite svoju e-poštu na koju će vam biti poslana poruka nakon završetka hakiranja.

Nažalost, CloudCracker je usluga koja se plaća. Srećom, za hakiranje ključeva nećete morati platiti toliko - samo 20 dolara.

Što uraditi?

Iako Microsoft na svojim stranicama piše kako trenutno nema informacija o aktivnim napadima pomoću chapcracka, kao ni o posljedicama takvih napada na korisničke sustave, to ne znači da je sve u redu. Moxie preporučuje da svi korisnici i pružatelji PPTP VPN rješenja započnu migraciju na drugi VPN protokol. I PPTP promet se smatra nekriptiranim. Kao što vidite, postoji još jedna situacija u kojoj nas VPN može ozbiljno iznevjeriti.

Zaključak

Događa se da se VPN povezuje s anonimnošću i sigurnošću. Ljudi pribjegavaju korištenju VPN-a kada žele sakriti svoj promet od budnih očiju svog pružatelja usluga, zamijeniti svoju stvarnu geografsku lokaciju i tako dalje. Zapravo, ispada da promet može "procuriti" u mrežu u čistom obliku, a ako ne u čistom obliku, onda se šifrirani promet može dešifrirati prilično brzo. Sve nas to još jednom podsjeća da se ne možemo slijepo pouzdati u glasna obećanja o potpunoj sigurnosti i anonimnosti. Kako kažu, vjeruj, ali provjeri. Stoga budite na oprezu i provjerite je li vaša VPN veza uistinu sigurna i anonimna.

Danas se na internetu diljem svijeta pojavljuje sve više raznih ograničenja. Vlade su zabrinute zbog upotrebe OpenVPN-a i mi ih moramo zaobići i pronaći načine za povezivanje usluga kao i obično. Veliki kineski vatrozid, na primjer, blokira neke VPN mreže unutar i izvan Kine.

Naravno, nemoguće je vidjeti podatke koji prolaze kroz VPN tunele. Međutim, sofisticirani vatrozidi učinkovito koriste DPI tehnike za dekriptiranje paketa, čak i onih šifriranih pomoću SSL enkripcije.

postojati razne načine rješenja problema, ali većina njih uključuje promjenu postavki samog poslužitelja. U ovom članku razmatramo različite metode koje su vam dostupne. Ako želite sakriti VPN signale, a nemate port 443 prosljeđivanje, morat ćete se obratiti svom pružatelju VPN usluga i vidjeti hoće li vam ponuditi neko od dolje navedenih rješenja.

Prosljeđivanje putem TCP porta 443

Ovo je jedan od naj jednostavnih načina. Ne trebate složeno postavljanje poslužitelja za prosljeđivanje VPN prometa na port 443.

Zapamtite da VPN prema zadanim postavkama koristi TCP priključak 80. Vatrozidi obično provjeravaju priključak 80 i ne dopuštaju šifrirani promet kroz njega. HTTPS prema zadanim postavkama preusmjerava podatke kroz port 443. Ovaj port također koriste web divovi kao što su Twitter, Gmail, banke i drugi resursi također rade s njim.

OpenVPN koristi SSL enkripciju, baš kao i HTTPS, i prilično ga je teško otkriti kada se koristi priključak 443. Blokiranjem će se spriječiti korištenje interneta, stoga nije prikladan za internetske cenzore.

Prosljeđivanje podržava gotovo svaki VPN klijent, tako da se možete jednostavno prebaciti na priključak 443. Ako vaš VPN pružatelj usluga ne nudi ovu značajku u klijentu, trebate ga odmah kontaktirati.

Nažalost, OpenVPN ne koristi standardni SSL, pa ako se koristi duboka inspekcija paketa, kao što je slučaj u Kini, može se otkriti šifrirani promet. U tom slučaju trebat će vam dodatna zaštitna oprema.

Obfsproxy

Poslužitelj kriptira podatke koristeći zamagljivanje, prikrivajući kod i sprječavajući OpenVPN da bude otkriven. Ovu strategiju Tor koristi za zaobilaženje blokova u Kini. Enkripcija dostupna za OpenVPN

Obfsproxy zahtijeva instalaciju i na klijentskom računalu i VPN poslužitelj. Naravno, ovo nije tako sigurno kao metode tuneliranja, promet nije kriptiran, ali kanal nije pretjerano zagušen. Ovo je odlično za korisnike u zemljama poput Sirije ili Etiopije gdje je pristup internetu problem. Obfsproxy je vrlo lako postaviti i instalirati, što je nedvojbena prednost.

SSL tuneliranje za OpenVPN

Sigurnosni sloj utičnice (SSL) može se koristiti kao učinkovita zamjena za OpenVPN. Mnogi proxy poslužitelji ga koriste za osiguranje veze. Osim toga, ovaj protokol u potpunosti skriva korištenje VPN-a. Budući da se OpenVPN temelji na TLS ili SSL enkripciji, ovaj se protokol jako razlikuje od standardnih SSL kanala i nije ga teško detektirati korištenjem rudarenja paketa. Kako biste to izbjegli, možete dodati dodatni sloj enkripcije, budući da DPI ne prepoznaje neovisne slojeve SSL kanala.

Zaključak

Naravno, bez duboke analize, OpenVPN se ne razlikuje od standardnog SSL prometa. Sigurnost se može povećati prosljeđivanjem preko priključka 443. Međutim, u zemljama poput Kine ili Irana to neće biti dovoljno. Vlade u tim zemljama razvile su složene mjere za nadzor internetskog prometa. Obavezno uzmite u obzir ove čimbenike kako biste izbjegli nepotrebne probleme.

Svima je jasno da je vaš pružatelj upoznat sa svim vašim kretanjima na internetu, nerijetko se priča kako djelatnici tvrtke prate promet kupaca. Kako se to događa, može li se izbjeći?

Kako te promatraju?

Pružatelji usluga u Ruskoj Federaciji dužni su analizirati korisnički promet radi usklađenosti s ruskim zakonodavstvom. Konkretno, klauzula 1.1 savezni zakon od 07.07.2003 N 126-FZ (s izmjenama i dopunama 05.12.2017) „O komunikacijama” navodi:

Telekom operateri dužni su ovlaštenim državnim tijelima osigurati obavljanje operativno istražnih radnji ili osiguranje sigurnosti Ruska Federacija, podaci o korisnicima komunikacijskih usluga io komunikacijskim uslugama koje im se pružaju, kao i drugi podaci potrebni za obavljanje poslova povjerenih tim tijelima, u slučajevima utvrđenim saveznim zakonima.

Sam pružatelj, naravno, ne pohranjuje promet. Međutim, obrađuje ga i klasificira. Rezultati se bilježe u log datotekama.

Analiza osnovnih informacija provodi se u automatski način rada. Obično se promet odabranog korisnika zrcali na SORM poslužiteljima (alati za operativne istražne radnje), koje kontrolira Ministarstvo unutarnjih poslova, FSB itd., i tamo se provodi analiza.

Sastavni dio moderni sustavi SORM-2 je međuspremnik za cikličku pohranu podataka. Trebao bi pohraniti promet koji prolazi kroz davatelja zadnjih 12 sati. SORM-3 se provodi od 2014. Njegova glavna razlika je dodatna pohrana, koja bi trebala sadržavati trogodišnju arhivu svih naplata i svih konekcija.

Kako čitati promet koristeći DPI

Primjer dijagrama iz VAS Expert

DPI (Deep Packet Inspection) može se koristiti kao dio SORM-a ili zasebno. To su sustavi (obično hardverski i softverski sustavi - hardver s posebnim softverom) koji rade na svim osim na prvim (fizičkim, bitnim) razinama OSI mrežnog modela.

U najjednostavnijem slučaju, pružatelji usluga koriste DPI za kontrolu pristupa resursima (osobito stranicama web stranica s „crne” liste Roskomnadzora prema Saveznom zakonu br. 139 o izmjenama i dopunama zakona „O zaštiti djece od informacija štetnih za njihovo zdravlje i razvoj” ili torrenti) . No, općenito govoreći, rješenje se također može koristiti za očitavanje vašeg prometa.

Protivnici DPI-ja kažu da je pravo na privatnost upisano u Ustav, a tehnologija krši neutralnost mreže. Ali to nas ne sprječava da tehnologiju koristimo u praksi.

DPI lako analizira sadržaj koji se prenosi putem nekriptiranih HTTP i FTP protokola.

Neki sustavi također koriste heuristiku - neizravne znakove koji pomažu identificirati uslugu. To su, primjerice, vremenske i numeričke karakteristike prometa, kao i posebne sekvence bajtova.

S HTTPS-om je teže. Međutim, u TLS sloju, počevši od verzije 1.1, koji se danas često koristi za enkripciju u HTTPS-u, naziv domene stranice prenosi se čistim tekstom. Na taj način pružatelj će moći saznati koju ste domenu posjetili. Ali što su tamo radili? privatni ključ neće znati.

U svakom slučaju, pružatelji usluga ne provjeravaju sve

Preskupo je. Ali teoretski mogu pratiti nečiji promet na zahtjev.

Ono što je sustav (ili drug bojnik) primijetio obično se pregledava ručno. Ali najčešće pružatelj (pogotovo ako je mali pružatelj) nema nikakav SORM. Sve pretražuju i pronalaze obični zaposlenici u bazi podataka s zapisnicima.

Kako se torrenti prate

Torrent klijent i tracker obično razmjenjuju podatke putem HTTP protokola. Ovo je otvoreni protokol, što znači, vidi gore: pregled korisničkog prometa pomoću MITM napada, analiza, dešifriranje, blokiranje pomoću DPI. Davatelj može ispitati mnogo podataka: kada je preuzimanje počelo ili završilo, kada je počela distribucija, koliko je prometa distribuirano.

Sidere je teže pronaći. Najčešće, u takvim slučajevima, sami stručnjaci postaju vršnjaci. Znajući IP adresu sijača, peer može poslati obavijest pružatelju s nazivom distribucije, njegovom adresom, vremenom početka distribucije, IP adresom sijača itd.

U Rusiji je za sada sigurno - svi zakoni ograničavaju mogućnosti administracije trackera i drugih distributera piratskog sadržaja, ali ne i običnih korisnika. Međutim, u nekim europskim zemljama korištenje torrenta je prepuno velikih kazni. Dakle, ako putujete u inozemstvo, nemojte da vas uhvate.

Što se događa kada posjetite stranicu

Davatelj vidi URL koji ste otvorili ako analizira sadržaj paketa koje primate. To se može učiniti, na primjer, korištenjem MITM napada ("man-in-the-middle" napad).

Iz sadržaja paketa možete dobiti povijest pretraživanja, analizirati povijest zahtjeva, čak i čitati korespondenciju i prijave s lozinkama. Ako, naravno, stranica koristi nekriptiranu HTTP vezu za autorizaciju. Srećom, to je sve rjeđe.

Ako web mjesto radi s HTTPS-om, tada pružatelj vidi samo IP adresu poslužitelja i naziv domene, kao i vrijeme veze s njim i količinu prometa. Ostali podaci su kriptirani, a bez privatnog ključa nemoguće ih je dešifrirati.

Što je s MAC adresom

Davatelj u svakom slučaju vidi vašu MAC adresu. Točnije, MAC adresa uređaja koji se spaja na njegovu mrežu (a to možda nije računalo, nego npr. router). Činjenica je da se kod mnogih pružatelja autorizacija provodi pomoću prijave, lozinke i MAC adrese.

Ali MAC adrese na mnogim usmjerivačima mogu se promijeniti ručno. Da, i na računalima MAC adresa mrežni adapter instaliran ručno. Dakle, ako to učinite prije prve autorizacije (ili je promijenite kasnije i zatražite preusmjeravanje računa na novu MAC adresu), pružatelj neće vidjeti pravu MAC adresu.

Što se događa ako imate omogućen VPN

Ako koristite VPN, pružatelj vidi da se šifrirani promet (s visokim koeficijentom entropije) šalje na određenu IP adresu. Osim toga, može saznati da se IP adrese iz ovog raspona prodaju za VPN usluge.

Davatelj ne može automatski pratiti kamo ide promet s VPN usluge. Ali ako usporedite promet pretplatnika s prometom bilo kojeg poslužitelja koji koristi vremenske oznake, možete izvršiti daljnje praćenje. Samo zahtijeva složenija i skuplja tehnička rješenja. Iz dosade sigurno nitko neće razviti i koristiti ovako nešto.

Događa se da iznenada VPN "otpadne" - to se može dogoditi bilo kada i bilo kada. operacijski sustav. Nakon što VPN prestane raditi, promet automatski počinje teći otvoreno, a pružatelj ga može analizirati.

Važno je da čak i ako analiza prometa pokaže da previše paketa stalno ide na IP adresu koja bi potencijalno mogla pripadati VPN-u, nećete ništa pokvariti. Nije zabranjeno korištenje VPN-a u Rusiji; zabranjeno je pružanje takvih usluga za zaobilaženje stranica na "crnoj listi" Roskomnadzora.

Što se događa kada omogućite Tor

Kada se povežete putem Tor-a, pružatelj također vidi šifrirani promet. I neće moći dešifrirati što trenutno radite na internetu.

Za razliku od VPN-a, gdje se promet obično usmjerava na isti poslužitelj tijekom dugog vremenskog razdoblja, Tor automatski mijenja IP adrese. U skladu s tim, pružatelj može utvrditi da ste vjerojatno koristili Tor na temelju šifriranog prometa i čestih promjena adrese, a zatim to prikazati u zapisima. Ali ni zbog toga vam se po zakonu neće ništa dogoditi.

U isto vrijeme, netko može koristiti vašu IP adresu na Tor mreži samo ako ste konfigurirali Exit Node u postavkama.

Što je s anonimnim načinom rada?

Ovaj način neće pomoći sakriti vaš promet od vašeg ISP-a. Potrebno je pretvarati se da niste koristili preglednik.

U anonimnom načinu rada oni se ne spremaju kolačići, podaci web stranice i povijest pregledavanja. Međutim, vaše su radnje vidljive pružatelju, Administrator sustava i web stranice koje posjećujete.

Ali ima dobrih vijesti

Davatelj zna mnogo, ako ne i sve, o vama. Međutim, proračun malih tvrtki ne dopušta im kupnju DPI opreme, instaliranje SORM-a ili postavljanje učinkovitog sustava nadzora.

Ako pravne radnje na internetu provodite otvoreno, a za radnje koje zahtijevaju povjerljivost koristite VPN, Tor ili druga sredstva za osiguranje anonimnosti, vjerojatnost da ćete biti na meti svog ISP-a i obavještajnih službi je minimalna. Ali samo 100% pravni postupci daju 100% jamstvo.

Danas ćemo govoriti o tome koje podatke pružatelj pohranjuje o korisniku, kao i općenito o tome što on može znati, a što ne. Na primjer, možete li vidjeti koje stranice posjećujete? I zašto pružatelj prati korisnike?

Općenito kod provajdera nije sve tako jednostavno, oni su po zakonu dužni prisluškivati ​​promet korisnika - krše li zakon, što rade tu, naravno ne gledaju, ali bilježe osnovne podatke, ljudi nemojte ih provjeravati bez razloga (odnosno, sve se automatski snima).

  • Ako korisnik otvori određenu web stranicu, je li to vidljivo pružatelju? Da, u većini slučajeva vidljiv je naziv domene, rijetko samo IP adresa. Također se bilježi vrijeme kada ste posjetili stranicu. Vidljiv je i sadržaj web stranice
  • Što ako web-mjestu pristupim pomoću sigurnog https protokol? Tada pružatelj vidi samo naziv stranice ili njenu IP adresu i to je to, ne vidi sadržaj, budući da je https sigurna veza s enkripcijom, zbog čega je preporučljivo koristiti ga.
  • Kako davatelj može otkriti da sam preuzeo film ili program putem torrenta? Stvar je u tome što torrent downloader komunicira s torrent trackerom preko HTTP protokola, tako da pružatelj može vidjeti sve što ste preuzeli (jednostavnom analizom stranice s koje je torrent datoteka preuzeta) i kada (započeto/završeno). Također je moguće povezati se putem HTTPS-a, ali iz nekog razloga čak ni najveći torrent u CIS-u ne podržava takav protokol, ali zašto je misterij.
  • Sprema li pružatelj sve što preuzmem? Ne, to je jednostavno fizički nemoguće, ne bi bilo dovoljno tvrdi diskovi. Promet se obrađuje u hodu, sortira i vodi statistika koja se godinama čuva.
  • Može li pružatelj saznati da sam preuzeo .torrent datoteku? Da, možda upravo to pokušavaju pratiti - interakciju između torrent klijenta i servera, ne mogu analizirati promet unutar torrent mreže, jer je to jako, jako skupo.
  • A ako koristim VPN, pružatelj ništa ne vidi? Ovdje je stvar u tome što kod VPN-a, da, pružatelj vidi nered - odnosno šifrirane podatke i neće ih analizirati, a još manje dešifrirati, jer je to gotovo nemoguće. Ali od IP poslužitelja može saznati da je to VPN posebno za šifriranje prometa. To znači da korisnik ima nešto za sakriti, izvucite svoje zaključke
  • Ako koristim OpenVPN, tada će svi programi raditi kroz njega, uključujući Windows Update? U teoriji da, i općenito bi trebalo biti tako. Ali u praksi sve ovisi o postavkama.
  • Može li moj pružatelj saznati pravu IP adresu određene stranice ako joj pristupim putem VPN-a? Zapravo, ne, ali postoji još jedna stvar. Ako iznenada VPN prestane raditi ili ako postoji neka vrsta pogreške, tada će Windows jednostavno početi raditi kao i obično, to jest, bez korištenja VPN-a - samo izravno. Da biste to popravili, prvo morate konfigurirati sam OpenVPN, a drugo, koristiti dodatni vatrozid (preporučujem Outpost Firewall), u kojem možete stvoriti globalna prometna pravila.
  • Odnosno, ako VPN ne radi, pružatelj će vidjeti na kojoj se stranici nalazim? Nažalost, da, sve će se automatski snimati.
  • Može li TOR omogućiti anonimnost? Možda, ali poželjno je malo ga konfigurirati da koristi IP adrese za sve osim za CIS, a i da se adrese mijenjaju češće, npr. svake tri minute. Također, za bolji učinak, savjetujem vam korištenje repetitora (mostova).
  • Što pružatelj vidi kada primam pakete sa stalno različitih IP adresa? Pružatelji usluga imaju sustav detekcije koristeći TOR, ali nisam siguran radi li ovaj sustav s repetitorima. Činjenica korištenja TOR-a također se bilježi i također govori pružatelju da ovaj korisnik možda nešto skriva
  • Vidi li ISP adresu stranice putem Tor-a ili VPN-a? Ne, samo VPN IP adresa ili Tor izlazni čvor.
  • Je li puni naziv adrese vidljiv pružatelju kada koristi HTTPS protokol? Ne, možete vidjeti samo adresu domene (to jest, samo site.com), vrijeme veze i preneseni volumen. Ali ti podaci nisu osobito korisni za pružatelja usluga u smislu informacija. Ako koristite HTTP, onda možete vidjeti sve što se prenosi - i punu adresu i sve što ste napisali/poslali u poruci npr. poštom, ali opet, to se ne odnosi na Gmail - tamo je promet šifriran.
  • Odnosno, ako koristim enkripciju veze, onda već mogu biti na listi sumnjivih? Ne, ne stvarno. S jedne strane da, ali s druge strane enkripciju podataka ili čak globalnu enkripciju cijele mreže mogu koristiti ne samo neki hakeri ili korisnici, već i jednostavne organizacije koji se brinu o sigurnom prijenosu podataka, što je i logično, pogotovo u bankarskoj industriji.
  • Vidi li pružatelj činjenicu da se koristi I2P? Da, ali zasad ova vrsta mreže nije toliko poznata pružateljima kao što je, primjerice, Tor, koji zbog svoje popularnosti privlači sve više pozornosti obavještajnih agencija. I2P pružatelj vidi I2P promet kao šifrirane veze s različitim IP adresama, što znači da klijent radi s P2P mrežom.
  • Kako mogu znati jesam li pod SORM-om? Ova skraćenica znači "Sustav tehničkih mogućnosti za operativno-istražnu djelatnost". A ako ste spojeni na internet u Ruskoj Federaciji, tada ste već pod zadanim nadzorom. Štoviše, ovaj sustav je potpuno služben i promet mora prolaziti kroz njega, inače će internetskim provajderima i teleoperaterima jednostavno biti oduzeta licenca.
  • Kako vidjeti sav promet na računalu onako kako ga vide provajderi? U tome će vam pomoći uslužni program za njuškanje prometa; najbolji te vrste je analizator Wireshark.
  • Može li se nekako shvatiti da vas prate? Danas gotovo nitko, ponekad, možda s aktivnim napadom poput MitM-a (Čovjek u sredini). Ako se koristi pasivni nadzor, onda ga je tehnički nemoguće otkriti.
  • Ali što onda učiniti, je li moguće nekako otežati nadzor? Internet, odnosno svoju vezu s njim, možete podijeliti na dva dijela. Sjedi na društvenim mrežama, na stranicama za upoznavanje, gledaj stranice za zabavu, filmove, radi sve to putem redovne veze. I koristite šifriranu vezu odvojeno i paralelno - na primjer, postavite za ovo virtualni stroj. Na taj način ćete imati koliko-toliko prirodno okruženje, da tako kažem, jer mnoge stranice kriptiraju promet, Google u svojim servisima i druge velike tvrtke. Ali s druge strane, gotovo sve stranice za zabavu NE šifriraju promet. Odnosno, ovo je norma - kada korisnik ima i otvoreni i šifrirani promet. Druga je stvar kada pružatelj vidi da je promet korisnika samo šifriran; naravno, ovdje se mogu pojaviti pitanja.

Nadam se da ste pronašli korisne odgovore