«Гра в хованки»: Трохи про технології анонімності в інтернеті

Безпека в інтернеті завжди була гарячою темою для обговорення. Зокрема, дуже популярними залишаються питання забезпечення анонімності в мережі.

Сьогодні нам хотілося б повернутися до теми ІБ і провести невеличкий огляд таких рішень, як VPN, проксі, Tor і декількох інших.


/ фото Magnus CC

Проксі-сервери

Суть роботи проксі-серверів полягає в перенаправлення трафіку через себе, як посередника. Таким чином, вузол призначення буде вважати, що запит був спрямований не вами, а проксі-сервером. Це рішення дозволяє обходити різні обмеження мережі, які встановлюють деякі сервіси (зокрема блокування за географічним положенням).

Існує кілька видів проксі-серверів. Перший – це веб-проксі, які пропускають через себе тільки HTTP-трафік, за замовчуванням додаючи передається трафік дані про застосування проксі. Одним з недоліків цього рішення є відсутність підтримки скриптів і плагінів Java і Adobe Flash. Крім того, багато веб-проксі використовуються величезною кількістю користувачів, тому вони легко можуть потрапити в список заблокованих на більшості мережевих ресурсів.

Другий вид проксі – це SOCKS проксі-сервери. Протокол SOCKS знаходиться на сеансовому рівні моделі OSI. За рахунок цього досягається незалежність від високорівневих протоколів (HTTP, FTP, РОРЗ і так далі), що дозволяє SOCKS пропускати через себе весь трафік, а не тільки HTTP. Тому з їх допомогою ви можете, наприклад, завантажувати файли по FTP і відправляти електронну пошту.

Окремо можна відзначити CGI-проксі або так звані анонімайзери, які представляють собою веб-сервер з формою, в яку користувач вводить адресу потрібного йому сайту. Після цього відкривається сторінка запитаного ресурсу, але в адресному рядку браузера відображається адреса CGI-проксі. CGI-проксі, як і будь-який веб-сервер, може використовувати HTTPS для захисту каналу зв'язку між собою і клієнтом.

«+»:

  • Громадські проксі-сервери є безкоштовними
  • У більшості випадків їх достатньо для простої навігації по інтернету

  • Дозволяють обходити обмеження мережі
  • Дозволяють обходити обмеження за територіальною ознакою
«–»:

  • Більшість реалізацій не використовують шифрування даних
  • Громадські проксі-сервери часто нестабільні
  • Найбільш популярні проксі блокуються багатьма сайтами

Tor

Tor є однією з найпопулярніших технологій для приховування особистості в інтернеті і першої, що спеціалізується на цьому. Однак треба чітко розділяти анонімність і захищеність. Ця технологія не дозволяє захистити ваші дані від перехоплення поза мережею Tor або приховати вміст від чужих очей, оскільки інформація шифрується лише всередині самої системи.

Однак навіть незважаючи на вразливість трафіку на вході і виході мережі Tor не дозволяє пов'язати ці дані з вами. Основною ідеєю системи є перенаправлення трафіку через кілька анонімних серверів таким чином, що на виході з мережі вузол призначення бачить тільки кінцевий сервер, який вважається джерелом даних.

Трафік перенаправляється через довільну кількість серверів (але не менше трьох), що дозволяє досить добре приховати реальний джерело інформації шляхом «заплутування» метаданих. Така система перенаправлення називається цибулевої маршрутизацією, коли кожен вузол мережі може розшифрувати тільки частину повідомлення з інструкціями про перенаправлення трафіку.

Вихідний же вузол повністю розшифровує повідомлення і перенаправляє його кінцевого вузла відкритої мережі. Для цього Tor формує канал перенаправлення і отримує ключі шифрування від усіх вузлів мережі, що входять в даний канал. Отримані ключі передаються відправнику інформації, які він використовує для шифрування даних перед їх відправкою.

Tor надає високорівневу мережеву анонімність, але забезпечення справжньої анонімності – проблема, вирішення якої знайти майже неможливо. Йде «гонка озброєнь» між розробниками мережі Tor і хакерами, які бажають отримати можливість викривати користувачів мережі. Варто відзначити, що на мережу Tor були проведені успішні хакерські атаки. Тому не можна стверджувати, що вона дозволяє приховати особистість зі 100% гарантією. Однак Tor все ще залишається одним з найбільш ефективних і надійних засобів забезпечення анонімності.

«+»:

  • Забезпечує анонімність шляхом маскування дійсного джерела даних
  • Забезпечує шифрування даних всередині самої мережі Tor

  • Хороший додатковий рівень захисту
«–»:

  • Мережа Tor не забезпечує захищеність даних, оскільки не реалізує шифрування по типу «точка-точка» Необхідно використовувати інші прикладні системи шифрування, наприклад HTTPS
  • Мережа залежить від добровольців, які підтримують працездатність серверів всередині системи
  • Мережа була схильна до атак хакерів і спецслужб

VPN

Принцип роботи VPN схожий з Tor і проксі-серверами. При підключенні до VPN ви перенаправляти свій потік даних через приватну мережу. Всередині цієї мережі існують свої сервери (інтранет) та вихідний вузол (як і у випадку з Tor). Таким чином, якщо ви з'єднуєтеся з інтернетом через VPN, вузол призначення може бачити тільки адресу VPN-сервера.

На відміну від серверів Tor, VPN-сервери поддерживают великі компанії, які найчастіше дотримуються принципу заборони на ведення логів, а це додатково підвищує безпеку. Практично всі комерційні VPN-провайдери пропонують на вибір дві реалізації: OpenVPN і PPTP. Рідше пропонуються варіанти L2TP+IPSec і SSTP. Окремо варто відзначити сервіси, що надають DoubleVPN, коли перед виходом в інтернет трафік проходить через два різних VPN-сервера в різних країнах, і QuadVPN – в цьому випадку фігурують відразу 4 сервера.

«+»:

  • Забезпечує хороше шифрування
  • VPN надають додаткові системи безпеки: міжмережеві екрани з NAT, захист від DNS витоків, приватні DNS і ін

«–»:

  • Запуск VPN на комп'ютері вимагає додаткових обчислювальних потужностей
  • Ваш трафік видно адміністраторам VPN-серверів (чого можна уникнути при використанні шифрування з допомогою SSL/TSL)

Поєднання Tor і VPN

VPN є відмінним способом захисту даних, який у комбінації із засобами забезпечення анонімності в мережі (Tor) дозволяє досягти більш високого рівня «спокою».

Tor через VPN

VPN-сервер при такій схемі є постійним вхідним вузлом, після нього шифрований трафік відправляється вже в мережу Tor. На практиці схема реалізується просто: спочатку здійснюється підключення до VPN-сервера, далі запускається Tor-браузер, який автоматично налаштує потрібну маршрутизацію через VPN тунель.

Така схема дозволяє приховати сам факт використання Tor від інтернет-провайдера. А в разі теоретичної компрометації Tor, нас захистить кордон VPN, який не зберігає логів. Зазначимо, що використання проксі-сервера замість VPN позбавлене сенсу: без шифрування, забезпечуваного VPN, така схема не має яких-небудь значущих плюсів.

«+»:

  • Ваш провайдер не буде знати, що ви використовуєте Tor (хоча може знати, що ви використовуєте VPN)
  • Вузол входу в мережу Tor не буде знати ваш справжній IP-адресу

  • Дозволяє отримати доступ до прихованих адресами в мережі Tor (.onion)
«–»:

  • VPN-провайдер буде знати ваш дійсний IP-адреса
  • Відсутній захист від уразливості на сайтах виходу з мережі Tor

VPN через Tor

При подібній схемі спочатку відбувається шифрування даних для пересилання їх на VPN-сервер, а потім їх трансфер через мережу Tor. У цьому випадку необхідно налаштувати VPN-клієнт на роботу з Tor.

Подібна схема підключення може використовуватися для обходу блокування вузлів Tor зовнішніми ресурсами, плюс вона повинна захистити трафік від прослуховування на вихідному вузлі. Важливо також відзначити, що будь-який вихідний вузол легко виділить клієнта в загальному потоці, так як більшість користувачів йдуть на різні ресурси, а в цій схемі клієнт йде завжди на один і той же сервер VPN. Природно, що використання звичайних проксі-серверів після Tor не має особливого сенсу, так як трафік до проксі не шифрується.

«+»:

  • VPN-провайдер не знає про реальний IP-адресу джерела, а знає тільки IP-адресу вихідного вузла мережі Tor
  • Забезпечується захист від вразливості вихідних вузлів мережі Tor, оскільки весь трафік зашифрований VPN-клієнтом

  • Дозволяє вибрати розташування серверів
  • Весь інтернет-трафік йде через мережу Tor, навіть якщо програми спочатку її не підтримують
«–»:

  • Ваш VPN провайдер може бачити ваш трафік, хоча і не може зв'язати його з вами
  • Складна реалізація схеми

Whonix

Додатково зазначимо, що для забезпечення анонімності існують спеціально розроблені операційні системи. Однією з таких ОС є Whonix. Її робота заснована на двох ОС Debian, що працюють на віртуальних машинах VirtualBox.

У такій конфігурації одна система є шлюзом, відправляючи весь трафік через мережу Tor, а друга – ізольованою робочою станцією, яка підключається до мережі тільки через шлюз. Такий механізм називається ізолюючим проксі-сервером. Ця схема дозволяє уникнути багатьох недоліків, пов'язаних з програмним забезпеченням на робочій станції, оскільки сама машина не знає свого зовнішнього IP-адреси.

ОС Whonix реалізує багато корисних механізмів анонімності. Наприклад, вона здатна забезпечити безпечний хостинг сервісів – навіть якщо зловмисник зламав веб-сервер, він не зможе вкрасти закритий ключ. Також Whonix підтримує мости, дозволяють приховувати від провайдера факт використання Tor, і пропонує можливість тунелювання через інші анонімні мережі, такі як Freenet, I2P і ін. Більш докладні дані про особливості таких підключень ви зможете знайти на посилання.

Ця система протестована і добре документована, а також прекрасно працює з усіма комбінаціями Tor/VPN/Proxy, проте все ж володіє певними недоліками. До них можна віднести досить складну настройку і необхідність підтримки двох віртуальних машин або окремої фізичної обладнання. Також варто відзначити, що проект Whonix розвивається незалежно від Tor та інструментів, тому не здатен захистити від їх вразливостей.

Замість висновку: інші способи забезпечення анонімності

Крім перерахованих вище способів «анонімізації», існують десятки окремих проектів, присвячених анонімності в інтернеті. Сьогодні активно розвиваються такі рішення: Freenet, GNUnet, JAP, RetroShare, Perfect Dark. Також інтерес можуть представляти анонімні мережі, побудовані на основі Wi-Fi, дозволяють досягти незалежності від інтернет-провайдерів: проект Byzantium, проект Netsukuku, проект B. A. T. M. A. N.

Додаткове читання: IaaS-дайджест — 25 матеріалів про трансформації технологій та бізнесу.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.