Je možné analyzovat síťový provoz sítě VPN. VPN – typy připojení a bezpečnostní kontroly. Kontrola zabezpečení vašeho připojení VPN
Mnoho správců sítě se často setkává s problémy, které lze vyřešit analýzou síťového provozu. A zde se setkáváme s pojmem jako je analyzátor dopravy. Tak co to je?
Analyzátory a kolektory NetFlow jsou nástroje, které vám pomohou sledovat a analyzovat data o síťovém provozu. Analyzátory síťových procesů vám umožňují přesně identifikovat zařízení, která snižují propustnost kanálu. Vědí, jak najít problémové oblasti ve vašem systému a zlepšit celkovou efektivitu sítě.
Termín " Síťový tok“ označuje protokol Cisco určený ke shromažďování informací o IP provozu a monitorování síťového provozu. NetFlow byl přijat jako standardní protokol pro streamovací technologie.
Software NetFlow shromažďuje a analyzuje toková data generovaná routery a prezentuje je v uživatelsky přívětivém formátu.
Několik dalších prodejců síťových zařízení má své vlastní protokoly pro monitorování a sběr dat. Například Juniper, další vysoce uznávaný prodejce síťových zařízení, nazývá svůj protokol „ J-Flow". HP a Fortinet používají termín „ s-Flow". Přestože se protokoly nazývají odlišně, všechny fungují podobným způsobem. V tomto článku se podíváme na 10 bezplatných analyzátorů síťového provozu a kolektorů NetFlow pro Windows.
SolarWinds NetFlow Traffic Analyzer v reálném čase
Bezplatný NetFlow Traffic Analyzer je jedním z nejpopulárnějších nástrojů dostupných ke stažení zdarma. Poskytuje vám možnost třídit, označovat a zobrazovat data různými způsoby. To vám umožní pohodlně vizualizovat a analyzovat síťový provoz. Nástroj je skvělý pro sledování síťového provozu podle typu a časového období. Stejně jako spouštění testů ke zjištění, kolik provozu spotřebují různé aplikace.
Tento bezplatný nástroj je omezen na jedno monitorovací rozhraní NetFlow a ukládá pouze 60 minut dat. Tento Netflow analyzátor je mocný nástroj, který se vyplatí používat.
Colasoft Capsa zdarma
Tento bezplatný analyzátor provozu LAN identifikuje a monitoruje více než 300 síťových protokolů a umožňuje vám vytvářet vlastní zprávy. Zahrnuje monitorování e-mailů a sekvenční grafy TCP synchronizace, to vše je shromážděno v jednom přizpůsobitelném panelu.
Mezi další funkce patří analýza zabezpečení sítě. Například sledování DoS/DDoS útoků, aktivity červů a detekce ARP útoků. Stejně jako dekódování paketů a zobrazování informací, statistická data o každém hostiteli v síti, řízení výměny paketů a rekonstrukce toku. Capsa Free podporuje všechny 32bitové a 64bitové verze Windows XP.
Minimální systémové požadavky pro instalaci: 2 GB RAM a 2,8 GHz procesor. Musíte mít také ethernetové připojení k internetu ( kompatibilní s NDIS 3 nebo vyšší), Fast Ethernet nebo Gigabit s ovladačem pro smíšený režim. Umožňuje pasivně zachytit všechny pakety přenášené přes ethernetový kabel.
Rozzlobený IP skener
Jedná se o open source analyzátor provozu Windows, který se rychle a snadno používá. Nevyžaduje instalaci a lze jej použít v systémech Linux, Windows a Mac OSX. Tento nástroj funguje tak, že jednoduše pingne na každou IP adresu a dokáže určit MAC adresy, skenovat porty, poskytnout informace NetBIOS, určit oprávněného uživatele v systémech Windows, objevit webové servery a mnoho dalšího. Jeho možnosti jsou rozšířeny pomocí Java pluginů. Skenovaná data lze ukládat do souborů CSV, TXT, XML.
ManageEngine NetFlow Analyzer Professional
Plně funkční verze softwaru NetFlow od ManageEngines. Jedná se o výkonný software s kompletní sadou funkcí pro analýzu a sběr dat: sledování propustnosti kanálu v reálném čase a upozornění při dosažení prahových hodnot, což vám umožňuje rychle spravovat procesy. Kromě toho poskytuje souhrnná data o využití zdrojů, sledování aplikací a protokolů a mnoho dalšího.
Bezplatná verze linuxového analyzátoru provozu umožňuje neomezené používání produktu po dobu 30 dnů, poté můžete sledovat pouze dvě rozhraní. Systémové požadavky na NetFlow Analyzer ManageEngine závisí na průtoku. Doporučené požadavky na minimální průtok 0 až 3000 vláken za sekundu jsou dvoujádrový procesor 2,4 GHz, 2 GB RAM a 250 GB volného místa na pevném disku. S rostoucí rychlostí toku, který má být monitorován, rostou i požadavky.
Týpek
Tato aplikace je populární síťový monitor vyvinutý společností MikroTik. Automaticky prohledá všechna zařízení a znovu vytvoří mapu sítě. Dude monitoruje servery běžící na různých zařízeních a v případě problémů vás upozorní. Mezi další funkce patří automatické zjišťování a zobrazování nových zařízení, možnost vytvářet vlastní mapy, přístup k nástrojům pro vzdálenou správu zařízení a další. Běží na Windows, Linux Wine a MacOS Darwine.
JDSU Network Analyzer Fast Ethernet
Tento program pro analýzu provozu vám umožňuje rychle shromažďovat a zobrazovat síťová data. Nástroj poskytuje možnost zobrazit registrované uživatele, určit úroveň využití šířky pásma sítě jednotlivými zařízeními a rychle najít a opravit chyby. A také zachycovat data v reálném čase a analyzovat je.
Aplikace podporuje vytváření vysoce detailních grafů a tabulek, které správcům umožňují sledovat dopravní anomálie, filtrovat data pro prosévání velkých objemů dat a mnoho dalšího. Tento nástroj pro začínající profesionály i zkušené administrátory vám umožní převzít úplnou kontrolu nad vaší sítí.
Plixer Scrutinizer
Tento analyzátor síťového provozu umožňuje shromažďovat a komplexně analyzovat síťový provoz a rychle najít a opravit chyby. Pomocí Scrutinizeru můžete svá data třídit různými způsoby, včetně časového intervalu, hostitele, aplikace, protokolu a dalších. Bezplatná verze umožňuje ovládat neomezený počet rozhraní a ukládat data po dobu 24 hodin aktivity.
Wireshark
Wireshark je výkonný síťový analyzátor, který lze spustit na platformách Linux, Windows, MacOS X, Solaris a dalších. Wireshark vám umožňuje prohlížet zachycená data pomocí GUI nebo používat nástroje TShark v režimu TTY. Mezi jeho funkce patří sběr a analýza VoIP provozu, zobrazení Ethernetu v reálném čase, IEEE 802.11, Bluetooth, USB, data Frame Relay, XML, PostScript, výstup dat CSV, podpora dešifrování a další.
Systémové požadavky: Windows XP a vyšší, jakýkoli moderní 64/32bitový procesor, 400 Mb RAM a 300 Mb volného místa na disku. Wireshark NetFlow Analyzer je výkonný nástroj, který může výrazně zjednodušit práci každého správce sítě.
Paessler PRTG
Tento analyzátor provozu poskytuje uživatelům mnoho užitečných funkcí: podporu pro monitorování LAN, WAN, VPN, aplikací, virtuálního serveru, QoS a prostředí. Podporováno je také monitorování na více místech. PRTG využívá SNMP, WMI, NetFlow, SFlow, JFlow a analýzu paketů, stejně jako monitorování uptime/downtime a podporu IPv6.
Bezplatná verze vám umožňuje používat neomezený počet senzorů po dobu 30 dnů, poté můžete zdarma používat pouze 100 senzorů.
Každému je jasné, že váš poskytovatel ví o všech vašich pohybech na internetu, často se objevují příběhy o tom, jak zaměstnanci společnosti sledují návštěvnost zákazníků. Jak se to stane, dá se tomu předejít?
Jak jste sledováni?
Poskytovatelé v Ruské federaci jsou povinni analyzovat uživatelský provoz z hlediska souladu s ruskou legislativou. Zejména odstavec 1.1 federálního zákona ze dne 7. července 2003 N 126-FZ (ve znění pozdějších předpisů 5. prosince 2017) „o komunikacích“ uvádí:
Telekomunikační operátoři jsou povinni poskytovat oprávněným státním orgánům provádějícím operativní vyšetřování nebo zajišťující bezpečnost Ruské federace informace o uživatelích komunikačních služeb a o komunikačních službách, které jim jsou poskytovány, jakož i další informace nezbytné k plnění úkolů jim uložených. orgány v případech stanovených federálními zákony.
Samotný poskytovatel provoz samozřejmě neukládá. Zpracovává a klasifikuje jej však. Výsledky se zaznamenávají do log souborů.
Analýza základních informací probíhá automaticky. Typicky se provoz vybraného uživatele zrcadlí na serverech SORM (nástroje pro operativní vyšetřovací opatření), které jsou řízeny Ministerstvem vnitra, FSB atd., a tam se provádí analýza.
Nedílnou součástí moderních systémů SORM-2 je cyklická vyrovnávací paměť dat. Měl by ukládat provoz procházející poskytovatelem za posledních 12 hodin. SORM-3 je implementován od roku 2014. Jeho hlavním rozdílem je dodatečné úložiště, které by mělo obsahovat tříletý archiv veškerého vyúčtování a všech protokolů připojení.
Jak číst provoz pomocí DPI
Příklad diagramu od VAS Expert
DPI (Deep Packet Inspection) lze použít jako součást SORM nebo samostatně. Jedná se o systémy (obvykle hardwarové a softwarové systémy - hardware se speciálním softwarem), které vůbec fungují kromě prvních (fyzických, bitových) úrovní modelu sítě OSI.
V nejjednodušším případě poskytovatelé používají DPI ke kontrole přístupu ke zdrojům (zejména ke stránkám stránek z „černé“ listiny Roskomnadzor podle federálního zákona č. 139 o změnách zákona „O ochraně dětí před informacemi škodlivými pro jejich zdraví a vývoj“ nebo torrenty). Obecně lze však říci, že řešení lze také použít ke čtení vašeho provozu.
Odpůrci DPI tvrdí, že právo na soukromí je zakotveno v ústavě a tato technologie porušuje síťovou neutralitu. To nám ale nebrání využít technologii v praxi.
DPI snadno analyzuje obsah přenášený prostřednictvím nešifrovaných protokolů HTTP a FTP.
Některé systémy také používají heuristiku – nepřímé znaky, které pomáhají identifikovat službu. Jsou to například časové a numerické charakteristiky provozu a také speciální bajtové sekvence.
S HTTPS je to složitější. Ve vrstvě TLS, počínaje verzí 1.1, která se dnes často používá pro šifrování v HTTPS, se však doménové jméno webu přenáší jako prostý text. Poskytovatel tak bude moci zjistit, kterou doménu jste navštívili. Ale bez soukromého klíče nebude vědět, co tam udělali.
V každém případě poskytovatelé neprověřují všechny
Je to příliš drahé. Ale teoreticky mohou na požádání sledovat něčí provoz.
To, co systém (nebo soudruh major) zaznamenal, se obvykle zkoumá ručně. Nejčastěji ale poskytovatel (zejména pokud se jedná o malého poskytovatele) žádný SORM nemá. Vše vyhledávají a nacházejí běžní zaměstnanci v databázi s logy.
Jak jsou sledovány torrenty
Torrentový klient a tracker si obvykle vyměňují data prostřednictvím protokolu HTTP. Jedná se o otevřený protokol, což znamená, viz výše: prohlížení uživatelského provozu pomocí MITM útoku, analýza, dešifrování, blokování pomocí DPI. Poskytovatel může zkoumat mnoho dat: kdy stahování začalo nebo skončilo, kdy začala distribuce, kolik provozu bylo distribuováno.
Sidery je těžší najít. Nejčastěji se v takových případech sami specialisté stávají vrstevníky. Se znalostí IP adresy odesílatele může peer odeslat poskytovateli oznámení s názvem distribuce, její adresou, časem zahájení distribuce, IP adresou odesílatele atd.
V Rusku je zatím bezpečno – všechny zákony omezují možnosti správy trackerů a dalších distributorů pirátského obsahu, nikoli však běžných uživatelů. V některých evropských zemích je však používání torrentů spojeno s vysokými pokutami. Pokud tedy cestujete do zahraničí, nenechte se nachytat.
Co se stane, když web navštívíte
Poskytovatel vidí adresu URL, kterou jste otevřeli, pokud analyzuje obsah paketů, které obdržíte. To lze provést například pomocí MITM útoku (útok „man-in-the-middle“).
Z obsahu balíčků můžete získat historii vyhledávání, analyzovat historii požadavků, dokonce číst korespondenci a přihlášení pomocí hesel. Pokud samozřejmě web používá k autorizaci nešifrované připojení HTTP. Naštěstí je to čím dál tím méně běžné.
Pokud web pracuje s HTTPS, pak poskytovatel vidí pouze IP adresu serveru a název domény, stejně jako dobu připojení k němu a objem provozu. Zbytek dat je zašifrován a bez soukromého klíče je nelze dešifrovat.
A co MAC adresa
Poskytovatel v každém případě vidí vaši MAC adresu. Přesněji MAC adresa zařízení, které se připojuje k jeho síti (a nemusí to být počítač, ale například router). Faktem je, že autorizace u mnoha poskytovatelů se provádí pomocí přihlašovacího jména, hesla a MAC adresy.
Ale MAC adresy na mnoha routerech lze změnit ručně. A na počítačích se MAC adresa síťového adaptéru nastavuje ručně. Pokud to tedy uděláte před první autorizací (nebo to později změníte a požádáte o přeřazení účtu na novou MAC adresu), poskytovatel neuvidí skutečnou MAC adresu.
Co se stane, když máte povolenou VPN
Pokud používáte VPN, poskytovatel vidí, že šifrovaný provoz (s vysokým koeficientem entropie) je odesílán na konkrétní IP adresu. Navíc může zjistit, že IP adresy z tohoto rozsahu se prodávají pro VPN služby.
Poskytovatel nemůže automaticky sledovat, kam směřuje provoz ze služby VPN. Pokud však porovnáte provoz předplatitele s provozem jakéhokoli serveru pomocí časových razítek, můžete provést další sledování. Jen to vyžaduje složitější a dražší technická řešení. Něco takového z nudy určitě nikdo nevyvine a nevyužije.
Stává se, že VPN náhle „spadne“ - to se může stát kdykoli a na jakémkoli operačním systému. Poté, co VPN přestane fungovat, provoz automaticky začne proudit otevřeně a poskytovatel jej může analyzovat.
Je důležité, že i když analýza provozu ukáže, že příliš mnoho paketů neustále chodí na IP adresu, která by potenciálně mohla patřit k VPN, nic nepokazíte. V Rusku není zakázáno používat VPN, je zakázáno poskytovat takové služby k obcházení stránek na „černé listině“ Roskomnadzor.
Co se stane, když povolíte Tor
Když se připojíte přes Tor, poskytovatel také vidí šifrovaný provoz. A nebude schopen rozluštit, co zrovna děláte na internetu.
Na rozdíl od VPN, kde je provoz obvykle směrován na stejný server po dlouhou dobu, Tor automaticky mění IP adresy. V souladu s tím může poskytovatel určit, že jste pravděpodobně používali Tor na základě šifrovaného provozu a častých změn adres, a poté to zohlednit v protokolech. Ale ani za tohle se vám podle zákona nic nestane.
Zároveň může někdo použít vaši IP adresu v síti Tor pouze v případě, že jste v nastavení nakonfigurovali Exit Node.
A co anonymní režim?
Tento režim nepomůže skrýt váš provoz před vaším ISP. Je potřeba předstírat, že jste prohlížeč nepoužívali.
V anonymním režimu se neukládají soubory cookie, data stránek a historie procházení. Vaše akce jsou však viditelné pro vašeho ISP, správce systému a navštívené weby.
Ale jsou tu dobré zprávy
Poskytovatel o vás ví hodně, ne-li všechno. Rozpočet malých firem jim však neumožňuje nákup DPI zařízení, instalaci SORM nebo nastavení efektivního monitorovacího systému.
Pokud provádíte právní úkony na internetu otevřeně a pro úkony, které vyžadují důvěrnost, používáte VPN, Tor nebo jiné prostředky k zajištění anonymity, je pravděpodobnost, že se na vás zaměří váš ISP a zpravodajské služby, minimální. Ale pouze 100% právní jednání poskytuje 100% záruku.
V dnešní době se na internetu po celém světě objevuje stále více různých omezení. Vlády se znepokojují používáním OpenVPN a my je musíme obejít a najít způsoby, jak služby propojit jako obvykle. Velký čínský firewall například blokuje některé sítě VPN v Číně i mimo ni.
Samozřejmě není možné vidět data procházející tunely VPN. Sofistikované firewally však efektivně využívají techniky DPI k dešifrování paketů, a to i těch šifrovaných pomocí šifrování SSL.
Existují různé způsoby, jak problém vyřešit, ale většina z nich zahrnuje změnu nastavení samotného serveru. V tomto článku se podíváme na různé metody, které máte k dispozici. Pokud chcete skrýt signály VPN a nemáte přesměrování portu 443, budete muset kontaktovat svého poskytovatele VPN a zjistit, zda je ochoten poskytnout vám některé z níže uvedených řešení.
Přeposílání přes TCP port 443
Toto je jeden z nejjednodušších způsobů. K předávání provozu VPN na portu 443 nepotřebujete složité nastavení serveru.
Pamatujte, že VPN standardně používá TCP port 80. Firewally obvykle kontrolují port 80 a nepovolují přes něj šifrovaný provoz. HTTPS ve výchozím nastavení přesměrovává data přes port 443. Tento port využívají i weboví giganti jako Twitter, Gmail, pracují s ním i banky a další zdroje.
OpenVPN používá šifrování SSL, stejně jako HTTPS, a je poměrně obtížné ho odhalit při použití portu 443. Jeho blokování zabrání používání internetu, takže není vhodné pro cenzory internetu.
Přesměrování podporuje téměř každý VPN klient, takže můžete snadno přejít na port 443. Pokud váš poskytovatel VPN tuto funkci v klientovi nenabízí, je třeba ho okamžitě kontaktovat.
OpenVPN bohužel nepoužívá standardní SSL, takže pokud se použije hloubková kontrola paketů, jako je tomu v Číně, může být detekován šifrovaný provoz. V tomto případě budete potřebovat další ochranné prostředky.
Obfsproxy
Server šifruje data pomocí zmatku, zakrývá kód a zabraňuje detekci OpenVPN. Tuto strategii používá Tor k obcházení bloků v Číně. Šifrování dostupné pro OpenVPN
Obfsproxy vyžaduje instalaci na klientském počítači i na serveru VPN. Samozřejmě to není tak bezpečné jako metody tunelování, provoz není šifrován, ale kanál není příliš přetížený. To je skvělé pro uživatele v zemích, jako je Sýrie nebo Etiopie, kde je problém s přístupem k internetu. Obfsproxy se celkem snadno nastavuje a instaluje, což je jednoznačná výhoda.
SSL tunelování pro OpenVPN
Socket Security Layer (SSL) lze použít jako účinnou náhradu za OpenVPN. Mnoho proxy serverů jej používá k zabezpečení připojení. Tento protokol navíc zcela skrývá použití VPN. Protože OpenVPN je založeno na šifrování TLS nebo SSL, tento protokol se velmi liší od standardních kanálů SSL a není obtížné jej detekovat pomocí dolování paketů. Abyste tomu zabránili, můžete přidat další vrstvu šifrování, protože DPI nerozpozná nezávislé vrstvy kanálů SSL.
Závěr
Bez hluboké analýzy se OpenVPN samozřejmě neliší od standardního provozu SSL. Bezpečnost lze zvýšit přeposíláním přes port 443. V zemích jako Čína nebo Írán to ale stačit nebude. Vlády v těchto zemích vyvinuly komplexní opatření pro sledování internetového provozu. Nezapomeňte vzít tyto faktory v úvahu, abyste předešli zbytečným problémům.
Pojďme se naučit základy „anonymity“ na internetu.
Článek vám pomůže rozhodnout se, zda konkrétně potřebujete VPN a vybrat poskytovatele, a také vám řekne o úskalích této technologie a jejích alternativách.
Tento materiál je prostě příběh o VPN s přehledem poskytovatelů, určený pro obecný rozvoj a řešení drobných každodenních problémů. Nenaučí vás, jak dosáhnout úplné anonymity na internetu a 100% soukromí provozu.
Co je to VPN?
Soukromá virtuální síť(virtuální privátní síť) je síť zařízení, která je vytvořena nad druhým a v rámci které se díky šifrovacím technologiím vytvářejí zabezpečené kanály pro výměnu dat.
VPN server spravuje uživatelské účty v této síti a slouží jim jako vstupní bod do Internetu. Přes něj se přenáší šifrovaný provoz.
Níže budeme hovořit o poskytovatelích, kteří poskytují přístup k serverům VPN v různých zemích. Nejprve si ale ujasněme, proč je to nutné?
Výhody používání VPN
1. Změna „adresy“
V jakých případech potřebuje Rus, který dodržuje zákony, jinou IP?
2. Ochrana před malými zlými duchy
Poskytovatel VPN vás nezachrání před pronásledováním ze strany úřadů, ale ochrání vás před:
- Správce kancelářské sítě, který shromažďuje usvědčující důkazy proti vám nebo jednoduše rád čte dopisy jiných lidí;
- Školáci, kteří se oddávají poslechu provozu veřejného WiFi bodu.
Nevýhody používání VPN
Rychlost
Rychlost přístupu k internetu při použití poskytovatele VPN může být nižší než bez něj. Především se to týká bezplatných VPN. Kromě toho může být nestabilní: v závislosti na denní době nebo umístění vybraného serveru.
Technické obtíže
Poskytovatel VPN může zaznamenat výpadky. Zvláště pokud je malý a málo známý.
Nejčastější problém: VPN se odpojila a nikomu nic neřekla. Nezbytné stopa abyste zajistili, že vaše připojení bude zablokováno v případě problémů se serverem.
Jinak by to mohlo být takto: píšete naštvané komentáře k článkům svého spolubydlícího, ale VPN se tiše vypne a na panelu administrátora se objeví skutečná IP, to jste přehlédli a váš soused si toho všiml a připravuje plán na pomstu.
Pomyslná anonymita
Informace o vašem provozu jsou sdíleny s třetí stranou. Poskytovatelé VPN se v rozhovorech často ptají: „Ukládáte protokoly? Odpovídají: "Ne, ne, samozřejmě, že ne!" Ale nikdo jim nevěří. A jsou pro to důvody.
Licenční smlouvy mnoha poskytovatelů VPN otevřeně říkají, že uživatel nemá právo porušovat autorská práva, spouštět hackerské programy, rozesílat spamy a v případě porušení je jeho účet zablokován bez vrácení prostředků. Příklad: Smluvní podmínky ExpressVPN. Z toho vyplývá, že akce uživatele v síti jsou řízeny.
A někteří poskytovatelé chytrých VPN, například Astrill, vyžadují k aktivaci vašeho účtu potvrzení SMS (nefunguje pro ruská čísla). Chcete skrýt svou IP a šifrovat provoz? Dobře, ale pro jistotu zanech své číslo.
A dotazníky při registraci účtů někdy otravují zbytečnými dotazy. Proč například poskytovatel VPN potřebuje poštovní směrovací číslo osoby? Posíláte balíčky na Nový rok?
Identita uživatele je také Možná identifikovány bankovními kartami (nebo prostřednictvím peněženek platebních systémů, prostřednictvím kterých jsou virtuální karty doplňovány). Někteří poskytovatelé VPN lákají uživatele tím, že jako platbu přijímají kryptoměny. To je plus pro anonymitu.
Výběr služby VPN
Poskytovatelé VPN jsou tucet. Koneckonců jde o ziskový obchod s nízkou vstupní bariérou. Pokud položíte takovou otázku na fóru, přiběhnou majitelé služeb a bombardují vás svou reklamou.
Abychom vám pomohli s výběrem, vznikl web bestvpn.com, kde jsou zveřejňována hodnocení a recenze poskytovatelů VPN. 
Pojďme si krátce povědět o nejlepších VPN službách (podle bestvpn.com), které mají aplikaci pro iOS.
ExpressVPN
96 měst v 78 zemích. 30denní záruka vrácení peněz v případě přerušení služby. Existují aplikace pro OS X, Windows, iOS a Android. Můžete pracovat s 5 zařízeními současně.
Cena: od 9,99 USD do 12,95 USD měsíčně (v závislosti na platebním období).
Soukromý přístup k internetu
25 zemí. Existují aplikace pro OS X, Windows, webové stránky projektu.
Cena: od 2,50 USD do 6,95 USD měsíčně (v závislosti na době splatnosti).
IP Vanish VPN
Více než 60 zemí. Existují klienti VPN pro iOS, Android, Windows, Mac, Ubuntu, Chromebooky a routery. Je možné pracovat s více zařízeními najednou.
Optimističtí paranoici
Velmi zajímavý marketingový tah. Navrhují provozovat šifrovaný provoz ne přes jeden, ale přes dva nebo tři servery.
Můj názor na tuto věc je tento: pokud je VPN potřeba pouze ke skrytí země, ze které pocházíte, pak to nedává smysl. Ale pokud je opravdu co skrývat, jaký má pak smysl přenášet to přes servery tří jiných lidí najednou?
Alternativy
Vlastní server OpenVPN
Tor
Provoz v síti Tor je přenášen prostřednictvím několika nezávislých serverů v různých částech světa v šifrované podobě. To ztěžuje určení původní IP adresy uživatele. Ale varovný příběh Rosse Ulbrichta (majitele Hedvábné stezky) nám připomíná, že americké zpravodajské agentury jsou schopny mnoha věcí.
Klady:
- Zdarma;
- Přístup do sítě cibule („darknet“). Existuje řada stránek, které jsou přístupné pouze z prohlížeče Tor. Jedná se o jejich vlastní vyhledávače (Grams), obchody, knihovny, burzy kryptoměn, kontextové reklamní systémy a encyklopedii Onion Wiki. Ale pro Rusa, který dodržuje zákony, není na této síti nic zajímavého.
Mínusy:
- Pomalá rychlost.
Co si myslí Roskomnadzor?
Zaměstnanci oddělení jsou krajně nespokojeni s tím, že Rusové usilují o anonymitu na internetu. Nedávno mluvčí Roskomnadzor nazval uživatele Tor „sociální spodinou“ a samotná agentura obhajuje zákaz anonymizátorů. Ale Rusové takové názory neposlouchají. Egor Minin (zakladatel RuTracker) tvrdí, že polovina uživatelů jeho zdroje ví, jak obejít blokování.
21.06.2017 | Vladimír Chazov
Technologie virtuální privátní sítě (VPN) umožňuje vytvořit bezpečné a zabezpečené připojení přes potenciálně nebezpečný segment veřejné sítě, jako je internet. Technologie byla vyvinuta tak, aby vzdáleným uživatelům poskytovala přístup k firemním síťovým aplikacím, ale její vývoj umožnil sjednotit firemní pobočky do jedné sítě. Podívejme se na hlavní způsoby organizace VPN v podnikové síti a pomocí sítě telekomunikačního operátora.
Výhody a nevýhody používání VPN
Hlavní výhodou použití VPN je poskytnutí potřebné úrovně zabezpečení sítě pro vzdálený přístup k informačním systémům prostřednictvím veřejné sítě. Když síťové vybavení nemůže zajistit soukromí přenosu dat, VPN vám umožní šifrovat provoz v rámci zabezpečeného kanálu.
Další výhodou je cena řešení: zatímco položení privátní sítě mezi vzdálenými pobočkami může stát stovky tisíc rublů, cena za použití řešení VPN začíná od nuly, zvláště platí pro připojení jednotlivých zaměstnanců pracujících „v terénu“ k firemní síť"
Nevýhodou je omezený výkon VPN řešení: ovlivňuje jej rychlost přístupu k internetu, typy protokolů, které poskytovatel internetu používá, a způsob šifrování. Výkon mohou ovlivnit i další faktory.
VPN protokoly
Existuje několik protokolů pro bezpečný vzdálený přístup a šifrování přenášených podnikových dat:
- zabezpečení IP (IPsec);
- Secure Sockets Layer (SSL) a Transport Layer Security (TLS);
- Point-to-Point Tunneling Protocol (PPTP);
- Layer 2 Tunneling Protocol (L2TP);
- OpenVPN.
A mezi nejčastěji používané typy připojení patří vzdálený uživatelský přístup k podnikové síti (remote-access VPN) a dvoubodové připojení mezi dvěma weby (site-to-site VPN). Pojďme se na ně podívat podrobněji.
Vzdálený přístup VPN
Tato technologie slouží k zajištění bezpečného přístupu zaměstnanců společnosti k podnikové síti a jejím zdrojům prostřednictvím veřejného internetu. To platí zejména při připojení k internetu pomocí veřejného hotspotu Wi-Fi nebo jiných nezabezpečených metod připojení. Klientská aplikace VPN na vzdáleném počítači nebo mobilním zařízení se připojí k bráně VPN firemní sítě, která autentizuje a autorizuje uživatele. Po úspěšném dokončení tohoto postupu získá uživatel přístup k interním síťovým zdrojům (souborový server, databáze, tiskárny atd.), jako by byl připojen k lokální síti.
Nejběžnější protokoly používané k zabezpečení vzdáleného přístupu jsou IPsec nebo SSL, i když SSL se více zaměřuje na poskytování zabezpečeného připojení k jedné aplikaci (jako je SharePoint nebo e-mail) spíše než k celé interní síti. Je také možné vytvořit připojení na vrstvě 2 pomocí tunelovacích protokolů, jako jsou PPTP a L2TP, přes připojení IPsec.
Schéma vzdáleného přístupu VPN
Point-to-point VPN připojení
Spojení typu point-to-point se používá k propojení celé místní sítě v jednom místě s místní sítí v jiném. Standardním scénářem je připojení vzdálených poboček k centrále společnosti nebo datovému centru. V tomto případě není potřeba instalovat VPN klienty na uživatelská zařízení, protože připojení zpracovává VPN brána a přenos dat mezi zařízeními v různých sítích probíhá transparentně.
Nejoblíbenějším způsobem zabezpečení spojení point-to-point je IPsec (přes internet), ale rozšířená je i cloudová možnost operátora MPLS bez použití veřejných sítí. V druhém případě se zpřístupní připojení vrstvy 3 (MPLS IP VPN) nebo vrstvy 2 (virtuální privátní LAN služba - VPLS).
Existuje několik dalších scénářů pro použití připojení VPN:
- mezi dvěma samostatnými zařízeními, jako jsou servery, ve dvou samostatných datových centrech, když bezpečnostní požadavky standardní podnikové sítě nestačí;
- připojení ke zdrojům cloudové infrastruktury (infrastructure-as-a-service);
- hostování brány VPN v cloudu a poskytování přístupu k poskytovateli cloudu.
Schéma připojení VPN typu point-to-point
Kontrola zabezpečení vašeho připojení VPN
Bez ohledu na to, jaký typ VPN používáte, pro zajištění vysoké úrovně zabezpečení musíte provést autotest. Provedením několika jednoduchých kroků ochráníte svou síť před nelegální infiltrací.
Zpravodajská služba
Určete typ sítě VPN, kterou používáte, a port, na kterém služba VPN naslouchá připojení. To lze provést pomocí jakéhokoli nástroje pro skenování portů, jako je Nmap. V závislosti na typu VPN to může být UDP port 500 (IPSec), TCP port 1723, TCP port 443 (SSL VPN), UDP port 1194 (OpenVPN) nebo jakýkoli jiný nestandardní port.
Používání
Po úspěšné identifikaci portu VPN jej musíte prohledat, abyste zjistili výrobce a verzi služby VPN. K tomu použijte nástroj ike-scan. Jakmile budete znát informace, které potřebujete, vyhledejte na internetu, na webu dodavatele a v katalogu CVE informace o zranitelnostech v této službě, které by mohly být použity k proniknutí do existujících exploitů nebo k vytvoření nových.
Autentizace
Služba VPN, která naslouchá příchozím připojením, musí řádně ověřit přihlašovací údaje poskytnuté klientem. Pro zvýšení spolehlivosti nestačí pouze zkontrolovat přihlašovací jméno a heslo, musíte použít bezpečnostní certifikáty. Je také nutné používat kompetentní politiku hesel (složitost, doby uchování, automatické generování atd.), která spolu s certifikátem zabrání útokům a uhodnutí hesla.
V příštím článku budeme hovořit podrobněji o protokolech VPN a také technologii Virtual Private LAN Service (VPLS).
VPN připojení je důležitým nástrojem při organizování firemních sítí, ale je třeba mít na paměti, že jeho podporu musí zajistit telekomunikační operátor nebo poskytovatel internetu. Mnoho z nich poskytuje přístup pomocí překladu adres NAT a většina zařízení podporuje tunelování GRE (Generic Routing Encapsulation). K vytváření sítí VPN se používají zejména protokoly PPTP, které vyžadují vybavení NAT pro podporu ALG (Application-level gateway).
