Сегодня популярны вопросы о VPN – что это такое, каковые его особенности и как лучше всего настроить VPN. Все дело в том, что не все знают суть самой технологии, когда это может понадобиться.

Даже со стороны финансов и наживы, настройка VPN – это прибыльное дело, за которое можно получать легкие деньги.
Хорошо бы объяснить пользователю, что представляет собой ВПН, и как лучше всего настраивать его на Win 7 и 10.

1. Основное

VPN (Virtual Private Network) – это частная виртуальная сеть. Еще проще – технология создания локальной сети, но без физических устройств в виде маршрутизаторов и прочего, а с реальными ресурсами из интернета. VPN – это дополнительная сеть созданная поверх другой.

На сайте Майкрософт была найдена такая познавательная картинка, которая поможет понять что выражение «Дополнительна сеть созданная поверх другой».

На показанном изображение выводится устройство в виде компьютера. Облако – это общая или публичная сеть, чаще – стандартный интернет. Каждый из серверов объединен друг с другом с помощью того самого VPN.

Так устройства между собой соединяются е физически. Но практика показала, что это не обязательно.

Специально для того, чтобы не использовать провода, кабели и другие мешающие устройства, и настраивается VPN.

Локальные устройства соединяются между собой не через кабели, а через Wi-FI, GPS, Bluetooth и другие устройства.
Виртуальные сети, чаще всего – это стандартное интернет-соединение. Конечно же получить доступ к устройствам просто так не получится, ведь везде есть уровни идентификации направленные на то, чтобы избежать взлома и недоброжелателей в ВПН Сеть.

2. Пару слов о структуре VPN

Структура VPN разделена на две части: внешнюю и внутреннюю.
Каждый ПК подключается к двум частям одновременно. Делается это с помощью сервера.

Сервер, в нашем случае, - это так называемый охранник на входе. Он определит и зарегистрирует входящих в виртуальную сеть.

Компьютер или устройство подключенное к VPN, должно иметь все данные для авторизации и, так называемой, аутентификации, то есть специальный, обычно единоразовый, пароль или другое средство, что могло бы помочь пройти процедуру.

Этот процесс не особо важен нам. Специалистами создаются все более мощные и серьезные способы авторизации на серверах.

Чтобы оказаться в такой сети, то на входе Вы должны знать следующее:
1. Имя, имя пк например или другой используемый логин, чтобы пройти идентификацию в сети;
2. Пароль, если такой установлен, чтобы завершить авторизацию.
Также, компьютер желающий подключиться к очередной VPN-сети, «несёт» все данные для авторизации. Сервер занесет эти данные в свою базу. После регистрации вашего ПК в базе, Вам больше не нужно будет вышеупомянутых данных.

3. VPN и их классификация

Классификации VPN сетей показаны ниже.

Попробуем разобраться подробнее.
- СТЕПЕНЬ ЗАЩИТЫ . Подобранные по этому критерию сети:
1. Защищенные полностью – это изначально защищенные сети;
2. Защищенные «доверительно» - менее защищенные сети, используются в случаях, когда первоначальная или «родительская» сеть является надежной.
- РЕАЛИЗАЦИЯ . Способы реализации. Подобранные по этому критерию сети:
1. Комбинированный и программный способы;
2. Аппаратный способ – при помощи устройств реальных.
- НАЗНАЧЕНИЕ . Подобранные по этому критерию VPN:
1. Интранет (Intranet) – используется чаще всего в компаниях, где нужно объединить несколько филиалов;
2. Экстранет (Extranet) – применяется специально для организации сетей, в которых есть различные участники, а также клиенты компании;
3. Аксесс (Remote Access) – это организация VPN сетей, где присутствуют, так называемые, удаленные филиалы.
- ПО ПРОТОКОЛУ . Реализация VPN Сетей возможна по протоколам AppleTalk и IPX, но на деле использую чаще всего и эффективнее TCP/IP. Причина – популярность этого протокола в основных сетях.
- УРОВЕНЬ РАБОТЫ . Здесь предпочтение отдают OSI, но сеть VPN может работать только на канальных, сетевых и транспортных уровнях.
Конечно же, на практике одна сеть, можно включать в себя несколько признаков одновременно. Перейдем к пунктам о непосредственной настройке VPN сети, с помощью вашего ПК или ноутбука.

4. Как настроить VPN сеть (виртуальную сеть)

Первый способ разработан специально под Windows 7.
На Windows 7 настройка происходит при помощи достаточно несложных действий и следуя следующей инструкции:
1. Переходим в «Центр управления сетями и общим доступом ». Нажимаем на панели быстрого доступа на значок соединения и в окошке выбираем требуемый нам пункт.

2. Программа не всегда имеет такой вид как на рисунке выше, она может быть еще такой:

3. В новом окне находим раздел «Настройка нового подключения или сети ». На рисунке этот раздел выделен.

4. В следующем пункте находим «Подключение к рабочему месту » и переходим «Далее ».

5. В том случае, если какое-либо соединение VPN уже существует на ПК, должно появиться специальное окошко, как на рисунке ниже. Выбираем «Нет, создать новое подключение» и снова перейти «Далее ».

6. В новом окне находим «Использовать мое подключение к интернету (VPN) »

7. Теперь вводим адрес, имя сети VPN. Узнать все детали можно у сетевого администратора, что подскажет Вам еще и специальное окошко.

Если подсоединение произошло к уже функционирующей сети, лучше всего узнать у администратора этой сети данные. Обычно эта процедура не занимает много времени. Вводим данные в предназначенные поля.
8. В этом же окошке ставим галочку к «Не подключаться сейчас... », а после переходим «Далее ».

9. Вводим свои данные (логин и пароль) от сети. На следующем рисунке эти поля выделены.

Если соединение является первым с сетью, то данные придется создать новые, после проверки их сервером вы будете пропущены в сеть, и пользоваться ею.

Если соединение не первичное, то сервер не станет проверять Ваши данные и напрямую пустит Вас в нужную сеть.

10. После ввода нужных данных нажимаем на «Подключить ».

11. Следующее окно предложит подключиться к сети сейчас. Лучше закрыть его.

Настройка благополучно завершена и осталось лишь подключиться к сети. Чтобы это сделать нужно снова перейти к первому пункту «Центр управление сетями и общим доступом ».
12. В новом окне выбираем «Подключиться к сети ».

13. Здесь выбираем наше соединение и подключаемся к нему.

Настройка VPN на Windows 7 завершена.

Перейдем к настройке VPN на Windows 10, алгоритм и действия там почти такие же. Отличие лишь в некоторых элементах интерфейса и доступа к ним.

Так, например, чтобы попасть в «Центр управления сетями и общим доступом» нужно проделать всё то же, что и на Windows 7, к тому же там есть специальный пункт «Создание и настройка нового подключения или... ».
Дальше, настройка производится таким же образом, как и на Windows 7, только вот интерфейс будет немного другим.

Некоторые неудобства пользователей Windows 10, могут быть связаны с тем, что они будут искать классический вид сети. Следует перейти в «Сеть и интернет », а после выбрать «Просмотр состояния задач и сети» для дальнейшей работы с настройкой ВПН сетей.

По сути ничего сложного в настройке нет. К слову, такое VPN соединение возможно настроить даже на устройствах Андроид, ниже будет посвящен этому раздел.

5. Настройка VPN на Android

Чтобы выполнить такую операцию нужно будет установить и скачать инструмент под названием SuperVPN Free VPM Client из официальных магазинов Android.

Окошко программы, которое предложит создание VPN сети на Андроиде.

В целом здесь всё понятно, нажимаем на «Connect », после чего начнется поиск доступных сетей и дальнейшее соединение с ними. Настройка VPN на Андроид производится без дополнительных программ.

В рамках данной статьи, я расскажу вам что такое VPN и зачем он нужен .

Если раньше интернет в большей степени использовался только для того, чтобы открыть какой-нибудь сайт, узнать полезную информацию и возможно даже оставить комментарий, то сегодня, в принципе, ничего не изменилось. Люди все так же открывают браузер, чтобы почитать интересное и нужное. Тем не менее, отличие все же есть.

Оно заключается в обилии личной и важной информации, проходящей через интернет. Поэтому было придумано немало технологий для их защиты. Одной из них является VPN, речь о которой и пойдет дальше.

Примечание : Статья написана простыми словами и не содержит многих технических аспектов, так как предназначена для первичного ознакомления.

Что такое VPN

VPN (Virtual Private Network) - это подход, позволяющий организовать частную сеть поверх основной сети. Простыми словами, например, создать общую частную сеть из компьютеров, расположенных в разных точках мира. Более жизненный пример - возможность из любого места с ноутбука управлять компьютером у себя дома так, как будто вы никуда и не выходили.

Стоит отметить, что чаще всего речь идет о защищенном соединении, так как по большей части использование VPN подразумевает передачу данных через интернет. Продолжая приведенный ранее пример, чтобы подключившись с ноутбука через публичную WiFi сеть к своему компьютеру с целью скачать важные документы или же просто посмотреть альбомы с фотографиями, злоумышленники не смогли их увидеть.

Однако, VPN может применяться и весьма специфическим образом. Например, как я уже рассказывал в статье как обойти блокировку сайтов , создается шифрованное соединение с неким удаленным VPN-сервером и уже этот сервер отправляет запросы к веб-сайтам. В таком случае, ваш IP-адрес и прочие технические моменты остаются скрытыми от сайта.

Еще одним важным моментом является то, что, при использовании защищенного VPN, трафик будет шифрованным даже для провайдера.

Как все происходит при защищенном VPN

Прежде всего стоит знать, что существует три типа соединения:

1. Узел-узел . Это соединение между двумя отдельными компьютерами (узлами) через защищенный VPN.

2. Узел-сеть . В данном случае речь идет о том, что с одной стороны есть один компьютер, а с другой стороны некая локальная сеть.

3. Сеть-сеть . Это объединение двух локальных сетей в одну.

Если вы обычный пользователь, не знающий ничего о сети, то может казаться, что эти типы существенно отличаются. Конечно, технические нюансы есть, но для простого понимания, все эти сети можно сводить к одной "Узел-узел". Дело в том, что для случая сети, просто компьютер или роутер , через который предоставляется доступ в интернет, так же организует и осуществляет связь через VPN. То есть, компьютеры внутри сети могут даже и не знать о наличии какого-либо VPN.

Теперь, рассмотрим как все происходит при использовании VPN (обобщенно):

1. На компьютерах устанавливаются и настраиваются специальные программы для создания VPN туннеля (простыми словами VPN соединения). Если же это роутер, то многие специализированные модели исходно поддерживают подобные соединения.

Примечание : Стоит знать, что программы бывают трех видов "клиент" (только подключение к другим компьютерам), "сервер" (осуществляет и организует доступ для VPN-клиентов) и "смешанный" (может как создавать подключения, так и принимать их).

2. Когда компьютер хочет обратиться к другому компьютеру, он обращается к VPN-серверу для установления шифрованного туннеля. В рамках данного шага, клиент и сервер обмениваются ключами (в шифрованном виде), если таковое нужно.

4. VPN-сервер дешифрует исходные данные и действует уже исходя из них.

5. Сервер так же шифрует свой ответ и передает его клиенту.

6. Клиент расшифровывает ответ.

Как видите, основная идея VPN весьма проста - обменялись ключами, а далее клиент и сервер передают друг другу шифрованные сообщения. Однако, она дает огромный плюс. Кроме IP-адреса клиента и сервера VPN, все данные передаются в закрытом виде, то есть обеспечивается безопасность передачи личной и важной информации.

Зачем нужен VPN

VPN обычно используется для следующих двух целей:

1. Безопасная передача данных в интернете . Данные исходно передаются в шифрованном виде, поэтому даже если злоумышленник сможет их перехватить, он ничего не сможет с ними сделать. Хорошо известный пример это HTTPS с SSL или TLS для обращения к сайтам. В этом случае между сайтом и открывшим его компьютером устанавливается защищенный VPN-туннель, поэтому в момент передачи данные находятся в безопасности.

Примечание : HTTPS подразумевает, что данные шифруются с SSL или TLS, а затем отсылаются стандартным образом, как и при HTTP.

2. Объединение компьютеров из разных точек мира в одну сеть . Согласитесь, что может быть весьма полезно в любой момент иметь доступ к компьютерам, находящимся в сотнях километрах от вас. Например, чтобы не таскать с собой все необходимое. Нужны фотографии или какие-то документы - зашли в интернет, подсоединились к домашнему компьютеру и скачали их в безопасном режиме. Или, например, если у вас есть две сети, то объединив их с помощью роутеров (создав VPN тоннель), вы можете обращаться к любому компьютеру без каких-либо дополнительных действий.

В этой статье мы ответим на самые частые вопросы что такое VPN сервер, расскажем может ли VPN повысить вашу безопасность, нужно ли использовать Double VPN и как проверить ведет ли VPN сервис логи, а также какие современные технологии существуют для защиты личной информации.

VPN – это виртуальная частная сеть, которая обеспечивает шифрование между клиентом и VPN сервером.

Основное предназначение VPN - это шифрование трафика и смена IP адреса.

Давайте разберемся для чего и когда это нужно.

Для чего нужен VPN

Все Интернет-провайдеры логируют деятельность своих клиентов в сети Интернет. То есть Интернет-провайдер знает какие сайты вы посещали. Это нужно для того, чтобы в случае запросов из полиции выдать всю информацию о нарушителе, а также снять с себя всю юридическую ответственность за действия пользователя.

Существует множество ситуаций, когда пользователю необходимо защитить свои личные данные в сети Интернет и получить свободу общения.

Пример 1. Есть бизнес и необходимо передавать конфиденциальные данные через Интернет, чтобы никто не смог их перехватить. Большинство компаний использует технологию VPN для передачи информации между филиалами компаний.

Пример 2. Многие сервисы в Интернете работают по принципу географической привязки к местности и запрещают доступ пользователям из других стран.

Например, сервис Яндекс Музыка работает только для IP адресов из России и стран бывшего СНГ. Соответственно все русскоязычное население, проживающее в других странах не имеет доступа к этому сервису.

Пример 3. Блокировка определенных сайтов в офисе и в стране. Часто в офисах блокируют доступ к социальным сетям, чтобы работники не тратили рабочее время на общение.

Например, в Китае заблокированы многие сервисы Google. Если житель Китая работает с компанией из Европы, то возникает необходимость в использовании таких сервисов как Google Disk.

Пример 4. Скрыть посещенные сайты от Интернет-провайдера. Бывают случаи, когда нужно скрыть список посещенных сайтов от Интернет-провайдера. Весь трафик будет зашифрован.

Благодаря шифрованию трафика ваш Интернет-провайдер не узнает, какие сайты вы посещали в Интернете. При этом ваш IP адрес в Интернете будет принадлежать стране VPN сервера.

При подключении к VPN создается защищенный канал между вашим компьютером и VPN сервером. Все данные в этом канале зашифрованы.

Благодаря VPN, вы получите свободу общения и защитите свои личные данные.

В логах Интернет-провайдера будет набор разных символов. На картинке ниже представлен анализ данных, полученных специальной программой.

В HTTP заголовке сразу видно к какому сайту вы подключаетесь. Эти данные записывают Интернет-провайдеры.

На следующей картинке показан HTTP заголовок при использовании VPN. Данные зашифрованы и невозможно узнать какие сайты вы посещали.

Как подключиться к VPN

Существует несколько способов подключения к VPN сети.

• PPTP - устаревший протокол. Большинство современных ОС исключило его из списка поддерживаемых. Минусы PPTP - низкая стабильность соединения. Соединение может обрываться и незащищенные данные могут уйти в Интернет.
• L2TP (IPSec) подключение характеризуется большей надежностью. Также встроено в большинство операционных систем (Windows, Mac OS, Linux, iOS, Android, Windows Phone и другие). Отличается лучшей надежностью в отличие от PPTP соединения.
• SSTP подключение было разработано сравнительно недавно. Оно поддерживается только в Windows, поэтому не получило большого распространения.
• IKEv2 - современный протокол на основе IPSec. Этот протокол пришел на смену PPTP протокола и поддерживается всеми популярными ОС.
• OpenVPN подключение считается самым надежным. Эту технологию можно гибко настраивать и при падении соединения OpenVPN блокирует отправку незащищенных данных в Интернет.

Существует 2 протокола передачи данных для OpenVPN технологии:

• UDP протокол – отличается быстротой работы (рекомендуется использовать для VoiP телефонии, Skype, онлайн игры)
• TCP протокол – характеризуется надежностью передаваемых данных (требует подтверждения получения пакета). Работает немного медленнее, чем UDP.

Как настроить VPN

Настройка VPN соединения занимает несколько минут и отличается способом VPN подключения.

На нашем сервисе мы используем PPTP и OpenVPN соединения.

Безопасность работы с VPN программой

Мы всегда будем говорить о комплексном подходе к безопасности. Безопасность пользователя состоит не только из самого VPN подключения. Важно какой программой вы пользуетесь для подключения к VPN серверу.

В настоящее время сервисы предлагают удобные VPN клиенты – это программы, которые облегчают настройку VPN подключения. Мы сами предлагаем удобный VPN клиент. Благодаря таким программам настройка VPN подключения занимает не более 1 минуты.

Когда мы только начинали заниматься предоставлением VPN услуг в 2006 году, все наши пользователи настраивали официальное OpenVPN приложение. Оно имеет открытый исходный код. Конечно, настройка официального OpenVPN клиента занимает больше времени. Но давайте разберемся, чем лучше пользоваться в плане анонимности.

Анонимность VPN клиента

Мы видим опасность в использовании подобных программ. Все дело в том, что исходный код таких программ является собственностью компании и в целях сохранения уникальности своей программы, никто его не публикует.

Пользователи не могут узнать какие данные о вас собирает программа при отсутствии открытого исходного кода.

VPN программа может идентифицировать вас как конкретного пользователя даже при выключенных логах на сервере.

Любая программа может иметь функционал по записи посещенных вами сайтов, вашего реального IP адреса. А так как вы сами вводите свой логин в программу, то говорить о какой-либо анонимности использования программы вообще нельзя.

Если вашей деятельности нужен высокий уровень анонимности, мы рекомендуем вам отказаться от подобных VPN программ и использовать официальный релиз OpenVPN c открытым исходным кодом.

Сначала вам покажется это неудобным. Но со временем вы привыкните к этому, если фактор безопасности и анонимности для вас стоит на первом месте.

Мы гарантируем, что Secure Kit не сохраняет какие-либо данные о вас. Но мы должны вас предупредить, что подобные программы могут вести слежку за вами.

Еще одна идея как увеличить свою безопасность пришла с точки зрения географического расположения серверов. В Интернете она называется офшорный VPN.

Что такое офшорный VPN

Разные страны имеют разный уровень законодательства. Есть сильные государства с сильными законами. А есть небольшие страны, уровень развития которых не позволяет вести информационную защиту данных в своей стране.

Первоначально понятие офшорный применялось для обозначения страны, в которой смягчена налоговая политика. Такие страны имеют очень низкие налоги на бизнес. Мировые компании заинтересовались законным уходом от налогов в своей стране, и счета на Каймановых островах в офшорном банке стали очень популярными.

В настоящее время во многих странах мира уже есть запреты на использование банковских счетов в офшорных странах.

Большинство офшорных стран – это небольшие государства, расположенные в отдаленных уголках планеты. Сервера в таких странах найти сложнее и стоят они дороже из-за отсутствия развитой Интернет инфраструктуры. VPN сервера в таких странах начали называть офшорными.

Получается, что слово офшорный VPN не означает анонимный VPN, а говорит лишь о территориальной принадлежности к офшорному государству.

Стоит ли использовать офшорный VPN?

Офшорный VPN представляет дополнительные преимущества с точки зрения анонимности.

Как вы думаете куда легче написать официальный запрос:

• в отдел полиции в Германии
• или в отдел полиции на острова в Антигуа-Барбуда

Офшорный VPN – это дополнительный уровень защиты. Офшорный сервер хорошо использовать в составе цепочки Double VPN.

Не нужно использовать только 1 офшорный VPN сервер и думать, что это полная безопасность. Нужно подходить к своей безопасности и анонимности в Интернете с разных сторон.

Используйте офшорный VPN как звено вашей анонимности.

И пора ответить на самый часто задаваемый вопрос. Может ли анонимный VPN сервис вести логи? И как определить ведет ли сервис логи?

Анонимный VPN сервис и логи. Как быть?

Анонимный VPN сервис не должен вести логи. Иначе его нельзя уже называть анонимным.

Мы составили список вопросов, благодаря которым, вы сможете точно определить ведет ли сервис логи.

Теперь вы имеете полную информацию о VPN подключениях. Этих знаний достаточно, чтобы сделать себя анонимным в Интернете и сделать безопасной передачу личных данных.

Новые VPN технологии

Существуют ли какие-то новые направления в области VPN?

Мы уже говорили о плюсах и минусах последовательного каскадирования VPN серверов (Double, Triple, Quad VPN).

Чтобы избежать минусов технологии Double VPN можно сделать параллельный каскад цепочек. Мы назвали это Parallel VPN.

Что такое Parallel VPN

Суть Parallel VPN заключается в том, чтобы направить трафик в параллельный канал данных.

Минусом технологии последовательного каскадирования (Double, Triple, Quad VPN) является то, что на каждом сервере происходит расшифровка канала и зашифровка в следующий канал. Данные последовательно шифруются.

В технологии Parallel VPN такой проблемы нет, так как все данные проходят двойное параллельное шифрование. То есть представьте лук, который имеет несколько кожурок. Таким же образом данные проходят в канале, который дважды зашифрован.

Первое, что приходит в голову при упоминании VPN, - это анонимность и защищенность передаваемых данных. Так ли это на самом деле? Давай разберемся.

Когда необходимо получить доступ к корпоративной сети, безопасно передать важную информацию по открытым каналам связи, скрыть свой трафик от бдительного взора провайдера, скрыть свое реальное местоположение при проведении каких-либо не совсем законных (или совсем не законных) действий, обычно прибегают к использованию VPN. Но стоит ли слепо полагаться на VPN, ставя на кон безопасность своих данных и собственную безопасность? Однозначно - нет. Почему? Давай разбираться.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

VPN нам нужен!

Виртуальная частная сеть, или просто VPN, - обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети, например интернета. Несмотря на то что коммуникации могут быть реализованы через публичные сети с неизвестным уровнем доверия, уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений). Как видишь, в теории все радужно и безоблачно, на практике же все несколько иначе. В этой статье мы рассмотрим два основных момента, которые обязательно нужно принимать во внимание, пользуясь VPN.

Утечка VPN-трафика

Первая проблема, связанная с виртуальными частными сетями, - это утечка трафика. То есть тот трафик, который должен быть передан через VPN-соединение в зашифрованном виде, попадает в сеть в открытом виде. Данный сценарий не является следствием ошибки в VPN-сервере или клиенте. Здесь все гораздо интереснее. Самый простой вариант - внезапный разрыв VPN-соединения. Ты решил просканировать хост или подсеть с помощью Nmap, запустил сканер, отошел на несколько минут от монитора, и тут VPN-соединение внезапно отвалилось. Но сканер при этом продолжает работать. И сканирование идет уже с твоего адреса. Вот такая неприятная ситуация. Но есть сценарии и интересней. Например, утечка VPN-трафика широко распространена в сетях (на хостах), поддерживающих обе версии протокола IP (так называемые dual-stacked сети/хосты).

Корень зла

Сосуществование двух протоколов - IPv4 и IPv6 - имеет множество интересных и тонких аспектов, которые могут приводить к неожиданным последствиям. Несмотря на то что шестая версия протокола IP не имеет обратной совместимости с четвертой версией, обе эти версии как бы «склеены» вместе системой доменных имен (DNS). Чтобы было понятней, о чем идет речь, давай рассмотрим простенький пример. Например, возьмем сайт (скажем, www.example.com), который имеет поддержку IPv4 и IPv6. Соответствующее ему доменное имя (www.example.com в нашем случае) будет содержать DNS-записи обоих типов: А и АААА. Каждая А-запись содержит один IPv4-адрес, а каждая АААА-запись содержит один IPv6-адрес. Причем для одного доменного имени может быть по несколько записей обоих типов. Таким образом, когда приложение, поддерживающее оба протокола, захочет взаимодействовать с сайтом, оно может запросить любой из доступных адресов. Предпочитаемое семейство адресов (IPv4 или IPv6) и конечный адрес, который будет использоваться приложением (учитывая, что их существует несколько для четвертой и шестой версий), будет отличаться от одной реализации протокола к другой.

Это сосуществование протоколов означает, что, когда клиент, поддерживающий оба стека, собирается взаимодействовать с другой системой, наличие А- и АААА-записей будет оказывать влияние на то, какой протокол будет использоваться для связи с этой системой.

VPN и двойной стек протоколов

Многие реализации VPN не поддерживают или, что еще хуже, полностью игнорируют протокол IPv6. При установке соединения программное обеспечение VPN берет на себя заботу по транспортировке IPv4-трафика - добавляет дефолтный маршрут для IPv4-пакетов, обеспечивая тем самым, чтобы весь IPv4-трафик отправлялся через VPN-соединение (вместо того чтобы он отправлялся в открытом виде через локальный роутер). Однако, если IPv6 не поддерживается (или полностью игнорируется), каждый пакет, в заголовке которого указан IPv6-адрес получателя, будет отправлен в открытом виде через локальный IPv6-роутер.

Основная причина проблемы кроется в том, что, хотя IPv4 и IPv6 - два разных протокола, несовместимых друг с другом, они тесно используются в системе доменных имен. Таким образом, для системы, поддерживающей оба стека протоколов, невозможно обеспечить безопасность соединения с другой системой, не обеспечив безопасность обоих протоколов (IPv6 и IPv4).

Легитимный сценарий утечки VPN-трафика

Рассмотрим хост, который поддерживает оба стека протоколов, использует VPN-клиент (работающий только с IPv4-трафиком) для подключения к VPN-серверу и подключен к dual-stacked сети. Если какому-то приложению на хосте нужно взаимодействовать с dual-stacked узлом, клиент обычно запрашивает и А-, и АААА-DNS-записи. Так как хост поддерживает оба протокола, а удаленный узел будет иметь оба типа DNS-записей (А и АААА), то одним из вероятных вариантов развития событий будет использование для связи между ними IPv6-протокола. А так как VPN-клиент не поддерживает шестую версию протокола, то IPv6-трафик не будет отправляться через VPN-соединение, а будет отправляться в открытом виде через локальную сеть.

Такой вариант развития событий подвергает угрозе передаваемые в открытом виде ценные данные, в то время как мы думаем, что они безопасно передаются через VPN-соединение. В данном конкретном случае утечка VPN-трафика является побочным эффектом использования ПО, не поддерживающего IPv6, в сети (и на хосте), поддерживающей(ем) оба протокола.

Преднамеренно вызываем утечку VPN-трафика

Атакующий может преднамеренно вызвать подключение по протоколу IPv6 на компьютере жертвы, посылая поддельные ICMPv6 Router Advertisement сообщения. Подобные пакеты можно рассылать при помощи таких утилит, как rtadvd , SI6 Networks’ IPv6 Toolkit или THC-IPv6 . Как только соединение по протоколу IPv6 установлено, «общение» с системой, поддерживающей оба стека протоколов, может вылиться, как рассмотрено выше, в утечку VPN-трафика.

И хотя данная атака может быть достаточно плодотворной (из-за растущего числа сайтов, поддерживающих IPv6), она приведет к утечке трафика, только когда получатель поддерживает обе версии протокола IP. Однако для злоумышленника не составит труда вызвать утечки трафика и для любого получателя (dual-stacked или нет). Рассылая поддельные Router Advertisement сообщения, содержащие соответствующую RDNSS-опцию, атакующий может прикинуться локальным рекурсивным DNS-сервером, затем провести DNS-спуфинг, чтобы осуществить атаку man-in-the-middle и перехватить соответствующий трафик. Как и в предыдущем случае, такие инструменты, как SI6-Toolkit и THC-IPv6, могут легко провернуть такой трюк.

Совсем не дело, если трафик, не предназначенный для чужих глаз, попадет в открытом виде в сеть. Как же обезопаситься в таких ситуациях? Вот несколько полезных рецептов:

1. Если VPN-клиент сконфигурирован таким образом, чтобы отправлять весь IPv4-трафик через VPN-соединение, то:

• если IPv6 VPN-клиентом не поддерживается - отключить поддержку шестой версии протокола IP на всех сетевых интерфейсах. Таким образом, у приложений, запущенных на компьютере, не будет другого выбора, как использовать IPv4;
• если IPv6 поддерживается - убедиться, что весь IPv6-трафик также отправляется через VPN.

1. Чтобы избежать утечки трафика, в случае если VPN-соединение внезапно отвалится и все пакеты будут отправляться через default gateway, можно:
2. принудительно заставить весь трафик идти через VPN route delete 0.0.0.0 192.168.1.1 // удаляем default gateway route add 83.170.76.128 mask 255.255.255.255 192.168.1.1 metric 1

• воспользоваться утилитой VPNetMon , которая отслеживает состояние VPN-соединения и, как только оно пропадает, мгновенно завершает указанные пользователем приложения (например, торрент-клиенты, веб-браузеры, сканеры);
• или утилитой VPNCheck , которая в зависимости от выбора пользователя может либо полностью отключить сетевую карту, либо просто завершить указанные приложения.

1. Проверить, уязвима ли твоя машина к утечке DNS-трафика, можно на сайте , после чего применить советы, как пофиксить утечку, описанные .

Расшифровка VPN-трафика

Даже если ты все настроил правильно и твой VPN-трафик не утекает в сеть в открытом виде - это еще не повод расслабляться. Все дело в том, что если кто-то перехватит зашифрованные данные, передаваемые через VPN-соединение, то он сможет их расшифровать. Причем на это никак не влияет, сложный у тебя пароль или простой. Если ты используешь VPN-соединение на базе протокола PPTP, то со стопроцентной уверенностью можно сказать, что весь перехваченный зашифрованный трафик можно расшифровать.

Ахиллесова пята

При VPN-соединениях на базе протокола PPTP (Point-to-Point Tunneling Protocol) аутентификация пользователей проводится по протоколу MS-CHAPv2, разработанному компанией Microsoft. Несмотря на то что MS-CHAPv2 устарел и очень часто становится предметом критики, его продолжают активно использовать. Чтобы окончательно отправить его на свалку истории, за дело взялся известный исследователь Мокси Марлинспайк, который на двадцатой конференции DEF CON отчитался, что поставленная цель достигнута - протокол взломан. Надо сказать, что безопасностью этого протокола озадачивались и ранее, но столь долгое использование MS-CHAPv2, возможно, связано с тем, что многие исследователи концентрировались только на его уязвимости к атакам по словарю. Ограниченность исследований и широкое число поддерживаемых клиентов, встроенная поддержка операционными системами - все это обеспечило протоколу MS-CHAPv2 широкое распространение. Для нас же проблема кроется в том, что MS-CHAPv2 применяется в протоколе PPTP, который используется многими VPN-сервисами (например, такими крупными, как анонимный VPN-сервис IPredator и The Pirate Bay’s VPN).

Если обратиться к истории, то уже в 1999 году в своем исследовании протокола PPTP Брюс Шнайер указал, что «Microsoft улучшил PPTP, исправив основные изъяны безопасности. Однако фундаментальная слабость аутентификации и шифрования протокола в том, что он безопасен настолько, насколько безопасен выбранный пользователем пароль». Это почему-то заставило провайдеров поверить, что ничего страшного в PPTP нет и если требовать от пользователя придумывать сложные пароли, то передаваемые данные будут в безопасности. Сервис Riseup.net настолько проникся этой идеей, что решил самостоятельно генерировать для пользователей пароли длиной в 21 символ, не давая им возможности установить свои. Но даже такая жесткая мера не спасает от расшифровки трафика. Чтобы понять почему, давай поближе познакомимся с протоколом MS-CHAPv2 и посмотрим, как же Мокси Марлинспайк сумел его взломать.

Протокол MS-CHAPv2

Как уже было сказано, MSCHAPv2 применяется для аутентификации пользователей. Происходит она в несколько этапов:

• клиент посылает запрос на аутентификацию серверу, открыто передавая свой login;
• сервер возвращает клиенту 16-байтовый случайный отклик (Authenticator Challenge);
• клиент генерирует 16-байтовый PAC (Peer Authenticator Challenge - равный отклик аутентификации);
• клиент объединяет PAC, отклик сервера и свое user name в одну строку;
• с полученной строки снимается 8-байтовый хеш по алгоритму SHA-1 и посылается серверу;
• сервер извлекает из своей базы хеш данного клиента и расшифровывает его ответ;
• если результат расшифровки совпадет с исходным откликом, все ОK, и наоборот;
• впоследствии сервер берет PAC клиента и на основе хеша генерирует 20-байтовый AR (Authenticator Response - аутентификационный ответ), передавая его клиенту;
• клиент проделывает ту же самую операцию и сравнивает полученный AR с ответом сервера;
• если все совпадает, клиент аутентифицируется сервером. На рисунке представлена наглядная схема работы протокола.

На первый взгляд протокол кажется излишне сложным - куча хешей, шифрование, случайные challenge. На самом деле все не так уж и сложно. Если присмотреться внимательней, то можно заметить, что во всем протоколе остается неизвестной только одна вещь - MD4-хеш пароля пользователя, на основании которого строятся три DES-ключа. Остальные же параметры либо передаются в открытом виде, либо могут быть получены из того, что передается в открытом виде.

Так как почти все параметры известны, то мы можем их не рассматривать, а остановить свое пристальное внимание на том, что неизвестно, и выяснить, что это нам дает.

Итак, что мы имеем: неизвестный пароль, неизвестный MD4-хеш этого пароля, известный открытый текст и известный шифртекст. При более детальном рассмотрении можно заметить, что пароль пользователя нам не важен, а важен его хеш, так как на сервере проверяется именно он. Таким образом, для успешной аутентификации от имени пользователя, а также для расшифровки его трафика нам необходимо знать всего лишь хеш его пароля.

Имея на руках перехваченный трафик, можно попробовать его расшифровать. Есть несколько инструментов (например, asleap), которые позволяют подобрать пароль пользователя через атаку по словарю. Недостаток этих инструментов в том, что они не дают стопроцентной гарантии результата, а успех напрямую зависит от выбранного словаря. Подбирать же пароль простым брутфорсом тоже не очень эффективно - например, в случае с PPTP VPN сервисом riseup.net, который принудительно устанавливает пароли длиной в 21 символ, придется перебирать 96 вариантов символа для каждого из 21 символов. Это в результате дает 96^21 вариантов, что чуть больше, чем 2^138. Иными словами, надо подобрать 138-битный ключ. В ситуации же, когда длина пароля неизвестна, имеет смысл подбирать MD4-хеш пароля. Учитывая, что его длина равна 128 бит, получаем 2^128 вариантов - на данный момент это просто нереально вычислить.

Разделяй и властвуй

MD4-хеш пароля используется в качестве входных данных для трех DES-операций. DES-ключи имеют длину 7 байт, так что каждая DES-операция использует 7-байтовый фрагмент MD4-хеша. Все это оставляет возможность для классической атаки divide and conquer. Вместо того чтобы полностью брутить MD4-хеш (а это, как ты помнишь, 2^128 вариантов), мы можем подбирать его по частям в 7 байт. Так как используются три DES-операции и каждая DES-операция абсолютно независима от других, это дает общую сложность подбора, равную 2^56 + 2^56 + 2^56, или 2^57.59. Это уже значительно лучше, чем 2^138 и 2^128, но все еще слишком большое число вариантов. Хотя, как ты мог заметить, в эти вычисления закралась ошибка. В алгоритме используются три DES-ключа, каждый размером в 7 байт, то есть всего 21 байт. Эти ключи берутся из MD4-хеша пароля, длина которого всего 16 байт.

То есть не хватает 5 байт для построения третьего DES-ключа. В Microsoft решили эту задачу просто, тупо заполнив недостающие байты нулями и фактически сведя эффективность третьего ключа к двум байтам.

Так как третий ключ имеет эффективную длину всего лишь два байта, то есть 2^16 вариантов, его подбор занимает считаные секунды, доказывая эффективность атаки divide and conquer. Итак, можно считать, что последние два байта хеша известны, остается подобрать оставшиеся 14. Также разделив их на две части по 7 байт, имеем общее число вариантов для перебора, равное 2^56 + 2^56 = 2^57. Все еще слишком много, но уже значительно лучше. Обрати внимание, что оставшиеся DES-операции шифруют один и тот же текст, только при помощи разных ключей. Можно записать алгоритм перебора следующим образом:

Но так как текст шифруется один и тот же, то правильнее сделать вот так:

То есть получается 2^56 вариантов ключей для перебора. А это значит, что безопасность MS-CHAPv2 может быть сведена к стойкости одного DES-шифрования.

Взлом DES

Теперь, когда диапазон подбора ключа известен, для успешного завершения атаки дело остается только за вычислительными мощностями. В 1998 году Electronic Frontier Foundation построила машину Deep Crack, которая стоила 250 тысяч долларов и позволяла взламывать DES-ключ в среднем за четыре с половиной дня. В настоящее время Pico Computing, специализирующаяся на построении FPGA-оборудования для криптографических приложений, построила FPGA-устройство (DES cracking box), которое реализует DES как конвейер с одной DES-операцией на каждый тактовый цикл. Обладая 40 ядрами по 450 МГц, оно позволяет перебирать 18 миллиардов ключей в секунду. Обладая такой скоростью перебора, DES cracking box в худшем случае взламывает ключ DES за 23 часа, а в среднем за полдня. Данная чудо-машина доступна через коммерческий веб-сервис loudcracker.com . Так что теперь можно взломать любой MS-CHAPv2 handshake меньше, чем за день. А имея на руках хеш пароля, можно аутентифицироваться от имени этого пользователя на VPN-сервисе или просто расшифровывать его трафик.

Для автоматизации работы с сервисом и обработки перехваченного трафика Мокси выложил в открытый доступ утилиту chapcrack. Она парсит перехваченный сетевой трафик, ища MS-CHAPv2 handshake’и. Для каждого найденного «рукопожатия» она выводит имя пользователя, известный открытый текст, два известных шифртекста и взламывает третий DES-ключ. Кроме этого, она генерирует токен для CloudCracker, в котором закодированы три параметра, необходимые, чтобы сервис взломал оставшиеся ключи.

CloudCracker & Chapcrack

На случай, если тебе понадобится взломать DES-ключи из перехваченного пользовательского трафика, приведу небольшую пошаговую инструкцию.

1. Скачиваем библиотеку Passlib , реализующую более 30 различных алгоритмов хеширования для языка Python, распаковываем и устанавливаем: python setup.py install
2. Устанавливаем python-m2crypto - обертку OpenSSL для Python: sudo apt-get install python-m2crypto
3. Скачиваем саму утилиту chapcrack , распаковываем и устанавливаем: python setup.py install
4. Chapcrack установлена, можно приступать к парсингу перехваченного трафика. Утилита принимает на вход cap-файл, ищет в нем MS-CHAPv2 handshake’и, из которых извлекает необходимую для взлома информацию. chapcrack parse -i tests/pptp
5. Из выводимых утилитой chapcrack данных копируем значение строки CloudCracker Submission и сохраняем в файл (например, output.txt)
6. Идем на cloudcracker.com, на панели «Start Cracking» выбираем File Type, равный «MS-CHAPv2 (PPTP/WPA-E)», выбираем предварительно подготовленный на предыдущем шаге файл output.txt, нажимаем Next -> Next и указываем свой e-mail, на который придет сообщение по окончании взлома.

К небольшому сожалению, сервис CloudCracker платный. К счастью, за взлом ключиков придется отдать не так уж много - всего 20 баксов.

Что делать?

Хоть Microsoft и пишет на своем сайте, что на данный момент не располагает сведениями об активных атаках с использованием chapcrack, а также о последствиях таких атак для пользовательских систем, но это еще не значит, что все в порядке. Мокси рекомендует всем пользователям и провайдерам PPTP VPN решений начинать миграцию на другой VPN-протокол. А PPTP-трафик считать незашифрованным. Как видишь, налицо еще одна ситуация, когда VPN может нас серьезно подвести.

Заключение

Так сложилось, что VPN ассоциируется с анонимностью и безопасностью. Люди прибегают к использованию VPN, когда хотят скрыть свой трафик от бдительных глаз провайдера, подменить свое реальное географическое положение и так далее. На деле получается, что трафик может «протечь» в сеть в открытом виде, а если и не в открытом, то зашифрованный трафик могут достаточно быстро расшифровать. Все это еще раз напоминает, что нельзя слепо полагаться на громкие обещания полной безопасности и анонимности. Как говорится, доверяй, но проверяй. Так что будь начеку и следи за тем, чтобы твое VPN-соединение было по-настоящему безопасным и анонимным.

VPN (Virtual Private Network) – это виртуальная частная сеть.

Если говорить общедоступным языком, VPN — это абсолютно защищенный канал, который соединяет ваше устройство с выходом в Интернет с любым другим в мировой сети. Если еще проще, то можно это представить более образно: без подключения к VPN-сервису ваш компьютер (ноутбук, телефон, телевизор или любое другое устройство) при выходе в сеть подобен частному дому не огороженному забором. В любой момент каждый может намеренно или случайно поломать деревья, потоптать грядки на вашем огороде. С использованием VPN ваш дом превращается в неприступную крепость, нарушить защиту которой будет просто невозможно.

Как это работает?

Принцип работы VPN простой и «прозрачный» для конечного пользователя. В момент вашего выхода в сеть, между вашим устройством и остальным Интернетом создается виртуальный «туннель», блокирующий любые попытки извне проникнуть внутрь. Для вас работа VPN остается абсолютно «прозрачной» и незаметной. Ваша личная, деловая переписка, разговоры по Скайпу или телефону никоим образом не смогут быть перехвачены или подслушаны. Все ваши данные шифруются по особому алгоритму шифрования, взломать который практически невозможно.

Помимо защиты от вторжения извне VPN предоставляет возможность виртуально на время побывать в любой стране мира и использовать сетевые ресурсы этих стран, просматривать телевизионные каналы, которые до этого были недоступны. VPN заменит ваш IP-адрес на любой другой. Для этого вам достаточно будет выбрать страну из предлагаемого списка, например Нидерланды и все сайты и сервисы, на которые вы будете заходить, будут автоматически «думать», что вы находитесь именно в этой стране.

Почему не анонимайзер или прокси?

Возникает вопрос: а почему бы просто не использовать какой-нибудь анонимайзер или прокси-сервер в сети, ведь они тоже подменяют IP-адрес? Да все очень просто – ни один из вышеупомянутых сервисов не дает защиты, вы по-прежнему остаетесь «видны» для злоумышленников, а значит и все те данные, которыми вы обмениваетесь в Интернете. И, вдобавок работа с прокси-серверами требует от вас определенного умения выставлять точные настройки. VPN действует по следующему принципу: «Подключился и работай», никаких дополнительных настроек он не требует. Весь процесс подключения занимает пару минут и очень прост.

О бесплатных VPN

При выборе следует помнить о том, что у бесплатных VPN почти всегда существуют ограничения по объему трафика и скорости передачи данных. Значит может сложиться такая ситуация когда вы просто не сможете продолжать пользоваться бесплатным VPN. Не стоит забывать о том, что бесплатные VPN далеко не всегда отличаются стабильностью и часто бывают перегружены. Даже, если у вас лимит не превышен, передача данных может затянуться на большой промежуток времени из-за высокой загруженности сервера VPN. Платные сервисы VPN отличает большая пропускная способность, отсутствие ограничений, как по трафику, так и по скорости, а уровень безопасности выше, чем у бесплатных.

С чего начать?

Большинство VPN сервисов предоставляют возможность бесплатно протестировать качество в течении небольшого периода. Срок тестирования может быть от нескольких часов до нескольких дней. Во время тестирования Вы, как правило, получаете полноценный доступ ко всем функциональным возможностям VPN сервиса. Наш сервис дает возможность найти такие VPN сервисы по ссылке: