Я занимаюсь разработкой PKI систем, и хоть имею мало опыта данный пост меня крайне удивил. Прошу авторов поста аргументировать свою точку зрения. Расскажите почему наличие в сертификатах данных VPN провайдера, является критерием качества? Разве перед подключением клиент не отправит DNS запрос на определение IP по имени? или даже если в конфигурационных файлах уже прописан айпи, разве клиент не будет заходить напрямую на сайт VPN провайдера чтобы скачать конфигурационный файл? И самое главное, разве умный посетитель этого сайта будет пользоваться только VPN-ом, без использования socks после него? Из примеров которые я увидел в этой нити обсуждения, хорошими провайдерами посчитали тех провайдеров которые не удосужились правильно заполнить поля сертификата. Это видно и по выбранным расширениям взятым зачастую наобум (работает и ладно) Нормальной практикой для ВПН провайдеров должно быть защищать интересы своих клиентов. Клиента предупредить, заинтересованным дать левую информацию. Чем грозит получение провайдером клиента информации о том какого VPN провайдера он выбрал? Потом в этой нити так же поднялся вопрос журналирования ВПН серверов, я конечно не знаю тонкостей ремесла, но как админам и программистам оптимизировать работу систему не имею журналов операций на стороне сервера?
Не буду голословным, возьму первого VPN провайдера в списке: Делаю дамп трафика, да в сертификате нету чего либо что связывает айпи с VPN провайдером. но конфигурационный файл я загрузил с сайта, который не имеет SSL. Вот дамп трафика, я думаю для провайдера это достаточная информация чтобы «угадать» чьими VPN услугами пользуется их клиент. ------- Host: vip72.org Referer: http://VIP72.ORG/VPN/?page=pers&action=history Cookie: vpn72pass=8ac4af0ca35c5b233392281a16e0c98c; vpn72user=kll; vpn72lang=en; vip72lang=en; PHPSESSID=4394871f20bdf9c102d03b3c4a160698 Connection: keep-alive ------ Но предположим что клиент скачивал конфигурационный файл заранее ------- remote nl1.vpn-lv.net 1197 remote 93.190.139.40 1197 ------- в конфигурационном файле есть доменное имя, значит есть 50% вероятность что клиент попытается определить IP для домена nl1.vpn-lv.net конкретно этот VPN провайдер к тому же фильтрует трафик (ICMP)
Второй в списке безопасных: передает без SSL следующие: ---------- GET /hss_client/connect.php HTTP/1.1 Host: hss2search.net User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 Safari/534.51.22 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://127.0.0.1:895/config/?action=connect&afd=1326056436&afc=DFF46DB3A6A3B6D7E6C079996C739CF8 Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: keep-alive --------- Тест анонимности показывает что VPN сервер не заменяет DNS сервер своим. Что приводит к тому что либо сайт может узнавать страну клиента, либо его собственный айпи (зависит от того какой DNS использует клиент). Для нужд целевой аудитории не пригоден по ряду причин (если только не подключаться через прокси и заменять DNS.)
Вообще связаться с VPN провайдером по данным из хуиза намного проще провайдеру чем ковыряться в трафике. А провайдеру очень хорошо видно когда вдруг 99% трафика начинает идти через один айпи и один порт. (умные люди поднимают VPN внутри VMWare)
Вы написали 3 сообщения подряд для того чтобы в чем-то убедить посетителей этой ветки? Сначала вы задали список ваших вопросов, затем сами же начали на них отвечать в рамках того, в чью пользу вы хотели бы увести дискуссию. Типичный психологический прием ведения полемики. Умный посетитель будет использовать SSH-туннель поверх OpenVPN, что автоматически сведет на "нет" заявления о том ведутся ли на сервисе логи или нет, что в свою очередь повлечет за собой утверждение, что незачем использовать VPN ценой в 30 долларов в месяц с их уверениями об отсутствии логов, когда можно использовать VPN ценой в 5 долларов в месяц, точно зная при этом что даже если логи ведутся - они будут нечитабельны при подключенном перекрывающем SSH-туннеле. Видимо, правильно - это по-вашему указать почту админа, номер аккаунта, адрес VPN-конторы и пр. информацию. Не провайдеру, а ФСБ и "К" (это красной нитью идет через весь топик, хоть и звучит в диспозиции), т.к. по косвенным признакам будет ясно является ли VPN-сервис российским, с владельцами которого будет меньше проблем, или зарубежным, логи с которого изъять будет не так просто. У них есть списки всех российских VPN-контор, с которыми в довольно небольшие сроки может быть налажено сотрудничество, т.к. территориально владелец VPN-компании вполне доступен для диалога. Что "проще" а что "не проще" для тех организаций, которые я упомянул выше - решать им. Кстати, если у вас есть какие-то предположения, как могут работать эти организации в области работы с владельцами VPN-компаний, проживающим в России и обналичивающим деньги в России, поделитесь - многим это будет интересно.
Вы по прежнему не аргументировали причину по которой наличие заполненных полей сертификата является критерием качества провайдера. Я в сообщениях выше привел способы определения провайдера. Нельзя строить свою защиту исходя из сложности обнаружения сайта VPN провайдера и его контактных данных. Я думаю вы это понимаете. Отвечу на ваши комментарии: 3 сообщения описывает несостоятельность рейтинга. в частности приводится пример определения VPN провайдера при наличие полного дампа трафика. Журналирование всегда есть, так или иначе. Его нету только на твоем сервере, который стоит в твоем ЦОД. номер аккаунт безусловно плохая идея, информация о пользователи в сертификате передаваться не должна никаким образом. Данные провайдера должны быть в теле сертификата и в хуизе IP. Это говорит о открытости VPN провайдера. Отсутствие информации такой не мешает найти его как я выше указал. Но говорит о том что этот провайдер занимается черным бизнесом и серьезно общаться с ним нельзя. Не все сайты указанные в списке находятся на территории РФ. если шлюз (точка входа и выхода) находится на территории страны то нет необходимости получать информацию у VPN провайдера, её можно получить в автоматизированном режиме с сенсоров в ЦОДе Необходимо коллектива сформулировать критерии анонимности VPN провайдеров и по ним провести анализ (заодно эти данные помогут VPN провайдерам стать более открытыми к своим пользователям)
Бред.. Ваш внешний IP виртуалка не изменит ,..а то ,что язык в системе по дефолту узнают - это ..уня..
Хотелось бы вмешаться в вашу дискуссию. Если следственные органы так близко подберутся к человеку, что смогут видеть его VPN-трафик , то им никакой владелец VPN-сервиса даром не нужен! Они просто придут по нужному адресу и вынесут всю необходимую им технику. Какой смысл общаться с владельцем VPN-сервиса если сменить один сервис на другой дело одной минуты. Или вы считаете следователей полными идиотами? А вот если человек знает, что за ним следят органы, то пользоваться любыми видами связи до которых у них могут дотянуться руки ( сотовая связь, интернет, почта ) попросту глупо. Но еще раз повторю, расчитывать, что смена сертификата или шифрование спасут от органов, это то же самое что рассчитывать на спасение от метеорита сидя в танке. не обязательно вести журналы, можно просто собирать обощенную статистику, чтобы оценивать качество услуг изнутри.
Ну почему-же, шифрование трафика или информации на носителях способны защитить , если у органов будет к вам не очень серьезные притензии...Лишний раз возиться с брутом для доступа к инфе думаю им не особо улыбается..
Вот это уже интересно. Значит, судя по вашим словам, следственные органы имеют в распоряжении системы, которые способы дешифровывать VPN-траффик налету или я вас неправильно понял? Другой вопрос - как это доказательство будет использовано в суде, ведь обвиняющая сторона должна озвучить судье благодаря каким средствам было осуществлено получение доказательств, а вместе с тем до этого должно быть озвучено что обвиняемый пытался максимально противодействовать следствию, скрывая свой траффик посредством шифрования. Если это прозвучит открыто и в явной форме, то оказавшийся на скамье подсудимых в случае его последущей посадки в места лишения свободы (скажем, на 5-7 лет) после этого выйдет на свободу и сможет рассказать всем желающим, что его VPN-траффик дешифровали, огласили это в суде, и таким образом его и взяли, что системы дешифровки есть и все используемое шифрование вскрывается. А это автоматически ставит на "нет" сам смысл существования подобных контор, как ваша. Я никогда не утверждал, что следователи - это идиоты, я считаю их такими же людьми, как и мы все, со своими собственными психологическими проблемами и комплексами. Мое отношение к ним можно охарактеризовать немного видоизмененной фразой из фильма "День независимости" 1999-го года в переводе Гаврилова: - "Я не еврей" - "Никто не идеален" Перефразируя это можно сказать: - "Я следователь отдела К" - "А никто не идеален" А по каким, с вашей точки зрения, признакам человек может узнать что за ним следят органы? Ведь вопрос не в том следят за человеком или нет - вопрос в его отношении к этому, и в его отношении к жизни вообще. Следить могут за кем угодно, только вот почему-то этого никто не боится - ни криминальные авторитеры, используя сотовые телефоны для переговоров со своими коллегами-бандитами, ни коррупционеры из числа госаппарата, отвечающие за госзакупки и расхищающие государственный бюджет через организацию гос. заказов на фирмы вне конкурса, когда директорами этих фирм являются их близкие родственники, ни педофилы из числа депутатов государственной думы или региональных фракций, которые посещают сайты для педофилов и извращенцев и общаются по этой тематике. Они почему-то не боятся что за ними ведется слежка и скорее всего знают об этом, а рядовые взломщики почему-то должны смертельно бояться этого. Немного странновато, не находите? Я вот например с вероятностью 99.9% могу утверждать, что мой сотовой и городской телефон уже длительное время стоят на прослушке и что все мои заходы в Интернет фиксируются, особенно учитывая использование VPN в течение нескольких лет. Только что из этого? Просто есть одно "но", которое ставит на "нет" желание заставить отказаться пользоваться Интернетом, электронной почтой, сотовым и городским телефоном - у меня отсутствует страх перед общением с этими органами, я не боюсь за свою жизнь и терять мне в ней особо нечего - ни семьи, ни детей. А органы очень любят в своих интересах периодически "кошмарить" народ, чтобы дать ему знать - "зажать можно кого угодно, в том числе и тебя, если нам понадобится это". И чем больше органы демонизируются кем-то и в чьих-то интересах, тем больше они становятся похожими на "бумажных тигров", когда страх перед ними держится на пропаганде запугивания и устрашения путем вбрасывания в СМИ редких единичных случаев задержаний, скорее смахивающих на показательные процессы. Шифрование при соблюдении всех условий безопасности спасет информацию, если человека, зашифровавшего инфорамцию опустят или изобьют в СИЗО, после чего он совершит суицид. Тогда ее вскрыть будет либо очень сложно и потребует длительного времени и больших ресурсов, либо невозможно вообще. Здесь, конечно, модель угроз учитывает что зашифрованная информация настолько критична, что у человека просто нет выбора - даже если он согласится сотрудничать с органами и назвать все пароли - его после этого убьют свои же либо в тюрьме, либо на свободе. У меня к вам вопрос, если можно: вы принимаете платежи в платежной системе WebMoney и знаете что она мониторится, значит ваши клиенты палятся даже не по сертификатам, а уже при моменте покупки. VPN можно использовать по-разному, но если человек покупает доступ по зашифрованному каналу до выходного шлюза, подменяющего его IP и может скрыть траффик от провайдера, то с высокой долей вероятности можно предположить что сокрытие траффика делается скорее в незаконных, чем законных целях, особенно учитывая обилие рекламы по предоставлению подобных услуг на хакерских форумах. В связи с этим у меня к вам, если можно, вопрос - как вы считаете, ваш бизнес по предоставлению VPN-услуг не вступает в конфликт интересов с обладателями СОРМ-2?
боюсь это я неправильно выразился, имеется ввиду шифрованный VPN-поток, а не трафик внутри туннеля. с юридической точки зрения шифрование трафика не будет являтся препятствием следствию, право шифрования данных в xUSSR есть у всех. на данный момент проблема дешифрования потока зашифрованного современными алгоритмами с безопасной длиной ключа ( от 128 бит ) не имеет решения в математическом смысле, то есть такой системы пока даже теоретически изобрести нельзя. так что пользователям бояться нечего. ни в коем случае не говорю что не надо шифровать трафик. но конкретно при прослушивании человека, эффект от шифрования будет минимизирован, если по другим каналам он сообщает много "полезной информации". Но в случае слежки, главным я считаю шифрование непосредственно на компьютере "подозреваемого", так как именно оно сможет скосить срок при наличии проблем. Я считаю, что наши интересы пересекаются с интересами создателей СОРМ так же как пересекаются интересы производителей наколенников и производителей костылей. Шифрование трафика пользователя на территории стран бывшего соц лагеря не является нарушением закона, и до тех пор пока наш бизнес не нарушает закон - интересы СОРМ волнуют слабо. Насчет оплаты WM, мое мнение такое - платить за наши услуги по WM глупое дело. Мы вообще выступаем против использования WM, и оплата с помощью например LibertyReserve у нас идет с 10%-м бонусом, но рынок есть рынок...и 60% платежей у нас идет по WM.
человек подразумевал, что не надо весь трафик пускать через VPN-туннель. Если вы посмотрите к примеру прогноз погоды с хостовой машины без VPN, то ваш провайдер за это вам ни чего не предъявит. А уже на виртуалке можно поднять полноценную фейковую ОС под страну выхода и юзать VPN-туннель исключительно по назначению. По поводу "Ваш внешний IP виртуалка не изменит" - еще как изменит, надо только исключить NAT-трансляцию и включить воображение. Способов множество от легких до сложных.
Мда..и чем-же вас не устраивает весь трафик через впн пускать.. ..если канал у прова впн не забит..? 1.Если в момент криминала вы выходите через впн ,а в обычной жизни напрямую - при анализе логов и сопоставив время палево полное.. 2.Провайдер вообще ничего вам предъявить не может, использование впн уголовно не наказуемо.. По-подробнее..это каким способом вы меняете внешний ip с помощью виртуальной машины....чудеса, но интересно почитать
1. Пинг через впн будет выше (тут надеюсь ни у кого возражений нет?) 2. Скорость, как правило, будет ниже. И зависит это не только от канала впн прова, но и от каналов вашего провайдера по заграничным направлениям.
Ни чего смешного кстати нет, т.к. все способы уже были предложены в этой теме. Если вкратце, то использую два разных сервиса VPN и создаю туннель в туннеле. Первый IP-адрес который виртуалка видит в интернете - это внешний адрес первого VPN-сервера, но ни как не IP-адрес моего провайдера. Если подробнее, то до момента подключения VPN, на виртуалке нет основного шлюза, нет ната, нет днс-серверов, вообще нет ни чего связанного с интернетом. Она имеет доступ к единственному IP-адресу и порту = 192.168.128.6:1086 - это локальный прокси, который через первый впн резолвит для неё имена и разрешает подключиться ко второму VPN-серверу. Опять же подключиться через уже шифрованный туннель. В итоге: - провайдер знает, что я подключился к первому VPN-серверу, но ни каким образом не узнает, что внутри туннеля пошло подключение ко второму - владельцы первого VPN-сервера знают кто к ним подключился, но не знают какой трафик через них проходит и кому в итоге адресован, т.к. трафик зашифрован другими ключами на входе и на выходе их сервера - владельцы второго VPN-сервера знают куда в итоге пошел трафик, но не знают кто изначально хозяин трафика - на виртуалке теперь можно смело включать яву, скрипты, флеш и т.п. - они ни чего интересного не рассекретят Не путайте с Double / Triple / Quatro... OpenVPN - там владелец сервиса видит кто к нему подключается и видит ваш трафик. ================= P.S. Что бы не плодить лишние посты, хочу поблагодарить black_berry за интересные идеи по созданию цепочек соединения. Сам этим увлекаюсь более 5 лет. black_berry, ты писал несколько раз про самостоятельное изменение DNS-серверов, но я не понял зачем мудрить с DNS'ами, если любой сервис VPN должен предоставлять удаленные DNS через свой туннель.
Ну так подбирайте впн сервис с умом .. У меня ,например, на "заграничном направлении" потеря скорости,в среднем, 100 килобайт всего...практически не замечаю
С тем-же успехом со своей оси пустить тот-же ssh туннель и поверх впн..И причем здесь виртуалка.. Я,лично, считаю использование виртуальных машин необходимо сугубо для теста и анализа работы ПО. И ничего интересного через яву и скрипты все равно не узнают: ось,браузер - так миллионы сидят на популярных осях и таких браузерах..а язык по дефолту англ. - чаще всего стоит у людей по всему миру ..Только по времени в системе,но это тоже легко решается..
Поясните, что под этим подразумевается. Выбирать ближайший к себе сервер? Иногда задача требует какую-то конкретную страну. А представьте, что понадобился впн в США. Вы всё ещё будете утверждать, что существует такой сервис в США, с которым я (из России например) не ощутю потерь? И если у меня по стране скорость одна, а заграницу другая, то подключившись любому к заграничному впн серверу, у меня скорость по всем направлениям будет как заграницу. (Не, ну а для какой задачи может понадобиться сервер в той же стране, где и я? С точки зрения безопасности это глупо, с точки зрения смены географии - она не меняется).
Я говорил вообщем, про выход в нет через ближайший сервер за границей...А про конкрентные, удаленные страны, ну здесь всем понятно,что потеря будет большая..Сделали свое дело и переключились на скоростной, не обязательно постоянно на тормозном сидеть..Вы-же понимаете ,что скорость зависит от канала сервера за границей,его загруженность + удаленость сервера от вас - исходя из этих значений подбираете сервис с выгодными для вас условиями..
Куда интересно денется реальный IP "со своей оси" после старта SSH? Или после старта можно будет разорвать основное соединение с интернетом и юзать чисто SSH? Виртуалка здесь именно для того, что бы убрать с машины реальные IP. Вы спросили как изменить внешний IP на виртуалке - я ответил. И вовсе не призываю делать также.
