Схемы шифрования информации.

Discussion in 'Анонимность' started by black_berry, 30 Jun 2010.

  1. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Личная практика организации double-SSH с использованием WinSSHD.

    В данной статье я хотел бы описать один из способов поднятия Double-SSH на системах семейства Microsoft Windows. При тестировании был использован взломанный генератором ключей дистрибутив WinSSHD версии 5.23 на платформе Microsoft Windows XP. Аналогичным образом данная программа работает на других платформах семейства Windows, включая Windows Server 2008 и Windows 7. Начнем с того, что вам необходимо иметь купленный или взломанный VPS-сервер с прямым белым IP-адресом, т.к. это значительно упростит в дальнейшем настройку и практически сведет на нет возможность неудачи. Теоретически возможна настройка форвардинга и на серверах, стоящих за NAT'ом (в особенности это касается взломанных VPS), однако на практике часто попадаются серверы, где требуется конфигурация роутера, доступа к которому на взломанных VPS естественно нет.

    В дальнейшем все настройки программы будут описаны пошагово с указанием примечаний и приведением скриншотов.

    Шаг 1.

    [​IMG]

    Подтверждаем лицензионного соглашение, выбираем папку для установки программы. Она может быть любой, на взломанных VPS вместо стандартной Program Files лучше всего использовать далекие директории и каталоги.

    Шаг 2.

    [​IMG]

    Выбираем стандартную версию пакета, в дальнейшем для регистрации мы применим ключ.

    Шаг 3.

    [​IMG]

    Установка завершена.

    Шаг 4.

    [​IMG]

    Прописываем порт доступа к севреру. Должен заметить, что на практике большинство взломов SSH осуществляется благодаря в том числе тому, что сам SSH-сервер висит на стандартном 22-м порту и определяется сканирующими программами. Если сменить порт доступа, скажем, на 3128 (как это указано на скриншоте) то сканер просто пропустит этот сервер, не получив ответа.

    Ставим галочку автоматической конфигурации роутеров, если VPS находится за NAT'ом. В этом случае также лучше всего в параметре Open Windows Firewall выбрать пункт Open port(s) to any computer.

    Шаг 5.

    [​IMG]

    Ставим эту галочку, если мы хотим авторизоваться на SSH-сервере с использованием реквизитов доступа к Удаленному Рабочему Столу, список которых находится в Учетных записях. Таким образом можно будет зайти на сервер из под аккаунта администратора, что позволит существенно расширить полномочия в отличии от использования виртуальных аккаунтов. Если необходим доступ только с определнных аккаунтов, убираем галочку Allow login to any Windows accounts, нажимаем кнопку Add и вручную прописываем те аккаунты, с которых можно будет зайти на SSH-сервер, а также привилегии этих аккаутов.

    Шаг 6.

    [​IMG]

    В следующей вкладке мы можем создать виртуальные аккаунты для доступа к серверу и использовать их вместо или совместно с теми реквизитами доступа, которые находятся в Учетных Записях. Если мы хотим использовать для доступа к SSH-серверу виртуальные аккаунты с любым именем и паролем, необходимо нажать Add и заполнить необходимые поля. Для работы по зашифрованному туннелю и прогону через него траффика необходимо обязательно поставить галочку Allow port forwarding. Другие галочки, такие как Allow file transfer и Allow terminal для этого необязательны. Если вы все же хотите использовать File transfer, то можно указать каталоги доступа, в которые у пользователя виртуального аккаунта будет право записывать файлы. Лучше всего это сделать в виде "заглушки", как приведено на скриншоте. Так, в данном примере доступ с виртуального аккаунта будет только к диску V:\, который может быть подключенным на сервере криптоконтейнером или RAM-диском в оперативной памяти. В этом случае, если виртуальный аккаунт теоретически будет взломан, взломщик не сможет удалить ничего другого, кроме как информацию, записанную на диске V:\.

    Шаг 7.

    [​IMG]

    На главной панели SSH-сервера под опциями Open easy settings находится пункт Edit advanced settings. Нажав на него, попадаем в меню редактирования дополнительных параметров SSH-сервера, где в первую очередь нас интересует пункт Bindings and UPnP. Как приведено на скриншоте, мы вручную прописываем в списке белый IP-адрес нашего VPS-сервера (в нашем примере это 80.80.80.80), до этого там стоял адрес 0.0.0.0, в чем вы уже вероятно убедились. Порт доступа и галочка Enable UPnP NAT forwarding уже были прописаны и установлены изначально.

    Шаг 8.

    [​IMG]

    Если мы используем VPS за NAT'ом, лучше всего указать параметры Windows Firewall как это указано на скриншоте.

    Шаг 9.

    [​IMG]

    Убираем галочки ведения логов, пролистывая всю страницу до конца.

    Шаг 10.

    [​IMG]

    В параметре Encryption оставляем только AES256 в режимах CTR и CBC.
     
    #101 black_berry, 18 May 2012
    Last edited: 14 Aug 2012
    1 person likes this.
  2. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Продолжение.

    Продолжение

    Шаг 11.

    [​IMG]

    В параметре Data integrity protection оставляем только hmac-sha1 и hmac-sha1-96

    Шаг 12.

    [​IMG]

    В параметре Compression убираем галочку None и оставляем галочку zlib.

    Шаг 13.

    [​IMG]

    В параметре Session пролистываем страницу до конца и уменьшаем критический важный параметр - таймер отсылки пакетов подтверждения соединения - с 20 секунд до 5.

    Шаг 14.

    [​IMG]

    Это параметры настройки SSH-сервера на перенаправление сигнала с входящего подключения на поднятый на VPS зашифрованный туннель до другого сервера, в результате чего сигнал до этого SSH-сервера и от этого до следующего SSH-сервера будет идти зашифрованным, что создаст цепочку из двух SSH-серверов - double-SSH.

    В параметре Proxy profiles прописываем имя профиля, тип Proxy должен быть SOCKS5, адрес прокси должен быть 127.0.0.1 и затем - порт, в данном случае 8081. Конфигурация этого параметра напрямую зависит от параметров доступа, указанных в BAT-файле активации туннеля, что будет разъяснено ниже.

    Шаг 15.

    [​IMG]

    В главном окне SSH-сервера нажимаем на Manage host keys для генерации ключей RSA и DSA. Для того, чтобы сделать сгенерированные ключи активными необходимо установить галочку Set as employed keypair for this algorithm.

    На данном скриншоте генерируется ключ RSA длиной 4096 бит. На следующем скриншоте генерируется ключ DSS такой же длины.

    [​IMG]

    Шаг 16.

    [​IMG]

    В главном окне SSH-сервера нажимаем на Apply activation code и копируем из буфера обмена ключ. Один из сгенерированных номеров приложен в архиве с программой, ссылка на которую будет указана в конце данной статьи. После активации данный сервер будет работать неограниченное время.

    Шаг 17.

    [​IMG]

    Во вкладке Activity нажимаем на Popup events и убираем все галочки, чтобы сделать работу WinSSHD относительно незаметной для наблюдателя, да и просто если не хочется лишний раз наблюдать всплывающие сообщение.

    Шаг 18.

    [​IMG]

    Находим на нашем сервере BAT-файл и находящийся с ним в одной папке plink.exe для активации доступа к другому SSH-серверу. В параметрах доступа к другому SSH-серверу должен быть указан такой же форвардинг порт, который был указан ранее в настройках Proxy для WinSSHD, иначе double-SSH поднять не удастся. При этом подразумевается, что второй SSH-сервер, к которому будет осуществляться подключение, также должен быть настроен на форвардинг траффика, иначе поднять double-SSH также не удастся.

    Шаг 19.

    [​IMG]

    SSH-сервер готов для использования. Нажимаем Start WinSSHD, после чего на собственной машине настраиваем реквизиты доступа к этому серверу также с использованием plink.exe и BAT-файла, подключаемся к SSH-серверу, настраиваем браузер для доступа к Интернет с использованием зашифрованного туннеля и проверяем информацию об IP-адресе на whoer.net. Если при проверке у вас появился IP-адрес не вашего, а второго SSH-сервера, до которого был поднят туннель с этого сервера, значит настройка double-SSH прошла успешно.

    Данный способ позволяет подключить неограниченное число SSH-серверов к цепочке. Единственным условием является белый IP-адрес VPS-сервера и правильно установленный и настроенный WinSSHD. Замечу, что самый последний узел, к которому подключается предыдущий WinSSHD-сервер может быть и взломанным SSH-туннелем, а не лично вашим VPS-ником.

    Скачать WinSSHD 5.23 + серийник [ZIP]: http://www.blackbrier.eu/upload/black_berry/SSHD.zip
     
    #102 black_berry, 18 May 2012
    Last edited: 14 Aug 2012
  3. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Предлагаю вашему вниманию сборник книг по основам проведения оперативно-разыскных мероприятий. Возможно, после их прочтения и тщательного анализа вы будете более отчетливо представлять себе возможные ходы и маневры, используемые противником при разработке людей.

    В комплект входит 5 книг.

    1.
    Название: Основы оперативно-розыскной деятельности органов внутренних дел. Учебник.

    Авторский коллектив:

    кандидат юридических наук А.Г. Белый (глава VIII);

    доктор юридических наук, профессор Ю.Ф. Кваша (предисловие, § 3, 4, 5 главы II);

    кандидат юридических наук, доцент В.П. Легостаев (предисловие, § 1, 2, главы II; глава III; глава IV; глава V; § 1, 2, 3 главы VI, § 4, 5, 6 главы VII);

    доктор юридических наук, профессор Л.А. Прохоров (§ 4, 5, 6 главы VI);
    А.С. Пеструилов (глава I);

    кандидат юридических наук С.Ю. Субачев (§ 1, 2, 3 главы III);

    кандидат юридических наук С.В. Усенко (§ 1, 2, 3 главы VII);

    кандидат юридических наук В.Н. Шишкин (§ 4, 5, 6, 7 главы III).

    Издательство: Краснодар КрУ МВД России 2007

    Формат: HTM

    2.
    Название: Основы оперативно-розыскной деятельности.

    Авторский коллектив:

    Давыдов С.И. - канд. юрид. наук, доцент (Барнаульский юридический институт МВД России) - § 3 гл. 7, гл. 8.

    Кальницкий В.В. - канд. юрид. наук, профессор (Омская академия МВД России) § 2 гл. 6 (в соавторстве с В.Н. Кукарцевым).

    Кукарцев В.Н. - канд. юрид. наук (Барнаульский юридический институт МВД России) - § 2 гл. 6 (в соавторстве с В.В. Кальницким).

    Малыгин С.С. - канд. юрид. наук, доцент (Уральский юридический институт МВД России) - гл. 2; гл. 4; § 2 гл. 5; § 1 гл. 6.

    Чечетин А. Е. - д-р юрид. наук, профессор (Барнаульский юридический институт МВД России) - введение; гл. 1; гл. 3; § 1 гл. 5; §§ 1, 2 гл. 7.

    Щукин А.М. - канд. юрид. наук (Барнаульский юридический институт МВД России) - §§ 1, 2 гл. 9.

    Издательство: Барнаул, 2007

    Формат: HTM

    3.
    Название: Основы оперативно-розыскной деятельности. Авторский курс лекций.

    Авторский коллектив:

    Малыгин С.С. – введение, лекции 1-3, 5-8, приложения, перечень нормативных актов и других источников;

    Чечётин А.Е. – § 1 лекции 1, лекция 4, § 1 лекции 7.

    Издательство: Екатеринбург, 2001

    Формат: HTM

    4.
    Название: Курс: Оперативно-разыскные мероприятия и использование результатов оперативно-разыскной деятельности

    Формат: DOC

    5.
    Название: Краткий курс теоретических основ оперативно-розыскной деятельности.

    Авторский коллектив:

    Лапин Е.С.,

    Михайлова Ю.Н.

    Издательство: Саратов, "Научная книга", 2006 г.

    Формат: PDF

    Скачать общий архив: [прямая ссылка]
     
    #103 black_berry, 7 Jul 2012
    Last edited: 11 Jul 2012
  4. CTO

    CTO Member

    Joined:
    9 Sep 2011
    Messages:
    75
    Likes Received:
    7
    Reputations:
    0
    В каком нибудь соксификаторе(proxifier, super socks5cap, sockscap) пробовал поднять двойной туннель следуя через TOR сеть ?
    Интересно, 1МБ-2МБ выжмет.
     
  5. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Ты имеешь в виду туннель до входа в TOR, прописав в настройках TOR прокси 127.0.0.1 и порт туннеля? Пробовал, не выжимает эту скорость даже на европейских каналах.
     
  6. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Недавно прошелся по всем наиболее заметным темам в разделе, где обсуждаются способы защиты сетевого соединения, и составил их краткий список в доступной и понятной форме. Замечу, что используемый в примерах OpenVPN может быть куплен и у зарубежной компании с использованием анонимных платежных систем, наподобие LibertyReserve, зарегистрированным на несуществующую личность.

    Работающая схема 1: OpenVPN + SSH

    Работающая схема 2: HTTP-proxy + OpenVPN + SSH

    Работающая схема 3: HTTP-proxy + OpenVPN + двойной перекрывающий SSH

    Работающая схема 4: HTTP-proxy + OpenVPN + двойной перекрывающий SSH + дедик

    Работающая схема 5: HTTP-proxy + OpenVPN + двойной перекрывающий SSH + дедик + SSH

    Работающая схема 6: HTTP-proxy + OpenVPN + двойной перекрывающий SSH + дедик + двойной перекрывающий SSH

    Работающая схема 7: HTTP-proxy + OpenVPN + двойной перекрывающий SSH + VPN с выделенным IP на VPS (автоматически меняет IP-адрес VPS, закрывая истинный) + двойной перекрывающий SSH (VPS закрыт, даже в случае простукивания через двойной перекрывающий SSH наткнутся на выделенный IP VPN, VPS будет сохранен и может быть использован дальше)

    Работающая схема 8: HTTP-proxy + OpenVPN + защищенная DiskCryptor виртуальная машина + двойной перекрывающий SSH

    Работающая схема 9: HTTP-proxy + OpenVPN + защищенная DiskCryptor виртуальная машина + OpenVPN + двойной перекрывающий SSH

    Работающая схема 10: 3G-модем с левой сим-картой\WiFi + HTTP-proxy + OpenVPN + двойной перекрывающий SSH... (см. начиная от Схемы 3)

    Работающая схема 11: HTTP-proxy + OpenVPN + двойной перекрывающий SSH + дедик + двойной перекрывающий SSH + дедик (сильно падает скорость)

    Работающая схема 12: HTTP-proxy + OpenVPN + TOR + VPS с RealVNC (дедик уязвим)

    Работающая схема 13: HTTP-proxy + OpenVPN + SSH + TOR, соксифицированный на SSH + VPS с RealVNC + двойной перекрывающий SSH (закрыт дедик и IP OpenVPN для входа в TOR)
     
    #106 black_berry, 26 Jul 2012
    Last edited: 27 Jul 2012
  7. ViewSvin

    ViewSvin Banned

    Joined:
    31 Jan 2012
    Messages:
    20
    Likes Received:
    0
    Reputations:
    -1
    Спасибо, отличная схема... как скорость на последних вариантах, не тестировали?
     
  8. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Последние 2 варианта акутальны при тонкой настройке TOR, когда время смены конечного IP увеличено, чтобы связь с дедиком не рвалась. Вполне возможно, что будет сильно тормозить.
     
  9. CTO

    CTO Member

    Joined:
    9 Sep 2011
    Messages:
    75
    Likes Received:
    7
    Reputations:
    0
    Для того, чтобы последняя нода не прыгала к определенному адресу.
    Для фиксации выходного узла для заданых доменов, надо добавить в конец torrc строку:
    TrackHostExits paypal.com, vk.com
    Прописать туда IP не пробовал, но подозреваю , что сработает.
    или
    наверника, если задать одну ноду на выход и ничего больше.
    EntryNodes nickname
    тут подробнее описано и показано.
     
    #109 CTO, 29 Jul 2012
    Last edited: 29 Jul 2012
  10. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Поскольку государство окончательно озверело и оскотенело, что достаточно понять хотя бы прочитав эту новость - https://forum.antichat.ru/thread345405.html, я снимаю с себя моральную ответственность за дальнейшие публикации в этой теме в области противодействия их античеловеческим методам информационного геноцида, планомерного геноцида гражданского общества с параллельным сохранением тотального бардака, коррупции и беспредела во всех социальных сферах. "Тотальный контроль вместо порядка и справедливости" - вот лозунг этих выродков. С момента принятия этого закона мною будет осуществлена рассылка электронных писем во все крупные зарубежные OpenVPN-компании с подробной информацией о том, как проявляются последствия блокировки анонимизаторов на сетевом соединении, также эта информация будет опубликована в моем сайте в открытом доступе. Мной будут последовательно изложены используемые способы шифрования канала связи (OpenVPN, SSH, VNC, Tor, Radmin), а также любые нарушающие работоспособность данных зашифрованных каналов действия со стороны Интернет-провайдеров. Будет подробно расписана продолжительность использования зашифрованных соединений, номер порта, страна (локация) сервера, как выглядит попытка нарушения зашифрованного соединения.

    Работа этой недоделанной уёбищной партии "Единая Россия" окончательно перешла все грани морали и адекватности. Помимо "черных списков", они хотят блокировать зашифрованные соединения так же, как это делается в Иране. Это говорит о том, что для российского государства само общество является гораздо большим врагом, чем внешние угрозы. Суть в том, что неэффективная работа государственных служб вызывает логично обоснованное возмущение людей, государство не видит в этом проблемы или не хочет видеть. Оно видит проблему в другом, а именно - в самом факте возмущения людей.

    Оригинал новости о блокировке анонимайзеров: http://lifenews.ru/news/98653

    Интересна цитата:

    Фактически, блокировка сайтов с ДП, пропагандой наркотиков и инструкций по суицидам, равно как и блокировка анонимайзеров показывает полную несостоятельность и профессиональную некомпетентность федеральных и региональных органов исполнительной власти в поиске корня проблемы и ее решения. Блокировка анонимайзеров говорит о некомпетентности в вопросах международного сотрудничества российских и зарубежных правоохранительных органов. Примечательно, что американские правоохранители связываются с владельцами датацентров, получают от них логи доступа, определяют IP-адреса педофилов, даже если те использовали средства анонимизации, а затем получают ордер на арест, если педофил проживает в одной из европейских стран. Российские же парламентарии считают, что закрыв доступ к сайтам с детской порнографией, педофилия исчезнет сама по себе как явление (ИМХО в том, что подобными решениями депутаты создают видимость борьбы с угрозой, чтобы не раздражать общественность своим полным бездействием и некомпетентностью в таких вопросах). Проще говоря, проблема распространения незаконного контента рассмотрена в корне под неверным углом, откуда был выбран абсолютно неэффективный и непродуктивный вектор ее решения. ДП, пропаганда наркотиков, способов самоубийства появились не в сети Интернет, эти проблемы появились ввиду различных аспектов в реальной жизни людей, но "виноватым" в этих проблемах решили сделать Интернет. Возможно, они пошли таким путем чтобы в дальнейшем не предпринимать никаких шагов к ее решению в реале, параллельно создав видимость борьбы с ней, чтобы в будущем к ним не было претензий в бездействии. А проблемы эти - социальные проблемы, а не "виртуальные" и "интернетовские", и они никуда не денутся после создания "черных списков" и блокировки анонимайзеров. В реальной жизни эти проблемы есть и будут существовать какими бы жесткими не были ограничения в Интернете, только парламентарии это естественно никогда не признают. От того, что будут введены ограничения, суицидники, наркоманы и педофилы не испарятся как по взмаху волшебной палочки, они лишь будут искать другие способы удовлетворения своих потребностей. Если человек захочет совершить самоубийство, он сделает это независимо от того насколько жесткие ограничения введены в Интернете - он просто найдет другой источник информации. Если человек захочет употреблять наркотики, он найдет способ их купить или сделать самому независимо от того насколько жесткие ограничения введены в Интернете - он пойдет в неблагополучные кварталы города. Если человек педофил, он найдет способ сделать мерзость независимо от того насколько жесткие ограничения введены в Интернете - он выключит Интернет и пойдет на улицу.

    Анонимайзеры будут блокировать, чтобы федеральным и региональным органам исполнительной власти было проще работать, проще следить за людьми, чтобы в дальнейшем иметь на них рычаги манипуляции и воздействия. Наркоманы, суицидники и педофилы не интересны государству - государству для наблюдения интересны те, кто несогласен с политикой, кто недоволен социальными проблемами и неэффективностью их решения, кто может оказать какое-то воздействие на принимаемые в стране решения, используя для общения Интернет. В случае блокировки траффик будет идти в открытом виде, что сделает его перехват на уровне DPI очень легкой задачей. Блокировка анонимайзеров означает, что DPI провайдера (СОРМ) в настоящее время не может дешифровывать абсолютно весь зашифрованный траффик. Если анонимайзеры захотят блокировать, значит они действительно надежны.

    Возможные схемы противодействия (необходимо тестирование на каждом провайдере):

    1) купленный RDP-сервер (порт 3389, не является анонимизатором) + SSH + TOR

    2) купленный RDP-сервер (порт 3389, не является анонимизатором) + 2SSH

    3) купленный RDP-сервер с установленным RealVNC (любой порт, соединение зашифровано AES-256) + 2SSH

    4) OpenVPN на нестандартных TCP портах (443, 80) при блокировке провайдерами 1194 порта UDP

    5) локальная машина - SSH + Tor (SSH на 22-м порту, затем на нестандартном в целях проверки блокировки анонимизатора на уровне порта; в случае блокировки нижестоящего SSH на любых портах вероятно использование интеллектуальной системы DPI на стороне провайдера, в возможности которой входит определение и автоматическая блокировка всего зашифрованного траффика.)

    Можно найти в Сети порты игровых серверов или сервисов, где шифрование используется по умолчанию, например, Jabber-сервер работает на порту 5222. Если поднять OpenVPN\SSH-сервер на порту 5222, траффик по данному направлению может выглядеть как подключение к Jabber-серверу, соединение к которому зашифровано по умолчанию. Аналогичным образом, серверы игры CounterStrike 1.6 поднимаются на портах 27015-27082; информация, передаваемая по этому направлению также зашифрована и распознается только сервером и клиентом (игрой). Полный список портов и соответствующих им сервисов можно скачать здесь:

    http://www.donkboy.com/html/ports2.htm

    6) логическое оправдание наличия зашифрованного соединения если на таковое потребуется разрешение у провайдера:

    а) "Я организую локальную сеть поверх Интернет-канала, поскольку работаю в виртуальном офисе, мы обмениваемся документами, решаем общие задачи по разработке новых приложений, создаем сайты. Зашифрованный OpenVPN необходим для удобной работы, после его подключения получается так, словно мы сидим в одной комнате в одном компьютерном клубе."

    б) "Я организую OpenVPN-подключение т.к. мы договариваемся с друзьями по Интернету и играем в сетевые игры, мы предварительно переписываемся в джаббере и запускаем одновременно игру."

    в) "Я организую OpenVPN-подключение для того чтобы мой компьютер был виден из Интернета. OpenVPN-соединение имеет белый выделенный IP-адрес."

    г) "Я организую OpenVPN-подключение поскольку на моем компьютере установлен виртуальный сервер, основная аудитория которого - жители той страны, к которой подключается OpenVPN. Для того чтобы жителям этой страны можно было заходить на сервер без проблем, я использую OpenVPN с IP-адресом их страны, чтобы скачка от меня была для них быстрее и удобнее"

    д) "Я использую SSH-доступ для администрирования своего сайта."

    е) "Я использую приложение, которое работает на 22\443 TCP порту. О том, что данный порт является портом для организации безопасных соединений в сети Интернет, я слышу в первый раз. Данное приложение называется RealVNC (в настройках сервера RealVNC можно вписать любой свободный TCP-порт для организации входящих подключений) и предназначено для организации связи с удаленными компьютерами. Удаленный компьютер играет роль шлюза между мной и пользователями, которые также подключены к нему, благодаря чему я могу общаться с ними, администрировать сеть, помогать им в устранении неполадок, обновлять программные компоненты на их компьютерах и создавать условия для комфортной, удобной и безопасной работы"

    ' 22 и 443 порты используются для подключения к OpenVPN, но определить отличия зашифрованного траффика, характерного для OpenVPN и траффика, характерного для RealVNC, может только DPI.

    ж) "Я использую приложение, которое работает на 21 порту TCP и называется Golden FTP Server. В настройках данного сервера можно указать любой порт для организации входящих подключений. С данным FTP-сервером я осуществляю обмен информацией, закачиваю и загружаю бесплатные дистрибутивы операционных систем с открытыми исходными кодами (FreeBSD, Debian, Ubuntu), бесплатные графические файлы, собственную музыку и личное видео для круга моих друзей, которые тоже являются пользователями данного FTP-сервера."

    ' 21 порт TCP используется на SSH-сервере. Доказать что на 21 порт идет именно зашифрованный траффик, а не передается файл образа\игры\видео\графики, сможет только DPI.

    Если государство будет блокировать доступ к российским анонимайзер-компаниям, которые специализируются на продаже услуг OpenVPN, можно будет понять какие из русских компаний находятся "под колпаком" государства, с которых оно имеет часть денег (их не заблокируют для русского сегмента), а какие существуют независимо. Вероятнее всего, независимые окажутся в "черном списке".

    Более подробно прочитать по DPI и их возможности можно по этим ссылкам:

    1) http://www.ipoque.com/en/products
    2) http://www.sonicwall.com/us/products/Network_Security_Appliances.html
    3) http://www.proceranetworks.com/

    Интересны эти ссылки:

    1) http://www.ipoque.com/en/products/dpx-network-probe

    Краткое описание: http://www.ipoque.com/sites/default/files/mediafiles/documents/data-sheet-dpx-network-probe.pdf
    Поддерживаемые протоколы: http://www.ipoque.com/sites/default/files/mediafiles/documents/data-sheet-protocol-support.pdf

    Распознавание протоколов на уровне оборудования DPI может использоваться в том числе для ограничения скорости по данным протоколам или для их полной блокировки.

    2) http://www.proceranetworks.com/en/pre-packetlogic-real-time-enforcement.html
    3) http://www.proceranetworks.com/en/pic-packetlogic-intelligence-center.html

    При блокировке может быть использован компрессор траффика Globax.biz, который используется для отправки запросов пользователями спутникового Интернета, разбросанными по всей территории России. Данную программу можно попытаться использовать для обхода блокировки, она работает как на спутниковом интернете (запросный канал), так и для сжатия и шифрования наземного канала связи, работая при этом в качестве анонимайзера.

    DPI, как правило, блокирует траффик, распознавая "отпечатки", характерные для использования тех или иных протоколов. Если вы используете OpenVPN, DPI провайдера легко распознает ваш траффик на уровне порта и заголовков, и сможет выставить для этого протокола любые правила. В частном случае (Иран), блокировка осуществляется следующим образрм: блокирование на уровне DPI (зашифрованные протоколы) + порты + ключевые слова для выдачи контента. При самом факте подключения к OpenVPN вас в Иране рубит (после "хэндшейка" соединение с OpenVPN-сервером разрывается), при подключении к Tor вас рубит, при подключении к PPTP\L2TP вас рубит. Для примера, приведу анализ попыток обхода блокировки.

    В случаях c Казахстаном, Пакистаном, Объединенными Арабскими Эмиратами и Китаем было замечено вот что:

    1) Несмотря на широко распространяемые в Интернете новости о том, что Пакистан блокирует все зашифрованные соединения, мне удалось с помощью взломанных Пакистанских туннелей соединиться с Египтом на 22 TCP порту (порт соединения с SSH-сервером), тем самым организовав зашифрованный туннель до Египта. Это позволило мне сделать вывод, что государственная цензура в Пакистане не столь сильно блокирует шифрование, как это могло бы быть представлено в западных средствах массовой информации. Система DPI Пакистана, вероятно, блокирует большинство попыток доступа к запрещенным ресурсам, однако оно не смогло заблокировать попытку организации соединения по протоколу SSH.

    2) Несмотря на широко распространяемое в Интернете мнение о том, что Китай использует системы блокирования траффика, через взломанные китайскиие туннели я организовал SSH-туннель до узла в Египте, через которые впоследствие можно было получить нефильтрованный китайской DPI контент в обход цензуры. К примеру, таким образом я смог получить контент с сайта youtube.com. Без перекрывающего туннеля при попытке зайти на этот сайт появлялась ошибка 404.

    3) При использовании SSH-туннеля из Казахстана я не заметил каких-либо блокировок сайтов с анонимайзерами и компаниями, предоставляющими OpenVPN-доступ, также не было замечено и блокировки ЖивогоЖурнала. Возможно, это туннель не принадлежал провайдеру "Казахтелеком".

    4) В случае с ОАЭ ситуация обстояла так же, как и с Китаем: при попытке захода на сайты с порнографией высвечивался значок на арабском и заголовок страницы "Site is blocked", после подключения перекрывающего туннеля до Западной Европы все сайты открывались нормально.

    Вывод: некоторые провайдеры из стран с жесткой Интернет-цензурой пропускают зашифрованный протокол SSH, что позволяет пользователям, в том числе, пользователям из другой страны, получать контент с запрещенных узлов связи. Аналогичным образом я тестировал китайские и пакистанские туннели с протоколом удаленного администрирования.

    В странах Содружества Независимых Государств (в том числе Российской Федерации), учитывая их настойчивые попытки блокирования траффика, можно попробовать следующее:

    Официальный сайт: http://www.globax.biz
    Способы пополнения баланса для ИнтерКассы: http://www.pay2sat.com

    Мониторинг использования Tor для обхода цензуры в антинародных странах: https://metrics.torproject.org/users.html?graph=direct-users&start=2012-08-01&end=2012-08-22&country=ru&dpi=150#direct-users

    Американские и британские программисты пытаются обойти блокировку Tor в Иране: http://news.ycombinator.com/item?id=3575029

    Пособие по обходу цензуры в Интернете: http://booki.flossmanuals.net/bypassing-ru/_full/

    Возможности DPI на примере дела Савельевой Е.С. (скриншоты переговоров ICQ прилагаются): http://alturl.com/wpd6k
    _______________________________________________

    Только мертвые видели конец войны. © Платон
     
    #110 black_berry, 6 Aug 2012
    Last edited: 13 Oct 2012
    3 people like this.
  11. [anonimo]

    [anonimo] New Member

    Joined:
    12 Aug 2012
    Messages:
    56
    Likes Received:
    2
    Reputations:
    0
    Спасибо за замечательную статью, как раз то что нужно было, анонимность всегда должны быть первой
     
  12. smirk

    smirk Elder - Старейшина

    Joined:
    8 Sep 2011
    Messages:
    137
    Likes Received:
    43
    Reputations:
    26
    black_berry, спасибо вам большое за столь прекрасно изложенный и интересный материал, прочитав всю тему очень много нового для себя почерпнул. У вас случаем нет своего блога?
     
  13. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    smirk привет, в блоге я не вижу особой необходимости, все свои мысли я могу написать тут.

    Здесь будут выкладываться списки туннелей, проданных недобросовестным покупателям. Приведу пару схем, которые они могут использовать для злоупотребления сервисом:

    1)
    а) интересуются номером кошелька
    б) закидывают на него деньги
    в) говорят из какой страны им нужен туннель
    г) урабатывают туннель, вопреки правилам сервиса, через несколько минут после продажи делают невозможным подключение к серверу (либо ддосят, либо забивают спам-траффиком)
    д) ссылаясь на неработоспособность туннеля, просят новый без последующей оплаты

    2)
    а) договариваются о сделке
    б) перечисляют защищенный платеж
    в) отказываются говорить код защиты или говорят неверный

    Список туннелей:

    Франция: plink.exe -ssh 195.49.134.254 -C -N -l admin -pw admin -D 8081 -v

    Дания: plink.exe -ssh 80.160.101.226 -C -N -l root -pw admin -D 8081 -v

    США: plink.exe -ssh 128.120.134.54 -C -N -l admin -pw root -D 8081 -v

    США: plink.exe -ssh 128.120.140.146 -C -N -l admin -pw root -D 8081 -v

    США: plink.exe -ssh 67.223.193.148 -C -N -l admin -pw admin -D 8081 -v

    В соответствии с правилами моего сервиса я никогда не продаю один туннель несколько раз, а поскольку некоторые из этих туннелей все еще могут быть рабочими, я посчитал справедливым предоставить их обществу.

    Инструкции по настройке: http://www.blackbrier.eu/rus/

    Можете использовать эти туннели по вашему усмотрению.
     
    #113 black_berry, 12 Sep 2012
    Last edited: 12 Sep 2012
    2 people like this.
  14. nikola4

    nikola4 New Member

    Joined:
    11 Oct 2012
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    black_berry, спасибо Вам за схемы, многое для себя узнал
     
  15. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    Все это можно 2 нескольких строках рассказывать.. не вижу смысла ввести школоту в заблуждения.
    black_berry, мне кажется, или ты всем принуждаешь или уговариваешь использовать свои туннели? может что то в этом есть "за кулисами" :) ничего личнего, просто спрашиваю.

    А по поводу запретов и т.п. дел - это все xуита. на словах. вон, закрыли несколько сайтов, по запросу ФСБ.. где то даже официальный документ был к этому. И что? проблема решился ? нет. и не будет решена, пока не будет lavel 7 блокировка.
    А все твои туннели - RDP - защелкают как орехи :D )))))))))))
     
  16. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    B1t.exe, расскажи то что ты знаешь, публично. Смысла скрывать что-либо нет, мы ведь оба законопослушные граждане. Я рассказал то что знаю, по крайней мере некоторую часть.

    У каждого есть свободный выбор, я никого ни к чему не принуждаю. Если захотят люди - поверят мне. Не захотят - не поверят. Убеждать кого-либо в чем-либо я не собираюсь.
     
  17. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    да, отличная статья, это всё к этому ведёт, закроют торренты, сайты про митинги, всё заблокируют, боятся они, ох как, но умные люди всегда обойдут это!
    ps могут и до этого форума добратся, что бы люди не могли общатся.
    PS2 а помимо зашифрованных туннелей я шифрую и текст и файлы своим софтом со своим алгоритмом
     
    #117 GAiN, 12 Oct 2012
    Last edited: 12 Oct 2012
  18. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    black_berry

    я ничего против тебя и твоих статей не имею, просто сильно давишь с своими тунелями и SSL, какбудто весь интернет основан на них только.
    А я писать т.п. вещи не буду, нехочу выблядеть безумцем :D

    посмотри на все это, что ты пишешь , с другого ракурса. Посмотри за кого ты и против кого? попробуй читать между строк. у тебя параноя, которая тебе не к добру несет.

    Всегда знай, за кого ты (© Lord of War)
     
  19. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    У людей есть свобода выбора, в том числе выбор читать статьи или нет. Если лично тебе кажется что в них есть давление, перейди на другую страницу, откажись от прочтения. Аналогично - если тебе не нравится читать новости на каком-то портале, не заходи на него. Кто заставляет?

    Хорошо сказано.

    Насколько я знаю, именно чтение между строк приводит к паранойе и в последующем - к тяжелой прогрессирующей шизофрении с обманами восприятия (галлюцинации, бред, нарушение мышления). Человек начинает видеть то и думать о том, чего не существует на самом деле. Яркий пример - математик Джон Нэш, фильм "Игры Разума". А начинал он как раз с "чтения между строк" в газетах и журналах.

    Ты только за меня не переживай, ага? Если я попаду в психбольничку, я тебе первому дам об этом знать.
     
  20. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    black_berry

    ты опять мои слова воспринимаешь как вызов ))))))) это не так, поверь.
    я хотел вот что сказать:
    Если заинтересуешь - достанут хоть из под земли, уж поверь мне.