«Игра в прятки»: Немного о технологиях анонимности в интернете

Безопасность в интернете всегда была горячей темой для обсуждения. В частности, очень популярными остаются вопросы обеспечения анонимности в сети.

Сегодня нам бы хотелось вернуться к теме ИБ и провести небольшой обзор таких решений, как VPN, прокси, Tor и нескольких других.

37906f2a69d94ae3bb8bcdcb2feda537.jpg
/ фото Magnus CC

Прокси-серверы


Суть работы прокси-серверов заключается в перенаправлении трафика через себя, как посредника. Таким образом, узел назначения будет считать, что запрос был направлен не вами, а прокси-сервером. Это решение позволяет обходить различные ограничения сети, которые устанавливают некоторые сервисы (в частности блокировку по географическому положению).

Существует несколько видов прокси-серверов. Первый — это веб-прокси, которые пропускают через себя только HTTP-траффик, по умолчанию добавляя в передаваемый траффик данные о применении прокси. Одним из недостатков этого решения является отсутствие поддержки скриптов и плагинов Java и Adobe Flash. Кроме того, многие веб-прокси используются огромным количеством пользователей, потому они легко могут попасть в список заблокированных на большинстве сетевых ресурсов.

Второй вид прокси — это SOCKS прокси-серверы. Протокол SOCKS находится на сеансовом уровне модели OSI. За счет этого достигается независимость от высокоуровневых протоколов (HTTP, FTP, РОРЗ и так далее), что позволяет SOCKS пропускать через себя весь траффик, а не только HTTP. Поэтому с их помощью вы можете, например, загружать файлы по FTP и отправлять электронную почту.

Отдельно можно отметить CGI-прокси или так называемые анонимайзеры, которые представляют собой веб-сервер с формой, в которую пользователь вводит адрес нужного ему сайта. После этого открывается страница запрошенного ресурса, но в адресной строке браузера отображается адрес CGI-прокси. CGI-прокси, как и любой веб-сервер, может использовать HTTPS для защиты канала связи между собой и клиентом.

»+»:

  • Общественные прокси-серверы являются бесплатными
  • В большинстве случаев их достаточно для простой навигации по интернету
  • Позволяют обходить ограничения сети
  • Позволяют обходить ограничения по территориальному признаку

»–»:
  • Большинство реализаций не используют шифрование данных
  • Общественные прокси-серверы зачастую нестабильны
  • Наиболее популярные прокси блокируются многими сайтами

Tor


Tor является одной из самых популярных технологий для сокрытия личности в интернете и первой, специализирующейся на этом. Однако нужно четко разделять анонимность и защищенность. Эта технология не позволяет защитить ваши данные от перехвата вне сети Tor или скрыть содержимое от чужих глаз, поскольку информация шифруется лишь внутри самой системы.

Однако даже несмотря на уязвимость трафика на входе и выходе сети, Tor не позволяет связать эти данные с вами. Основной идеей системы является перенаправление трафика через несколько анонимных серверов таким образом, что на выходе из сети узел назначения видит только конечный сервер, который считается источником данных.

Трафик перенаправляется через произвольное количество серверов (но не менее трех), что позволяет достаточно хорошо скрыть реальный источник информации путем «запутывания» метаданных. Такая система перенаправления называется луковой маршрутизацией, когда каждый узел в сети может расшифровать только часть сообщения с инструкциями о перенаправлении трафика.

Выходной же узел полностью расшифровывает сообщение и перенаправляет его конечному узлу открытой сети. Для этого Tor формирует канал перенаправления и получает ключи шифрования от всех узлов сети, входящих в данный канал. Полученные ключи передаются отправителю информации, которые он использует для шифрования данных перед их отправкой.

Tor предоставляет высокоуровневую сетевую анонимность, но обеспечение настоящей анонимности — проблема, решение которой найти почти невозможно. Идет «гонка вооружений» между разработчиками сети Tor и хакерами, желающими получить возможность разоблачать пользователей сети. Стоит отметить, что на сеть Tor были проведены успешные хакерские атаки. Поэтому нельзя утверждать, что она позволяет скрыть личность со 100% гарантией. Однако Tor все еще остается одним из наиболее эффективных и надежных средств обеспечения анонимности.

»+»:

  • Обеспечивает анонимность путем маскировки действительного источника данных
  • Обеспечивает шифрование данных внутри самой сети Tor
  • Хороший дополнительный уровень защиты

»–»:
  • Сеть Tor не обеспечивает защищенность данных, поскольку не реализует шифрование по типу «точка-точка» Необходимо использовать другие прикладные системы шифрования, например HTTPS
  • Сеть зависит от добровольцев, поддерживающих работоспособность серверов внутри системы
  • Сеть была подвержена атакам хакеров и спецслужб

VPN


Принцип работы VPN схож с Tor и прокси-серверами. При подключении к VPN вы перенаправляете свой поток данных через частную сеть. Внутри этой сети существуют свои серверы (интранет) и выходной узел (как и в случае с Tor). Таким образом, если вы соединяетесь с интернетом через VPN, узел назначения может видеть только адрес VPN-сервера.

В отличие от серверов Tor, VPN-серверы поддерживают крупные компании, которые зачастую придерживаются принципа запрета на ведение логов, а это дополнительно повышает безопасность. Практически все коммерческие VPN-провайдеры предлагают на выбор две реализации: OpenVPN и PPTP. Реже предлагаются варианты L2TP+IPSec и SSTP. Отдельно стоит отметить сервисы, предоставляющие DoubleVPN, когда перед выходом в интернет трафик проходит через два разных VPN-сервера в разных странах, и QuadVPN — в этом случае фигурируют сразу 4 сервера.

»+»:

  • Обеспечивает хорошее шифрование
  • VPN предоставляют дополнительные системы безопасности: межсетевые экраны с NAT, защита от DNS-утечек, частные DNS и др.

»–»:
  • Запуск VPN на компьютере требует дополнительных вычислительных мощностей
  • Ваш трафик виден администраторам VPN-серверов (чего можно избежать при использовании шифрования с помощью SSL/TSL)

Сочетание Tor и VPN


VPN является отличным способом защиты данных, который в комбинации со средствами обеспечения анонимности в сети (Tor) позволяет добиться более высокого уровня «спокойствия».

Tor через VPN

VPN-сервер при такой схеме является постоянным входным узлом, после него шифрованный трафик отправляется уже в сеть Tor. На практике схема реализуется просто: сначала производится подключение к VPN-серверу, далее запускается Tor-браузер, который автоматически настроит нужную маршрутизацию через VPN-тоннель.

Такая схема позволяет скрыть сам факт использования Tor от интернет-провайдера. А в случае теоретической компрометации Tor, нас защитит рубеж VPN, который не хранит логов. Отметим, что использование прокси-сервера вместо VPN лишено смысла: без шифрования, обеспечиваемого VPN, такая схема не имеет каких-либо значимых плюсов.

»+»:

  • Ваш провайдер не будет знать, что вы используете Tor (хотя может знать, что вы используете VPN)
  • Узел входа в сеть Tor не будет знать ваш настоящий IP-адрес
  • Позволяет получить доступ к скрытым адресам в сети Tor (.onion)

»–»:
  • VPN-провайдер будет знать ваш действительный IP-адрес
  • Отсутствует защита от уязвимости на узлах выхода из сети Tor

VPN через Tor

При подобной схеме сначала происходит шифрование данных для пересылки их на VPN-сервер, а потом их трансфер через сеть Tor. В этом случае необходимо настроить VPN-клиент на работу с Tor.

Подобная схема подключения может использоваться для обхода блокировки узлов Tor внешними ресурсами, плюс она должна защитить трафик от прослушивания на выходном узле. Важно также отметить, что любой выходной узел легко выделит клиента в общем потоке, так как большинство пользователей идут на разные ресурсы, а в этой схеме клиент идёт всегда на один и тот же VPN-сервер. Естественно, что использование обычных прокси-серверов после Tor не имеет особого смысла, так как траффик до прокси не шифруется.

»+»:

  • VPN-провайдер не знает о действительном IP-адресе источника, а знает только IP-адрес выходного узла сети Tor
  • Обеспечивается защита от уязвимости выходных узлов сети Tor, поскольку весь трафик зашифрован VPN-клиентом
  • Позволяет выбрать местоположение серверов
  • Весь интернет-трафик идет через сеть Tor, даже если программы изначально её не поддерживают

»–»:
  • Ваш VPN провайдер может видеть ваш трафик, хотя и не может связать его с вами
  • Сложная реализация схемы

Whonix


Дополнительно отметим, что для обеспечения анонимности существуют специально разработанные операционные системы. Одной из таких ОС является Whonix. Ее работа основана на двух ОС Debian, работающих на виртуальных машинах VirtualBox.

В такой конфигурации одна система является шлюзом, отправляя весь трафик через сеть Tor, а вторая — изолированной рабочей станцией, которая подключается к сети только через шлюз. Такой механизм называется изолирующим прокси-сервером. Эта схема позволяет избежать многих уязвимостей, связанных с программным обеспечением на рабочей станции, поскольку сама машина не знает своего внешнего IP-адреса.

ОС Whonix реализует много полезных механизмов анонимности. Например, она способна обеспечить безопасный хостинг сервисов — даже если злоумышленник взломал веб-сервер, он не сможет украсть закрытый ключ. Также Whonix поддерживает мосты, позволяющие скрывать от провайдера факт использования Tor, и предлагает возможность туннелирования через другие анонимные сети, такие как Freenet, I2P и др. Более подробные данные об особенностях таких подключений вы сможете найти по ссылке.

Эта система протестирована и хорошо документирована, а также прекрасно работает со всеми комбинациями Tor/VPN/Proxy, однако все же обладает определенными недостатками. К ним можно отнести достаточно сложную настройку и необходимость поддержки двух виртуальных машин или отдельного физического оборудования. Также стоит отметить, что проект Whonix развивается независимо от Tor и входящих в него инструментов, поэтому не способен защитить от их уязвимостей.

Вместо заключения: другие способы обеспечения анонимности


Кроме перечисленных выше способов «анонимизации», существуют десятки отдельных проектов, посвященных анонимности в интернете. Сегодня активно развиваются следующие решения: Freenet, GNUnet, JAP, RetroShare, Perfect Dark. Также интерес могут представлять анонимные сети, построенные на основе Wi-Fi, позволяющие достичь независимости от интернет-провайдеров: проект Byzantium, проект Netsukuku, проект B.A. T.M.A. N.

Дополнительное чтение: IaaS-дайджест — 25 материалов о трансформации технологий и бизнеса.

Комментарии (0)

© Habrahabr.ru