Защита данных в публичных wi fi сетях. Что такое VPN? Что такое PPP

02.03.2019

Первое, что приходит в голову при упоминании VPN, - это анонимность и защищенность передаваемых данных. Так ли это на самом деле? Давай разберемся.

Когда необходимо получить доступ к корпоративной сети, безопасно передать важную информацию по открытым каналам связи, скрыть свой трафик от бдительного взора провайдера, скрыть свое реальное местоположение при проведении каких-либо не совсем законных (или совсем не законных) действий, обычно прибегают к использованию VPN. Но стоит ли слепо полагаться на VPN, ставя на кон безопасность своих данных и собственную безопасность? Однозначно - нет. Почему? Давай разбираться.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

VPN нам нужен!

Виртуальная частная сеть, или просто VPN, - обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети, например интернета. Несмотря на то что коммуникации могут быть реализованы через публичные сети с неизвестным уровнем доверия, уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений). Как видишь, в теории все радужно и безоблачно, на практике же все несколько иначе. В этой статье мы рассмотрим два основных момента, которые обязательно нужно принимать во внимание, пользуясь VPN.

Утечка VPN-трафика

Первая проблема, связанная с виртуальными частными сетями, - это утечка трафика. То есть тот трафик, который должен быть передан через VPN-соединение в зашифрованном виде, попадает в сеть в открытом виде. Данный сценарий не является следствием ошибки в VPN-сервере или клиенте. Здесь все гораздо интереснее. Самый простой вариант - внезапный разрыв VPN-соединения. Ты решил просканировать хост или подсеть с помощью Nmap, запустил сканер, отошел на несколько минут от монитора, и тут VPN-соединение внезапно отвалилось. Но сканер при этом продолжает работать. И сканирование идет уже с твоего адреса. Вот такая неприятная ситуация. Но есть сценарии и интересней. Например, утечка VPN-трафика широко распространена в сетях (на хостах), поддерживающих обе версии протокола IP (так называемые dual-stacked сети/хосты).

Корень зла

Сосуществование двух протоколов - IPv4 и IPv6 - имеет множество интересных и тонких аспектов, которые могут приводить к неожиданным последствиям. Несмотря на то что шестая версия протокола IP не имеет обратной совместимости с четвертой версией, обе эти версии как бы «склеены» вместе системой доменных имен (DNS). Чтобы было понятней, о чем идет речь, давай рассмотрим простенький пример. Например, возьмем сайт (скажем, www.example.com), который имеет поддержку IPv4 и IPv6. Соответствующее ему доменное имя (www.example.com в нашем случае) будет содержать DNS-записи обоих типов: А и АААА. Каждая А-запись содержит один IPv4-адрес, а каждая АААА-запись содержит один IPv6-адрес. Причем для одного доменного имени может быть по несколько записей обоих типов. Таким образом, когда приложение, поддерживающее оба протокола, захочет взаимодействовать с сайтом, оно может запросить любой из доступных адресов. Предпочитаемое семейство адресов (IPv4 или IPv6) и конечный адрес, который будет использоваться приложением (учитывая, что их существует несколько для четвертой и шестой версий), будет отличаться от одной реализации протокола к другой.

Это сосуществование протоколов означает, что, когда клиент, поддерживающий оба стека, собирается взаимодействовать с другой системой, наличие А- и АААА-записей будет оказывать влияние на то, какой протокол будет использоваться для связи с этой системой.

VPN и двойной стек протоколов

Многие реализации VPN не поддерживают или, что еще хуже, полностью игнорируют протокол IPv6. При установке соединения программное обеспечение VPN берет на себя заботу по транспортировке IPv4-трафика - добавляет дефолтный маршрут для IPv4-пакетов, обеспечивая тем самым, чтобы весь IPv4-трафик отправлялся через VPN-соединение (вместо того чтобы он отправлялся в открытом виде через локальный роутер). Однако, если IPv6 не поддерживается (или полностью игнорируется), каждый пакет, в заголовке которого указан IPv6-адрес получателя, будет отправлен в открытом виде через локальный IPv6-роутер.

Основная причина проблемы кроется в том, что, хотя IPv4 и IPv6 - два разных протокола, несовместимых друг с другом, они тесно используются в системе доменных имен. Таким образом, для системы, поддерживающей оба стека протоколов, невозможно обеспечить безопасность соединения с другой системой, не обеспечив безопасность обоих протоколов (IPv6 и IPv4).

Легитимный сценарий утечки VPN-трафика

Рассмотрим хост, который поддерживает оба стека протоколов, использует VPN-клиент (работающий только с IPv4-трафиком) для подключения к VPN-серверу и подключен к dual-stacked сети. Если какому-то приложению на хосте нужно взаимодействовать с dual-stacked узлом, клиент обычно запрашивает и А-, и АААА-DNS-записи. Так как хост поддерживает оба протокола, а удаленный узел будет иметь оба типа DNS-записей (А и АААА), то одним из вероятных вариантов развития событий будет использование для связи между ними IPv6-протокола. А так как VPN-клиент не поддерживает шестую версию протокола, то IPv6-трафик не будет отправляться через VPN-соединение, а будет отправляться в открытом виде через локальную сеть.

Такой вариант развития событий подвергает угрозе передаваемые в открытом виде ценные данные, в то время как мы думаем, что они безопасно передаются через VPN-соединение. В данном конкретном случае утечка VPN-трафика является побочным эффектом использования ПО, не поддерживающего IPv6, в сети (и на хосте), поддерживающей(ем) оба протокола.

Преднамеренно вызываем утечку VPN-трафика

Атакующий может преднамеренно вызвать подключение по протоколу IPv6 на компьютере жертвы, посылая поддельные ICMPv6 Router Advertisement сообщения. Подобные пакеты можно рассылать при помощи таких утилит, как rtadvd , SI6 Networks’ IPv6 Toolkit или THC-IPv6 . Как только соединение по протоколу IPv6 установлено, «общение» с системой, поддерживающей оба стека протоколов, может вылиться, как рассмотрено выше, в утечку VPN-трафика.

И хотя данная атака может быть достаточно плодотворной (из-за растущего числа сайтов, поддерживающих IPv6), она приведет к утечке трафика, только когда получатель поддерживает обе версии протокола IP. Однако для злоумышленника не составит труда вызвать утечки трафика и для любого получателя (dual-stacked или нет). Рассылая поддельные Router Advertisement сообщения, содержащие соответствующую RDNSS-опцию, атакующий может прикинуться локальным рекурсивным DNS-сервером, затем провести DNS-спуфинг, чтобы осуществить атаку man-in-the-middle и перехватить соответствующий трафик. Как и в предыдущем случае, такие инструменты, как SI6-Toolkit и THC-IPv6, могут легко провернуть такой трюк.

Совсем не дело, если трафик, не предназначенный для чужих глаз, попадет в открытом виде в сеть. Как же обезопаситься в таких ситуациях? Вот несколько полезных рецептов:

Если VPN-клиент сконфигурирован таким образом, чтобы отправлять весь IPv4-трафик через VPN-соединение, то:

если IPv6 VPN-клиентом не поддерживается - отключить поддержку шестой версии протокола IP на всех сетевых интерфейсах. Таким образом, у приложений, запущенных на компьютере, не будет другого выбора, как использовать IPv4;

если IPv6 поддерживается - убедиться, что весь IPv6-трафик также отправляется через VPN.

Чтобы избежать утечки трафика, в случае если VPN-соединение внезапно отвалится и все пакеты будут отправляться через default gateway, можно:
принудительно заставить весь трафик идти через VPN route delete 0.0.0.0 192.168.1.1 // удаляем default gateway route add 83.170.76.128 mask 255.255.255.255 192.168.1.1 metric 1

воспользоваться утилитой VPNetMon , которая отслеживает состояние VPN-соединения и, как только оно пропадает, мгновенно завершает указанные пользователем приложения (например, торрент-клиенты, веб-браузеры, сканеры);

или утилитой VPNCheck , которая в зависимости от выбора пользователя может либо полностью отключить сетевую карту, либо просто завершить указанные приложения.

Проверить, уязвима ли твоя машина к утечке DNS-трафика, можно на сайте , после чего применить советы, как пофиксить утечку, описанные .

Расшифровка VPN-трафика

Даже если ты все настроил правильно и твой VPN-трафик не утекает в сеть в открытом виде - это еще не повод расслабляться. Все дело в том, что если кто-то перехватит зашифрованные данные, передаваемые через VPN-соединение, то он сможет их расшифровать. Причем на это никак не влияет, сложный у тебя пароль или простой. Если ты используешь VPN-соединение на базе протокола PPTP, то со стопроцентной уверенностью можно сказать, что весь перехваченный зашифрованный трафик можно расшифровать.

Ахиллесова пята

При VPN-соединениях на базе протокола PPTP (Point-to-Point Tunneling Protocol) аутентификация пользователей проводится по протоколу MS-CHAPv2, разработанному компанией Microsoft. Несмотря на то что MS-CHAPv2 устарел и очень часто становится предметом критики, его продолжают активно использовать. Чтобы окончательно отправить его на свалку истории, за дело взялся известный исследователь Мокси Марлинспайк, который на двадцатой конференции DEF CON отчитался, что поставленная цель достигнута - протокол взломан. Надо сказать, что безопасностью этого протокола озадачивались и ранее, но столь долгое использование MS-CHAPv2, возможно, связано с тем, что многие исследователи концентрировались только на его уязвимости к атакам по словарю. Ограниченность исследований и широкое число поддерживаемых клиентов, встроенная поддержка операционными системами - все это обеспечило протоколу MS-CHAPv2 широкое распространение. Для нас же проблема кроется в том, что MS-CHAPv2 применяется в протоколе PPTP, который используется многими VPN-сервисами (например, такими крупными, как анонимный VPN-сервис IPredator и The Pirate Bay’s VPN).

Если обратиться к истории, то уже в 1999 году в своем исследовании протокола PPTP Брюс Шнайер указал, что «Microsoft улучшил PPTP, исправив основные изъяны безопасности. Однако фундаментальная слабость аутентификации и шифрования протокола в том, что он безопасен настолько, насколько безопасен выбранный пользователем пароль». Это почему-то заставило провайдеров поверить, что ничего страшного в PPTP нет и если требовать от пользователя придумывать сложные пароли, то передаваемые данные будут в безопасности. Сервис Riseup.net настолько проникся этой идеей, что решил самостоятельно генерировать для пользователей пароли длиной в 21 символ, не давая им возможности установить свои. Но даже такая жесткая мера не спасает от расшифровки трафика. Чтобы понять почему, давай поближе познакомимся с протоколом MS-CHAPv2 и посмотрим, как же Мокси Марлинспайк сумел его взломать.

Протокол MS-CHAPv2

Как уже было сказано, MSCHAPv2 применяется для аутентификации пользователей. Происходит она в несколько этапов:

клиент посылает запрос на аутентификацию серверу, открыто передавая свой login;
сервер возвращает клиенту 16-байтовый случайный отклик (Authenticator Challenge);
клиент генерирует 16-байтовый PAC (Peer Authenticator Challenge - равный отклик аутентификации);
клиент объединяет PAC, отклик сервера и свое user name в одну строку;
с полученной строки снимается 8-байтовый хеш по алгоритму SHA-1 и посылается серверу;
сервер извлекает из своей базы хеш данного клиента и расшифровывает его ответ;
если результат расшифровки совпадет с исходным откликом, все ОK, и наоборот;
впоследствии сервер берет PAC клиента и на основе хеша генерирует 20-байтовый AR (Authenticator Response - аутентификационный ответ), передавая его клиенту;
клиент проделывает ту же самую операцию и сравнивает полученный AR с ответом сервера;
если все совпадает, клиент аутентифицируется сервером. На рисунке представлена наглядная схема работы протокола.

На первый взгляд протокол кажется излишне сложным - куча хешей, шифрование, случайные challenge. На самом деле все не так уж и сложно. Если присмотреться внимательней, то можно заметить, что во всем протоколе остается неизвестной только одна вещь - MD4-хеш пароля пользователя, на основании которого строятся три DES-ключа. Остальные же параметры либо передаются в открытом виде, либо могут быть получены из того, что передается в открытом виде.

Так как почти все параметры известны, то мы можем их не рассматривать, а остановить свое пристальное внимание на том, что неизвестно, и выяснить, что это нам дает.

Итак, что мы имеем: неизвестный пароль, неизвестный MD4-хеш этого пароля, известный открытый текст и известный шифртекст. При более детальном рассмотрении можно заметить, что пароль пользователя нам не важен, а важен его хеш, так как на сервере проверяется именно он. Таким образом, для успешной аутентификации от имени пользователя, а также для расшифровки его трафика нам необходимо знать всего лишь хеш его пароля.

Имея на руках перехваченный трафик, можно попробовать его расшифровать. Есть несколько инструментов (например, asleap), которые позволяют подобрать пароль пользователя через атаку по словарю. Недостаток этих инструментов в том, что они не дают стопроцентной гарантии результата, а успех напрямую зависит от выбранного словаря. Подбирать же пароль простым брутфорсом тоже не очень эффективно - например, в случае с PPTP VPN сервисом riseup.net, который принудительно устанавливает пароли длиной в 21 символ, придется перебирать 96 вариантов символа для каждого из 21 символов. Это в результате дает 96^21 вариантов, что чуть больше, чем 2^138. Иными словами, надо подобрать 138-битный ключ. В ситуации же, когда длина пароля неизвестна, имеет смысл подбирать MD4-хеш пароля. Учитывая, что его длина равна 128 бит, получаем 2^128 вариантов - на данный момент это просто нереально вычислить.

Разделяй и властвуй

MD4-хеш пароля используется в качестве входных данных для трех DES-операций. DES-ключи имеют длину 7 байт, так что каждая DES-операция использует 7-байтовый фрагмент MD4-хеша. Все это оставляет возможность для классической атаки divide and conquer. Вместо того чтобы полностью брутить MD4-хеш (а это, как ты помнишь, 2^128 вариантов), мы можем подбирать его по частям в 7 байт. Так как используются три DES-операции и каждая DES-операция абсолютно независима от других, это дает общую сложность подбора, равную 2^56 + 2^56 + 2^56, или 2^57.59. Это уже значительно лучше, чем 2^138 и 2^128, но все еще слишком большое число вариантов. Хотя, как ты мог заметить, в эти вычисления закралась ошибка. В алгоритме используются три DES-ключа, каждый размером в 7 байт, то есть всего 21 байт. Эти ключи берутся из MD4-хеша пароля, длина которого всего 16 байт.

То есть не хватает 5 байт для построения третьего DES-ключа. В Microsoft решили эту задачу просто, тупо заполнив недостающие байты нулями и фактически сведя эффективность третьего ключа к двум байтам.

Так как третий ключ имеет эффективную длину всего лишь два байта, то есть 2^16 вариантов, его подбор занимает считаные секунды, доказывая эффективность атаки divide and conquer. Итак, можно считать, что последние два байта хеша известны, остается подобрать оставшиеся 14. Также разделив их на две части по 7 байт, имеем общее число вариантов для перебора, равное 2^56 + 2^56 = 2^57. Все еще слишком много, но уже значительно лучше. Обрати внимание, что оставшиеся DES-операции шифруют один и тот же текст, только при помощи разных ключей. Можно записать алгоритм перебора следующим образом:

Но так как текст шифруется один и тот же, то правильнее сделать вот так:

То есть получается 2^56 вариантов ключей для перебора. А это значит, что безопасность MS-CHAPv2 может быть сведена к стойкости одного DES-шифрования.

Взлом DES

Теперь, когда диапазон подбора ключа известен, для успешного завершения атаки дело остается только за вычислительными мощностями. В 1998 году Electronic Frontier Foundation построила машину Deep Crack, которая стоила 250 тысяч долларов и позволяла взламывать DES-ключ в среднем за четыре с половиной дня. В настоящее время Pico Computing, специализирующаяся на построении FPGA-оборудования для криптографических приложений, построила FPGA-устройство (DES cracking box), которое реализует DES как конвейер с одной DES-операцией на каждый тактовый цикл. Обладая 40 ядрами по 450 МГц, оно позволяет перебирать 18 миллиардов ключей в секунду. Обладая такой скоростью перебора, DES cracking box в худшем случае взламывает ключ DES за 23 часа, а в среднем за полдня. Данная чудо-машина доступна через коммерческий веб-сервис loudcracker.com . Так что теперь можно взломать любой MS-CHAPv2 handshake меньше, чем за день. А имея на руках хеш пароля, можно аутентифицироваться от имени этого пользователя на VPN-сервисе или просто расшифровывать его трафик.

Для автоматизации работы с сервисом и обработки перехваченного трафика Мокси выложил в открытый доступ утилиту chapcrack. Она парсит перехваченный сетевой трафик, ища MS-CHAPv2 handshake’и. Для каждого найденного «рукопожатия» она выводит имя пользователя, известный открытый текст, два известных шифртекста и взламывает третий DES-ключ. Кроме этого, она генерирует токен для CloudCracker, в котором закодированы три параметра, необходимые, чтобы сервис взломал оставшиеся ключи.

CloudCracker & Chapcrack

На случай, если тебе понадобится взломать DES-ключи из перехваченного пользовательского трафика, приведу небольшую пошаговую инструкцию.

Скачиваем библиотеку Passlib , реализующую более 30 различных алгоритмов хеширования для языка Python, распаковываем и устанавливаем: python setup.py install
Устанавливаем python-m2crypto - обертку OpenSSL для Python: sudo apt-get install python-m2crypto
Скачиваем саму утилиту chapcrack , распаковываем и устанавливаем: python setup.py install
Chapcrack установлена, можно приступать к парсингу перехваченного трафика. Утилита принимает на вход cap-файл, ищет в нем MS-CHAPv2 handshake’и, из которых извлекает необходимую для взлома информацию. chapcrack parse -i tests/pptp
Из выводимых утилитой chapcrack данных копируем значение строки CloudCracker Submission и сохраняем в файл (например, output.txt)
Идем на cloudcracker.com, на панели «Start Cracking» выбираем File Type, равный «MS-CHAPv2 (PPTP/WPA-E)», выбираем предварительно подготовленный на предыдущем шаге файл output.txt, нажимаем Next -> Next и указываем свой e-mail, на который придет сообщение по окончании взлома.

К небольшому сожалению, сервис CloudCracker платный. К счастью, за взлом ключиков придется отдать не так уж много - всего 20 баксов.

Что делать?

Хоть Microsoft и пишет на своем сайте, что на данный момент не располагает сведениями об активных атаках с использованием chapcrack, а также о последствиях таких атак для пользовательских систем, но это еще не значит, что все в порядке. Мокси рекомендует всем пользователям и провайдерам PPTP VPN решений начинать миграцию на другой VPN-протокол. А PPTP-трафик считать незашифрованным. Как видишь, налицо еще одна ситуация, когда VPN может нас серьезно подвести.

Заключение

Так сложилось, что VPN ассоциируется с анонимностью и безопасностью. Люди прибегают к использованию VPN, когда хотят скрыть свой трафик от бдительных глаз провайдера, подменить свое реальное географическое положение и так далее. На деле получается, что трафик может «протечь» в сеть в открытом виде, а если и не в открытом, то зашифрованный трафик могут достаточно быстро расшифровать. Все это еще раз напоминает, что нельзя слепо полагаться на громкие обещания полной безопасности и анонимности. Как говорится, доверяй, но проверяй. Так что будь начеку и следи за тем, чтобы твое VPN-соединение было по-настоящему безопасным и анонимным.

Для подключения к VPN-сети может понадобиться всего несколько секунд, однако этого достаточно для хищения учетных данных.

Независимый специалист Ларри Зельцер (Larry Seltzer) считает, что использование VPN-сетей подвергает пользователя риску. Об этом он сообщил ресурсу arstechnica.com.

Любому IT-специалисту известно об опасности использования публичных сетей Wi-Fi. Передаваемый по публичным беспроводным сетям кафе и отелей траффик не шифруется, поэтому он может быть перехвачен. Один из наиболее часто применяемых способов решения этой проблемы имеет большой недостаток, о котором специалисты часто забывают упомянуть.

Такие крупные ресурсы, как Twitter и Google используют SSL-шифрование для того, чтобы защитить пользователей публичных Wi-Fi-сетей. Однако в большинстве случаев для этой цели используется VPN-сеть. Некоторые VPN-сервисы предусматривают зашифрованный канал передачи данных для всего интернет-траффика между устройством и сервером. Таким образом, сервис выступает в качестве посредника между пользователем и хостом в Сети.

Далеко не все сайты используют SSL-шифрование, поэтому VPN является оптимальным решением в этом отношении. Даже в том случае, если точка доступа Wi-Fi, к которой подключается пользователь, является вредоносной, злоумышленник не сможет перехватить траффик.

Однако защита при помощи VPN имеет один большой недостаток. Дело в том, что подключиться к сети VPN невозможно до момента, пока не установлено соединение устройства с интернетом. В большинстве случаев, устройство может автоматически подключиться к VPN, однако для этого пользователь должен запустить обозреватель и попытаться открыть какую-либо web-страницу для того, чтобы попасть на страницу авторизации маршрутизатора. Кроме того, нужно подтвердить принятие Условий предоставления услуг. Время, которое проходит прежде, чем устройство подключится к VPN, может быть использовано киберпреступниками в злонамеренных целях, считает Зельцер. Риск зависит от ПО на устройстве пользователя. Например, используется POP3 или IMAP-клиент электронной почты. Если почтовый ящик проверяется автоматически, траффик между устройством и почтовым сервисом (в том числе учетные данные) может быть перехвачен.

Время до подключения к VPN может составлять всего несколько секунд, однако этого достаточно для того, чтобы конфиденциальные данные были похищены. Передаваемая за эти несколько секунд информация может быть зашифрованной, однако она содержит данные о конфигурации системы, что используется злоумышленниками для идентификации пользователя.

Современный уровень развития технологий уже не требует от пользователя привязки к фиксированному узлу, что, с одной стороны, удобно, а с другой - ставит под угрозу его информационную безопасность, ведь беспроводное подключение справедливо считается чуть ли не самым уязвимым. Однако, решить эту проблему можно правильной настройкой безопасности Wi-Fi сети и использованием VPN, что позволяет существенно повысить уровень защиты.

Методы защиты Wi-Fi сети можно условно разделить на две категории: те, которые обеспечиваются самим роутером, и независимые от аппаратного обеспечения. В их число входит и использование VPN-подключения. Стоит сразу отметить, что сама по себе сеть никакой ценности для злоумышленников не представляет, а потому может интересовать только нуждающихся в бесплатном доступе в Интернет. Но с ее помощью можно еще и организовать перехват данных, а также воспользоваться информацией, хранящейся на подключенных компьютерах.

Стоит отметить, что одного пароля для ограничения доступа недостаточно. Его едва ли хватит даже для того, чтоб оградить сеть от соседей. Есть множество способов взлома, а наиболее простые комбинации, которые, как ни странно, ставят намного чаще, чем сложные, можно просто подобрать. Потому стоит потратить немного времени, чтобы Wi-Fi сеть была действительно защищена, а не полагаться на набор символов.

Защита Wi-Fi сети: основные шаги

Первое, что надо обязательно сделать - это ограничить пространство вещания роутера. Большинство моделей предоставляют такую возможность, а потому не стоит ей пренебрегать. Это позволит серьезно ограничить доступ для посторонних лиц, поскольку, при правильной настройке этой функции, им придется для начала зайти в квартиру или офис. Однако, и это не гарантирует абсолютной защиты от взлома.

Еще один важный этап - смена установленного по умолчанию SSID на какой-нибудь другой. Это не гарантирует какой-либо защиты, но способно серьезно усложнить поиск нужной сети для взлома и не дать злоумышленникам информации об используемых устройствах. SSID (Service Set Identifier) - специальный код, который позволяет идентифицировать передаваемые данные. Пользователем он используется в качестве названия сети, потому, чтоб остаться незамеченным злоумышленником, логично заменить его на что-нибудь не ассоциирующееся ни с личностью владельца, ни с названием компании.

Применение шифрования существенно повышает уровень защиты передаваемых данных. Для этого применяются три технологии: WEP, WPA и WPA2. Первые две считаются устаревшими и небезопасными, WEP сегодня вообще не гарантирует какой-либо защиты. Потому лучшим вариантом является WPA2, при этом, стоит регулярно менять ключи шифрования, чтобы не давать возможности их подбора. При длительном наблюдении возможен сбор информации и ее анализ, что позволяет рано или поздно пробить брешь в безопасности сети.

Следует также создать список MAC-адресов, которым разрешен доступ, и отключить динамическую раздачу IP подключающимся устройствам. После этого раздаваемые адреса следует добавить в ARP-таблицы для предоставления им права доступа к сети.

И не стоит забывать о пароле! Используемая комбинация должна включать в себя максимальное количество расположенных в случайном порядке разнообразных знаков: чисел, заглавных и строчных букв, специальных символов. Например, вместо «password» лучше назначить «p@55w0Rd». При этом, чем больше знаков, тем лучше.

Использование VPN-подключения для защиты Wi-Fi сети

Все вышеперечисленные способы достаточно надежны, но не гарантируют абсолютной защиты от взлома Wi-Fi сети и перехвата данных. Рано или поздно достаточно опытный взломщик найдет способ подключиться и узнать, к примеру, данные об электронных платежах, что чревато потерей денег, хранящихся на счетах. Чтоб этого избежать, передаваемой информации нужна дополнительная защита. Существует множество разнообразных способов ее реализации, в том числе, и VPN-подключение поверх зашифрованного WPA2 канала. Этот вариант является едва ли не лучшим, поскольку не требует существенных материальных вложений, каких-либо специальных знаний или сверхмощного оборудования. VPN может успешно использоваться на маломощном компьютере, которые чаще всего применяются для организации рабочего места в офисе.

VPN - это дополнительный участок пути, который проходят отправляемые или запрашиваемые данные, на котором происходит их шифрование. По сути, это означает, что пакеты, прежде чем попасть в «большой Интернет», превращаются в непонятный всем, кроме владельцев ключа, набор кода, что гарантирует их конфиденциальность даже в случае перехвата. Таким образом, данные, даже передаваемые через Wi-Fi сети, защищены от попыток третьих лиц ими воспользоваться.

Кроме создания должного уровня информационной защиты дома или в офисе, VPN может пригодиться и в других случаях. Поскольку это кроссплатформенная технология, ее можно одинаково эффективно использовать на ноутбуке, смартфоне и планшете, чтобы гарантировать безопасное использование Интернета в командировках, деловых поездках или в отпуске. Не секрет, что публичные Wi-Fi сети не обеспечивают вообще никакой защиты передаваемых данных. Поэтому многие используют их только для срочного поиска нужной информации, ведь даже аккаунты в социальных сетях и электронная почта в таких условиях подвергаются риску взлома.

Применение защищенного VPN-подключения дает возможность в полной мере использовать Wi-Fi сети гостиницы, аэропорта, вокзала или кафе, не опасаясь перехвата информации. Таким образом, перед пользователем не возникает необходимости рисковать информационной безопасностью.

Постигаем азы «анонимности» в сети.

Статья поможет вам определиться нужен ли VPN конкретно вам и выбрать провайдера, а также расскажет о подводных камнях этой технологии и альтернативах ей.

Этот материал - просто рассказ о VPN с обзором провайдеров, предназначенный для общего развития и решения мелких бытовых проблем. Как добиться полной анонимности в сети и 100% приватности трафика она вас не научит.

Что такое VPN?

Virtual Private Network (виртуальная частная сеть) – сеть из устройств, которая создается поверх другой и внутри которой, благодаря технологиям шифрования, создаются защищенные каналы для обмена данными.

VPN-сервер управляет учетными записями пользователей этой сети и служит для них точкой входа в интернет. Через него передается зашифрованный трафик.

Ниже мы расскажем о провайдерах, которые предоставляют доступ к VPN-серверам в разных странах. Но сначала разберемся зачем это нужно?

Выгоды от использования VPN

1. Смена «адреса»

В каких случаях законопослушному россиянину нужен другой IP?

2. Защита от мелкой нечисти

От преследований властей VPN-провайдер вас не спасет, но защитит от:

Админа офисной сети, который собирает на вас компромат или просто любит читать чужие письма;
Школьников, которые балуются прослушкой трафика публичной WiFi точки.

Минусы использования VPN

Скорость

Скорость доступа интернета при использовании VPN провайдера может быть ниже, чем без него. Прежде всего это касается бесплатных VPN. К тому же, она может быть нестабильной: зависеть от времени суток или местоположения выбранного сервера.

Технические неполадки

У VPN-провайдера могут быть перебои в работе. Особенно, если он небольшой и малоизвестный.

Самая распространенная неполадка: vpn отключился и никому ничего не сказал. Надо проследить за тем, чтобы ваше соединение блокировалось в случае проблем с сервером.

Иначе может быть так: пишешь злобные комментарии к статьей своего соседа по квартире, а VPN потихому отключился и в админке засветился реальный IP, ты это пропустил, а сосед заметил и готовит план мести.

Мнимая анонимность

Информация о вашем трафике передается третьей стороне. VPN-провайдеров часто спрашивают в интервью: «А вы храните логи?». Они отвечают: «Нет, нет, конечно нет!». Но им никто не верит. И на то есть причины.

В лицензионных соглашениях многих VPN-провайдеров открыто написано, что пользователь не имеет право нарушать авторские права, запускать хакерские программы, рассылать спам и в случаи нарушения его аккаунт блокируется без возвращения средств. Пример: ExpressVPN Term of Service . Из этого следует, что действия пользователя в сети контролируются.

А некоторые шустрые VPN-провайдеры, к примеру Astrill , требуют SMS подтверждения для активации учетной записи (для русских номеров не работает). Хочешь скрывать свой IP и шифровать трафик? Ок, но номерок на всякий случай оставь.

А анкеты при регистрации учетных записей иногда напрягают излишними вопросами. К примеру, зачем VPN-провайдеру почтовый индекс человека? Отправлять посылки на Новый Год?

Личность пользователя также может быть идентифицирована по банковским картам (или через кошельки платежных систем, через которые пополняются виртуальные карты). Некоторые VPN-провайдеры приманивают пользователей тем, что принимают в качестве оплаты криптовалюты. Это плюс к анонимности.

Выбираем VPN-сервис

VPN-провайдеров - хоть пруд пруди. Ведь это доходный бизнес с низкими порогом вхождения. Если задать такой вопрос на форуме, то сбегутся владельцы сервисов и завалят своей рекламой.

Для помощи в выборе был создан сайт bestvpn.com , где публикуются рейтинги и обзоры VPN-провайдеров.

Вкратце расскажем о лучших VPN-сервисах (по данным bestvpn.com) у которых есть приложение для iOS.

ExpressVPN

96 городов в 78 странах. 30-дневная гарантия возврата денег в случае перебоев работы с сервисом. Есть приложения для OS X, Windows, и Android. Можно работать с 5 устройствами одновременно.

Цена: от $9.99 до $12.95 в месяц (зависит от периода оплаты).

Private Internet Access

25 стран. Есть приложения для OS X, Windows, и Android. Можно работать с 5 устройствами. Подробности на сайте проекта .

Цена: от $2.50 до $6.95 в месяц (зависит от периода оплаты).

IP Vanish VPN

Более 60 стран. Есть VPN-клиенты для , Android, Windows, Mac, Ubuntu, Chromebook и роутеров. Имеется возможность работать сразу с несколькими устройствами.

Оптимистичным параноикам

Очень интересный маркетинговый ход у . Они предлагают прогонять зашифрованный трафик не через один, а через два или три сервера.

Мое мнение на этот счет таково: если VPN нужен только, чтобы скрывать из какой ты страны, то это не имеет смысла. А если действительно есть, что скрывать то смысл передавать это сразу через три чужих сервера?

Альтернативы

Собственный OpenVPN сервер

Tor

Трафик в сети Tor передается через несколько независимых серверов в разных точках земли в зашифрованном виде. Это затрудняет определение исходного IP-адреса пользователя. Но поучительная история Росса Ульбрихта (владельца Silk Road) напоминает нам о том, что американские спецслужбы способны на многое.

Плюсы:

Бесплатно;
Доступ к onion-сети («даркнету»). Есть целый ряд сайтов, доступных только из Tor Browser. Это свои поисковые системы (Grams), магазины, библиотеки, биржи криптовалют, cистемы контекстной рекламы, энциклопедия Onion Wiki. Но для законопослушного россиянина в этой сети нет ничего интересного.

Минусы :

Медленная скорость.

А что думает Роскомнадзор?

Работники ведомства крайне недовольны тем, что россияне стремятся к анонимности в сети. Недавно пресс-секретарь Роскомнадзора назвал пользователей Tor «социальными отбросами», а само ведомство выступает за запрет анонимайзеров. Но россияне не прислушиваются к подобным мнениям. Егор Минин (основатель RuTracker), утверждает что половина пользователей его ресурса умеет обходить блокировку.

Выводы

В этой статье есть все необходимое, чтобы начать пользоваться VPN-провайдерами и не иметь иллюзий на их счет. Но как же добиться полной анонимности в сети?

Что такое VPN?

Виртуальная частная сеть - это сетевая технология, которая создает безопасное сетевое соединение через публичную сеть, такую как Интернет.

Что такое шифрование в VPN?

Шифрование - это процесс кодировки данных таким образом, что только компьютер с правильным декодером сможет прочитать их и использовать. В VPN, который мы предоставляем, сообщение или информация, т.е. незашифрованный текст, шифруется с помощью алгоритма шифрования, генерируется зашифрованный текст, который можно будет прочить только после рассшифровки. Существует два вида шифрования - симметрическое и ассиметрическое.

Что такое симметрическое шифрование?

Это самая старая и самая известная технология. Секретный ключ, который может быть числом, словом или просто рядом случайных букв, применяется к тексту сообщения, чтобы поменять содержание определенным способом.

Что такое ассиметрическое шифрование?

Ассиметрическое шифрование (также называется шифрованием открытыми ключами) - это криптография, в которой используется пара ключей для шифрования и дешифрования сообщения, и поэтому оно поступает в безопасном виде.

Что такое TCP?

TCP (Протокол управления передачей данных) - это требующий соединения протокол, который означает, что соединение будет установлено и продолжено до тех пор, пока прикладные программы на каждой стороне не закончат обмен сообщениями.

Что такое UDP?

UDP (Протокол передачи дейтаграмм) - это протокол передачи данных, который предлагает ограниченное количество действий, когда происходит обмен сообщениями между двумя компьютерами в сети с использованием Интернет-протокола.

Что такое IPSec?

Безопасность Интернет-протокола (IPSec) - это инфраструктура открытых стандартов для того, чтобы помочь обеспечить приватное, безопасное соединение через сети Интернет-протокола с использованием средств криптографической защиты. IPsec поддерживает два режима шифрования: транспортный и туннельный. Транспортный режим шифрует только часть данных (полезные данные) каждого пакета, и оставляет заголовок пакета неизмененным. Более защищенный туннельный режим шифрует и заголовок, и полезные данные.

Что такое PPP?

Протокол точка-точка (PPP) - это протокол канала передачи данных, который используется для установления прямого соединения между двумя узлами. С его помощью можно обеспечить аутентификацию соединения, шифрование и сжатие данных.

Что такое PPTP?

PPTP (Протокол туннелирования точка-точка) - это протокол, который использует канал управления через туннельные операции TCP и GRE для того, чтобы инкапсулировать PPP пакеты.

Что такое GRE?

Общая инкапсуляция маршрутов (GRE) - это протокол туннелирования, разработанный компанией Cisco Systems, который может инкапсулировать большое количество протоколов сетевого уровня внутри виртуальных узлов точка-точка через объединенную сеть Интернет- протокола.

Что такое SSTP?

Протокол безопасного туннелирования сокетов (SSTP) - это форма VPN-туннеля, которая обеспечивает механизм передачи трафика PPP или L2TP через SSL 3.0 канал. SSL обеспечивает безопасность на транспортном уровне с ключевым обменом, шифрованием и проверкой целостности трафика. Использование SSL через TCP порт 443 позволяет SSTP проходить виртуально через все системы сетевой защиты и прокси-сервера, кроме аутентифицированных веб-прокси.

Что такое OpenVPN?

OpenVPN - это общедоступное программное обеспечение, которое запускает механизмы виртуальной частной сети (VPN) для создания безопасного двухпунктового или межсайтового соединения в режиме маршрутизации или в режиме моста и оборудования удаленного доступа.

В чем разница между VPN-соединением и Прокси веб-сайтами?

Прокси или прокси-сервер - это сервер (компьютерная система или приложение), выступающий посредником для запросов от клиентов, которые ищут ресурсы на других серверах. Пользователь подключается к прокси-серверу, запрашивая определенный сервис, такой как файл, соединение, веб-страницу и т.д., которые предоставляются различными серверами, а прокси-сервер проводит анализ сложности запроса, чтобы его упростить и контролировать. VPN-провайдер же шифрует весь Ваш трафик, заменяя Вашего Интернет-провайдера и маршрутизируя весь трафик через VPN-сервер, включая все программы и приложения. Следовательно, VPN - это единственно правильный выбор, если исходить из целей безопасности.