Conectarea la Internet prin puncte de acces Wi-Fi publice este o cale directă către pierderea autentificărilor și a datelor private! Va funcționa un VPN pe orice tip de conexiune la internet? Black Hat: hotspot-urile garantează furtul datelor private

Este posibil să dureze doar câteva secunde pentru a vă conecta la o rețea VPN, dar acest lucru este suficient pentru a vă fura acreditările.

Expertul independent Larry Seltzer consideră că utilizarea rețelelor VPN pune utilizatorul în pericol. El a raportat acest lucru la resursa arstechnica.com.

Orice specialist IT știe despre pericolele utilizării rețelelor Wi-Fi publice. Difuzat în public rețele fără fir Traficul cafenelelor și hotelurilor nu este criptat, deci poate fi interceptat. Una dintre cele mai frecvent utilizate metode pentru a rezolva această problemă este mare dezavantaj, pe care experții uită adesea să le menționeze.

Resursele mari, cum ar fi Twitter și Google, folosesc criptarea SSL pentru a proteja utilizatorii rețele publice Wi-Fi. Cu toate acestea, în cele mai multe cazuri, o rețea VPN este utilizată în acest scop. Unele servicii VPN oferă un canal de date criptat pentru tot traficul de internet dintre dispozitiv și server. Astfel, serviciul acționează ca un intermediar între utilizator și gazdă pe Internet.

Nu toate site-urile folosesc criptare SSL, așa că este un VPN soluție optimăîn această privință. Chiar dacă ideea Acces la Wi-Fi, la care utilizatorul se conectează este rău intenționat, un atacator nu va putea intercepta traficul.

Cu toate acestea, protecție când Ajutor VPN are un mare dezavantaj. Ideea este că conectarea la Rețele VPN este imposibil până când este stabilită conexiunea dispozitivului la Internet. În cele mai multe cazuri, dispozitivul se poate conecta automat la VPN, dar pentru a face acest lucru utilizatorul trebuie să lanseze un browser și să încerce să deschidă o pagină web pentru a ajunge la pagina de autorizare a routerului. În plus, trebuie să confirmați acceptarea Termenilor și condițiilor. Timpul care trece înainte ca un dispozitiv să se conecteze la un VPN poate fi folosit de infractorii cibernetici în scopuri rău intenționate, a spus Zeltser. Riscul depinde de software-ul de pe dispozitivul utilizatorului. De exemplu, se utilizează un client de e-mail POP3 sau IMAP. Dacă Cutie poștală este verificat automat, traficul între dispozitiv și serviciu poștal(inclusiv acreditările) pot fi interceptate.

Timpul de conectare la un VPN poate fi de doar câteva secunde, dar este suficient pentru ca datele sensibile să fie furate. Informațiile transmise în aceste câteva secunde pot fi criptate, dar conțin date de configurare a sistemului, care sunt folosite de atacatori pentru a identifica utilizatorul.

Primul lucru care vă vine în minte atunci când menționați un VPN este anonimatul și securitatea datelor transmise. Este într-adevăr? Să ne dăm seama.

Când trebuie să accesați rețeaua corporativă, sigur de transferat Informații importante De canale deschise comunicații, ascunde-ți traficul de ochiul atent al furnizorului, ascunde-ți locație reală atunci când efectuează acțiuni care nu sunt în întregime legale (sau deloc legale), recurg de obicei la utilizarea unui VPN. Dar merită să te bazezi orbește pe un VPN, punând securitatea datelor și propria siguranta? Cu siguranta nu. De ce? Să ne dăm seama.

AVERTIZARE

Toate informațiile sunt furnizate doar în scop informativ. Nici editorii, nici autorul nu sunt responsabili pentru niciuna posibil prejudiciu cauzate de materialele acestui articol.

Avem nevoie de un VPN!

Virtual rețea privată, sau pur și simplu VPN, este un nume generalizat pentru tehnologiile care permit una sau mai multe conexiuni de retea(rețea logică) deasupra unei alte rețele, cum ar fi Internetul. Deși comunicațiile pot fi realizate prin retele publice cu un nivel necunoscut de încredere, nivelul de încredere în construit rețea logică nu depinde de nivelul de încredere în rețele de bază datorită utilizării instrumentelor de criptare (criptare, autentificare, infrastructură chei publice, înseamnă a proteja împotriva repetărilor și modificărilor mesajelor transmise printr-o rețea logică). După cum puteți vedea, în teorie totul este roz și fără nori, dar în practică totul este oarecum diferit. În acest articol, ne vom uita la două puncte principale de care trebuie să țineți cont atunci când utilizați un VPN.

Scurgeri de trafic VPN

Prima problemă cu VPN-urile este scurgerea de trafic. Adică, traficul care ar trebui transmis prin conexiunea VPN în formă criptată intră în rețea formă deschisă. Acest scenariu nu este rezultatul unei erori în serverul sau clientul VPN. Totul este mult mai interesant aici. Cea mai simplă opțiune este o deconectare bruscă a conexiunii VPN. Ați decis să scanați o gazdă sau o subrețea folosind Nmap, ați lansat scanerul, ați plecat de la monitor pentru câteva minute, apoi conexiunea VPN s-a oprit brusc. Dar scanerul continuă să funcționeze. Și scanarea vine de la adresa ta. Aceasta este o situație atât de neplăcută. Dar există scenarii mai interesante. De exemplu, scurgerea traficului VPN este larg răspândită în rețelele (pe gazde) care acceptă ambele versiuni ale protocolului IP (așa-numitele rețele/gazde dual-stacked).

Rădăcina răului

Coexistența a două protocoale - IPv4 și IPv6 - are multe aspecte interesante și subtile care pot duce la consecințe neașteptate. În ciuda faptului că a șasea versiune a protocolului IP nu are compatibilitate inversă cu a patra versiune, ambele versiuni sunt „lipite” împreună de sistemul de nume de domeniu (DNS). Pentru a înțelege mai clar despre ce vorbim, să ne uităm la un exemplu simplu. De exemplu, să luăm un site web (să spunem www.example.com) care are atât suport IPv4, cât și IPv6. Corespunzător acestuia Numele domeniului(www.example.com în cazul nostru) va conține ambele tipuri de înregistrări DNS: A și AAAA. Fiecare înregistrare A conține o adresă IPv4, iar fiecare înregistrare AAAA conține o adresă IPv6. Mai mult, un nume de domeniu poate avea mai multe înregistrări de ambele tipuri. Astfel, atunci când o aplicație care acceptă ambele protocoale dorește să comunice cu site-ul, poate solicita oricare dintre adresele disponibile. Familia de adrese preferată (IPv4 sau IPv6) și adresa finală care va fi folosită de aplicație (având în vedere că există mai multe pentru versiunile 4 și 6) vor diferi de la o implementare de protocol la alta.

Această coexistență a protocoalelor înseamnă că atunci când un client care acceptă ambele stive dorește să comunice cu un alt sistem, prezența înregistrărilor A și AAAA va influența ce protocol va fi utilizat pentru a comunica cu acel sistem.

VPN și stivă de protocol dual

Multe implementări VPN nu acceptă, sau chiar mai rău, ignoră în întregime IPv6. La stabilirea unei conexiuni software VPN are grijă de transportul traficului IPv4 adăugând o rută implicită pentru pachetele IPv4, asigurând astfel că tot traficul IPv4 este trimis prin conexiunea VPN (în loc să fie trimis în mod clar prin router local). Cu toate acestea, dacă IPv6 nu este acceptat (sau complet ignorat), fiecare pachet cu o adresă IPv6 de destinație în antetul său va fi trimis clar prin routerul IPv6 local.

Motivul principal al problemei constă în faptul că, deși IPv4 și IPv6 sunt două protocoale diferite care sunt incompatibile între ele, acestea sunt utilizate îndeaproape în sistemul de nume de domeniu. Astfel, pentru un sistem care acceptă ambele stive de protocoale, este imposibil să securizeze o conexiune la un alt sistem fără securizarea ambelor protocoale (IPv6 și IPv4).

Scenariu de scurgere de trafic VPN legitim

Luați în considerare o gazdă care acceptă ambele stive de protocoale, care utilizează un client VPN (care lucrează numai cu trafic IPv4) pentru a se conecta la serverul VPN și este conectată la o rețea dual-stacked. Dacă o aplicație de pe gazdă trebuie să comunice cu un nod dual-stivuit, clientul interogează de obicei atât înregistrările DNS A cât și AAAA. Deoarece gazda acceptă ambele protocoale, iar nodul la distanță va avea ambele tipuri de înregistrări DNS (A și AAAA), unul dintre scenariile probabile va fi utilizarea protocolului IPv6 pentru comunicarea între ele. Și din moment ce clientul VPN nu acceptă a șasea versiune a protocolului, traficul IPv6 nu va fi trimis prin conexiunea VPN, ci va fi trimis în text clar prin rețeaua locală.

Acest scenariu pune în pericol datele valoroase care sunt transmise în text clar atunci când credem că sunt transmise în siguranță prin conexiunea VPN. În acest caz particular, scurgerea de trafic VPN este efect secundar folosind software care nu acceptă IPv6 într-o rețea (și gazdă) care acceptă ambele protocoale.

Cauzând în mod deliberat scurgerea traficului VPN

Un atacator poate forța în mod deliberat o conexiune IPv6 pe computerul unei victime, trimițând mesaje false de reclame la router ICMPv6. Astfel de pachete pot fi trimise folosind utilitare precum rtadvd, SI6 Networks' IPv6 Toolkit sau THC-IPv6. Odată ce o conexiune IPv6 este stabilită, „comunicarea” cu un sistem care acceptă ambele stive de protocoale poate duce, după cum sa discutat mai sus, la scurgeri de trafic VPN.

Și deși acest atac poate fi destul de fructuoasă (din cauza numărului tot mai mare de site-uri care acceptă IPv6), va pierde trafic numai atunci când destinatarul acceptă ambele versiuni ale protocolului IP. Cu toate acestea, nu este dificil pentru un atacator să provoace scurgeri de trafic pentru orice destinatar (dual-stacked sau nu). Prin trimiterea de mesaje false de reclame la router care conțin opțiunea RDNSS corespunzătoare, un atacator poate pretinde că este un server DNS recursiv local, apoi poate efectua falsificare DNS pentru a efectua un atac de tip man-in-the-middle și a intercepta traficul corespunzător. Ca și în cazul precedent, instrumente precum SI6-Toolkit și THC-IPv6 pot reuși cu ușurință acest truc.

Nu contează deloc dacă traficul care nu este destinat privirilor indiscrete ajunge în aer liber în rețea. Cum să te protejezi în astfel de situații? Iată câteva rețete utile:

  1. Dacă clientul VPN este configurat să trimită tot traficul IPv4 prin conexiunea VPN, atunci:
  • dacă IPv6 nu este acceptat de clientul VPN, dezactivați suportul pentru cea de-a șasea versiune a protocolului IP pentru toate interfețe de rețea. Astfel, aplicațiile care rulează pe computer nu vor avea de ales decât să folosească IPv4;
  • dacă IPv6 este acceptat, asigurați-vă că tot traficul IPv6 este trimis și prin VPN.
  1. Pentru a evita scurgerile de trafic dacă conexiunea VPN scade brusc și toate pachetele sunt trimise prin gateway-ul implicit, puteți:
  2. forțați tot traficul să treacă prin ruta VPN ștergeți 0.0.0.0 192.168.1.1 // ștergeți ruta gateway implicită adăugați 83.170.76.128 masca 255.255.255.255 192.168.1.1 metrica 1
  • utilizați utilitarul VPNetMon, care monitorizează starea conexiunii VPN și, de îndată ce aceasta dispare, se oprește instantaneu specificat de utilizator aplicații (de exemplu, clienți torrent, browsere web, scanere);
  • sau utilitarul VPNCheck, care, în funcție de alegerea utilizatorului, poate fie să fie complet dezactivat card de retea, sau pur și simplu închideți aplicațiile specificate.
  1. Puteți verifica dacă aparatul dvs. este vulnerabil la scurgerile de trafic DNS pe site-ul web și apoi aplicați sfaturile despre cum să remediați scurgerile descrise.

Decriptarea traficului VPN

Chiar dacă ați configurat totul corect și traficul VPN nu se scurge clar în rețea, acesta nu este încă un motiv de relaxare. Ideea este că, dacă cineva interceptează date criptate transmise printr-o conexiune VPN, va putea să le decripteze. Mai mult, nu afectează în niciun fel acest lucru dacă parola dvs. este complexă sau simplă. Dacă utilizați o conexiune VPN bazată pe protocolul PPTP, atunci puteți spune cu 100% certitudine că tot traficul criptat interceptat poate fi decriptat.

Călcâiul lui Ahile

Pentru conexiunile VPN bazate pe PPTP (Point-to-Point Tunneling Protocol), autentificarea utilizatorului se realizează folosind protocolul MS-CHAPv2 dezvoltat de Microsoft. În ciuda faptului că MS-CHAPv2 este învechit și foarte des este subiect de critică, acesta continuă să fie utilizat în mod activ. Pentru a o trimite în cele din urmă la coșul de gunoi al istoriei, celebrul cercetător Moxie Marlinspike a preluat chestiunea, care a raportat la cea de-a douăzecea conferință DEF CON că scopul a fost atins - protocolul a fost piratat. Trebuie spus că securitatea acestui protocol a fost nedumerită înainte, dar o utilizare atât de lungă a MS-CHAPv2 se poate datora faptului că mulți cercetători s-au concentrat doar pe vulnerabilitatea acestuia la atacurile din dicționar. Cercetare limitată și un număr mare de clienți suportați, suport încorporat de către sistemele de operare - toate acestea au asigurat adoptarea pe scară largă a protocolului MS-CHAPv2. Pentru noi, problema constă în faptul că MS-CHAPv2 este utilizat în protocolul PPTP, care este folosit de multe servicii VPN (de exemplu, cele mari precum serviciu VPN anonim IPredator și VPN-ul The Pirate Bay).

Dacă ne întoarcem la istorie, atunci deja în 1999, în studiul său asupra protocolului PPTP, Bruce Schneier a indicat că „Microsoft a îmbunătățit PPTP prin corectarea unor defecte majore de securitate. Cu toate acestea, slăbiciunea fundamentală a protocolului de autentificare și criptare este că este la fel de sigur ca parola pe care o alege utilizatorul.” Din anumite motive, acest lucru i-a făcut pe furnizori să creadă că nu este nimic în neregulă cu PPTP și dacă solicitați utilizatorului să inventeze parole complexe, atunci datele transmise vor fi în siguranță. Serviciul Riseup.net a fost atât de inspirat de această idee încât a decis să genereze în mod independent parole de 21 de caractere pentru utilizatori, fără a le oferi posibilitatea de a le stabili propriile lor. Dar chiar și o măsură atât de strictă nu împiedică decriptarea traficului. Pentru a înțelege de ce, să aruncăm o privire mai atentă la protocolul MS-CHAPv2 și să vedem cum a reușit Moxie Marlinspike să-l spargă.

Protocolul MS-CHAPv2

După cum sa menționat deja, MSCHAPv2 este utilizat pentru autentificarea utilizatorilor. Se întâmplă în mai multe etape:

  • clientul trimite o cerere de autentificare către server, trecând public autentificarea acestuia;
  • serverul returnează clientului un răspuns aleator de 16 octeți (Authenticator Challenge);
  • clientul generează un PAC de 16 octeți (Peer Authenticator Challenge - răspuns de autentificare de la egal la egal);
  • clientul combină PAC, răspunsul serverului și numele său de utilizator într-o singură linie;
  • un hash de 8 octeți este preluat din șirul primit folosind algoritmul SHA-1 și trimis către server;
  • serverul preia hash-ul din baza de date a acestui clientși își descifrează răspunsul;
  • dacă rezultatul decriptării se potrivește cu răspunsul inițial, totul este OK și invers;
  • ulterior, serverul preia PAC-ul clientului și, pe baza hash-ului, generează un AR de 20 de octeți (Authenticator Response), pasându-l clientului;
  • clientul efectuează aceeași operațiune și compară AR primit cu răspunsul serverului;
  • dacă totul se potrivește, clientul este autentificat de server. Figura prezintă o diagramă vizuală a funcționării protocolului.

La prima vedere, protocolul pare excesiv de complicat - o grămadă de hashe-uri, criptare, provocări aleatorii. De fapt, nu este chiar atât de complicat. Dacă vă uitați cu atenție, veți observa că în întregul protocol rămâne un singur lucru necunoscut - hash-ul MD4 al parolei utilizatorului, pe baza căruia sunt construite trei chei DES. Parametrii rămași fie sunt transmisi în text clar, fie pot fi obținuți din ceea ce este transmis în text clar.


Deoarece aproape toți parametrii sunt cunoscuți, nu îi putem lua în considerare, dar acordăm o atenție deosebită la ceea ce este necunoscut și aflăm ce ne oferă.

Deci ce avem: parola necunoscuta, un hash MD4 necunoscut al acestei parole, un text simplu cunoscut și un text cifrat cunoscut. Cu mai mult considerație detaliată Puteți vedea că parola utilizatorului nu este importantă pentru noi, dar hash-ul său este important, deoarece acest hash este verificat pe server. Astfel, pentru autentificarea cu succes în numele utilizatorului, precum și pentru decriptarea traficului acestuia, trebuie doar să cunoaștem hash-ul parolei sale.

După ce ați interceptat traficul în mână, puteți încerca să-l decriptați. Există mai multe instrumente (de exemplu, asleap) care vă permit să ghiciți parola unui utilizator printr-un atac de dicționar. Dezavantajul acestor instrumente este că nu oferă o garanție de 100% a rezultatelor, iar succesul depinde direct de dicționarul ales. Selectarea unei parole folosind forța brută simplă nu este, de asemenea, foarte eficientă - de exemplu, în cazul serviciului PPTP VPN riseup.net, care setează forțat parole cu lungimea de 21 de caractere, va trebui să încercați opțiuni de 96 de caractere pentru fiecare dintre cele 21 de caractere . Rezultă 96^21 de opțiuni, care este puțin mai mult decât 2^138. Cu alte cuvinte, trebuie să selectați o cheie de 138 de biți. Într-o situație în care lungimea parolei este necunoscută, este logic să selectați un hash MD4 al parolei. Având în vedere că lungimea sa este de 128 de biți, obținem 2^128 de opțiuni - per acest moment pur și simplu este imposibil de calculat.

Împărțiți și guvernați

Hash-ul MD4 al parolei este folosit ca intrare pentru trei operațiuni DES. Cheile DES au o lungime de 7 octeți, astfel încât fiecare operațiune DES utilizează o porțiune de 7 octeți a hash-ului MD4. Toate acestea lasă loc pentru atacul clasic împărți și cuceri. În loc să distrugem complet hash-ul MD4 (care, după cum vă amintiți, este de 2^128 de opțiuni), îl putem selecta în părți de 7 octeți. Deoarece sunt utilizate trei operații DES și fiecare operație DES este complet independentă de celelalte, aceasta oferă o complexitate totală de potrivire de 2^56 + 2^56 + 2^56 sau 2^57,59. Acesta este deja semnificativ mai bun decât 2^138 și 2^128, dar încă prea mult număr mare Opțiuni. Deși, după cum probabil ați observat, în aceste calcule s-a strecurat o eroare. Algoritmul folosește trei chei DES, fiecare cu dimensiunea de 7 octeți, adică 21 de octeți în total. Aceste chei sunt preluate din hash-ul MD4 al parolei, care are doar 16 octeți.

Adică lipsesc 5 octeți pentru a construi a treia cheie DES. Microsoft a rezolvat această problemă pur și simplu umplând prostesc octeții lipsă cu zerouri și reducând în esență eficiența celei de-a treia chei la doi octeți.

Deoarece a treia cheie are o lungime efectivă de numai doi octeți, adică 2^16 opțiuni, selecția ei durează câteva secunde, dovedind eficacitatea atacului de împărțire și cucerire. Deci, putem presupune că ultimii doi octeți ai hash-ului sunt cunoscuți, tot ce rămâne este să selectați cei 14 rămași. De asemenea, împărțindu-i în două părți de 7 octeți, avem un număr total de opțiuni de căutare egal cu 2^ 56 + 2^56 = 2^57. Încă prea mult, dar mult mai bine. Rețineți că operațiunile DES rămase criptează același text, doar folosind chei diferite. Algoritmul de căutare poate fi scris după cum urmează:

Dar, deoarece textul este criptat la fel, este mai corect să o faceți astfel:

Adică, există 2^56 de variante de chei prin care să căutați. Aceasta înseamnă că securitatea MS-CHAPv2 poate fi redusă doar la puterea criptării DES.

Hacking DES

Acum că intervalul de ghicire a cheii este cunoscut, depinde de jucător să finalizeze cu succes atacul. putere de calcul. În 1998, Electronic Frontier Foundation a construit o mașină numită Deep Crack, care a costat 250.000 de dolari și putea sparge o cheie DES în medie de patru zile și jumătate. În prezent, Pico Computing, care este specializată în construirea de hardware FPGA pentru aplicații criptografice, a construit un dispozitiv FPGA (DES cracking box) care implementează DES ca o conductă cu o operațiune DES pe ciclu de ceas. Cu 40 de nuclee la 450 MHz, poate enumera 18 miliarde de chei pe secundă. Cu o astfel de viteză de forță brută, cutia de cracare DES sparge o cheie DES în cel mai rău caz în 23 de ore și, în medie, într-o jumătate de zi. Această mașină minune este disponibilă prin intermediul serviciului web comercial loudcracker.com. Deci, acum puteți sparge orice strângere de mână MS-CHAPv2 în mai puțin de o zi. Și având în mână un hash de parolă, vă puteți autentifica în numele acestui utilizator pe un serviciu VPN sau pur și simplu vă puteți decripta traficul.

Pentru a automatiza lucrul cu serviciul și a procesa traficul interceptat, Moxie a postat în acces deschis utilitarul chapcrack. Ea analizează interceptat trafic de rețea, în căutarea strângerii de mână MS-CHAPv2. Pentru fiecare strângere de mână pe care o găsește, imprimă numele de utilizator, textul simplu cunoscut, două texte cifrate cunoscute și sparge a treia cheie DES. În plus, generează un token pentru CloudCracker, care codifică trei parametri necesari serviciului pentru a sparge cheile rămase.

CloudCracker și Chapcrack

În cazul în care trebuie să spargeți cheile DES din traficul utilizatorului interceptat, vă voi oferi o scurtă instrucțiune pas cu pas.

  1. Descărcați biblioteca Passlib, care implementează mai mult de 30 de algoritmi de hashing diferiți pentru Limbajul Python, despachetați și instalați: python setup.py install
  2. Instalați python-m2crypto - un wrapper OpenSSL pentru Python: sudo apt-get install python-m2crypto
  3. Descărcați utilitarul chapcrack în sine, despachetați și instalați: python setup.py install
  4. Chapcrack este instalat, puteți începe să analizați traficul interceptat. Utilitarul ia ca intrare un fișier cap, îl caută pentru MS-CHAPv2 handshake, din care extrage informațiile necesare pentru hacking. chapcrack parse -i teste/pptp
  5. Din datele ieșite de utilitarul chapcrack, copiați valoarea liniei de trimitere CloudCracker și salvați-o într-un fișier (de exemplu, output.txt)
  6. Accesați cloudcracker.com, în panoul „Start Cracking” selectați File Type egal cu „MS-CHAPv2 (PPTP/WPA-E)”, selectați fișierul output.txt pregătit anterior la pasul anterior, faceți clic pe Next -> Next și indicați adresa dvs. de e-mail, la care va fi trimis un mesaj odată ce piratarea este finalizată.

Din păcate, CloudCracker este un serviciu plătit. Din fericire, nu va trebui să plătiți atât de mult pentru a sparge cheile - doar 20 de dolari.

Ce să fac?

Deși Microsoft scrie pe site-ul său web că în prezent nu are informații despre atacurile active care folosesc chapcrack, precum și despre consecințele unor astfel de atacuri pentru sistemele utilizatorului, dar asta nu înseamnă că totul este în ordine. Moxie recomandă PPTP tuturor utilizatorilor și furnizorilor Soluții VPNîncepe migrarea către alt protocol VPN. Iar traficul PPTP este considerat necriptat. După cum puteți vedea, există o altă situație în care VPN-ul ne poate dezamăgi serios.

Concluzie

Se întâmplă că VPN este asociat cu anonimatul și securitatea. Oamenii recurg la utilizarea unui VPN atunci când doresc să-și ascundă traficul de ochii vigilenți ai furnizorului lor, să își înlocuiască locația geografică reală și așa mai departe. De fapt, se dovedește că traficul se poate „scurge” în rețea în clar, iar dacă nu în clar, atunci traficul criptat poate fi decriptat destul de repede. Toate acestea ne amintesc încă o dată că nu ne putem baza orbește pe promisiuni puternice. siguranta deplina si anonimatul. După cum se spune, ai încredere, dar verifică. Așa că fii în gardă și asigură-te că conexiunea VPN este cu adevărat sigură și anonimă.

Nivelul actual de dezvoltare a tehnologiei nu mai necesită ca utilizatorul să fie legat de un nod fix, ceea ce, pe de o parte, este convenabil, dar, pe de altă parte, îl pune în pericol. securitatea informatiei, la urma urmelor conexiune fără fir este considerat pe bună dreptate aproape cel mai vulnerabil. Cu toate acestea, această problemă poate fi rezolvată cu setările corecte Securitate Wi-Fi rețeaua și utilizarea VPN, care poate crește semnificativ nivelul de protecție.

Metode de protecție Rețele Wi-Fi pot fi împărțite în două categorii: cele furnizate de router în sine și cele independente de hardware. Aceasta include utilizarea unei conexiuni VPN. Este de remarcat imediat că rețeaua în sine nu reprezintă nicio valoare pentru atacatori și, prin urmare, poate fi de interes doar pentru cei care au nevoie de acces liberîn internet. Dar, cu ajutorul acestuia, puteți organiza și interceptarea datelor, precum și să utilizați informațiile stocate pe computerele conectate.

Este demn de remarcat faptul că doar o parolă nu este suficientă pentru a restricționa accesul. Cu greu este suficient chiar și pentru a proteja rețeaua de vecini. Există multe metode de hacking, iar cele mai simple combinații, care, în mod ciudat, sunt folosite mult mai des decât cele complexe, pot fi selectate simplu. Prin urmare, merită să petreceți puțin timp pentru a vă asigura că rețeaua Wi-Fi este cu adevărat sigură și nu vă bazați pe un set de caractere.

Protejarea rețelei Wi-Fi: pași de bază

Primul lucru pe care trebuie să-l faceți este să limitați spațiul de difuzare al routerului. Majoritatea modelelor oferă această oportunitate și, prin urmare, nu trebuie să o neglijezi. Acest lucru va limita serios accesul pentru străini, pentru că, când setarea corectă această funcție, ei vor trebui mai întâi să intre într-un apartament sau birou. Cu toate acestea, acest lucru nu garantează o protecție absolută împotriva hackingului.

O alta etapa importanta- schimbarea SSID-ului implicit cu altceva. Acest lucru nu garantează nicio protecție, dar poate complica serios căutarea. rețeaua dorită pentru hacking și nu le oferi atacatorilor informații despre dispozitivele folosite. SSID (identificator de set de servicii) - cod special, care vă permite să identificați datele transmise. Utilizatorul îl folosește ca nume al rețelei, așa că pentru a rămâne neobservat de atacator, este logic să îl înlocuiască cu ceva care nu este asociat nici cu personalitatea proprietarului, nici cu numele companiei.

Utilizarea criptării crește semnificativ nivelul de protecție a datelor transmise. Pentru aceasta sunt folosite trei tehnologii: WEP, WPA și WPA2. Primele două sunt considerate învechite și nesigure în prezent, WEP nu garantează deloc protecție. Deoarece cea mai bună opțiune este WPA2, cu toate acestea, merită să schimbați cheile de criptare în mod regulat pentru a nu face posibilă selectarea lor. Cu monitorizarea pe termen lung, este posibil să colectați informații și să le analizați, ceea ce face posibil, mai devreme sau mai târziu, să faceți o gaură în securitatea rețelei.

De asemenea, ar trebui să creați o listă de adrese MAC cărora li se permite accesul și să dezactivați distribuția IP dinamică către dispozitivele conectate. După aceasta, adresele distribuite ar trebui adăugate la tabelele ARP pentru a le acorda drepturi de acces la rețea.

Și nu uitați parola! Combinația utilizată trebuie să includă suma maxima aranjate aleatoriu diverse caractere: numere, majuscule și litere mici, caractere speciale. De exemplu, în loc de „parolă”, este mai bine să atribuiți „p@55w0Rd”. În acest caz, cu cât mai multe semne, cu atât mai bine.

Utilizarea unei conexiuni VPN pentru a vă proteja rețeaua Wi-Fi

Toate metodele de mai sus sunt destul de fiabile, dar nu garantează o protecție absolută împotriva hackingului rețelei Wi-Fi și a interceptării datelor. Mai devreme sau mai târziu, un hacker suficient de experimentat va găsi o modalitate de a se conecta și de a afla, de exemplu, informații despre plăți electronice, care este plină de pierderi de bani stocați în conturi. Pentru a evita acest lucru, informațiile transmise au nevoie protectie suplimentara. Există multe moduri diferite de a-l implementa, inclusiv o conexiune VPN pe un canal WPA2 criptat. Această opțiune este poate cea mai bună, deoarece nu necesită investiții materiale semnificative cunoștințe speciale sau echipamente grele. VPN poate fi folosit cu succes pe un computer cu consum redus, care este cel mai adesea folosit pentru a organiza un loc de muncă într-un birou.

VPN este o secțiune suplimentară a căii pe care le parcurg datele trimise sau solicitate, unde sunt criptate. În esență, aceasta înseamnă că pachetele, înainte de a intra în " internet mare”, se transformă într-un set de coduri de neînțeles pentru toată lumea, cu excepția deținătorilor de chei, care le garantează confidențialitatea chiar și în cazul interceptării. Astfel, datele, chiar și transmise prin rețele Wi-Fi, sunt protejate de încercările terților de a le folosi.

Pe lângă crearea nivelului corespunzător securitatea informatiei acasă sau la birou, un VPN poate fi util și în alte situații. Deoarece este o tehnologie multiplatformă, poate fi utilizată la fel de eficient pe laptop, smartphone și tabletă pentru a asigura utilizare sigură Internet în călătorii de afaceri, călătorii de afaceri sau vacanțe. Nu este un secret că wifi public rețelele nu oferă deloc protecție pentru datele transmise. Prin urmare, mulți oameni le folosesc doar pentru căutări urgente. informatie necesara, pentru că chiar și conturile în în rețelele socialeȘi E-mailîn astfel de condiții sunt expuși riscului de hacking.

Utilizarea unei conexiuni VPN securizate face posibilă utilizarea completă a rețelelor Wi-Fi ale unui hotel, aeroport, gară sau cafenea fără teama de interceptare a informațiilor. Astfel, utilizatorul nu trebuie să riște securitatea informațiilor.

Să învățăm elementele de bază ale „anonimității” pe Internet.

Articolul vă va ajuta să decideți dacă aveți nevoie în mod specific de un VPN și să alegeți un furnizor și vă va spune, de asemenea, despre capcanele acestei tehnologii și alternativele la ea.

Acest material este pur și simplu o poveste despre VPN-uri cu o privire de ansamblu asupra furnizorilor, destinată dezvoltare generalăși rezolvarea micilor probleme cotidiene. Cum se realizează anonimatul deplin pe Internet și 100% confidențialitate a traficului, nu vă va învăța.

Ce este un VPN?

Rețea virtuală privată(rețea privată virtuală) este o rețea de dispozitive care este creată peste altele și în cadrul căreia, datorită tehnologiilor de criptare, sunt create canale securizate pentru schimbul de date.

Serverul VPN gestionează conturile de utilizator din această rețea și servește ca punct de intrare la Internet pentru aceștia. Traficul criptat este transmis prin intermediul acestuia.

Mai jos vom vorbi despre furnizorii care oferă acces la serverele VPN în tari diferite. Dar mai întâi, să ne dăm seama de ce este necesar acest lucru?

Beneficiile utilizării unui VPN

1. Schimbarea „adresei”

În ce cazuri un rus care respectă legea are nevoie de un IP diferit?

2. Protejarea de micile spirite rele

Un furnizor VPN nu vă va salva de persecuția din partea autorităților, dar vă va proteja de:

  • Admin retea de birouri cui adună murdărie pe tine sau pur și simplu îi place să citească scrisorile altora;
  • Școlari care se complace să asculte traficul unui punct WiFi public.

Contra utilizării unui VPN

Viteză

Viteza de acces la internet la folosind un VPN furnizorul poate fi mai mic decât fără el. În primul rând, acest lucru se referă VPN-uri gratuite. În plus, poate fi instabil: în funcție de ora din zi sau de locația serverului selectat.

Dificultăți tehnice

Furnizorul VPN poate avea întreruperi. Mai ales dacă este mic și puțin cunoscut.

Cea mai frecventă problemă: VPN-ul s-a deconectat și nu a spus nimic nimănui. Necesar urmă pentru a vă asigura că conexiunea dumneavoastră este blocată în caz de probleme cu serverul.

Altfel, ar putea fi așa: scrii comentarii supărate la articolele colegului tău de cameră, dar VPN-ul se oprește în liniște și IP-ul real apare în panoul de administrare, l-ai ratat, iar vecinul tău a observat și pregătește un plan de răzbunare.

Anonimat imaginar

Informațiile despre traficul dvs. sunt partajate unei terțe părți. Furnizorii VPN sunt adesea întrebați în interviuri: „Stochezi jurnalele?” Ei răspund: „Nu, nu, desigur că nu!” Dar nimeni nu le crede. Și există motive pentru asta.

ÎN acorduri de licență Mulți furnizori de VPN declară deschis că utilizatorul nu are dreptul de a încălca drepturile de autor, de a rula programe de hacker, de a trimite spam, iar în caz de încălcare, contul său este blocat fără a returna fonduri. Exemplu: Termenul și condițiile ExpressVPN. De aici rezultă că acțiunile utilizatorului în rețea sunt controlate.

Și unii furnizori de VPN inteligente, de exemplu Astrill, necesită confirmare prin SMS pentru activare cont(nu funcționează pentru numerele rusești). Doriți să vă ascundeți IP-ul și să criptați traficul? Ok, dar lasă-ți numărul pentru orice eventualitate.

Iar chestionarele la înregistrarea conturilor sunt uneori enervante cu întrebări inutile. De exemplu, de ce are nevoie de un furnizor VPN cod poștal persoană? Trimiteți pachete pentru Anul Nou?

Identitatea utilizatorului este, de asemenea Pot fi identificat prin carduri bancare(sau prin portofelele sistemelor de plată prin care se realizează fondurile carduri virtuale). Unii furnizori VPN ademenesc utilizatorii acceptând criptomonede ca plată. Acesta este un plus pentru anonimat.

Alegerea unui serviciu VPN

Furnizorii VPN sunt un ban pe duzină. La urma urmei, aceasta este o afacere profitabilă, cu o barieră scăzută la intrare. Dacă pui o astfel de întrebare pe un forum, proprietarii de servicii vor veni alergând și te vor bombarda cu reclamele lor.

Pentru a vă ajuta să alegeți, a fost creat site-ul web bestvpn.com, unde sunt publicate evaluări și recenzii ale furnizorilor VPN.

Să vorbim pe scurt despre cele mai bune servicii VPN(conform bestvpn.com) care au o aplicație pentru iOS.

ExpressVPN

96 de orașe din 78 de țări. Garanție de returnare a banilor de 30 de zile în caz de întrerupere a serviciului. Există aplicații pentru OS X, Windows și Android. Puteți lucra cu 5 dispozitive simultan.

Preț: de la 9,99 USD la 12,95 USD pe lună (în funcție de perioada de plată).

Acces privat la internet

25 de țări. Există aplicații pentru OS X, Windows și Android. Poate lucra cu 5 dispozitive. Detalii pe site-ul proiectului.

Preț: de la 2,50 USD la 6,95 USD pe lună (în funcție de perioada de plată).

IP Vanish VPN

Peste 60 de țări. Există clienți VPN pentru Android, Windows, Mac, Ubuntu, Chromebookuri și routere. Este posibil să lucrați cu mai multe dispozitive simultan.

Paranoici optimisti

Foarte interesant truc de marketing y . Ei propun să ruleze traficul criptat nu printr-unul, ci prin două sau trei servere.

Părerea mea despre această chestiune este următoarea: dacă un VPN este necesar doar pentru a ascunde din ce țară ești, atunci nu are sens. Dar dacă într-adevăr există ceva de ascuns, atunci ce rost are să îl transmitem prin serverele altor trei persoane simultan?

Alternative

Server propriu OpenVPN

Tor

Trafic în Rețele Tor transmis prin mai multe servere independente către puncte diferite teren în formă criptată. Acest lucru face dificilă determinarea adresei IP inițiale a utilizatorului. Dar povestea de avertizare a lui Ross Ulbricht (proprietarul Silk Road) ne amintește că agențiile de informații americane sunt capabile de multe lucruri.

Pro:

  • Gratuit;
  • Acces la rețeaua de ceapă („darknet”). Există o serie de site-uri care sunt accesibile doar de pe Browser Tor. Acestea sunt propriile lor motoare de căutare (Grams), magazine, biblioteci, schimburi de criptomonede, sisteme publicitate contextuală, Onion Wiki. Dar pentru un rus care respectă legea nu există nimic interesant în această rețea.

Minusuri:

  • Viteza mica.

Ce parere are Roskomnadzor?

Angajații departamentului sunt extrem de nemulțumiți de faptul că rușii luptă pentru anonimat pe internet. Recent, un purtător de cuvânt al Roskomnadzor a sunat utilizatorii Tor„ragadă socială”, iar agenția însăși pledează pentru interzicerea anonimatorilor. Dar rușii nu ascultă pareri similare. Egor Minin (fondatorul RuTracker) susține că jumătate dintre utilizatorii resursei sale știu să ocolească blocarea.

concluzii

Acest articol conține tot ce aveți nevoie pentru a începe să utilizați furnizorii VPN și să nu vă faceți iluzii despre ei. Dar cum poți obține anonimatul complet pe internet?