Способы сокрытия IP адреса в сети Internet

VPN (Virtual Private Network — виртуальная частная сеть)

Внешне VPN-соединение мало чем отличается от подключения к обычной локальной сети: приложения вообще не почувствуют разницы и поэтому без какой-либо настройки будут использовать его для доступа в интернет. Когда одно из них захочет обратиться к удаленному ресурсу, на компьютере будет создан специальный GRE(Generic Routing Encapsulation — общая инкапсуляция маршрутов)-пакет, который в зашифрованном виде будет отправлен VPN-серверу. VPN-сервер, в свою очередь, этот пакет расшифрует, разберется, в чем его суть (запрос на закачку какой-либо HTTP-страницы, просто передача данных и т.д.), и выполнит от своего лица (то есть засветит свой IP) соответствующее действие. Далее, получив ответ от удаленного ресурса, VPN-сервер поместит его в GRE-пакет, зашифрует и в таком виде отправит обратно клиенту.

Непрерывное шифрование передаваемых данных – это ключевой момент в обеспечении безопасности. PPTP-траффик может быть зашифрован с помощью MPPE(Microsoft Point-to-Point Encryption, поддерживает 40-, 56- и 128-битные ключи). Это майкросовтовский протокол. Ранние версии были чудовищно дырявы и элементарно взламывались, в новых грубые ошибки исправлены, но потуги майкрософта сделать что-то в области криптографии ничего, кроме смеха не вызывают. Новые версии их протоколов просто особо не анализируют на предмет дыр.

OpenVPN – cвободная реализация технологии VPN, организуется на основе общепринятого в Интернете стека протоколов TCP/IP. Это гарантирует работу соединения даже с теми провайдерами, которые не поддерживают PPTP (чаще всего это операторы сотовой связи которые режут все GRE-пакеты, проходящие через GPRS и EDGE). Также openvpn работает даже когда у вас нет реального ip, в отличие от PPTP, требующего одновременного установления двух сетевых сессий.

У OpenVPN есть целый ряд преимуществ перед технологией VPN:

1) Адаптивное сжатие данных в соединении, с применением алгоритма компрессии LZO. Cкорость передачи данных через OpenVPN выше чем у PPTP;

2) Поддерживает гибкие методы авторизации подлинности клиента, основанные на сертификатах;

3) Использование одного TCP/UDP-порта без привязки к конкретному порту ( в нашем случае UDP);

4) Шифрование 2048 бит, обеспечивает беспрецедентную безопасность, реализовано через постоянный ключ;

Серверы для анонимных VPN обычно устанавливают в странах, где наиболее лояльно относятся ко взлому, спаму итд (Китай, Корея и т.п.). В большинстве случаев имеет место договоренность с администрацией, которая за определенную плату обязуется игнорировать жалобы в abuse-службу и не вести логи.

Proxy, SOCKS

Прокси-сервер (от англ. proxy — «представитель, уполномоченный») — служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам.

Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, файл), расположенный на другом сервере. Затем прокси-сервер подключается к указанному серверу, получает ресурс у него и передает клиенту.

То, к каким серверам и по каким протоколам мы может обращаться через прокси, зависит от типа этого прокси, т. е. протокола, по которому мы обращаемся к нему. Типов проксей существует нескольно: HTTP-proxies, SOCKS4, SOCKS5, некотрые другие. HTTP-proxy наиболее распространены, их легче всего найти и интернете, но работают они только с HTTP(есть и https прокси), к тому же могут вставлять в заголовки запроса адрес клиента, то есть быть не анонимными.

Протокол SOCKS наиболее примечателен тем, что он инкапсулирует протоколы не прикладного, а транспортного уровня, т.е. TCP/IP и UDP/IP. Поскольку только по этим протоколам возможна работа в Сети, через SOCKS можно работать с любыми серверами, в том числе и такими же SOCKS и, таким образом, организовывать цепочки SOCKS-серверов. По этой же причине все SOCKS-сервера анонимны – невозможно на уровне TCP/IP и UDP/IP передать дополнительную информацию, не нарушив работу вышестоящего протокола.

Еще можно выделить анонимайзеры – выглядят как обычный поисковик, только вместо слов/фраз здесь нужно вводить URL того сайта, который ты хотел бы посмотреть. Представляют собой скрипты написанные например на perl, php, cgi-скрипты.

Пара полезных программ по работе с http-прокси и соксами:

SocksChain – Программа, позволяющая работать через цепочку SOCKS или HTTP-проксей(нужно помнить, что любой proxy сервер, а тем более бесплатный ведет лог. И человек который располагает соответствующими правами всегда сможет вычеслить куда Вы заходили и что Вы делали, даже если вы будете использовать цепочки из 10 анонимных прокси серверов в разных концах планеты.).

FreeCap – программа для прозрачной переадресации подключений через SOCKS сервер программ, которые не имеют родной поддержки SOCKS прокси.

Отдельно можно выделить технологии которые шифруют трафик между клиентом и прокси-сервером.

Рассмотрим на примере сервиса xsox.name

После оплаты сервиса получаете логин и пароль, устанавливаете клиентскую программу.
После коннекта с сервером, у вас отображается отсортированный список соксов(страна, штат, IP и т.д)
Вся система соксифицируются с помощью нажатия одной кнопки (на лету устанавливается драйвер TCP стека). XSOX шифрует весь трафик и направляет его на сервер, который в свою очередь выбирает указанную конечную точку выхода и переадресовывает ей шифрованный трафик. SSL ключи генерируются на компьютере бота и клиента, что исключает возможность снифинга трафика при передаче. Kлиент при первом коннекте к серверу получает список доступных точек (ботов) выхода и далее синхронизирует этот список с сервером в реальном времени. Для связи клиента и конечных точек с сервером служит модифицированный TCP протокол с единственным портом. Таким образом даже имея полный контроль над сервером затруднительно отличить подключенных клиентов от
конечных точек выхода (например netstat выдаст просто один большой список коннектов на один порт. XSOX-клиент сворачивает весь локальный трафик в одно соединение с сервером что экономит трафик, так как нет необходимости в заголовках TCP-пакетов (SYN,ACK и т.п.)

TOR

Tor (The Onion Router) — свободная (BSD) реализация второго поколения onion router (так называемая «луковая (многослойная) маршрутизация»). Система, позволяющая пользователям соединяться анонимно, обеспечивая передачу пользовательских данных в зашифрованном виде. Рассматривается как анонимная сеть, предоставляющая анонимный web-сёрфинг и безопасную передачу данных. С помощью Tor пользователи смогут сохранять анонимность при посещении web-сайтов, публикации материалов, отправке сообщений и работе с другими приложениями, использующими протокол TCP. Безопасность трафика обеспечивается за счёт использования распределённой сети серверов, называемых «многослойными маршрутизаторами» (onion routers).

Пользователи сети Tor запускают onion-proxy на своей машине, данное программное обеспечение подключается к серверам Tor, периодически образуя виртуальную цепочку сквозь сеть Tor, которая использует криптографию многоуровневым способом (аналогия с луком — англ. onion)
Каждый пакет, попадающий в систему, проходит через три различных сервера (нода), которые выбираются случайным образом. Перед отправлением пакет последовательно шифруется тремя ключами: сначала для третьей ноды, потом для второй, и, в конце концов, для первой.

Когда первая нода получает пакет, она расшифровывает «верхний» слой шифра (аналогия с тем, как чистят луковицу) и узнает, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом. В то же время, программное обеспечение onion-proxy предоставляет SOCKS-интерфейс. Программы, работающие по SOCKS-интерфейсу, могут быть настроены на работу через сеть Tor, который, мультиплексируя трафик, направляет его через виртуальную цепочку Tor. Что в конечном итоге позволяет обеспечивать анонимный сёрфинг в сети.

Cуществуют специальные надстройки-tor для веб-браузеров Opera, Firefox.

SSH-туннелинг

SSH (Secure Shell) — сетевой протокол, позволяющий производить удалённое управление компьютером и передачу файлов.использует алгоритмы шифрования передаваемой информации.
SSH-туннелинг, можно рассмотреть в качестве дешевой замены VPN. Принцип данной реализации следующий. Весь сетевой софт на компьютере форвардится на назначенный порт (вашего локалхоста), на котором висит сервис, соединенный по SSH с сервером (а как мы знаем, соединение по SSH протоколу шифруется) и туннелирующий все запросы; далее, весь ваш трафик (уже не в зашифрованном виде) может форвардится с нашего сервера на прокси (поддерживающий туннерирование) или сокс, который передают весь трафик к необходимым адресам. Наличие прокси или сокса не обязательно.

Какие плюсы данной системы:

1) Для организации данной схемы не нужно устанавливать серверный софт (т.к. SSH-аккаунт и сокс можно без проблем достать в интернете);

2) Т.к. при SSH-соединении трафик шифруется и сжимается, то мы получаем небольшой прирост скорости работы в инете (это верно, когда сокс-демон находится на том же сервере);

3) В случае, когда сокс-сервер находится на другом хосте, то мы получаем дополнительную цепочку серверов, которые повышают нам безопасность и анонимность;

JAP

В одном из немецких институтов был разработан довольно хитрый способ сохранения анонимности. В систему пользователя устанавливается специальная прокси-программа JAP, которая принимает все запросы пользователя на подключения, криптует (AES с 128-bit длиной ключа) и в безопасном режиме отправляет на специальный промежуточный сервер (так называемый микс). Дело в том, что микс одновременно использует огромное количество пользователей, причем система построена так, чтобы каждый из них был неразличим для сервера. А поскольку все клиенты одинаковые, то и вычислить конкретно одного пользователя не представляется возможным.

Миксы обычно устанавливаются на добровольных началах, в основном в университетах, которые официально подтверждают, что не ведут никаких логов. К тому же обычно используются цепочки миксов, как правило 3 микса.

P2P анонимайзеры

Рассмотрим на примере сети Peek-A-Booty.

Peek-A-Booty – это распределенная пиринговая сеть из компьютеров, принадлежащих добровольцам из различных стран.Создана для того, чтобы пользователи могли обходить наложенные локальной цензурой ограничения и получать доступ к запрещенным в том или ином государстве ресурсы интернета.
Каждый узел сети маскируется, так что пользователь может направлять запросы и получать информацию с определенных IP-адресов в обход цензурных барьеров.

Пользователь, подсоединяется к специальной сети, где работает Peek-A-Booty. Несколько случайно выбранных компьютеров получают доступ к веб-сайту, и пересылают данные тому, кто послал запрос.
Весь трафик в этой сети шифруется по принятому в электронной коммерции стандарту SSL, так что все выглядит как невинная транзакция.

Нестандартные способы определения IP адреса.

Cookies

Вообще IP адрес с помощью Cookies не определить. Однако, при первом входе на веб сайт, IP адрес клиента (определенный сервером, т.е. IP proxy) сервер может сохранить в Cookies. А когда Вы в следующий раз входите на сайт, сервер вновь определяет Ваш IP и сравнивает его с сохраненным в Cookies. И если IP адреса старый и новый различаются, сервер может сделать выводы. И если Вы не запретите у себя Cookies, никакой proxy Вам не поможет.

JavаScript

JavаScript – это скрипты предназначены для выполнения активных сценариев на вашем компьютере. Они довольно простые, и имеют ограниченные функции, но они могут определить реальный IP и множество других настроек браузера.
Единственным решением может быть отключение скриптов в браузере.

Java

Java – это в отличии от предыдущего, полноценный язык программирования и программа написанная на этом языке может без особых трудностей определить ваш реальный IP.

Для защиты существует лишь одно решение: полное отключение Java, так как она имеет очень много различных сетевых функций и проблематично запретить их все.

Active X

Это полноценные программы которые выполняются на компьютере пользователя. Возможности у них еще лучше чем у 2 предыдущих. Они могут легко определить любые настройки браузера и вычислить Ваш настоящий IP адрес и даже легко изменить настройки прокси.
Защитой от них является полный запрет ActiveX.

Если вы запретили Cookies выполнение активных сценариев, Java и ActiveX, то сбить такую защиту достаточно просто: нужно всего лишь построить сайт на основе Java / JavаScript / Cookies / Action X , и тогда пользователю ничего не останется как разрешить все это в браузере.

Но все же, если вы хотите остаться анонимными, и чтобы Java / JavаScript / Cookies / Action X были – есть выход. Это FIREWALL, в котором необходимо запретить все соединения, кроме соединения с прокси или VPN сервером.

P.S. Почему важно шифрование трафика.

СОРМ (Система технических средств по обеспечению оперативно-розыскных мероприятий по мониторингу документированного оборота информации)

Изначально СОРМ планировалась в одном из НИИ КГБ СССР, там же была закончена разработка ее тактико-технического обоснования и соответствующих спецификаций. По мере совершенствования технических средств связи совершенствовалась и эта система. Сейчас во многих городах функционируют COРМ, СOРМ-2. Они существуют там, где есть Интернет, телефон, т.е. современные средства коммуникации. В 1998 году разработаны технические условия на следующую систему – СОРМ-2. Она создавалась уже и на сетях документальной электросвязи. В соответствии с документами, Интернет-провайдер на свои деньги был обязан установить оборудование, программы и выделенную линию для местного отделения ФСБ, а также провести обучение сотрудников.

Все это позволяет последним отслеживать, перехватывать и прерывать связь любого клиента этого провайдера. О любом пользователе "паутины" можно знать: имеет ли он пристрастие к политическим новостям, или к порнографическим сайтам, проследить его "электронные" покупки, банковские платежи. На данный момент практически все российские провайдеры провели работы по подключению к системе СОРМ 2.

Права на статью принадлежат её автору. Перепечатка, использование отдельных частей и т.д. в личных целях на других ресурсах разрешена только с устного соглашения автора.

Copyright (C) 2008 foxie specially for https://ver.sc

Оставьте комментарий