Безопасность анонимность на 4 уровня:
1. Базовый уровень защиты
2. Средний уровень защиты
3. Высокий уровень защиты
4. God’ mode (Режим Бога)
Давайте разберем каждый из них подробнее
Базовый уровень защиты
Базовый уровень безопасности и анонимности, выглядит так:
клиент → VPN/TOR/SSH-тунель → цель.
Схема базового уровня - это лишь продвинутая альтернатива прокси, позволяющая просто подменить IP. Один шаг, один клик и о анонимности тут говорить не придется. Уже не придется. Одна неверная или дефолтная настройка пресловутого WebRTC и ваш реальный IP уже известен. Данный тип защиты уязвим и перед компрометацией узла, и перед fingerprints и перед простым анализом логов у провайдера и в дата центре
Часто на просторах Телеграмм встречаются статьи, воспевающие частный VPN, представляя его лучше чем публичный, т.к. человек уверен в своей настройке системы. Давайте на секунду представим, кому-то известен твой внешний IP, соответственно известен и дата центр, соответственно дата центру известно, какому серверу этот IP принадлежит. Сложно ли на месте, установить с какого реального IP к этому серверу подключались? Если ты там один клиент? Ответ очевиден. Когда клиентов, например 100, 1000 - тут уже все намного сложнее
Это даже не касаясь аспектов, что редкий человек, заморочится на шифрованные диски и защиту от выемки, врятли бы даже заметил, если его сервер перезагрузят с init level 1 и включат логи на VPN, описав это как «небольшие технические проблемы в дата центре». Да и разве это вообще нужно, если известны все входящие адреса на сервер и исходящие с него же
Что же касается Tor, во-первых, его использование напрямую может вызывать подозрение, а во-вторых, выходные ноды, которых около 1000 штук известны и многие из них забанены, для многих сайтов это как красная тряпка. Например в Cloudflare есть возможность в Firewall'e разрешать или принимать подключения из сети Tor. В качестве страны следует использовать T1. Кроме того, использование Tor намного медленнее VPN (Скорость в сети Тор на данный момент не превышает 10 мбит, а часто находится на уровне 1-3 мбит)
Итог: Если вам нужно просто не носить по миру свой открытый паспорт и обходить простейшие запреты на сайты, иметь хорошую скорость соединения и возможность полностью пускать весь трафик через другой узел, то следует выбрать VPN. И на эту роль лучше подходит платный сервис, за те же деньги, что вы отдали бы за свой VPS, в 1-й стране, который еще нужно настроить и как-никак поддерживать, вы получите десятки стран и сотни или даже тысячи выходных IP
В этом случае нет смысла использовать Tor, но в каких-то случаях и Tor является хорошим решением, особенно, если существует еще дополнительный слой безопасности, такой как VPN или SSH-туннель. Но об этом дальше
Средний уровень защиты
Средний уровень безопасности и анонимности, выглядит так:
Клиент → VPN → Тор → цель
Это оптимальный и рабочий инструмент, для любого, не безразличного к подмене IPадреса человека, это именно тот случай, когда сочетание технологий усилило каждую из них. Но не стоит питать иллюзий, да, узнать твой реальный адрес, будет затруднительно, но ты по-прежнему подвержен всем тем же атакам, что и выше. Твое слабое место — это твое физическое место работы, твой компьютер.
Высокий уровень защиты
Высокий уровень безопасности и анонимности, выглядит так:
Клиент → VPN → Удаленное рабочее место (через RDP/VNC) → VPN → цель
Рабочий компьютер должен быть не твой, а удаленный, например, на Windows 8, с Firefox, парой плагинов вроде Flash, парой кодеков, [ВНИМАНИЕ] никаких уникальных шрифтов и прочих плагинов. Скучный и неотличимый от миллионов других в сети. И даже в случае какой-либо утечки или компрометации твоей системы, ты все равно остаешься прикрыт еще одним VPN'о
Раньше считалось, что высокий уровень анонимности достигался путем использования Tor/VPN/SSH/Socks, но не сегодня. Поэтому обязательно добавляем еще и использование удаленного рабочего места в эту схему
God’ mode (Режим Бога)
Клиент → Double VPN (в разных дата центрах, но рядом друг с другом) → Удаленное рабочее место + Виртуальная машина → VPN → цель
Предлагаемая схема - это первичное подключение к VPN и вторичное подключение к VPN (на случай, если 1-й VPN будет скомпрометирован, через какую либо утечку), для скрытия трафика от провайдера и с целью не выдать свой реальный IP-адрес в дата центре с удаленным рабочим местом. Далее установленная виртуальная машина на этом сервере. Зачем нужна виртуальная машина я думаю понятно?- Чтобы каждую загрузку делать откат к самой стандартной и банальной системе, со стандартным набором плагинов. Именно на машине с удаленным рабочим местом, а не локально. Люди, которые использовали виртуальную машину локально, а из под нее TripleVPN на эллиптических кривых, однажды зайдя на whoer.net, очень удивились увидеть в графе WebRTC свой реальный и настоящий IP-адрес. Какую ловушку реализуют завтра, обновя тебе браузер, не знает никто, главное не держиничего локально. Кевин Митник это 30 лет назад уже знал
Данная схема неоднократно использовалась в наших делах. Тормоза — приличные, даже если географически вся схема составлена правильно. Но терпимые. В данном случае, подразумевается, что человек не разносит сервера на пути по разным континентам.Допустим ты физически находишься в Москве, так и строй схему так, чтобы первыйVPN тоже был в Москве, второй, например, в Милане, а удаленное рабочее место, например, в Италии и конечный VPN, например, в Беларуси. Логика построения должна быть такой, что не стоит использовать все сервера внутри, например, еврозоны. Все дело в том, что там хорошо налажено сотрудничество и взаимодействие различных структур, но при этом не стоит их разносить далеко друг от друга. Соседние государства, ненавидящие друг-друга — вот залог успеха твоейцепочки
Что бы быть ультра-неуязвимым - можно еще добавить автоматическое посещение веб-сайтов в фоновом режиме, с твоей реальной машины как имитацию серфинга,чтобы не было подозрения, что ты используешь какое-то средство анонимизации. Таккак трафик идет лишь к одному IP-адресу и через один порт. Можно добавить использование ОС Whonix/Tails, получать доступ в интернет через публичный Wi-Fi в кафе (практически все пароли есть в приложении Wi-Fi Map), при этом обязательнопоменяв данные сетевого адаптера, которые тоже могут привести к деанонимизации. Если дело очень серьезное, то есть необходимость сменить внешность (вспоминаем про очки, бабушкин шарф и даже накладные усы и парики), чтобы не быть идентифицированы по лицу в том же самом кафе. Уже внедрены технологии, позволяющие делать. К сожалению, это будущее и оно уже здесь. Ты можешь быть определен, как по наличию координат местонахождения, в файле фотографии, сделанной твоим телефоном до диагностики определенного стиля письма. Просто помни об этом
Fingerprints, как и попытки определения использования VPN, по средствам замера времени отправления пакета от пользователя к вебсайту и от вебсайта к IP-адресу пользователя (не берем в расчет такой «костыль» как блокировка только входящих запросов определенного вида) обойти не так просто. Обмануть кое-что можно, однудругую проверку, но нет гарантий, что завтра не появится очередное «зло». Именно поэтому тебе необходимо удаленное рабочее место, именно поэтому нужна чистая виртуалка, именно поэтому это лучший совет, который можно дать, на данный момент. Cтоимость такого решения может начинаться всего лишь от 40$ в месяц. Но учти, что для оплаты, следует использовать исключительно крипт
Самая важная часть и самый главный залог успеха в защите анонимности —разделение работы с персональными данными и с данными секретными, представляющими какую-то ценность. Все эти туннели и выстроенные схемы, будут абсолютно бесполезны, если ты с нее зайдешь, например, в свой почтовый ящик или ВК
1. Базовый уровень защиты
2. Средний уровень защиты
3. Высокий уровень защиты
4. God’ mode (Режим Бога)
Давайте разберем каждый из них подробнее
Базовый уровень защиты
Базовый уровень безопасности и анонимности, выглядит так:
клиент → VPN/TOR/SSH-тунель → цель.
Схема базового уровня - это лишь продвинутая альтернатива прокси, позволяющая просто подменить IP. Один шаг, один клик и о анонимности тут говорить не придется. Уже не придется. Одна неверная или дефолтная настройка пресловутого WebRTC и ваш реальный IP уже известен. Данный тип защиты уязвим и перед компрометацией узла, и перед fingerprints и перед простым анализом логов у провайдера и в дата центре
Часто на просторах Телеграмм встречаются статьи, воспевающие частный VPN, представляя его лучше чем публичный, т.к. человек уверен в своей настройке системы. Давайте на секунду представим, кому-то известен твой внешний IP, соответственно известен и дата центр, соответственно дата центру известно, какому серверу этот IP принадлежит. Сложно ли на месте, установить с какого реального IP к этому серверу подключались? Если ты там один клиент? Ответ очевиден. Когда клиентов, например 100, 1000 - тут уже все намного сложнее
Это даже не касаясь аспектов, что редкий человек, заморочится на шифрованные диски и защиту от выемки, врятли бы даже заметил, если его сервер перезагрузят с init level 1 и включат логи на VPN, описав это как «небольшие технические проблемы в дата центре». Да и разве это вообще нужно, если известны все входящие адреса на сервер и исходящие с него же
Что же касается Tor, во-первых, его использование напрямую может вызывать подозрение, а во-вторых, выходные ноды, которых около 1000 штук известны и многие из них забанены, для многих сайтов это как красная тряпка. Например в Cloudflare есть возможность в Firewall'e разрешать или принимать подключения из сети Tor. В качестве страны следует использовать T1. Кроме того, использование Tor намного медленнее VPN (Скорость в сети Тор на данный момент не превышает 10 мбит, а часто находится на уровне 1-3 мбит)
Итог: Если вам нужно просто не носить по миру свой открытый паспорт и обходить простейшие запреты на сайты, иметь хорошую скорость соединения и возможность полностью пускать весь трафик через другой узел, то следует выбрать VPN. И на эту роль лучше подходит платный сервис, за те же деньги, что вы отдали бы за свой VPS, в 1-й стране, который еще нужно настроить и как-никак поддерживать, вы получите десятки стран и сотни или даже тысячи выходных IP
В этом случае нет смысла использовать Tor, но в каких-то случаях и Tor является хорошим решением, особенно, если существует еще дополнительный слой безопасности, такой как VPN или SSH-туннель. Но об этом дальше
Средний уровень защиты
Средний уровень безопасности и анонимности, выглядит так:
Клиент → VPN → Тор → цель
Это оптимальный и рабочий инструмент, для любого, не безразличного к подмене IPадреса человека, это именно тот случай, когда сочетание технологий усилило каждую из них. Но не стоит питать иллюзий, да, узнать твой реальный адрес, будет затруднительно, но ты по-прежнему подвержен всем тем же атакам, что и выше. Твое слабое место — это твое физическое место работы, твой компьютер.
Высокий уровень защиты
Высокий уровень безопасности и анонимности, выглядит так:
Клиент → VPN → Удаленное рабочее место (через RDP/VNC) → VPN → цель
Рабочий компьютер должен быть не твой, а удаленный, например, на Windows 8, с Firefox, парой плагинов вроде Flash, парой кодеков, [ВНИМАНИЕ] никаких уникальных шрифтов и прочих плагинов. Скучный и неотличимый от миллионов других в сети. И даже в случае какой-либо утечки или компрометации твоей системы, ты все равно остаешься прикрыт еще одним VPN'о
Раньше считалось, что высокий уровень анонимности достигался путем использования Tor/VPN/SSH/Socks, но не сегодня. Поэтому обязательно добавляем еще и использование удаленного рабочего места в эту схему
God’ mode (Режим Бога)
Клиент → Double VPN (в разных дата центрах, но рядом друг с другом) → Удаленное рабочее место + Виртуальная машина → VPN → цель
Предлагаемая схема - это первичное подключение к VPN и вторичное подключение к VPN (на случай, если 1-й VPN будет скомпрометирован, через какую либо утечку), для скрытия трафика от провайдера и с целью не выдать свой реальный IP-адрес в дата центре с удаленным рабочим местом. Далее установленная виртуальная машина на этом сервере. Зачем нужна виртуальная машина я думаю понятно?- Чтобы каждую загрузку делать откат к самой стандартной и банальной системе, со стандартным набором плагинов. Именно на машине с удаленным рабочим местом, а не локально. Люди, которые использовали виртуальную машину локально, а из под нее TripleVPN на эллиптических кривых, однажды зайдя на whoer.net, очень удивились увидеть в графе WebRTC свой реальный и настоящий IP-адрес. Какую ловушку реализуют завтра, обновя тебе браузер, не знает никто, главное не держиничего локально. Кевин Митник это 30 лет назад уже знал
Данная схема неоднократно использовалась в наших делах. Тормоза — приличные, даже если географически вся схема составлена правильно. Но терпимые. В данном случае, подразумевается, что человек не разносит сервера на пути по разным континентам.Допустим ты физически находишься в Москве, так и строй схему так, чтобы первыйVPN тоже был в Москве, второй, например, в Милане, а удаленное рабочее место, например, в Италии и конечный VPN, например, в Беларуси. Логика построения должна быть такой, что не стоит использовать все сервера внутри, например, еврозоны. Все дело в том, что там хорошо налажено сотрудничество и взаимодействие различных структур, но при этом не стоит их разносить далеко друг от друга. Соседние государства, ненавидящие друг-друга — вот залог успеха твоейцепочки
Что бы быть ультра-неуязвимым - можно еще добавить автоматическое посещение веб-сайтов в фоновом режиме, с твоей реальной машины как имитацию серфинга,чтобы не было подозрения, что ты используешь какое-то средство анонимизации. Таккак трафик идет лишь к одному IP-адресу и через один порт. Можно добавить использование ОС Whonix/Tails, получать доступ в интернет через публичный Wi-Fi в кафе (практически все пароли есть в приложении Wi-Fi Map), при этом обязательнопоменяв данные сетевого адаптера, которые тоже могут привести к деанонимизации. Если дело очень серьезное, то есть необходимость сменить внешность (вспоминаем про очки, бабушкин шарф и даже накладные усы и парики), чтобы не быть идентифицированы по лицу в том же самом кафе. Уже внедрены технологии, позволяющие делать. К сожалению, это будущее и оно уже здесь. Ты можешь быть определен, как по наличию координат местонахождения, в файле фотографии, сделанной твоим телефоном до диагностики определенного стиля письма. Просто помни об этом
Fingerprints, как и попытки определения использования VPN, по средствам замера времени отправления пакета от пользователя к вебсайту и от вебсайта к IP-адресу пользователя (не берем в расчет такой «костыль» как блокировка только входящих запросов определенного вида) обойти не так просто. Обмануть кое-что можно, однудругую проверку, но нет гарантий, что завтра не появится очередное «зло». Именно поэтому тебе необходимо удаленное рабочее место, именно поэтому нужна чистая виртуалка, именно поэтому это лучший совет, который можно дать, на данный момент. Cтоимость такого решения может начинаться всего лишь от 40$ в месяц. Но учти, что для оплаты, следует использовать исключительно крипт
Самая важная часть и самый главный залог успеха в защите анонимности —разделение работы с персональными данными и с данными секретными, представляющими какую-то ценность. Все эти туннели и выстроенные схемы, будут абсолютно бесполезны, если ты с нее зайдешь, например, в свой почтовый ящик или ВК
