Thực đơn
trang chủHướng dẫn

Bạn có thể tin tưởng mạng VPN với những bí mật của mình không? Thiết lập truy cập Internet ẩn danh qua Tor và VPN

Tôi đã nói rất nhiều về bảo mật của máy Mac, nhưng thực tế tôi đã bỏ qua một chủ đề thú vị như VPN, mặc dù tôi đã sử dụng thứ này hơn một năm. Công nghệ VPN được thiết kế để bảo vệ kết nối Internet của bạn. Điều này đặc biệt đúng trong các mạng WiFi công cộng mà chúng tôi sử dụng trong các quán cà phê và nhà hàng.

Khi không có biện pháp bảo vệ, bất kỳ sinh viên hiểu biết nào ở bàn bên cạnh đều có thể “lắng nghe” lưu lượng truy cập trong mạng. Với một sự kiên trì nhất định, bạn có thể trích xuất thông tin đăng nhập từ đó cho nhiều tài nguyên Internet khác nhau. Nếu bạn có một trang web trên WordPress thì thông tin đăng nhập và mật khẩu của bạn sẽ bị “rò rỉ” rất nhanh.

Mối đe dọa thực sự thứ hai là công lý có chọn lọc của một số bộ phận K9, nơi định kỳ chọn vật tế thần và khởi xướng các vụ án hình sự để tải bẫy torrent. Bạn cũng có thể thu hút sự chú ý ở nước ngoài, nơi việc kiểm soát bản quyền đặc biệt nghiêm ngặt.

Trong cả hai trường hợp, một trong nhiều dịch vụ VPN hiện đang tích cực tiếp cận đại chúng sẽ giúp ích cho chúng tôi.

VPN là gì?

VPN là kết nối được mã hóa tới máy tính/máy chủ ban đầu được sử dụng để kết nối từ xa tới mạng công ty. Ví dụ: sau khi rời đến một quốc gia khác, nhân viên có thể kết nối với mạng nội bộ của công ty và có quyền truy cập vào tất cả các tài nguyên cục bộ: tệp, lịch, máy in, v.v. Nếu tại thời điểm này bạn tải xuống một số trang hoặc tệp từ web toàn cầu, thì điều này sẽ xảy ra thay mặt cho máy chủ đang hoạt động và sau đó nó sẽ được gửi qua kênh được mã hóa tới người dùng từ xa (nhân viên của chúng tôi).

Hình ảnh từ Habr

Chính tính năng thú vị này đã thúc đẩy sự xuất hiện của các máy chủ VPN thương mại, hoạt động như một loại “lớp” giữa bạn và Internet và thay mặt chúng “điều khiển” tất cả lưu lượng truy cập của bạn.

Kết nối VPN cần được thiết lập bằng thứ gì đó. Nếu bạn có máy chủ của riêng mình thì bạn có thể “nâng cấp” nó ngay tại đó. Đối với những người khác, có nhiều dịch vụ trả phí, với mức giá từ 7-10 USD, sẽ cung cấp nhiều tính năng hơn cả VPN “tự chế”.

Lợi ích của VPN

Máy chủ VPN giúp kết nối mạng an toàn hơn như thế nào? Như tôi đã nói, máy chủ hoạt động như một bộ đệm chuyển tất cả lưu lượng truy cập Internet đi qua chính nó và lưu lượng truy cập được mã hóa ở phía “bạn-máy chủ-bạn”.

Do đó, lợi thế chính: nhà cung cấp của bạn và những người dùng khác trên mạng nội bộ không biết bạn truy cập tài nguyên nào và tải xuống những gì. Không thể phân tích lưu lượng truy cập - đó là một mớ hỗn độn kỹ thuật số vô nghĩa.

Nếu bạn không chỉ “đọc” Internet mà còn đăng nhập vào tài khoản của mình bằng thông tin đăng nhập và mật khẩu (diễn đàn, trang web, mạng xã hội, ví điện tử, ngân hàng di động), bao gồm tải xuống thứ gì đó từ torrent, sau đó là ẩn danh và bảo mật, điều đó VPN cung cấp là điều hiển nhiên.

Để các bên thứ ba vẫn có thể xem lịch sử hoạt động của bạn, họ cần phải có sự cho phép của cơ quan tư pháp để truy cập vào nhật ký máy chủ VPN, tất nhiên là ở quốc gia nơi công ty sở hữu chúng được đăng ký. Thông thường địa chỉ hợp pháp của họ nằm ở một số Seychelles và nhật ký hoạt động Internet được lưu trữ từ vài ngày đến vài tuần. Bạn hiểu việc này gây khó khăn như thế nào cho việc giám sát. Nhưng nhà cung cấp của bạn có thể bắt đầu “lắng nghe” bạn ngay từ yêu cầu đầu tiên từ các cơ quan thực thi pháp luật.

VPN có thêm một số lợi ích bổ sung. Khi bạn kết nối với máy chủ từ xa, bạn sẽ nhận được địa chỉ IP của quốc gia nơi đặt máy chủ đó. Thứ nhất, nó che giấu vị trí thực của bạn và thứ hai, nó cho phép bạn sử dụng nguồn lực nội bộ của các quốc gia này.

Ví dụ: trong mùa giải, tôi xem Công thức 1 trên đài BBC của Anh (miễn phí cho cư dân Vương quốc Anh). Bằng cách kết nối với máy chủ Mỹ, bạn có thể nghe Pandora hoặc tạo cho mình một tài khoản Mỹ trong App Store. Một số nước châu Á không cho phép tôi làm ngân hàng trực tuyến. Điều này cũng có thể được khắc phục bằng cách thay đổi địa chỉ IP bằng VPN. Trong tất cả các trường hợp này, các trang web sẽ “nghĩ” rằng người dùng cuối không phải là bạn mà là máy chủ VPN của bạn.

Tất nhiên, lợi thế này chỉ tồn tại nếu bạn có thể chọn thủ công một trong nhiều máy chủ VPN. Theo quy định, chỉ những dịch vụ trả phí mới có những lợi thế như vậy. Đối với người dùng cuối, toàn bộ sự lựa chọn này phụ thuộc vào việc chọn thành phố (quốc gia) mà họ muốn kết nối: London, Hamburg, Tokyo, v.v.

Nhược điểm của VPN

Vì một liên kết khác xuất hiện giữa bạn và các tài nguyên trên mạng, liên kết này cũng mã hóa tất cả thông tin được truyền đi, điều này dẫn đến giảm tốc độ. Tuy nhiên, tổn thất không đến mức thảm khốc, tôi vẫn xem được video phát trực tuyến ở độ phân giải 720p một cách bình thường nên tải trang Internet không có gì khác biệt. Tốc độ sẽ bị giảm đáng kể nếu tài nguyên bạn đang truy cập nằm ở thành phố hoặc quốc gia của bạn. Khi làm việc với nguồn lực nước ngoài, theo quy luật, tốc độ hầu như không có sự khác biệt.

Chà, tính năng thứ hai là bạn cần tin tưởng vào nhà cung cấp VPN của mình. Rốt cuộc, luôn có khả năng có ai đó từ FBI, FSB hoặc SBU ở đầu bên kia.

Bạn nên chú ý điều gì trước khi mua?

  1. Số lượng và vị trí của máy chủ. Càng có nhiều thì càng dễ tìm được máy chủ nhanh nhất. Sự ổn định và tốc độ của kết nối phụ thuộc vào điều này. Nhiều lựa chọn máy chủ ở các quốc gia khác nhau có khả năng chịu lỗi cao hơn. Nếu một cái không hoạt động, bạn luôn có thể kết nối với cái khác.
  2. Số lượng thiết bị được kết nối đồng thời. Nhiều nhà cung cấp VPN chỉ cho phép bạn có hai kết nối hoạt động. Ví dụ: MacBook và iPad. Trong trường hợp này, bạn chỉ có thể kết nối iPhone của mình bằng cách tắt một trong số chúng. Nghe thì có vẻ vô lý nhưng thực tế đôi khi nó lại gây ra sự bất tiện. Rốt cuộc, bạn chỉ muốn bật VPN ở mọi nơi và quên nó đi.
  3. Phương thức ủy quyền trên iOS. Có hai lựa chọn. Đầu tiên là ủy quyền qua PPTP/L2TP. Trong trường hợp này, bạn cần vào cài đặt, tạo kết nối VPN mới ở đó và nhập tên người dùng và mật khẩu của bạn theo cách thủ công. Nhưng tính năng quan trọng nhất là kết nối VPN sẽ cần được tự kích hoạt thông qua Cài đặt mỗi khi bạn muốn sử dụng. Phương pháp thứ hai là ủy quyền thông qua chứng chỉ SSL. Nghe có vẻ phức tạp nhưng thực tế đây là cách dễ dàng và thuận tiện nhất. Theo quy định, bạn sẽ cần cài đặt một ứng dụng nhỏ dành cho iOS, ứng dụng này sẽ cài đặt mọi thứ cho bạn chỉ sau vài cú nhấp chuột. Không chỉ vậy, nó còn dùng để theo dõi trạng thái tài khoản của bạn. Điều này thuận tiện khi lưu lượng truy cập không bị giới hạn. Chà, và quan trọng nhất, chỉ khi sử dụng chứng chỉ thì chức năng “Kết nối theo yêu cầu” mới khả dụng trong cài đặt VPN, chức năng này sẽ tự động thiết lập kết nối với máy chủ ngay khi bạn trực tuyến.
  4. Ứng dụng khách dành cho Mac. Việc tìm kiếm thứ gì đó phù hợp một cách tự nhiên với phong cách của OS X không phải là điều dễ dàng. Một số đơn giản là khủng khiếp, một số khác liên tục bị treo trong Dock... Ngoài ra, một ứng dụng khách tốt có thể thực hiện các chức năng bổ sung, chẳng hạn như chặn mọi kết nối trên các mạng lạ và tự động bật VPN.
  5. Nhật ký hoạt động của bạn được lưu giữ trong bao lâu? Mỗi dịch vụ luôn lưu trữ lịch sử hành động của bạn. Theo quy định, đây là địa chỉ của các tài nguyên được truy cập và lượng thông tin được truyền đi. Nếu xảy ra tình huống gây tranh cãi, dữ liệu này có thể được chuyển đến các cơ quan thực thi pháp luật theo quyết định của tòa án của quốc gia nơi nhà cung cấp VPN được đăng ký. Thời gian lưu trữ nhật ký ở mỗi người là khác nhau và có thể từ một ngày đến vài tuần.
  6. Giao thức kết nối máy tính để bàn. Thông thường đây là TCP hoặc UDP. Tôi sẽ không đi sâu vào chi tiết kỹ thuật, nhưng để lướt web, phát video trực tuyến, Skype, v.v., lựa chọn của chúng tôi là UDP.

Chọn VPN

Tôi đã dành một thời gian dài để đọc các bài viết chuyên đề về Habré, nhưng tôi không thể tìm thấy bất cứ điều gì rõ ràng và dễ hiểu đối với người dùng bình thường. Nhiều nhà cung cấp VPN mà tôi gặp đều có trụ sở tại Hoa Kỳ, điều này ảnh hưởng lớn đến tốc độ kết nối. Không có ích gì khi lái tất cả lưu lượng truy cập qua lục địa khác.

Sau khi tìm kiếm chi tiết hơn, tôi đã tìm được một số giải pháp thú vị. Ví dụ: hai nhà cung cấp VPN “của chúng tôi”: Kebrum và ruVPN, cũng như American Cloak, có một số máy chủ ở Châu Âu. Nếu bạn không muốn đọc nhiều thì hãy đi thẳng vào phần ấn tượng về Cloak, đó là điều tôi đã chọn.

Kebrum VPN (trang web)

Công ty được đăng ký tại Seychelles và lưu trữ lịch sử hoạt động trực tuyến của bạn trong 3 ngày. Có một ứng dụng khách nhỏ (và quanh co) dành cho Mac cho phép bạn kết nối với VPN chỉ bằng một cú nhấp chuột và cũng chọn các máy chủ mong muốn. Vấn đề chính của nó hóa ra là một biểu tượng khó chịu trong Dock không thể ẩn được. Tất nhiên, có một thủ thuật đặc biệt cho việc này, nhưng tôi không muốn làm điều đó trong trường hợp này. Bạn sẽ phải kích hoạt VPN theo cách thủ công thông qua Dock hoặc Menubar.

Đối với các máy chủ có sẵn, tổng cộng có chín máy chủ, trong đó tôi chỉ để lại bốn máy chủ cho mình:

  • Amsterdam
  • London
  • Luxembourg
  • Köln

Bạn có thể đồng thời có hai kết nối mạng đang hoạt động (TCP hoặc UDP) trên một tài khoản. Ví dụ: ở nhà và tại nơi làm việc (nếu bạn quên tắt máy tính ở nhà). Nếu muốn, bạn thậm chí có thể kết nối iPhone hoặc iPad của mình với VPN (giao thức PPTP hoặc L2TP/IPSec). Với 7 USD mỗi tháng, lưu lượng truy cập là không giới hạn, vì vậy bạn hầu như luôn có thể làm việc thông qua máy chủ VPN.

Tôi đã sử dụng Tunnelblick làm ứng dụng khách thay thế. Nó tiện lợi hơn nhiều so với loại tiêu chuẩn nhưng trông cũng đáng sợ.

Bản thân Kebrum hoạt động khá tốt. Nhưng đôi khi kết nối bị rớt hoàn toàn, đó là lý do tại sao bạn phải thay đổi máy chủ theo cách thủ công. Kết nối qua iOS không hỗ trợ chức năng “Kết nối theo yêu cầu”; kết nối VPN phải được khởi động theo cách thủ công, điều này phủ nhận tất cả tính hữu ích của nó trên thiết bị di động, vì việc này mất nhiều thời gian và bạn đơn giản là quên thực hiện.

Tôi đã làm việc với Kebrum trong một thời gian khá dài, khoảng 5 tháng, và nhìn chung tôi có thể nói rằng đây là một giải pháp tốt so với mức giá của nó. Ưu điểm chính của nó: lưu lượng không giới hạn, nhiều máy chủ và giá thấp.

ruVPN (trang web)

Sự hiện diện của thuế quan có thể nhận thấy ngay lập tức. Tất cả lưu lượng truy cập của họ là không giới hạn, nhưng có giới hạn tốc độ. Gói cơ bản 20 Mbps sẽ tiêu tốn của bạn 10 USD hàng tháng.

Hóa ra mức giá này chưa bao gồm việc kết nối thiết bị di động. Nếu bạn muốn kết nối một chiếc iPhone hoặc iPad khác với cùng tốc độ, bạn sẽ phải bỏ ra thêm 10 USD. Và bên cạnh đó, 20 USD cho một máy Mac và một thiết bị di động không hề rẻ.

Công ty ruVPN được đăng ký tại Na Uy và máy chủ được đặt tại đó. Vì vậy, bạn sẽ không thể nghe Pandora qua Hoa Kỳ hoặc xem Công thức 1 trên BBC của Anh.

Để bảo vệ ruVPN, tôi sẽ nói rằng nó hoạt động nhanh chóng và ổn định hơn nhiều so với Kebrum. Nhưng mức giá quá cao so với lợi ích thực sự chỉ ở dạng chứng chỉ SSL.

Áo choàng VPN (trang web)

Cloak là một dịch vụ của Mỹ mà cuối cùng tôi đã chọn. Hóa ra anh ấy có rất nhiều tính năng bổ sung và một trang web rõ ràng, nơi bạn có thể nhận được thông tin toàn diện về sự phức tạp trong công việc của anh ấy.

Vì vậy, hãy để tôi bắt đầu với thực tế là việc ủy ​​quyền trên thiết bị di động được thực hiện thông qua chứng chỉ SSL, để cài đặt chứng chỉ này, bạn cũng cần cài đặt chương trình miễn phí từ App Store, đăng nhập thông qua đó và cài đặt chứng chỉ chỉ bằng một nút bấm .

Cloak hiện chỉ hoạt động trên Mac, iPhone và iPad nhưng hoàn toàn không giới hạn số lượng thiết bị kết nối đồng thời. Nếu bạn đăng ký một tài khoản với giá 9,99 USD với gói lưu lượng không giới hạn, bạn có thể chuyển toàn bộ gia đình, ông bà và ông bà của mình sang VPN.

Cloak có máy chủ ở tám quốc gia và máy khách OS X tự động kết nối với máy chủ nhanh nhất dựa trên thử nghiệm nội bộ. Nếu muốn, quốc gia có thể được đặt thủ công. Nhật ký trên máy chủ được lưu trữ trong 16 ngày.

Tôi đặc biệt muốn khen ngợi ứng dụng khách chất lượng cao dành cho OS X. Thứ nhất, nó đẹp và được tạo ra cho mọi người chứ không phải cho những người đam mê công nghệ. Bạn chỉ cần cài đặt nó và nhấn nút Bảo mật kết nối của tôi.

Thứ hai, nó thực sự cố gắng bảo mật kết nối của bạn bằng cách chặn hoạt động Internet trên tất cả các mạng lạ cho đến khi kết nối VPN được thiết lập.

Danh sách các mạng thân thiện có thể được thay đổi trong cài đặt và tùy chọn kết nối tự động cũng có thể được kích hoạt ở đó.

Đối với các gói thuế quan, ban đầu có ba gói, nhưng chỉ vài tuần trước chỉ còn lại hai gói. Cái đầu tiên có giá 2,99 USD với giới hạn 5 GB mỗi tháng, cái thứ hai có giá 9,99 USD cho mức hoàn toàn không giới hạn. Lúc đầu, tôi vẫn sử dụng gói cước 25 GB với giá 7,99 USD, nhưng hôm qua tôi đã chuyển sang gói không giới hạn.

Một điểm cộng lớn khác là có sẵn phiên bản dùng thử của Cloak mà không có bất kỳ hạn chế nào. Sau khi đăng ký bạn sẽ được chuyển ngay sang gói Mini với 5 GB lưu lượng trong 30 ngày. Nó là khá đủ để đánh giá sự thuận tiện của khách hàng và tốc độ làm việc. Và nếu bạn tweet nội dung khác về Cloak, bạn sẽ nhận được 20% gói dữ liệu của mình, tức là 1 GB, miễn phí.

Nhân tiện, về tốc độ - nó không chỉ tốt: bạn không nhận thấy kết nối với VPN. Nếu với Kebrum, tôi định kỳ phải chiến đấu với các máy chủ và tìm kiếm tốc độ có thể chấp nhận được, thì ở đây mọi thứ hoạt động như kim đồng hồ. Dưới đây là một số phép đo ở những nơi khác nhau và vào những thời điểm khác nhau (máy chủ được chọn tự động).

Tốc độ tại một quán cà phê ở trung tâm thành phố, 14h45

Về nhà nhanh, 7h20 tối.

Các thử nghiệm cho thấy rõ ràng rằng khi làm việc với tài nguyên cục bộ, tốc độ truyền tải giảm xuống khá đáng kể. Tuy nhiên, khi làm việc với nước ngoài, tổn thất không đáng kể. Cá nhân tôi thấy như vậy là khá đủ, đặc biệt là vì kết nối rất ổn định. Nếu điều này vẫn chưa đủ đối với bạn thì bạn nên xem xét kỹ hơn về ruVPN.

Tóm lại là

VPN là thứ bắt buộc phải có đối với tất cả những ai truy cập mạng từ mạng công cộng. Nó sẽ không khiến bạn ẩn danh hoàn toàn nhưng nó sẽ “ẩn” hoạt động trực tuyến của bạn khỏi những con mắt tò mò và bảo vệ dữ liệu của bạn khỏi bị chặn. Tất cả điều này chỉ bằng một nút bấm.

VPN cũng sẽ hữu ích cho những người thỉnh thoảng đam mê tải torrent. Nếu bạn đam mê nhiều, hãy nhớ xem xét kỹ hơn ứng dụng khách torrent đám mây put.io. Nó không chỉ an toàn mà còn nhanh hơn nhiều.



Tôi cũng sẽ nói về bản phân phối Whonix OS, bản phân phối này triển khai những thành tựu tiên tiến nhất trong lĩnh vực ẩn danh mạng, bởi vì, trong số những thứ khác, cả hai sơ đồ được phân tích đều được cấu hình và hoạt động trong đó.

Đầu tiên, hãy xác định một số tiên đề:
1. Mạng Tor cung cấp mức độ ẩn danh cao cho khách hàng, tuân theo tất cả các quy tắc bắt buộc khi sử dụng. Đây là một sự thật: vẫn chưa có bất kỳ cuộc tấn công công khai thực sự nào vào mạng.
2. Máy chủ VPN (SSH) đáng tin cậy đảm bảo tính bảo mật của dữ liệu được truyền giữa chính nó và máy khách.
Vì vậy, để thuận tiện, trong bài viết này, chúng tôi muốn nói rằng Tor đảm bảo tính ẩn danh của máy khách và VPN - tính bảo mật của dữ liệu được truyền.

Tor qua VPN. VPN đầu tiên, sau đó là Tor

Với sơ đồ này, máy chủ VPN là nút đầu vào cố định, sau đó lưu lượng được mã hóa sẽ được gửi đến mạng Tor. Trong thực tế, sơ đồ này rất dễ thực hiện: đầu tiên, bạn kết nối với máy chủ VPN, sau đó khởi chạy trình duyệt Tor, trình duyệt này sẽ tự động định cấu hình định tuyến cần thiết thông qua đường hầm VPN.

Việc sử dụng lược đồ này cho phép chúng tôi che giấu sự thật về việc sử dụng Tor với nhà cung cấp Internet của chúng tôi. Chúng tôi cũng sẽ bị chặn khỏi nút nhập Tor, nút này sẽ nhìn thấy địa chỉ máy chủ VPN. Và trong trường hợp Tor bị xâm phạm về mặt lý thuyết, chúng tôi sẽ được bảo vệ bởi đường VPN, tất nhiên, đường này không lưu trữ bất kỳ nhật ký nào.
Việc sử dụng máy chủ proxy thay vì VPN chẳng có ý nghĩa gì: nếu không có mã hóa do VPN cung cấp, chúng tôi sẽ không nhận được bất kỳ lợi thế đáng kể nào trong sơ đồ như vậy.

Điều đáng chú ý là, đặc biệt để phá vỡ lệnh cấm Tor, các nhà cung cấp Internet đã nghĩ ra cái gọi là cầu nối.
Cầu nối là các nút của mạng Tor không được liệt kê trong thư mục Tor trung tâm, tức là không hiển thị, chẳng hạn, hoặc và do đó, khó phát hiện hơn.
Cách cấu hình bridge được viết chi tiết.
Bản thân trang Tor có thể cung cấp cho chúng ta một số cầu nối tại .
Bạn cũng có thể nhận địa chỉ cầu nối qua thư bằng cách gửi tới: [email được bảo vệ] hoặc [email được bảo vệ] bức thư với nội dung: “lấy cầu”. Hãy nhớ gửi thư này từ thư từ gmail.com hoặc yahoo.com
Đáp lại, chúng tôi sẽ nhận được một lá thư có địa chỉ của họ:
« Đây là rơle cầu của bạn:
cầu 60.16.182.53:9001
cầu 87.237.118.139:444
cầu 60.63.97.221:443»
Những địa chỉ này sẽ cần được chỉ định trong cài đặt của Vidalia, máy chủ proxy Tor.
Đôi khi xảy ra trường hợp cầu bị tắc. Để vượt qua điều này, Tor đã giới thiệu cái gọi là “cầu nối bị xáo trộn”. Nếu không đi sâu vào chi tiết, chúng sẽ khó phát hiện hơn. Ví dụ: để kết nối với họ, bạn cần tải xuống Gói trình duyệt Tor có thể cắm Transports Tor.

thuận cơ chế:

  • chúng tôi sẽ che giấu sự thật về việc sử dụng Tor với nhà cung cấp Internet (hoặc kết nối với Tor nếu nhà cung cấp chặn nó). Tuy nhiên, có những cây cầu đặc biệt cho việc này;
  • chúng tôi sẽ ẩn địa chỉ IP của mình khỏi nút nhập Tor, thay thế nó bằng địa chỉ của máy chủ VPN, nhưng đây không phải là cách tăng tính ẩn danh hiệu quả nhất;
  • trong trường hợp Tor bị xâm phạm về mặt lý thuyết, chúng tôi sẽ vẫn đứng sau máy chủ VPN.

Nhược điểm cơ chế:

  • chúng ta phải tin tưởng vào máy chủ VPN trong trường hợp không có bất kỳ lợi thế đáng kể nào của phương pháp này.
VPN thông qua Tor. Tor đầu tiên, sau đó là VPN

Trong trường hợp này, máy chủ VPN là một lối thoát vĩnh viễn cho Internet.


Một sơ đồ kết nối tương tự có thể được sử dụng để vượt qua việc chặn các nút Tor bằng các tài nguyên bên ngoài, đồng thời nó sẽ bảo vệ lưu lượng truy cập của chúng ta khỏi bị nghe lén trên nút thoát Tor.
Có rất nhiều khó khăn về mặt kỹ thuật trong việc thiết lập kết nối như vậy, chẳng hạn, bạn có nhớ rằng chuỗi Tor được cập nhật 10 phút một lần hoặc Tor không cho phép UDP đi qua? Tùy chọn khả thi nhất để triển khai thực tế là sử dụng hai máy ảo (xem thêm về điều này bên dưới).
Điều quan trọng cần lưu ý là bất kỳ nút thoát nào cũng sẽ dễ dàng đánh dấu máy khách trong luồng chung, vì hầu hết người dùng truy cập các tài nguyên khác nhau và khi sử dụng sơ đồ tương tự, máy khách luôn đi đến cùng một máy chủ VPN.
Đương nhiên, việc sử dụng máy chủ proxy thông thường sau Tor không có nhiều ý nghĩa vì lưu lượng truy cập vào proxy không được mã hóa.

thuận cơ chế:

  • bảo vệ chống nghe lén lưu lượng truy cập trên nút thoát Tor, tuy nhiên, bản thân các nhà phát triển Tor khuyên bạn nên sử dụng mã hóa ở cấp ứng dụng, ví dụ: https;
  • bảo vệ chống lại việc chặn địa chỉ Tor bởi các tài nguyên bên ngoài.

Nhược điểm cơ chế:

  • thực hiện phức tạp của chương trình;
  • chúng ta phải tin tưởng vào máy chủ VPN thoát.
Khái niệm Whonix

Có nhiều bản phân phối hệ điều hành có mục đích chính là cung cấp tính ẩn danh và bảo vệ cho khách hàng trên Internet, chẳng hạn như Tails và Liberte và các bản phân phối khác. Tuy nhiên, giải pháp hiệu quả, không ngừng phát triển và có công nghệ tiên tiến nhất, triển khai các kỹ thuật tiên tiến nhất để đảm bảo tính bảo mật và ẩn danh là việc phân phối hệ điều hành.
Bản phân phối bao gồm hai máy ảo Debian trên VirtualBox, một trong số đó là cổng gửi tất cả lưu lượng truy cập đến mạng Tor và máy còn lại là máy trạm biệt lập chỉ kết nối với cổng. Whonix thực hiện cơ chế được gọi là máy chủ proxy cô lập. Ngoài ra còn có tùy chọn tách biệt cổng và máy trạm về mặt vật lý.

Vì máy trạm không biết địa chỉ IP bên ngoài của nó trên Internet, điều này cho phép bạn vô hiệu hóa nhiều lỗ hổng, ví dụ: nếu phần mềm độc hại giành được quyền truy cập root vào máy trạm, nó sẽ không có cơ hội tìm ra địa chỉ IP thực. Đây là sơ đồ hoạt động của Whonix, được lấy từ trang web chính thức của nó.


Theo các nhà phát triển, hệ điều hành Whonix đã vượt qua thành công tất cả các bài kiểm tra rò rỉ có thể xảy ra. Ngay cả các ứng dụng như Skype, BitTorrent, Flash, Java, được biết đến với khả năng truy cập Internet mở thông qua Tor, cũng đã được thử nghiệm thành công về khả năng loại bỏ rò rỉ dữ liệu ẩn danh.
Whonix OS triển khai nhiều cơ chế ẩn danh hữu ích, tôi sẽ chỉ ra những cơ chế quan trọng nhất:

  • tất cả lưu lượng truy cập của bất kỳ ứng dụng nào đều đi qua mạng Tor;
  • Để bảo vệ khỏi việc lập hồ sơ lưu lượng truy cập, Whonix OS triển khai khái niệm cách ly luồng. Các ứng dụng được cài đặt sẵn của Whonix được định cấu hình để sử dụng một cổng Socks riêng và vì mỗi cổng Socks sử dụng một chuỗi nút riêng trong mạng Tor nên không thể lập hồ sơ;
  • lưu trữ an toàn các dịch vụ Tor Hidden được cung cấp. Ngay cả khi kẻ tấn công hack máy chủ web, hắn sẽ không thể đánh cắp khóa riêng của dịch vụ “Ẩn”, vì khóa được lưu trữ trên cổng Whonix;
  • Whonix được bảo vệ khỏi rò rỉ DNS vì nó sử dụng nguyên tắc proxy biệt lập trong kiến ​​trúc của mình. Tất cả các yêu cầu DNS đều được chuyển hướng đến DnsPort của Tor;
  • Whonix hỗ trợ “những cây cầu bị xáo trộn” đã thảo luận trước đó;
  • Công nghệ “Giao thức-Bảo vệ rò rỉ và Bảo vệ dấu vân tay” được sử dụng. Điều này giúp giảm rủi ro nhận dạng khách hàng thông qua việc tạo dấu vân tay kỹ thuật số của trình duyệt hoặc hệ thống bằng cách sử dụng các giá trị được sử dụng phổ biến nhất, ví dụ: tên người dùng – “người dùng”, múi giờ – UTC, v.v.;
  • có thể tạo đường hầm cho các mạng ẩn danh khác: Freenet, I2P, JAP, Retroshare qua Tor hoặc làm việc trực tiếp với từng mạng như vậy. Thông tin chi tiết hơn về các tính năng của các kết nối như vậy có thể được tìm thấy tại liên kết;
  • Điều quan trọng cần lưu ý là Whonix đã thử nghiệm, ghi lại và quan trọng nhất là hoạt động (!) tất cả các kế hoạch kết hợp VPN/SSH/Proxy với Tor. Thông tin chi tiết hơn về điều này có thể được lấy từ liên kết;
  • Whonix OS là một dự án mã nguồn mở hoàn toàn sử dụng phần mềm miễn phí.

Tuy nhiên, điều đáng chú ý là Whonix OS cũng có những nhược điểm:

  • thiết lập phức tạp hơn Tails hoặc Liberte;
  • cần có hai máy ảo hoặc phần cứng vật lý riêng biệt;
  • đòi hỏi phải tăng cường chú ý đến việc bảo trì. Bạn cần giám sát ba hệ điều hành thay vì một, lưu trữ mật khẩu và cập nhật hệ điều hành;
  • Trong Whonix, nút “Danh tính mới” trong Tor không hoạt động. Thực tế là trình duyệt Tor và bản thân Tor bị cô lập trên các máy khác nhau, do đó nút “Nhận dạng mới” không có quyền truy cập vào quản lý Tor. Để sử dụng chuỗi nút mới, bạn cần đóng trình duyệt, thay đổi chuỗi bằng Arm, bảng điều khiển Tor, tương đương với Vidalia trong Trình duyệt Tor và khởi chạy lại trình duyệt.

Dự án Whonix đang được phát triển riêng biệt với dự án Tor và các ứng dụng khác là một phần của nó, do đó Whonix sẽ không bảo vệ khỏi các lỗ hổng trong chính mạng Tor hoặc, ví dụ, lỗ hổng 0 ngày trong tường lửa, Iptables.

Tính bảo mật trong hoạt động của Whonix có thể được tóm tắt bằng một trích dẫn từ wiki của nó: " Và không, Whonix không tuyên bố bảo vệ khỏi những đối thủ rất mạnh, là một hệ thống an toàn hoàn hảo, cung cấp khả năng ẩn danh mạnh mẽ hoặc cung cấp sự bảo vệ khỏi các cơ quan gồm ba chữ cái hoặc sự giám sát của chính phủ, v.v.».
Nếu các bộ phận của “ba chữ cái” đang tìm kiếm bạn, họ sẽ tìm thấy bạn :)

Vấn đề về tình bạn giữa Tor và VPN đang gây tranh cãi. Tranh chấp trên các diễn đàn về chủ đề này không hề lắng xuống. Tôi sẽ đưa ra một số điều thú vị nhất trong số đó:

  1. phần về Tor và VPN từ trang dự án Tor chính thức;
  2. phần của diễn đàn phân phối Tails về vấn đề VPN/Tor với ý kiến ​​của các nhà phát triển Tails. Bản thân diễn đàn hiện đã đóng cửa nhưng Google đã lưu các cuộc thảo luận vào bộ nhớ đệm;
  3. của diễn đàn phân phối Liberte về vấn đề VPN/Tor với ý kiến ​​của các nhà phát triển Liberte.
 Dịch vụ bảo vệ và cải thiện kết nối Internet của bạn để bạn có thể yên tâm khi lướt Internet. Spotflux mã hóa và nén lưu lượng truy cập Internet di động, giảm chi phí truyền dữ liệu và cho phép bạn duyệt web an toàn, ngay cả qua Wi-Fi công cộng.

Psiphon

Dịch vụ này sử dụng Công nghệ proxy VPN, SSH và HTTPđể giải quyết vấn đề truy cập vào tài nguyên bị chặn. Psiphon cho phép bạn vượt qua kiểm duyệt, có quyền truy cập vào thông tin bạn quan tâm và bảo vệ tài khoản cũng như mật khẩu của bạn khỏi bị hack.

Mạng tốt hơn

Với Betternet, bạn không phải lo lắng về việc mật khẩu của mình bị hack. Dịch vụ này cho phép bạn truy cập bất kỳ trang web nào ở bất kỳ quốc gia nào, lướt Internet ẩn danh dưới địa chỉ IP đã thay đổi và bảo vệ dữ liệu của bạn khỏi những kẻ tấn công tiềm năng.

Hỗ trợ các nền tảng: Firefox, Chrome, iOS, Android, Windows

CyberGhost VPN

Dịch vụ này dễ cài đặt và cung cấp quyền truy cập an toàn và không giới hạn vào bất kỳ tài nguyên nào trên Internet, bất kể bạn ở đâu. CyberGhost VPN cung cấp tính năng ẩn danh mà không ảnh hưởng đến quyền riêng tư trực tuyến của bạn.

Lướt sóng dễ dàng

SurfEasy VPN cho phép bạn sử dụng mọi thiết bị, mọi nơi, trên bất kỳ mạng nào và duyệt bất kỳ trang web nào một cách an toàn mà không bị kiểm duyệt hoặc hạn chế của ISP. Dịch vụ này cho phép bạn thực hiện các hoạt động ẩn danh, ngay cả khi bạn kết nối với các điểm Wi-Fi công cộng hoặc sử dụng mạng không bảo mật.

Hỗ trợ các nền tảng: Windows, Mac OS, iOS, Android

Ẩn.me

Hide.me giúp bạn thực sự ẩn danh trực tuyến bằng cách ẩn thông tin cá nhân và vị trí của bạn. Nó mã hóa các hoạt động của bạn, bảo vệ bạn khỏi tin tặc và hoạt động độc hại. Dịch vụ VPN này vượt qua kiểm duyệt và cung cấp quyền truy cập vào bất kỳ thông tin nào trên Internet.

Hỗ trợ nền tảng: Windows, Android

FinchVPN

FinchVPN cung cấp bảng điều khiển dễ sử dụng với nhiều máy chủ VPN ở các địa điểm khác nhau trên thế giới. Các nhà phát triển tuyên bố rằng dịch vụ không giám sát hoạt động của bạn.

Hỗ trợ các nền tảng: Windows, Mac OS, Linux, Android

proXPN

proXPN ẩn thông tin của bạn với người lạ và che giấu danh tính cũng như vị trí của bạn. Dịch vụ này bảo vệ chống hack và các hoạt động độc hại khác. Nó cũng cho phép bạn thoát khỏi sự kiểm duyệt và xem các trang như hiện tại.

Hỗ trợ nền tảng: Windows, Mac OS

ZenMate

ZenMate mã hóa và bảo mật kết nối internet của bạn để bảo vệ thông tin của bạn trong khi duyệt web. Dịch vụ này cho phép bạn xem ẩn danh nội dung trên World Wide Web.

Hỗ trợ các nền tảng: Chrome, Firefox, Opera, iOS, Android

ZPN

Dịch vụ VPN đáng tin cậy và nhanh chóng. Anh ta cung cấp 10 GB lưu lượng truy cập miễn phí mỗi tháng và hoạt động như một tường lửa ảo. Với nó, bạn có thể kết nối với các điểm Wi-Fi công cộng mà không gặp rủi ro.

Hỗ trợ nền tảng: Windows, iOS, Android

Bảo mậtKISS

Dịch vụ này bảo vệ thông tin cá nhân của bạn, đảm bảo tính ẩn danh và vượt qua các hạn chế Internet do nhà cung cấp Internet hoặc quốc gia đặt ra. Cung cấp sử dụng miễn phí 300 MB mỗi ngày. Sử dụng công nghệ nén dữ liệu, nhờ đó đảm bảo tốc độ cao.

Hỗ trợ các nền tảng: Windows, Mac OS, Linux, iOS, Android

VPN Hideman

Hideman VPN cung cấp mã hóa dữ liệu và ẩn danh cho các phiên Internet. Nó cung cấp quyền sử dụng miễn phí với thời gian giới hạn và lưu lượng truy cập (Không quá 2GB mỗi tháng). Sử dụng các địa chỉ máy chủ khác nhau từ nhiều quốc gia trên thế giới, từ đó tăng cường tính bảo mật của bạn.

Hỗ trợ các nền tảng: Windows, Mac OS, iOS, Android

ZenVPN

Dịch vụ này cung cấp khả năng truy cập Internet nhanh chóng và đáng tin cậy. Nó bảo vệ thông tin của bạn khỏi những người không có thẩm quyền, do đó cung cấp tính bảo mật hoàn toàn cho dữ liệu của bạn. Gói ZenVPN miễn phí bao gồm 250 MB lưu lượng mỗi ngày.

Hỗ trợ các nền tảng: Windows, Mac OS, iOS, Android

Nhận riêng tư

GetPrivate đảm bảo tính bảo mật cho kết nối Internet của bạn trên toàn thế giới. Dịch vụ này cung cấp băng thông không giới hạn cho tất cả các tài nguyên được truy cập và cung cấp quyền truy cập vào các trang web đã đóng.

Nền tảng hỗ trợ: Windows

Thông thường, khi tôi giới thiệu VPN ở đâu đó như một phương tiện đảm bảo quyền riêng tư và bảo mật trực tuyến, tôi nhận được những nhận xét như “thế thì Tor tốt hơn”. Đúng, Tor đã chứng tỏ mình là một công cụ tốt để duy trì tính ẩn danh trực tuyến, nhưng việc sử dụng VPN cũng cho phép bạn ẩn hoạt động trực tuyến của mình với người ngoài, chẳng hạn như nhà quảng cáo, tin tặc và những “kẻ rình mò” khác.
Vì vậy, hãy xem hai công cụ này khác nhau như thế nào và chúng ta có thể nhận được lợi ích gì khi sử dụng từng công cụ đó.

Tor

Hệ thống Tor được tạo ra theo lệnh liên bang tại Phòng thí nghiệm Nghiên cứu Hải quân Hoa Kỳ. Sau đó, mã nguồn được chuyển “để sử dụng chung” nhằm tăng tốc độ phát triển của hệ thống. Kết quả là, một ứng dụng máy khách-máy chủ nguồn mở đã được phát triển, chức năng của ứng dụng này có thể được kiểm tra bởi bất kỳ ai.

Tor là một tập hợp các máy chủ proxy ở nhiều nơi khác nhau trên thế giới, được kết hợp thành một hệ thống cung cấp kết nối Internet được bảo vệ khỏi sự giám sát. Bằng cách này, bạn vẫn ẩn danh khi truy cập trang web, gửi email, viết blog, v.v. Việc ẩn danh lưu lượng truy cập được thực hiện nhờ vào mạng lưới phân tán gồm các “nút” - máy chủ mà dữ liệu được truyền giữa đó. Điều này cho phép bạn tránh phân tích lưu lượng truy cập bằng cách sử dụng các công nghệ vi phạm quyền bảo mật dữ liệu, thư tín cá nhân, quyền riêng tư trực tuyến và quyền riêng tư trong liên lạc nói chung.

Ngoài ra, hệ thống Tor còn có khả năng tạo tài nguyên web ẩn trên các miền giả cấp cao nhất.onion. Những trang web như vậy được sử dụng, cùng với những mục đích khác, để thực hiện các hành động bất hợp pháp, nhưng chúng tôi sẽ không đề cập đến khía cạnh này của vấn đề. Chúng tôi quan tâm đến Tor như một phương tiện để người dùng thông thường truy cập các trang web công cộng một cách an toàn. Và trong trường hợp này, bằng cách sử dụng Tor, chúng tôi có thể bảo vệ dữ liệu của mình khỏi các nhà quảng cáo gây phiền nhiễu và các động thái tiếp thị không hoàn toàn trung thực của họ, ẩn vị trí thực của chúng tôi khi trực tuyến, có quyền truy cập vào các tài nguyên Internet cần thiết ở những quốc gia nơi chúng bị chặn hoặc không thể truy cập được bởi một số lý do .

Tuy nhiên, thật không may, hệ thống này không phải là thuốc chữa bách bệnh và không có khả năng bảo vệ 100% người dùng khỏi sự xâm phạm quyền riêng tư và giúp họ ẩn danh hoàn toàn. Thực tế là Tor che giấu chính sự giao tiếp giữa máy khách và máy chủ, nhưng không cung cấp sự bảo vệ hoàn toàn cho dữ liệu được truyền giống như cách mà VPN thực hiện.

Để bảo mật 100%, bản thân các kênh liên lạc cần phải mã hóa bổ sung (ví dụ: sử dụng HTTPS khi kết nối với các trang web, OTR khi liên lạc trong tin nhắn tức thời, PGP/GPG khi gửi email, FTPS khi tải xuống/tải tệp lên, SSH/OpenSSH khi tổ chức truy cập từ xa) và truyền dữ liệu. Ngoài ra, Tor hoạt động bằng giao thức SOKS, giao thức này không được hỗ trợ bởi tất cả các ứng dụng và ngược lại - Tor không hỗ trợ tất cả các giao thức mà các dịch vụ phổ biến sử dụng. Ví dụ: mạng không cung cấp tính năng ẩn danh hoàn toàn khi sử dụng dịch vụ VoIP và BitTorrent. Skype sẽ không hoạt động chính xác thông qua Tor theo mặc định và Flash bị tắt trong trình duyệt Tor theo mặc định, vì nó có thể tự kết nối với máy chủ từ xa, do đó làm lộ dữ liệu người dùng.

Ngoài ra, ISP của bạn sẽ biết rằng bạn đang sử dụng Tor vì địa chỉ của nó được công khai. Có ý kiến ​​cho rằng cơ quan tình báo đang tỏ ra quan tâm đặc biệt đến người dùng Tor - điều này có đúng hay không thì tôi không biết, nhưng tôi cũng không muốn thu hút thêm sự chú ý về phía mình khi có vẻ như mình không làm gì cả xấu. Thật kỳ lạ, đó lại là một VPN giúp che giấu sự thật về việc sử dụng Tor. Chà, đã đến lúc xem xét công nghệ ẩn danh này.

VPN

VPN là tên chung cho mạng hoặc kết nối được tạo bên trong hoặc bên trên một mạng khác, chẳng hạn như Internet. Nói một cách đơn giản, đó là một đường hầm bao gồm máy khách VPN được cài đặt trên thiết bị của người dùng và máy chủ VPN. Bên trong đường hầm này, dữ liệu trao đổi giữa người dùng và tài nguyên web được mã hóa. Bản chất của công nghệ VPN là bảo vệ lưu lượng của mọi hệ thống mạng thông tin, hội nghị âm thanh và video, hệ thống thương mại điện tử, v.v.

Ngày nay, VPN là một trong những phương thức truyền dữ liệu đáng tin cậy nhất do công nghệ này kết hợp kinh nghiệm của hai công ty nghiêm túc - Microsoft và Cisco. Ví dụ: hoạt động chung của giao thức PPTP (đứa con tinh thần của Microsoft) và GRE (một sản phẩm của Cisco). Và các giao thức L2TP và L2F tiên tiến hơn nữa cũng là sự phát triển của Microsoft và Cisco.

Tính bảo mật dữ liệu trong quá trình kết nối VPN được đảm bảo bởi thực tế là mã hóa xảy ra ở cấp độ người gửi và việc giải mã chỉ xảy ra ở cấp độ người nhận. Nội dung của các gói bị chặn được gửi trên mạng như vậy chỉ có thể hiểu được đối với chủ sở hữu khóa mã hóa dùng chung, độ dài của khóa này là tham số bảo mật quan trọng nhất.

Khóa được tạo trên thiết bị của người dùng và máy chủ và chỉ có sẵn cho họ. Việc tạo diễn ra dựa trên dữ liệu ngẫu nhiên như câu hỏi ngẫu nhiên, phản hồi của máy tính, thời gian phản hồi, hệ điều hành, v.v. Tập hợp các yếu tố này là duy nhất. Bất kỳ kẻ tấn công nào, để chọn phương thức giải mã, sẽ phải lặp lại tất cả các yếu tố ngẫu nhiên này, điều này gần như không thể xảy ra, vì các dịch vụ VPN hiện đại sử dụng thuật toán mã hóa mạnh mẽ ở cấp độ tổ chức tài chính.

Do đó, VPN bảo vệ tất cả dữ liệu đi và đến trên thiết bị của người dùng. Người dùng cũng nhận được địa chỉ IP của máy chủ VPN, địa chỉ này thay thế địa chỉ IP của mình và có khả năng chọn IP theo vị trí. Giả sử bạn muốn kết nối với bất kỳ dịch vụ nào với tư cách là người dùng từ Hoa Kỳ, thì bạn cần chọn IP của máy chủ Mỹ.
Nhờ thay đổi và mã hóa IP, dữ liệu của bạn được giữ an toàn trước tin tặc và những kẻ xâm nhập khác, đồng thời hoạt động Internet của bạn hoàn toàn bị ẩn.
Trong số những nhược điểm của VPN, chúng ta có thể nhận thấy tốc độ lưu lượng truy cập giảm. Bạn cũng có thể phải trả tiền để sử dụng dịch vụ VPN tốt nếu bạn cần kết nối an toàn thường xuyên.

Một số nhà cung cấp VPN gặp vấn đề rò rỉ thông tin qua IPv6 và/hoặc chiếm quyền điều khiển DNS, nhưng tôi tin rằng giờ đây công chúng đã chú ý đến vấn đề này nên những cải tiến về khả năng bảo vệ sẽ không còn lâu nữa.

Vì vậy, hãy tóm tắt một chút.

  1. VPN kết nối bạn với máy chủ bạn chọn ở quốc gia bạn muốn. Tor chuyển bạn đến các máy chủ khác nhau nằm ở những nơi khác nhau trên thế giới mà không có sự kiểm soát của bạn đối với quy trình.
  2. VPN ẩn vị trí thực của bạn và cung cấp địa chỉ IP mới - máy chủ bạn chọn. Tor ẩn IP thực của bạn và cung cấp địa chỉ ngẫu nhiên của nút cuối cùng mà bạn kết nối.
  3. VPN mã hóa dữ liệu của bạn đến tận máy chủ và ngược lại. Tor gửi dữ liệu được giải mã từ nút cuối cùng mà bạn kết nối tới, khiến dữ liệu đó gặp rủi ro.
  4. Khi bạn chọn sử dụng máy khách VPN, bạn đang ủy thác dữ liệu của mình cho một nhà cung cấp VPN cụ thể, vì vậy bạn phải tin tưởng vào điều đó. Bằng cách chọn Tor, bạn có thể ủy thác dữ liệu của mình cho chính phủ Mỹ và các nhà tài trợ dự án khác - có thể gây tranh cãi nhưng không phải là không thể.
  5. VPN cho phép bạn bảo vệ thư từ trong các dịch vụ VoIP và sử dụng torrent. Tor sẽ chỉ trợ giúp nếu ứng dụng VoIP sử dụng các giao thức thích hợp.
  6. VPN có thể rò rỉ dữ liệu nếu sử dụng công nghệ lỗi thời. Tor không thể che giấu sự thật rằng nó đang được sử dụng.
Như vậy, chúng ta có thể thấy rằng Tor và VPN có những ưu điểm và nhược điểm riêng và có thể phục vụ chúng ta trong những tình huống khác nhau và cho những mục đích khác nhau.

Giả sử, nếu bạn chỉ cần truy cập một số nội dung trên trang web, thì bạn có thể sử dụng bất kỳ nội dung nào trong số đó, nhưng bạn có thể sử dụng Skype ở một quốc gia bị cấm mà không cần nỗ lực thêm chỉ với VPN.

Nếu bạn cần truy cập mạng “từ một quốc gia cụ thể”, thì tốt hơn là nên sử dụng dịch vụ VPN có vị trí thích hợp và nếu việc bạn đến từ đâu không quan trọng mà chỉ cần ẩn danh, thì Tor sẽ làm được .

Có thể có rất nhiều ví dụ.

Để được bảo vệ tối đa, nếu bạn làm việc với dữ liệu rất có giá trị, bạn có thể sử dụng kết hợp Tor+VPN và không sợ bất kỳ ai hay bất cứ điều gì :)

Ví dụ: tôi sử dụng Tor trên máy tính và trên thiết bị di động - . Tôi cũng định kỳ kết nối nó với Google Chrome để thuận tiện. Hệ thống này vẫn chưa làm tôi thất vọng.

Nếu tôi chưa tính đến bất kỳ ưu điểm hoặc nhược điểm nào của các công nghệ này, vui lòng nhận xét.

Điều đầu tiên bạn nghĩ đến khi đề cập đến VPN là tính ẩn danh và bảo mật của dữ liệu được truyền đi. Có thực sự vậy không? Hãy tìm ra nó.

Khi bạn cần có quyền truy cập vào mạng công ty, truyền thông tin quan trọng một cách an toàn qua các kênh liên lạc mở, ẩn lưu lượng truy cập của bạn khỏi con mắt cảnh giác của nhà cung cấp, ẩn vị trí thực của bạn khi thực hiện bất kỳ hành động không hoàn toàn hợp pháp (hoặc hoàn toàn không hợp pháp) nào , bạn thường sử dụng VPN . Nhưng liệu có đáng để phụ thuộc một cách mù quáng vào VPN, khiến tính bảo mật của dữ liệu và sự an toàn của chính bạn bị đe dọa không? Tất nhiên là không. Tại sao? Hãy tìm ra nó.

CẢNH BÁO

Tất cả thông tin được cung cấp chỉ nhằm mục đích thông tin. Cả người biên tập và tác giả đều không chịu trách nhiệm về bất kỳ tác hại nào có thể xảy ra do tài liệu của bài viết này gây ra.

Chúng tôi cần VPN!

Mạng riêng ảo hay đơn giản là VPN là tên chung cho các công nghệ cho phép cung cấp một hoặc nhiều kết nối mạng (mạng logic) qua một mạng khác, chẳng hạn như Internet. Mặc dù thực tế là việc liên lạc có thể được thực hiện thông qua các mạng công cộng với mức độ tin cậy không xác định, mức độ tin cậy trong mạng logic được xây dựng không phụ thuộc vào mức độ tin cậy trong các mạng cơ bản do sử dụng các công cụ mã hóa (mã hóa, xác thực). , cơ sở hạ tầng khóa công khai, phương tiện bảo vệ chống lại các tin nhắn lặp lại và thay đổi được truyền qua mạng logic). Như bạn có thể thấy, về mặt lý thuyết, mọi thứ đều màu hồng và không có mây, nhưng trên thực tế, mọi thứ lại có phần khác. Trong bài viết này, chúng ta sẽ xem xét hai điểm chính mà bạn phải tính đến khi sử dụng VPN.

Lưu lượng VPN bị rò rỉ

Vấn đề đầu tiên với VPN là rò rỉ lưu lượng. Nghĩa là, lưu lượng truy cập cần được truyền qua kết nối VPN ở dạng được mã hóa sẽ vào mạng ở dạng văn bản rõ ràng. Tình huống này không phải là kết quả của lỗi trong máy chủ hoặc máy khách VPN. Mọi thứ ở đây thú vị hơn nhiều. Tùy chọn đơn giản nhất là đột ngột ngắt kết nối VPN. Bạn quyết định quét máy chủ hoặc mạng con bằng Nmap, khởi chạy máy quét, rời khỏi màn hình trong vài phút và sau đó kết nối VPN đột ngột bị ngắt. Nhưng máy quét vẫn tiếp tục hoạt động. Và quá trình quét đến từ địa chỉ của bạn. Đây quả là một tình huống khó chịu. Nhưng có nhiều kịch bản thú vị hơn. Ví dụ: rò rỉ lưu lượng VPN phổ biến trong các mạng (trên máy chủ) hỗ trợ cả hai phiên bản của giao thức IP (còn gọi là mạng/máy chủ xếp chồng kép).

Gốc rễ của Quỷ dữ

Sự tồn tại chung của hai giao thức - IPv4 và IPv6 - có nhiều khía cạnh thú vị và tinh tế, có thể dẫn đến những hậu quả không mong muốn. Mặc dù IP 6 không tương thích ngược với IP 4 nhưng hai phiên bản này được gắn với nhau bởi Hệ thống tên miền (DNS). Để làm rõ hơn những gì chúng ta đang nói đến, hãy xem một ví dụ đơn giản. Ví dụ: hãy lấy một trang web (giả sử www.example.com) có hỗ trợ cả IPv4 và IPv6. Tên miền tương ứng (www.example.com trong trường hợp của chúng tôi) sẽ chứa cả hai loại bản ghi DNS: A và AAAA. Mỗi bản ghi A chứa một địa chỉ IPv4 và mỗi bản ghi AAAA chứa một địa chỉ IPv6. Hơn nữa, một tên miền có thể có nhiều bản ghi thuộc cả hai loại. Do đó, khi một ứng dụng hỗ trợ cả hai giao thức muốn liên lạc với trang web, nó có thể yêu cầu bất kỳ địa chỉ khả dụng nào. Họ địa chỉ ưu tiên (IPv4 hoặc IPv6) và địa chỉ cuối cùng sẽ được ứng dụng sử dụng (vì có một số địa chỉ dành cho phiên bản 4 và 6) sẽ khác nhau tùy theo cách triển khai giao thức này với giao thức khác.

Sự cùng tồn tại của các giao thức này có nghĩa là khi một máy khách hỗ trợ cả hai ngăn xếp muốn giao tiếp với hệ thống khác, sự hiện diện của các bản ghi A và AAAA sẽ ảnh hưởng đến giao thức nào sẽ được sử dụng để giao tiếp với hệ thống đó.

Ngăn xếp giao thức VPN và kép

Nhiều triển khai VPN không hỗ trợ hoặc thậm chí tệ hơn là bỏ qua hoàn toàn IPv6. Khi kết nối được thiết lập, phần mềm VPN sẽ đảm nhiệm việc vận chuyển lưu lượng IPv4 - thêm tuyến mặc định cho các gói IPv4, từ đó đảm bảo rằng tất cả lưu lượng IPv4 được gửi qua kết nối VPN (thay vì được gửi rõ ràng thông qua bộ định tuyến cục bộ) . Tuy nhiên, nếu IPv6 không được hỗ trợ (hoặc bị bỏ qua hoàn toàn), mọi gói có địa chỉ IPv6 đích trong tiêu đề của nó sẽ được gửi rõ ràng thông qua bộ định tuyến IPv6 cục bộ.

Nguyên nhân chính của vấn đề nằm ở chỗ mặc dù IPv4 và IPv6 là hai giao thức khác nhau, không tương thích với nhau nhưng chúng lại được sử dụng chặt chẽ trong hệ thống tên miền. Do đó, đối với một hệ thống hỗ trợ cả hai ngăn xếp giao thức, không thể bảo mật kết nối đến hệ thống khác nếu không bảo mật cả hai giao thức (IPv6 và IPv4).

Kịch bản rò rỉ lưu lượng VPN hợp pháp

Hãy xem xét một máy chủ hỗ trợ cả hai ngăn xếp giao thức, sử dụng máy khách VPN (chỉ hoạt động với lưu lượng IPv4) để kết nối với máy chủ VPN và được kết nối với mạng xếp chồng kép. Nếu một ứng dụng trên máy chủ cần liên lạc với nút xếp chồng kép, máy khách thường truy vấn cả bản ghi DNS A và AAAA. Vì máy chủ hỗ trợ cả hai giao thức và nút từ xa sẽ có cả hai loại bản ghi DNS (A và AAAA), một trong những tình huống có thể xảy ra là sử dụng giao thức IPv6 để liên lạc giữa chúng. Và vì máy khách VPN không hỗ trợ phiên bản thứ sáu của giao thức nên lưu lượng IPv6 sẽ không được gửi qua kết nối VPN mà sẽ được gửi dưới dạng văn bản rõ ràng qua mạng cục bộ.

Tình huống này khiến dữ liệu có giá trị được truyền ở dạng văn bản rõ ràng gặp rủi ro khi chúng tôi cho rằng dữ liệu đó đang được truyền một cách an toàn qua kết nối VPN. Trong trường hợp cụ thể này, rò rỉ lưu lượng VPN là tác dụng phụ của việc sử dụng phần mềm không phải IPv6 trên mạng (và máy chủ) hỗ trợ cả hai giao thức.

Cố tình khiến lưu lượng VPN bị rò rỉ

Kẻ tấn công có thể cố tình ép buộc kết nối IPv6 trên máy tính của nạn nhân bằng cách gửi tin nhắn Quảng cáo Bộ định tuyến ICMPv6 giả mạo. Các gói như vậy có thể được gửi bằng các tiện ích như rtadvd, Bộ công cụ IPv6 của SI6 Networks hoặc THC-IPv6. Sau khi kết nối IPv6 được thiết lập, “giao tiếp” với hệ thống hỗ trợ cả hai ngăn xếp giao thức có thể dẫn đến rò rỉ lưu lượng VPN, như đã thảo luận ở trên.

Mặc dù cuộc tấn công này có thể khá hiệu quả (do số lượng trang web hỗ trợ IPv6 ngày càng tăng), nhưng nó sẽ chỉ làm rò rỉ lưu lượng khi người nhận hỗ trợ cả hai phiên bản của giao thức IP. Tuy nhiên, không khó để kẻ tấn công gây rò rỉ lưu lượng cho bất kỳ người nhận nào (xếp chồng kép hoặc không). Bằng cách gửi tin nhắn Quảng cáo Bộ định tuyến giả có chứa tùy chọn RDNSS thích hợp, kẻ tấn công có thể giả vờ là máy chủ DNS đệ quy cục bộ, sau đó thực hiện giả mạo DNS để thực hiện cuộc tấn công trung gian và chặn lưu lượng tương ứng. Như trong trường hợp trước, các công cụ như SI6-Toolkit và THC-IPv6 có thể dễ dàng thực hiện thủ thuật này.

Sẽ không có vấn đề gì nếu lưu lượng truy cập không nhằm mục đích thu hút những con mắt tò mò cuối cùng lại được công khai trên mạng. Làm thế nào để bảo vệ bản thân trong những tình huống như vậy? Dưới đây là một số công thức nấu ăn hữu ích:

  1. Nếu máy khách VPN được định cấu hình để gửi tất cả lưu lượng IPv4 qua kết nối VPN thì:
  • nếu máy khách VPN không hỗ trợ IPv6, hãy tắt hỗ trợ cho phiên bản thứ sáu của giao thức IP trên tất cả các giao diện mạng. Như vậy, các ứng dụng chạy trên máy tính sẽ không còn lựa chọn nào khác ngoài việc sử dụng IPv4;
  • nếu IPv6 được hỗ trợ, hãy đảm bảo rằng tất cả lưu lượng IPv6 cũng được gửi qua VPN.
  1. Để tránh rò rỉ lưu lượng nếu kết nối VPN đột ngột bị rớt và tất cả các gói được gửi qua cổng mặc định, bạn có thể:
  2. buộc tất cả lưu lượng truy cập đi qua tuyến VPN xóa 0.0.0.0 192.168.1.1 // xóa tuyến cổng mặc định thêm 83.170.76.128 mặt nạ 255.255.255.255 192.168.1.1 số liệu 1
  • sử dụng tiện ích VPNetMon, tiện ích này theo dõi trạng thái kết nối VPN và ngay khi nó biến mất, sẽ chấm dứt ngay lập tức các ứng dụng do người dùng chỉ định (ví dụ: máy khách torrent, trình duyệt web, máy quét);
  • hoặc tiện ích VPNCheck, tùy theo lựa chọn của người dùng, có thể vô hiệu hóa hoàn toàn card mạng hoặc đơn giản là chấm dứt các ứng dụng được chỉ định.
  1. Bạn có thể kiểm tra xem máy của mình có dễ bị rò rỉ lưu lượng DNS trên trang web hay không, sau đó áp dụng các mẹo về cách khắc phục rò rỉ được mô tả.

Giải mã lưu lượng VPN

Ngay cả khi bạn đã định cấu hình mọi thứ chính xác và lưu lượng VPN của bạn không bị rò rỉ vào mạng một cách rõ ràng thì đây vẫn chưa phải là lý do để bạn thư giãn. Vấn đề là nếu ai đó chặn dữ liệu được mã hóa truyền qua kết nối VPN, anh ta sẽ có thể giải mã nó. Hơn nữa, nó không ảnh hưởng gì đến điều này dù mật khẩu của bạn phức tạp hay đơn giản. Nếu bạn sử dụng kết nối VPN dựa trên giao thức PPTP thì bạn có thể nói chắc chắn một trăm phần trăm rằng tất cả lưu lượng truy cập được mã hóa bị chặn đều có thể được giải mã.

Gót chân Achilles

Đối với các kết nối VPN dựa trên PPTP (Giao thức đường hầm điểm-điểm), xác thực người dùng được thực hiện bằng giao thức MS-CHAPv2 do Microsoft phát triển. Mặc dù thực tế là MS-CHAPv2 đã lỗi thời và thường xuyên bị chỉ trích nhưng nó vẫn tiếp tục được sử dụng tích cực. Cuối cùng, để gửi nó vào thùng rác lịch sử, nhà nghiên cứu nổi tiếng Moxie Marlinspike đã giải quyết vấn đề này, người đã báo cáo tại hội nghị DEF CON lần thứ 20 rằng mục tiêu đã đạt được - giao thức đã bị hack. Phải nói rằng tính bảo mật của giao thức này trước đây đã gây bối rối, nhưng việc sử dụng MS-CHAPv2 trong thời gian dài như vậy có thể là do nhiều nhà nghiên cứu chỉ tập trung vào lỗ hổng của nó trước các cuộc tấn công từ điển. Nghiên cứu hạn chế và số lượng lớn máy khách được hỗ trợ, sự hỗ trợ tích hợp của hệ điều hành - tất cả những điều này đảm bảo việc áp dụng rộng rãi giao thức MS-CHAPv2. Đối với chúng tôi, vấn đề nằm ở chỗ MS-CHAPv2 được sử dụng trong giao thức PPTP, giao thức này được nhiều dịch vụ VPN sử dụng (ví dụ: những dịch vụ lớn như dịch vụ VPN ẩn danh IPredator và VPN của The Pirate Bay).

Nếu chúng ta lật lại lịch sử, thì vào năm 1999, trong nghiên cứu về giao thức PPTP, Bruce Schneier đã chỉ ra rằng “Microsoft đã cải tiến PPTP bằng cách sửa các lỗi bảo mật lớn. Tuy nhiên, điểm yếu cơ bản của giao thức xác thực và mã hóa là nó chỉ an toàn bằng mật khẩu mà người dùng chọn.” Vì lý do nào đó, điều này khiến các nhà cung cấp tin rằng PPTP không có gì sai và nếu người dùng được yêu cầu đưa ra mật khẩu phức tạp thì dữ liệu được truyền sẽ được an toàn. Dịch vụ Riseup.net lấy cảm hứng từ ý tưởng này đến mức đã quyết định tạo mật khẩu 21 ký tự một cách độc lập cho người dùng mà không cho họ cơ hội đặt mật khẩu riêng. Nhưng ngay cả biện pháp cứng rắn như vậy cũng không ngăn được việc giải mã lưu lượng truy cập. Để hiểu lý do tại sao, chúng ta hãy xem xét kỹ hơn giao thức MS-CHAPv2 và xem Moxie Marlinspike đã bẻ khóa nó như thế nào.

Giao thức MS-CHAPv2

Như đã đề cập, MSCHAPv2 được sử dụng để xác thực người dùng. Nó xảy ra trong một số giai đoạn:

  • khách hàng gửi yêu cầu xác thực đến máy chủ, chuyển thông tin đăng nhập của nó một cách công khai;
  • máy chủ trả về phản hồi ngẫu nhiên 16 byte cho máy khách (Thử thách xác thực);
  • khách hàng tạo PAC 16 byte (Thử thách xác thực ngang hàng - phản hồi xác thực ngang hàng);
  • máy khách kết hợp PAC, phản hồi của máy chủ và tên người dùng của nó thành một dòng;
  • hàm băm 8 byte được lấy từ chuỗi nhận được bằng thuật toán SHA-1 và gửi đến máy chủ;
  • máy chủ lấy hàm băm của ứng dụng khách này từ cơ sở dữ liệu của nó và giải mã phản hồi của nó;
  • nếu kết quả giải mã khớp với phản hồi ban đầu thì mọi thứ đều ổn và ngược lại;
  • sau đó, máy chủ lấy PAC của máy khách và dựa trên hàm băm, tạo ra AR 20 byte (Phản hồi của người xác thực), chuyển nó đến máy khách;
  • máy khách thực hiện thao tác tương tự và so sánh AR nhận được với phản hồi của máy chủ;
  • nếu mọi thứ khớp, máy khách sẽ được máy chủ xác thực. Hình này hiển thị sơ đồ trực quan về hoạt động của giao thức.

Thoạt nhìn, giao thức có vẻ quá phức tạp - một loạt các hàm băm, mã hóa, các thử thách ngẫu nhiên. Nó thực sự không phức tạp như vậy. Nếu quan sát kỹ, bạn sẽ nhận thấy rằng trong toàn bộ giao thức chỉ có một điều chưa được biết - hàm băm MD4 của mật khẩu người dùng, trên cơ sở đó ba khóa DES được tạo. Các tham số còn lại được truyền ở dạng rõ ràng hoặc có thể thu được từ những gì được truyền ở dạng rõ ràng.


Vì hầu hết tất cả các tham số đều đã biết nên chúng ta không thể xem xét chúng mà hãy chú ý đến những gì chưa biết và tìm hiểu những gì nó mang lại cho chúng ta.


Vì vậy, những gì chúng ta có: một mật khẩu không xác định, hàm băm MD4 không xác định của mật khẩu đó, một bản rõ đã biết và một bản mã đã biết. Khi kiểm tra kỹ hơn, bạn sẽ nhận thấy rằng mật khẩu của người dùng không quan trọng đối với chúng tôi, nhưng hàm băm của nó rất quan trọng vì mật khẩu này được kiểm tra trên máy chủ. Do đó, để xác thực thành công thay mặt người dùng cũng như giải mã lưu lượng truy cập của anh ta, chúng ta chỉ cần biết hàm băm của mật khẩu của anh ta.

Có trong tay lưu lượng truy cập bị chặn, bạn có thể thử giải mã nó. Có một số công cụ (ví dụ: asleap) cho phép bạn đoán mật khẩu của người dùng thông qua tấn công từ điển. Nhược điểm của những công cụ này là chúng không đảm bảo 100% kết quả và thành công trực tiếp phụ thuộc vào từ điển đã chọn. Việc chọn mật khẩu bằng cách sử dụng vũ lực đơn giản cũng không hiệu quả lắm - ví dụ: trong trường hợp dịch vụ PPTP VPN Riseup.net buộc phải đặt mật khẩu dài 21 ký tự, bạn sẽ phải thử 96 tùy chọn ký tự cho mỗi trong số 21 ký tự . Điều này dẫn đến 96^21 tùy chọn, nhiều hơn 2^138 một chút. Nói cách khác, bạn cần chọn khóa 138 bit. Trong trường hợp không xác định được độ dài của mật khẩu, việc chọn hàm băm MD4 của mật khẩu là điều hợp lý. Xem xét rằng độ dài của nó là 128 bit, chúng tôi nhận được 2^128 tùy chọn - hiện tại, điều này đơn giản là không thể tính toán được.

Chia ra và cai trị

Giá trị băm MD4 của mật khẩu được sử dụng làm đầu vào cho ba thao tác DES. Khóa DES dài 7 byte, vì vậy mỗi thao tác DES sử dụng phần 7 byte của hàm băm MD4. Tất cả điều này nhường chỗ cho cuộc tấn công phân chia và chinh phục cổ điển. Thay vì ép buộc hoàn toàn hàm băm MD4 (như bạn nhớ, có 2^128 tùy chọn), chúng ta có thể chọn nó theo từng phần 7 byte. Vì ba thao tác DES được sử dụng và mỗi thao tác DES hoàn toàn độc lập với các thao tác khác, điều này mang lại tổng độ phức tạp khớp là 2^56 + 2^56 + 2^56 hoặc 2^57,59. Điều này đã tốt hơn đáng kể so với 2^138 và 2^128, nhưng vẫn có quá nhiều lựa chọn. Mặc dù, như bạn có thể nhận thấy, một lỗi đã len lỏi vào những tính toán này. Thuật toán sử dụng ba khóa DES, mỗi khóa có kích thước 7 byte, tức là tổng cộng 21 byte. Các khóa này được lấy từ hàm băm MD4 của mật khẩu, chỉ dài 16 byte.

Tức là thiếu 5 byte để xây dựng khóa DES thứ ba. Microsoft đã giải quyết vấn đề này đơn giản bằng cách ngu ngốc lấp đầy các byte bị thiếu bằng số 0 và về cơ bản là giảm hiệu quả của khóa thứ ba xuống còn hai byte.

Vì khóa thứ ba có độ dài hiệu dụng chỉ có hai byte, tức là có 2^16 tùy chọn, nên việc lựa chọn nó chỉ mất vài giây, chứng tỏ tính hiệu quả của cuộc tấn công chia để trị. Vì vậy, chúng ta có thể giả sử rằng hai byte cuối cùng của hàm băm đã được biết, tất cả những gì còn lại là chọn 14 byte còn lại. Ngoài ra, chia chúng thành hai phần 7 byte, chúng ta có tổng số tùy chọn tìm kiếm bằng 2^ 56 + 2^56 = 2^57. Vẫn còn quá nhiều, nhưng tốt hơn nhiều. Lưu ý rằng các thao tác DES còn lại mã hóa cùng một văn bản, chỉ sử dụng các khóa khác nhau. Thuật toán tìm kiếm có thể được viết như sau:

Nhưng vì văn bản được mã hóa giống nhau nên làm như thế này sẽ đúng hơn:

Tức là có 2^56 biến thể của khóa để tìm kiếm. Điều này có nghĩa là tính bảo mật của MS-CHAPv2 có thể bị giảm xuống chỉ còn sức mạnh của mã hóa DES.

Hack DES

Bây giờ phạm vi lựa chọn khóa đã được biết, việc hoàn thành thành công cuộc tấn công phụ thuộc vào sức mạnh tính toán. Năm 1998, Electronic Frontier Foundation đã chế tạo một chiếc máy có tên Deep Crack, có giá 250.000 USD và có thể bẻ khóa DES trong trung bình bốn ngày rưỡi. Hiện tại, Pico Computing, chuyên xây dựng phần cứng FPGA cho các ứng dụng mật mã, đã chế tạo một thiết bị FPGA (hộp bẻ khóa DES) triển khai DES như một đường dẫn với một thao tác DES trên mỗi chu kỳ xung nhịp. Với 40 lõi ở tốc độ 450 MHz, nó có thể liệt kê 18 tỷ phím mỗi giây. Với tốc độ khủng khiếp như vậy, hộp bẻ khóa DES bẻ khóa DES trong trường hợp xấu nhất là 23 giờ và trung bình là nửa ngày. Chiếc máy kỳ diệu này có sẵn thông qua dịch vụ web thương mại Loucracker.com. Vì vậy, bây giờ bạn có thể hack bất kỳ cái bắt tay MS-CHAPv2 nào trong vòng chưa đầy một ngày. Và có trong tay hàm băm mật khẩu, bạn có thể thay mặt người dùng này xác thực trên dịch vụ VPN hoặc đơn giản là giải mã lưu lượng truy cập của người đó.

Để tự động hóa công việc với dịch vụ và xử lý lưu lượng truy cập bị chặn, Moxie đã cung cấp tiện ích chapcrack một cách công khai. Nó phân tích lưu lượng truy cập mạng bị chặn, tìm kiếm sự bắt tay MS-CHAPv2. Đối với mỗi cái bắt tay mà nó tìm thấy, nó sẽ in tên người dùng, văn bản gốc đã biết, hai bản mã đã biết và bẻ khóa DES thứ ba. Ngoài ra, nó còn tạo mã thông báo cho CloudCracker, mã hóa ba tham số cần thiết để dịch vụ bẻ khóa các khóa còn lại.

CloudCracker & Chapcrack

Trong trường hợp bạn cần bẻ khóa DES khỏi lưu lượng người dùng bị chặn, tôi sẽ cung cấp hướng dẫn từng bước ngắn gọn.

  1. Tải xuống thư viện Passlib, nơi triển khai hơn 30 thuật toán băm khác nhau cho ngôn ngữ Python, giải nén và cài đặt: python setup.py install
  2. Cài đặt python-m2crypto - trình bao bọc OpenSSL cho Python: sudo apt-get install python-m2crypto
  3. Tải chính tiện ích chapcrack về, giải nén và cài đặt: python setup.py install
  4. Chapcrack đã được cài đặt, bạn có thể bắt đầu phân tích lưu lượng truy cập bị chặn. Tiện ích này chấp nhận tệp cap làm đầu vào, tìm kiếm bắt tay MS-CHAPv2, từ đó nó trích xuất thông tin cần thiết để hack. phân tích chapcrack -i test/pptp
  5. Từ dữ liệu đầu ra của tiện ích chapcrack, sao chép giá trị của dòng CloudCracker Submission và lưu vào một tệp (ví dụ: out.txt)
  6. Truy cập cloudcracker.com, trong bảng “Start Cracking” chọn File Type bằng “MS-CHAPv2 (PPTP/WPA-E)”, chọn file out.txt đã chuẩn bị trước đó ở bước trước, nhấn Next -> Next và cho biết e -mail của bạn, tin nhắn sẽ được gửi đến sau khi quá trình hack hoàn tất.

Thật không may, CloudCracker là dịch vụ trả phí. May mắn thay, bạn sẽ không phải trả nhiều tiền như vậy để hack chìa khóa - chỉ 20 đô la.

Phải làm gì?

Mặc dù Microsoft viết trên trang web của mình rằng hiện tại họ không có thông tin về các cuộc tấn công đang hoạt động bằng cách sử dụng chapcrack, cũng như hậu quả của những cuộc tấn công như vậy đối với hệ thống người dùng, nhưng điều này không có nghĩa là mọi thứ đều ổn. Moxie khuyến nghị tất cả người dùng và nhà cung cấp giải pháp PPTP VPN nên bắt đầu chuyển sang giao thức VPN khác. Và lưu lượng PPTP được coi là không được mã hóa. Như bạn có thể thấy, có một tình huống khác mà VPN có thể khiến chúng tôi thất vọng nghiêm trọng.


Phần kết luận

Điều đó xảy ra là VPN gắn liền với tính ẩn danh và bảo mật. Mọi người sử dụng VPN khi họ muốn ẩn lưu lượng truy cập của mình khỏi con mắt cảnh giác của nhà cung cấp, thay thế vị trí địa lý thực của họ, v.v. Trên thực tế, hóa ra lưu lượng truy cập có thể “rò rỉ” vào mạng một cách rõ ràng và nếu không rõ ràng thì lưu lượng được mã hóa có thể được giải mã khá nhanh. Tất cả điều này một lần nữa nhắc nhở chúng ta rằng chúng ta không thể mù quáng tin tưởng vào những lời hứa ồn ào về tính bảo mật và ẩn danh hoàn toàn. Như họ nói, hãy tin tưởng, nhưng hãy xác minh. Vì vậy, hãy cảnh giác và đảm bảo kết nối VPN của bạn thực sự an toàn và ẩn danh.