Национальный антитеррористический комитет собирается контролировать зашифрованный трафик в Сети. Представители отрасли опасаются, что это может привести к утечке персональных данных и войти в противоречие с Конституцией.
Руководитель Роскомнадзора Александр Жаров рассказал о том, что в рамках Национального антитеррористического комитета России (НАК) была создана специальная рабочая группа. Её цель - «внесение ясности в происходящее внутри шифрованного трафика» и создание мер по его регулированию.
В группу вошли представители всех силовых ведомств, Минэкономразвития, Минкомсвязи и отраслевые эксперты из Российской ассоциации электронных коммуникаций (РАЭК). Глава Роскомнадзора отметил, что немецкая корпорация (название её не разглашается в связи с коммерческой тайной) разработала метод сегментации шифрованного трафика и предоставила его на рассмотрение рабочей группе.
Группа была создана по поручению Совета безопасности России. По словам Вадима Ампелонского, представителя Роскомнадзора, она должна предоставить Совбезу отчёт о проделанной работе не позднее 1 июля 2016 года. Специальная группа при НАКе ведёт работу по регулированию сервисов, использующих для передачи данных беспроводные сети, а также тех, которые способны работать без подключения к Интернету (мессенджер FireChat, прославившийся после использования демонстрантами в Гонконге в 2014 году). Глава Роскомнадзора обеспокоен использованием подобных сервисов:
«Злоумышленники могут воспользоваться тем, что вне сети можно обмениваться информацией, и применить это для распространения наркотиков, детской порнографии и т.д.».
В феврале 2015 года Жаров говорил, что доля шифрованного трафика в России составила 15%, а в мае 2016 года она может превысить 20%. Согласно отчету компании Cisco по информационной безопасности за 2015 год, объём шифрованного трафика Рунета составляет до 50%. Карен Казарян, главный аналитик РАЭК, говорит, что большая его часть приходится на протокол HTTPS. По словам экспертов, в мире доля шифрованного трафика в сервисах корпораций превышает 75%, и 81% приходится на территорию России.
Андрей Поляков из «Ростелекома» говорит, что их сети принадлежит около 50% шифрованного трафика (представители «Ростелекома» являются участниками рабочей группе при НАКе).
По словам руководителя Роскомнадзора, речь идет о шифрованном трафике, как легальном (в браузерах и других программах), так и нелегальном (способы обхода блокировок: прокси-серверы, анонимайзеры и т.д). По его словам, обсуждается «введение единой системы шифрования, чтобы понимать, что происходит внутри шифрованного трафика». Участники группы решают вопросы, связанные с применением различных средств шифрования: их сертификацией, лицензированием, ограничением количества схем шифрования.
Мессенджер Павла Дурова Telegram уже несколько лет осуществляет шифрование данных по модели end to end (E2E - система, в рамках которой, зашифрованная информация передается от устройства к устройству напрямую, без посредников. Правила закрытого ключа не позволяют расшифровать информацию никому, кроме её получателя. Таким образом, зашифровка и расшифровка сообщений происходят без участия сервера-посредника).
В начале апреля 2016 года мессенджер WhatsApp (принадлежащий Facebook) ввел полное шифрование всех своих сервисов для всех пользователей (мессенджер шифрует сообщения, телефонные звонки, фото и видео. Теперь даже сотрудники WhatsApp не смогут расшифровать данные, передаваемые пользователями).
19 апреля мессенджер Viber усилил систему безопасности данных с помощью введения end to end шифрования для всех устройств, включая компьютеры PC и Mac, а также смартфоны и планшеты на платформах Android и iOS.
Жаров считает, что данную модель (Е2Е) можно «частично заменить» технологией, аналогичной Deep Packet Inspection (DPI — технология "глубокого анализа" трафика через накопление статистических данных, проверку и фильтрацию сетевых пакетов по их содержимому).
Чиновник упомянул, что сегментация трафика нужна и операторам связи. Так он советует отдать приоритет голосовому трафику: для извлечения денежной прибыли за платные услуги, которые он предоставляет, за счёт других видов трафика.
«Или трафик торрентов, который находится в условно легитимном поле», - говорит он.
Представитель одного из операторов связи прокомментировал это так:
«Шифрование может проводиться программными средствами, свободно распространяемыми в Интернете. Проконтролировать этот процесс представляется возможным, только если поставить на каждое конечное устройство по жучку и дистанционно постоянно мониторить работу».
Он выразил мнение о том, что само рассмотрение вопроса о контроле шифрования в сетях связи относится к области нарушения конституционных прав граждан.
Станислав Шалунов, сооснователь Open Garden (компания-разработчик FireChat) считает, что российские власти не понимают природу вещей, которую собираются контролировать. Он говорит, что смысл шифрования заключается в том, что трафик способны прочесть только отправитель и получатель. Шалунов отметил, что регулировать подобный трафик не предоставляется возможным с технической точки зрения и сравнил это с невозможностью распространения звука в космосе.
«И сей факт не сможет изменить создание рабочей группы по вакуумной акустике», - добавил он.
«Трафик приложений типа FireChat не только зашифрован - он не всегда идёт через традиционных провайдеров, поэтому пытаться его каким-то образом контролировать является абсурдом в квадрате», - заключил сооснователь Open Garden. По его мнению, контроль шифрованного трафика Интернета приведёт лишь к утечке информации и распространению махинаций, связанных с этим.
Казарян также считает, что «регулирование шифрования не требуется, более того, с большой вероятностью оно приведет к увеличению киберугроз и утечкам персональных данных граждан».
Жаров понимает, что запретить шифрованный трафик полностью невозможно, так как он абсолютно необходим, например, для хранения банковской тайны и другой личной информации. Поэтому рабочая группа не ставит перед собой цель ужесточить контроль над интернетом, а «лишь найти пути для решения проблем, связанных с его бесконтрольностью».
По его прогнозам, конкретные технологические и законодательные подходы для регулирования шифрованного трафика появятся приблизительно через два года.
Жаров приводит в пример США и страны Европы, в которых разрабатываются аналогичные подходы к регулированию шифрованного трафика. «Там происходит адаптация массового продукта под запросы конкретного потребителя путем его частичного изменения (доукомплектования товара дополнительными элементами); активно обсуждается вопрос сертификации конечного оборудования», - говорит он.
Для государства контроль шифрованного трафика является одним из способов борьбы с терроризмом, экстремизмом и киберпреступностью.
Проблема воровства персональных данных незаметно превратилась в бич цивилизации. Информацию о пользователе тянут все кому не лень: кто-то предварительно испросив согласие (социальные сети, операционные системы, приложения компьютерные и мобильные), другие без разрешения и спросу (злоумышленники всех сортов и антрепренёры, извлекающие любую выгоду из сведений о конкретном человеке). В любом случае приятного мало и всегда есть риск, что вместе с безобидной информацией в чужие руки попадёт что-то такое, что сможет навредить лично вам или вашему работодателю: служебные документы, частная или деловая корреспонденция, семейные фото...
Но как помешать утечкам? Шапочка из фольги тут не поможет, хоть это, бесспорно, и красивое решение. Зато поможет тотальное шифрование данных: перехватив или украв зашифрованные файлы, соглядатай ничего в них не поймёт. Сделать это можно, защитив всю свою цифровую активность с помощью стойкой криптографии (стойкими называются шифры, на взлом которых при существующих компьютерных мощностях потребуется время, по крайней мере большее продолжительности жизни человека). Вот 6 практических рецептов, воспользовавшись которыми, вы решите эту задачу.
Зашифруйте активность веб-браузера. Глобальная сеть устроена таким образом, что ваш запрос даже к близко расположенным сайтам (типа yandex.ru) проходит на своём пути через множество компьютеров («узлов»), которые ретранслируют его туда и обратно. Посмотреть примерный их список можно, введя в командной строке команду tracert адрес_сайта. Первым в таком списке будет ваш интернет-провайдер или владелец точки доступа Wi-Fi, через которую вы подключились к интернету. Потом ещё какие-нибудь промежуточные узлы, и только в самом конце сервер, на котором хранится нужный вам сайт. И если ваше соединение не зашифровано, то есть ведётся по обычному протоколу HTTP, каждый, кто находится между вами и сайтом, сможет пересылаемые данные перехватить и проанализировать.
Поэтому сделайте простую вещь: добавьте к «http» в адресной строке символ «s», чтобы адрес сайта начинался с «https://». Таким образом вы включите шифрование трафика (так называемый слой безопасности SSL/TLS). Если сайт поддерживает HTTPS, он позволит это сделать. А чтобы не мучиться каждый раз, поставьте браузерный плагин : он будет принудительно пытаться включить шифрование на каждом посещаемом вами сайте.
Недостатки : соглядатай не сможет узнать смысл передаваемых и принимаемых данных, но он будет знать, что вы посещали конкретный сайт.
Зашифруйте свою электронную почту. Письма, отправленные по e-mail, тоже проходят через посредников, прежде чем попасть к адресату. Зашифровав, вы помешаете соглядатаю понять их содержимое. Однако техническое решение тут более сложное: потребуется применить дополнительную программу для шифрования и дешифровки. Классическим решением, не потерявшим актуальности до сих пор, будет пакет OpenPGP или его свободный аналог GPG , либо поддерживающий те же стандарты шифрования плагин для браузера (например, Mailvelope).
Прежде чем начать переписку, вы генерируете так называемый публичный криптоключ, которым смогут «закрывать» (шифровать) письма, адресованные вам, ваши адресаты. В свою очередь каждый из ваших адресатов тоже должен сгенерировать свой ключ: с помощью чужих ключей вы сможете «закрывать» письма для их владельцев. Чтобы не путаться с ключами, лучше использовать вышеупомянутый браузерный плагин. «Закрытое» криптоключом письмо превращается в набор бессмысленных символов - и «открыть» его (расшифровать) может только владелец ключа.
Недостатки : начиная переписку, вы должны обменяться ключами со своими корреспондентами. Постарайтесь гарантировать, чтобы никто не смог перехватить и подменить ключ: передайте его из рук в руки, либо опубликуйте на публичном сервере для ключей. Иначе, подменив ваш ключ своим, соглядатай сможет обмануть ваших корреспондентов и будет в курсе вашей переписки (так называемая атака man in the middle - посредника).
Зашифруйте мгновенные сообщения. Проще всего воспользоваться мессенджерами, которые уже умеют шифровать переписку: Telegram, WhatsApp, Facebook Messenger, Signal Private Messenger, Google Allo, Gliph и т.п. В таком случае от любопытных глаз со стороны вы защищены: если случайный человек и перехватит сообщения, то увидит лишь мешанину символов. Но вот от любопытства компании, которая владеет мессенджером, это вас не оградит: у компаний, как правило, есть ключи, позволяющие читать вашу переписку - и мало того, что они любят это делать сами, они по первому требованию сдадут их правоохранительным органам.
Поэтому лучшим решением будет воспользоваться каким-либо популярным свободным (open source) мессенджером с подключенным плагином для шифрования «на лету» (такой плагин часто называют «OTR»: off the record - препятствующий записи). Хорошим выбором будет Pidgin .
Недостатки : как и в случае с электронной почтой, вы не гарантированы от атаки посредника.
Зашифруйте документы в «облаке». Если вы пользуетесь «облачными» хранилищами вроде Google Drive, Dropbox, OneDrive, iCloud, ваши файлы могут быть украдены кем-то, кто подсмотрит (или подберёт) ваш пароль, либо если обнаружится какая-то уязвимость в самом сервисе. Поэтому прежде, чем поместить что-либо в «облако», зашифруйте это. Реализовать такую схему проще и удобней всего с помощью утилиты, которая создаёт на компьютере папку - помещённые куда документы автоматически шифруются и переправляются на «облачный» диск. Такова, например, Boxcryptor . Чуть менее удобно применить для той же цели приложения типа TrueCrypt - создающие целый шифрованный том, размещаемый в «облаке».
Недостатки : отсутствуют.
Зашифруйте весь (не только браузерный) трафик с вашего компьютера. Может пригодиться, если вы вынуждены пользоваться непроверенным открытым выходом в Сеть - например, незашифрованным Wi-Fi в публичном месте. Здесь стоит воспользоваться VPN: несколько упрощая, это защищённый шифрованием канал, протягиваемый от вас до VPN-провайдера. На сервере провайдера трафик дешифруется и отправляется далее по назначению. Провайдеры VPN бывают как бесплатные (VPNbook.com, Freevpn.com, CyberGhostVPN.com), так и платные - различающиеся скоростью доступа, временем сеанса и т.п. Большой бонус такого соединения в том, что для всего мира вы кажетесь выходящим в Сеть с сервера VPN, а не со своего компьютера. Поэтому, если VPN-провайдер находится за пределами Российской Федерации, вам будут доступны сайты, заблокированные внутри РФ.
Того же результата можно добиться, если установить на своём компьютере TOR - с той лишь разницей, что в данном случае провайдера нет: вы будете выходить в интернет через случайные узлы, принадлежащие другим участникам этой сети, то есть неизвестным вам лицам или организациям.
Недостатки : помните, что ваш трафик дешифруется на выходном узле, то есть на сервере VPN-провайдера или компьютере случайного участника TOR. Поэтому если их владельцы пожелают, они смогут анализировать ваш трафик: попробовать перехватить пароли, выделить ценные сведения из переписки и пр. Поэтому пользуясь VPN или TOR, совмещайте их с другими средствами шифрования. Кроме того, настроить TOR правильно - задача непростая. Если у вас нет опыта, лучше воспользоваться готовым решением: комплектом TOR + браузер Firefox (в таком случае будет шифроваться только браузерный трафик) или Linux-дистрибутивом Tails (работающим с компакт-диска или флэшки), где весь трафик уже настроен на маршрутизацию через TOR.
Зашифруйте флэшки и съёмные носители данных, мобильные устройства. Сюда же можно добавить и шифрование жёсткого диска на рабочем компьютере, но его вы по крайней мере не рискуете потерять - вероятность чего всегда присутствует в случае с носимыми накопителями. Чтобы зашифровать не отдельный документ, а сразу целый диск, используйте приложения BitLocker (встроено в MS Windows), FileVault (встроено в OS X), DiskCryptor , 7-Zip и им подобные. Такие программы работают «прозрачно», то есть вы не будете их замечать: файлы шифруются и дешифруются автоматически, «на лету». Однако злоумышленник, в руки которого попадёт закрытая с их помощью, например, флэшка, ничего из неё извлечь не сумеет.
Что касается смартфонов и планшеток, там для полного шифрования лучше воспользоваться встроенным функционалом операционной системы. На Android-устройствах загляните в «Настройки -> Безопасность», на iOS в «Настройки -> Пароль».
Недостатки : поскольку все данные хранятся теперь в зашифрованном виде, процессору приходится их дешифровать при чтении и шифровать при записи, на что, конечно, тратятся время и энергия. Поэтому падение производительности может быть заметным. Насколько в действительности замедлится работа вашего цифрового устройства, зависит от его характеристик. В общем случае более современные и топовые модели проявят себя лучше.
Таков список действий, которые стоит предпринять, если вас беспокоит возможная утечка файлов в чужие руки. Но помимо этого есть ещё несколько соображений общего характера, которые тоже следует иметь в виду:
Свободное приложение для охраны приватности обычно надёжней проприетарного. Свободное - это такое, исходные тексты которого опубликованы под свободной лицензией (GNU GPL, BSD и т.п.) и могут изменяться всеми желающими. Проприетарное - такое, эксклюзивные права на которое принадлежат какой-либо одной компании или разработчику; исходные тексты таких программ обычно не публикуются.
Шифрование предполагает использование паролей, поэтому позаботьтесь, чтобы ваш пароль был правильным: длинным, случайным, разнообразным.
Многие офисные приложения (текстовые редакторы, электронные таблицы и др.) умеют шифровать свои документы самостоятельно. Однако стойкость применяемых ими шифров, как правило, невелика. Поэтому для защиты лучше предпочесть одно из перечисленных выше универсальных решений.
Для задач, которые требуют анонимности/приватности, удобней держать отдельный браузер, настроенный на «параноидальный» режим (вроде уже упоминавшегося комплекта Firefox + TOR).
Javascript, часто используемый в Сети, это настоящая находка для шпиона. Поэтому, если вам есть что скрывать, Javascript в настройках браузера лучше заблокировать. Также безусловно блокируйте рекламу (поставьте любой плагин, реализующий эту функцию, например, AdBlockPlus): под видом банеров в последнее время часто рассылают вредоносный код.
Если пресловутый «закон Яровой» всё-таки вступит в силу (по плану это должно случиться 1 июля 2018 года), запасные ключи от всех шифров в России должны будут быть переданы государству, в противном случае шифр не будет сертифицирован. А за пользование несертифицированным шифрованием даже рядовые обладатели смартфонов смогут быть оштрафованными на сумму от 3 тысяч рублей с конфискацией цифрового устройства.
P.S. В статье использована фотография Christiaan Colen .
Если вам понравилась статья - порекомендуйте ее своим друзьям, знакомым или коллегам, имеющим отношение к муниципальной или государственной службе. Нам кажется, что им это будет и полезно, и приятно.
При перепечатке материалов обязательна ссылка на первоисточник.
Шифрование трафика на уровне операционной системы, технологии IPSec и OpenVPN, протоколы ESP, AH, ISAKMP, Oakley, преимущества IPSec, встроенные правила, IP Security Monitor
Более надежный способ - шифрование трафика, который передается по сети. Это можно делать на двух уровнях:
· уровне приложения - когда данные шифруются самим приложением , например, почтовым клиентом, Web-сервером, сервером баз данных и т.п. Некоторые такие типы шифрования будут рассмотрены в соответствующих модулях;
· шифрование трафика на уровне операционной системы . Часто бывает так, что на уровне приложения шифрование не применить (например, если это не было предусмотрено разработчиками). В этой ситуации наилучший выход - применить шифрование средствами операционной системы. Обычно такой способ шифрования полностью прозрачен для приложений и не мешает их нормальной работе. Два наиболее распространенных средства шифрования трафика на уровне операционной системы - IPSec и OpenVPN.
Оба средства являются реализациями открытых стандартов и могут использоваться как в Windows, так и в *nix. Очень удобно то, что средства работы с IPSec встроены в Windows (только 2000/XP/2003) и для их использования ничего устанавливать не надо (только настроить).
В этом курсе мы будем рассматривать только моменты, связанные с IPSec.
IPSec формально определяется как набор стандартов, которые используются для проверки, аутентификации и шифрования данных на уровне IP-пакетов. В IPSec используются одновременно два протокола: ESP (Encapsulating Security Payload ), ответственный за шифрование трафика и AH (Authentification Header ), который ответственен за применение к трафику цифровой подписи. При этом, в отличие от множества других протоколов шифрования (например, SSL), в IPSec шифрование производится еще до аутентификации, что резко повышает надежность этого протокола. Для аутентификации в IPSec используется набор протоколов Internet Key Exchange (IKE ), который включает в себя два протокола: ISAKMP (Internet Security Association and Key Management Protocol ) и Oakley Key Determination Protocol . Эти протоколы "проводят переговоры" между двумя компьютерами, которые собираются взаимодействовать по IPSec, а потом генерируют итоговый результат и передают его вместе с ключом драйверу IPSec. В снифферах видны только пакеты ISAKMP/Oakley, вложенная в них информация ESP и AH (а тем более данные) уже не видны.
К преимуществам IPSec можно отнести:
· полную прозрачность для приложений, сетевых устройств (например, маршрутизаторов), драйверов сетевых адаптеров и т.п. С точки зрения приложения - идет обычная передача данных по сети, с точки зрения сетевых устройств - по сети передаются обычные пакеты прикладного протокола ISAKMP/Oakley, которые ничего специального не требуют;
· высокую степень интеграции с доменом Windows. Фактически в самом простом режиме (с использованием аутентификации Kerberos) вам достаточно включить IPSec на компьютере - вся аутентификация будет производиться с использованием службы Kerberos на контроллере домена. В специальных случаях можно использовать сертификаты - их уже необходимо устанавливать вручную. Оба этих способа несовместимы с реализациями IPSec под *nix - для совместной работы этих компьютеров с IPSec в Windows 2003 придется использовать preshared key. В Windows 98 и ME (в Windows 95 - нельзя) для использования IPSec можно установить L2TP/IPSec VPN Client , но в этом случае вы столкнетесь с двумя ограничениями:
o IPSec можно использовать только для VPN -соединений (для обычных сетевых нельзя);
o при настройке IPSec нельзя использовать аутентификацию Kerberos (только сертификаты или preshared key ).
Те же ограничения действуют и для Windows NT 4.0.
· защиту от подмены субъекта соединения (в реализации от Microsoft обязательна взаимная аутентификация и клиента, и сервера), уникальный счетчик пакетов - защита от replay attack (когда пойманные сниффером пакеты используются для повторного установления соединения, уже от имени другой системы), очень эффективный и производительный способ проверки цифровой подписи пакетов (пакеты, не прошедшие проверку, сразу отбрасываются);
· высокая производительность. Как правило, в локальной сети шифрование при помощи IPSec практически незаметно. Если же нужна более высокая производительность, то в вашем распоряжении - множество сетевых карт с аппаратными ускорителями IPSec (стоимость, как правило, менее 100 USD).
· высокая управляемость. IPSec позволяет применяться избирательно - например, только к трафику определенных компьютеров, или определенных приложений и т.п. Настройка таких правил производится при помощи политик IPSec и может быть произведена централизованно.
Некоторый служебный трафик IPSec не шифрует. Например, не шифруется трафик протокола Kerberos, любой широковещательный трафик и трафик групповой рассылки и т.п.
Настройку IPSec можно производить разными способами. На графическом экране это удобнее всего сделать при помощи консоли MMC IPsec (она встроена во множество других консолей, например, консоль редактирования групповой политики). Если запустить эту консоль из MMC вручную, в вашем распоряжении будет четыре варианта: отредактировать локальную политику, политику удаленного компьютера, групповую политику своего или чужого домена. Необходимо помнить, что если возникает конфликт между локальной политикой безопасности и политикой безопасности на уровне домена, приоритет имеет политика безопасности на уровне домена.
Всего в вашем распоряжении три заранее готовых шаблона политик IPSec (а также возможность создать свою):
· Client (Respond Only ) - это политика минимального использования IPSec . Она включает в себя единственное правило (это специальное правило Default Response rule ), смысл которого прост: если к этому компьютеру обращаются по IPSec , он будет отвечать по IPSec . В других ситуациях IPSec использовать не будет.
· Server (Request Security ) - более широкое использование IPSec. Включает в себя три правила: уже известное нам Default Response rule, беспрепятственный пропуск незашифрованного трафика ICMP и запрос (необязательный) IPSec для всего остального трафика IPSec. Если контрагент не поддерживает IPSec, то передача данных будет производиться без шифрования.
· Secure Server (Require Security ) - наиболее требовательная с точки зрения безопасности политика. В ней - те же Default Response Rule и пропуск ICMP, но для всего остального трафика IPSec будет запрашиваться в обязательном порядке. Если контрагент не поддерживает IPSec, в установлении соединения будет отказано.
Во всех трех предопределенных политиках используется протокол генерации ключей на основе Kerberos, поэтому нужно быть очень осторожным. Например, если вы применили политику Secure Server только на одном компьютере, а на контроллере домена вы не включили IPSec, то этот компьютер не сможет получить сертификат с контроллера домена и не сможет вообще взаимодействовать с какими-либо компьютерами по сети.
Для максимальной гибкости вы можете создать свою политику IPSec, например, если нужно шифровать трафик только одного приложения или только с определенных компьютеров. В вашем распоряжении - возможность указать IP-адрес компьютера-отправителя и получателя, тип протокола, номер порта, а также дополнительные возможности, например, применение сертификатов, preshared key, методы шифрования, которые будут использоваться, параметры туннелирования и т.п.
Чтобы применить любую из политик безопасности, необходимо в контекстном меню для нее выбрать Assign (затем можно ее точно также отменить). По умолчанию не назначена ни одна из политик, и, значит, компьютер не может вообще работать с IPSec.
Из командной строки управлять IPSec можно при помощи NETSH (в Windows 2000 для этой цели можно было использовать специальную утилиту Resource Kit ipsecpol.exe, которая в Windows 2003 уже не работает).
Производить мониторинг соединений по IPSec можно либо при помощи сниффера (вы просто увидите, что происходит какая-то активность), либо при помощи специальной консоли MMC IP Security Monitor, которая показывает статистику соединений по IPSec. В ней данные объединены в три контейнера:
· Active Policy - показывает, какая политика назначена в настоящий момент и дополнительную информацию об этой политике. Если у вас конфликт политик, можно заглянуть в этот контейнер, а можно воспользоваться стандартным RSOP - R esultant Set of Policy ;
· Main Mode - статистика режима работы Oakley Main Mode (когда ключи нужно создавать с нуля);
· Quick Mode - статистика режима работы Oakley Quick Mode, когда ключи устарели, но информация, необходимая для генерации ключа, уже есть. В этом случае достаточно просто обновить ключ. Повторное использование ключа в IPSec запрещается.
Есть возможность также настроить диагностическое протоколирование IPSec через реестр (об этом - в базе знаний Microsoft).
Постигаем азы «анонимности» в сети.
Статья поможет вам определиться нужен ли VPN конкретно вам и выбрать провайдера, а также расскажет о подводных камнях этой технологии и альтернативах ей.
Этот материал - просто рассказ о VPN с обзором провайдеров, предназначенный для общего развития и решения мелких бытовых проблем. Как добиться полной анонимности в сети и 100% приватности трафика она вас не научит.
Что такое VPN?
Virtual Private Network (виртуальная частная сеть) – сеть из устройств, которая создается поверх другой и внутри которой, благодаря технологиям шифрования, создаются защищенные каналы для обмена данными.
VPN-сервер управляет учетными записями пользователей этой сети и служит для них точкой входа в интернет. Через него передается зашифрованный трафик.
Ниже мы расскажем о провайдерах, которые предоставляют доступ к VPN-серверам в разных странах. Но сначала разберемся зачем это нужно?
Выгоды от использования VPN
1. Смена «адреса»
В каких случаях законопослушному россиянину нужен другой IP?
2. Защита от мелкой нечисти
От преследований властей VPN-провайдер вас не спасет, но защитит от:
- Админа офисной сети, который собирает на вас компромат или просто любит читать чужие письма;
- Школьников, которые балуются прослушкой трафика публичной WiFi точки.
Минусы использования VPN
Скорость
Скорость доступа интернета при использовании VPN провайдера может быть ниже, чем без него. Прежде всего это касается бесплатных VPN. К тому же, она может быть нестабильной: зависеть от времени суток или местоположения выбранного сервера.
Технические неполадки
У VPN-провайдера могут быть перебои в работе. Особенно, если он небольшой и малоизвестный.
Самая распространенная неполадка: vpn отключился и никому ничего не сказал. Надо проследить за тем, чтобы ваше соединение блокировалось в случае проблем с сервером.
Иначе может быть так: пишешь злобные комментарии к статьей своего соседа по квартире, а VPN потихому отключился и в админке засветился реальный IP, ты это пропустил, а сосед заметил и готовит план мести.
Мнимая анонимность
Информация о вашем трафике передается третьей стороне. VPN-провайдеров часто спрашивают в интервью: «А вы храните логи?». Они отвечают: «Нет, нет, конечно нет!». Но им никто не верит. И на то есть причины.
В лицензионных соглашениях многих VPN-провайдеров открыто написано, что пользователь не имеет право нарушать авторские права, запускать хакерские программы, рассылать спам и в случаи нарушения его аккаунт блокируется без возвращения средств. Пример: ExpressVPN Term of Service . Из этого следует, что действия пользователя в сети контролируются.
А некоторые шустрые VPN-провайдеры, к примеру Astrill , требуют SMS подтверждения для активации учетной записи (для русских номеров не работает). Хочешь скрывать свой IP и шифровать трафик? Ок, но номерок на всякий случай оставь.
А анкеты при регистрации учетных записей иногда напрягают излишними вопросами. К примеру, зачем VPN-провайдеру почтовый индекс человека? Отправлять посылки на Новый Год?
Личность пользователя также может быть идентифицирована по банковским картам (или через кошельки платежных систем, через которые пополняются виртуальные карты). Некоторые VPN-провайдеры приманивают пользователей тем, что принимают в качестве оплаты криптовалюты. Это плюс к анонимности.
Выбираем VPN-сервис
VPN-провайдеров - хоть пруд пруди. Ведь это доходный бизнес с низкими порогом вхождения. Если задать такой вопрос на форуме, то сбегутся владельцы сервисов и завалят своей рекламой.
Для помощи в выборе был создан сайт bestvpn.com , где публикуются рейтинги и обзоры VPN-провайдеров.
Вкратце расскажем о лучших VPN-сервисах (по данным bestvpn.com) у которых есть приложение для iOS.
ExpressVPN
96 городов в 78 странах. 30-дневная гарантия возврата денег в случае перебоев работы с сервисом. Есть приложения для OS X, Windows, и Android. Можно работать с 5 устройствами одновременно.
Цена: от $9.99 до $12.95 в месяц (зависит от периода оплаты).
Private Internet Access
25 стран. Есть приложения для OS X, Windows, и Android. Можно работать с 5 устройствами. Подробности на сайте проекта .
Цена: от $2.50 до $6.95 в месяц (зависит от периода оплаты).
IP Vanish VPN
Более 60 стран. Есть VPN-клиенты для , Android, Windows, Mac, Ubuntu, Chromebook и роутеров. Имеется возможность работать сразу с несколькими устройствами.
Оптимистичным параноикам
Очень интересный маркетинговый ход у . Они предлагают прогонять зашифрованный трафик не через один, а через два или три сервера.
Мое мнение на этот счет таково: если VPN нужен только, чтобы скрывать из какой ты страны, то это не имеет смысла. А если действительно есть, что скрывать то смысл передавать это сразу через три чужих сервера?
Альтернативы
Собственный OpenVPN сервер
Tor
Трафик в сети Tor передается через несколько независимых серверов в разных точках земли в зашифрованном виде. Это затрудняет определение исходного IP-адреса пользователя. Но поучительная история Росса Ульбрихта (владельца Silk Road) напоминает нам о том, что американские спецслужбы способны на многое.
Плюсы:
- Бесплатно;
- Доступ к onion-сети («даркнету»). Есть целый ряд сайтов, доступных только из Tor Browser. Это свои поисковые системы (Grams), магазины, библиотеки, биржи криптовалют, cистемы контекстной рекламы, энциклопедия Onion Wiki. Но для законопослушного россиянина в этой сети нет ничего интересного.
Минусы :
- Медленная скорость.
А что думает Роскомнадзор?
Работники ведомства крайне недовольны тем, что россияне стремятся к анонимности в сети. Недавно пресс-секретарь Роскомнадзора назвал пользователей Tor «социальными отбросами», а само ведомство выступает за запрет анонимайзеров. Но россияне не прислушиваются к подобным мнениям. Егор Минин (основатель RuTracker), утверждает что половина пользователей его ресурса умеет обходить блокировку.
Выводы
В этой статье есть все необходимое, чтобы начать пользоваться VPN-провайдерами и не иметь иллюзий на их счет. Но как же добиться полной анонимности в сети?
Всё чаще интернет-провайдеры подавляют в своих сетях трафик BitTorrent , что делает невозможной загрузку файлов на высокой скорости.
2. Смотрите раздел «Шифрование протокола» (Protocol encryption). Здесь можно выбрать одну из опций - «Включено» (Enabled) или «Принудительно» (Forced). При использовании первой соединений будет больше, но защита от подавления трафика окажется менее надежной. Я бы посоветовал для начала выбрать опцию «Включено» , а если скорость будет низкой, переключиться на «Принудительно».
3. Опция «Разрешить входящие соединения от устаревших клиентов» (Allow incoming legacy connections) позволяет принимать соединения от программ, не поддерживающих шифрование. Это повышает совместимость с другими пирами, но делает вас более уязвимым к средствам подавления трафика. Я бы порекомендовал для начала отметить эту опцию, а если скорость по-прежнему будет низкой, отключить ее.
Теперь ваш торрент-трафик зашифрован.
Удачи и приятного скачивания!