所有事情都VPN.


由yaroslav vorontsov,软件和安全架构师, dataart.

VPN.的普及每天都在增长。当人们意识到他们在互联网上留下了多少信息时,使用量是令人震惊的,它巨头收集了多少数据,以及违规行数和数据泄漏的速度如何增加。毫不奇怪,互联网用户想要一个工具来帮助他们保护他们的隐私。

最初创建了VPN,以安全地通过互联网连接业务网络,或允许员工远程访问商业网络。此后很快,人们开始使用VPN作为替代因特网接入点(作为改变位置/ IP地址或绕过互联网审查的方法)。

今天,人们正在寻找保护他们在线活动保护的方法,而VPN已经救出。根据 最好的vpn.,有许多因素使用VPN的原因:

  • 50%的人表示他们使用VPN来访问地理阻止的娱乐内容
  • 34%的人说’用于访问各国政府限制的社交网络和新闻服务
  • 31%的人说它匿名浏览。

但是,使用VPN连接不保证在线匿名。例如,许多VPN提供者说明他们不保留日志以确保隐私;但是,这并不总是如此。重要的是要记住,提供商存储用户信用卡详细信息并必须遵守当地法律–这意味着仍然收集一些信息,并且可以例如通过执法汇总此信息,以识别在特定时间使用VPN服务的人员。与经典VPN保持更好的隐私的唯一相对可靠的方法是租用VM /专用服务器,部署其上的任何免费VPN,并允许从您信任的设备中连接。这需要基本的IT技能,因此它可能不是普通用户的选择–这就是为什么他们更喜欢代理(通常与VPN具有相同的隐私问题 - 但您必须相信提供者)或TOR(这慢,但更容易使用特殊的浏览器开始)。

限制性政府用于阻止用户的在线流量的另一种方法是一个名为DPI的系统,或深度数据包检查。深度数据包检查是一种网络分组过滤方法,它分析了包的报头和数据部分(与您所做的一切相关的一小编数据,发送和接收在线),并决定是否有特定的网络流(使用数据包的序列)允许与资源进行通信)。如果VPN流量通过非加密隧道移动,则DPI系统可以识别并阻止用户的连接。即使当VPN协议开始使用加密时,DPI系统也会升级并开发了捕获VPN连接会话的能力,并通过协议类型阻止它们。这就是为什么DPI系统和下一代防火墙容易识别的原因,由限制性政府安装,以防止人们使用私人联系,并迫使他们遵循政府的互联网法规或用于公司交通监测系统来执行安全性政策。

没有SSL / TLS流量检查的DPI无法通过DPI察察表的“经典”VPN协议是SSTP(安全套接字隧道协议)。它是由Microsoft开发的流行VPN解决方案,并由多个其他供应商提供支持。为了工作,SSTP使用端口443来使用SSL / TL。这种技术被称为一个很好的解决方案,可以帮助SSTP绕过在线限制和几乎所有的防火墙,除了具有TLS检查的防火墙。在这种情况下,防火墙执行所谓的“中间攻击”以解密网络数据包的有效载荷,并根据管理员配置的规则检查它。一旦流量被解密,防火墙就可以拦截SSTP内的PPP身份验证,将其与协议的黑名单匹配,并终止VPN会话。

幸运的是,在过去几年中,几个从根本上出现了一些新的VPN解决方案,所有这些解决方案都在模仿一些没有被禁止的交通。这种数据传输的手段称为隐写术 –它不仅有助于保持数据私有,还可以隐藏加密数据传输的事实。由于这些VPN产生的流量不能与普通的TLS或甚至来自噪声/垃圾来区分,因此它们非常容易绕过DPI设备。这些VPN中最有趣的是:

1)    Softether VPN是Tsukuba大学的日本学术研究项目。 Softether VPN协议负责保护VPN客户端和VPN服务器之间的通信。它基本上建立了 加密隧道 在两者之间,确保任何人无法监控通过隧道的任何信息。在基本配置中,它与普通TLS流无法区分,但也可以调整它以使用DNS甚至ICMP数据包进行数据传输。

2)    GOVPN。它具有加密的经过身份验证的数据传输,可隐藏消息’S长度和时间戳。 GoVPN对离线词典攻击抵抗,重播攻击,并能够通过UDP,TCP和HTTP代理工作。它还提供了抗触摸模式,因此交通从噪声中完全无法区分。

3)    Wioguard。一个全新的解决方案最近包含在Linux内核主线中。 Wioguard专为易于实施和简单而设计的,因此配置和提供了良好的性能和安全性。

值得一提的是,有额外的工具可以帮助维护网络隐私,如HTTP和Socks代理,Tor网络, Goodyedpi. 实用程序和其他人。其中每一个包括VPN,具有优缺点。值得仔细的外观,为目的和计划活动选择合适的工具。

关于作者:

Yaroslav Vorontsov是DataArt Solutions,Inc。的软件和安全架构师,并领导安全保障计划,旨在将安全性集成到从第一天开始的软件产品。 Yaroslav监督了许多主要项目作为安全架构师,进行定期架构和安全评审,安排定期渗透测试和基础设施审核,并帮助安全编码和环境硬化最佳实践。 Yaroslav于2010年加入DataArt作为移动应用程序开发人员。在过去十年中,他参加了许多项目作为团队负责人,负责快速有效地帮助建立定制解决方案的关键架构和技术决策。

Yaroslav在应用数学,数值方法和计算机科学中持有博士学位。

关于DataArt:

dataart.是一个全球软件工程公司,采用独特的人类方法来解决问题。拥有超过20年的经验,世界各地高度训练的工程师团队,以及深厚的工业部门知识,我们提供了我们的客户依赖的高价值,高质量的解决方案,以及他们相信的终身伙伴关系。


Follow 华晨安全杂志on 推特, Facebook, 和 linkedin. 确保您收到最新安全和网络安全新闻和信息的警报。