Приватный канал

Вся инфа о VPN

Очень много читателей пишут нам письма, в которых спрашивают, как добиться собственной анонимности при работе в Сети. Причины для этого у всех разные. Что там, мы и сами ежедневно сталкиваемся с этой же проблемой: Хинт - перекачивая гигабайтные свопы cc, Бублик – пытаясь зацепить нового друга в форуме любителей секса с мертвыми азиатскими тушканами, а Форб – устанавливая новую версию своего бэкдора на NASO’вские спутники. Настало время ответить на твои вопросы и рассказать о технологии, способной обеспечить почти 100% анонимность.

Локалочки объединим?

Прежде всего давай немного абстрагируемся и пофантазируем. Предположим, что у нас есть несколько локальных сетей. Причем все они расположены на некотором расстоянии друг от друга. К примеру, пусть это будут локальные сети нескольких офисов какой-то крупной фирмы. От нас требуется немногое – всего лишь объединить их. В принципе, ничего сложного в этом задании нет. Все более чем выполнимо. Первое, что приходит на ум – использовать WAN (Wide Area Network). Говоря проще, проложить между этими локалками собственные выделенные линии. Вариант, конечно, не из дешевых, зато полученной скорости и уровня безопасности ему будет не занимать.

Однако есть одно большое «но». Эта схема теряет всякий смысл в тех случаях, когда требуется связать локальные сети, находящиеся на значительном расстоянии друг от друга. Сам посуди. Одна только покупка кабеля на объединение двух локалок из разных городов обойдется в бешеные деньги. А что если требуется связать международные или, того хуже, межконтинентальные LAN’ы? Прокладывать свой кабель по дну океана? Не думаю. Хотя подожди, есть еще один вариант – арендовать выделенный канал. Но едва ли он нам подойдет, так как, во-первых, аренда также требует значительных финансовых вложений. А во-вторых, далеко не всегда доступна.

Невольно напрашивается вопрос: а существует ли альтернативное решение? Куда более доступное, но в то же время способное обеспечить должную скорость передачи данных и уровень безопасности? Я не сделаю открытия, но оно существует :). Известно, что практически любой населенный пункт вдоль и поперек завязан оптоволокном, витой парой и прочими проводами. Интернет применяется повсеместно, и было бы крайне глупо не воспользоваться его общедоступными и, что немаловажно, вполне быстрыми каналами. А что? Зачем тянуть свои собственные кабели, если это уже сделали за нас? Использование публичных каналов не только поможет объединить сколько угодно LAN’ов, но и позволит подключаться к сети любому количеству удаленных пользователей. А значит - минус расходы на покупку модемных пулов, RAS-серверов и оплату дорогой телефонной связи (ты никогда не пробовал позвонить в секс по телефону в Америку?).
А что такое VPN?

VPN – это частная сеть, которая основывается на объединении удаленных узлов при помощи публичных каналов связи (в абсолютном большинстве случаев - интернете). Технология подразумевает создание между удаленными узлами специального туннеля, по которому и проходит обмен данными.

В общем случае схема соединения единичного удаленного узла (одного компьютера или целой локалки - неважно) к какому-то центральному офису выглядит весьма просто. Сперва этот узел коннектится к местному провайдеру и посылает специализированный запрос. После чего запрос шифруется и передается по средствам инета VPN-серверу. Наконец, проводится аутентификация и в случае успеха сервер формирует запрошенный VPN-туннель. Немаловажно, что созданный туннель непрозрачен для провайдера и всех остальных его пользователей.

А что нужно?

В принципе для организации VPN ничего сверхъестественного не требуется. Начнем с интернет-канала. Само собой разумеется, что он должен присутствовать как в центральном офисе, так и у каждого удаленного узла. Причем неважно, каким именно будет этот канал. Лучше бы конечно, чтобы это была толстая выделенка, хотя с тем же успехом можно воспользоваться низкоскоростным диалапом. От этого напрямую зависит лишь скорость передачи данных, но никак не предоставляемые возможности.

Так, со связью разобрались – двигаемся дальше. Ясное дело, что для организации VPN необходимо какое-то оборудование. А так как резиновым кошельком могут похвастаться немногие, нет ничего удивительного в том, что этим оборудованием зачастую являются обычные компьютеры. На платформе PC вполне реально организовать 100% рабочую виртуальную сеть чисто программными средствами. Весь необходимый софт в этом случае встраивается в операционную систему. Что касается крупных фирм, то они частенько отдают предпочтение аппаратным решениям - специализированным VPN-маршрутизаторам. Девайсы эти хотя и несколько дороговаты, но цену чаще всего вполне оправдывают.

Типы VPN

Выделяют три типа VPN. Попробуем по порядку разобраться с каждым из них:

VPN удаленного доступа (remote-access), как правило, используются компаниями, которым необходимо предоставить своим работникам удаленный доступ к сети. Главное требование в этом случае – наличие у удаленных пользователей элементарного доступа в глобальную Сеть. Нередко в этих целях применяется диал-ап, поэтому этот тип VPN еще нередко называют Virtual Private Dial-up Network (VPDN). Этот тип сейчас также широко используется для организации публичных VPN-шлюзов (подробнее – во врезке), а также спутниковыми интернет-провайдерами.

Внутрикорпоративными (Intranet-based) VPN называются объединения в единую сеть разрозненных локалок какой-либо корпорации. Ты еще не забыл пример, который мы рассматривали в начале статьи? Это и есть Intranet VPN.

Межкорпоративные (Extranet-based) VPN определяют связь между локалками не одной, а нескольких различных компаний. Чаще всего – компаньонов по бизнесу (в том числе и e-commerce). Говоря умными словами, в целях улучшения производственного процесса.

Безопасность

С точки зрения безопасности может показаться полнейшей глупостью использование публичных каналов для передачи данных. И все потому, что при таком раскладе многие данные, в том числе и конфиденциальная информация, будут передаваться в открытом виде. А значит могут быть с легкостью перехвачены! Как бы это ни было прискорбно, но по умолчанию возможность проконтролировать процесс передачи данных не предусмотрена.

Именно поэтому технология VPN подразумевает несколько уровней защиты соединения. В первую очередь стоит отметить, что данные в виртуальных частных сетях передаются в зашифрованном виде. Наиболее часто используемыми в VPN-решениях алгоритмами кодирования являются DES, Triple DES и различные реализации AES. Каждая из них подразумевает то, что прочитать закриптованные данные может лишь обладатель ключа к шифру. Причем, помимо криптографических алгоритмов, активно применяются специальные методы идентификации лиц и объектов, задействованных в VPN. Это гарантирует, что объект действительно является тем, за кого себя выдает. Но и это еще не все! Плюс к этому имеют место специальные методы проверки целостности данных, отвечающие за то, чтобы информация дошла до адресата именно в том виде, в каком она была послана. Среды алгоритмов проверки целостности можно выделить два наиболее популярных - MD5 и SHA1. Замечу также, процесс аутентификации в VPN отнюдь не ограничивается примитивной схемой «имя-пароль». В последнее время все чаще и чаще юзаются специализированные системы сертификатов, а также серверы для их проверки - CA (Certification Authorities).

Протоколы VPN

Ясень пень, что для построения защищенных туннелей между несколькими локальными сетями требуются довольно продвинутые протоколы. Наибольшее распространение из десятки имеющихся получили лишь трое: IPSec, PPTP и L2TP. Разберемся с каждым по отдельности:

IPSec (Internet Protocol Security) - обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPsec только от устанавливающих VPN-туннель устройств. Все остальные девайсы, расположенные между ними, отвечают лишь за транспорт IP-пакетов, в которых, в свою очередь, содержатся зашифрованные данные. На этапе подключения обе стороны заключают так называемое соглашение для обмена данными, которое определяет ряд очень важных параметров соединения. Таких как: IP-адреса отправителя и получателя, используемые алгоритмы шифрования и аутентификации, порядок обмена ключами, их размер и срок действия.

PPTP (Point-to-Point Tunneling Protocol) – совместная разработка таких известных брэндов, как US Robotics, Microsoft, 3COM. PPTP поддерживает 40 и 128-битное кодирование, а для аутентификации используют обычные схемы PPP. L2TP (Layer 2 Tunneling Protocol) – результат кропотливой работы сотрудников известнейшей Cisco. Эдакая смесь PPTP и другого продукта этого же разработчика - протокола L2F (Layer 2 Forwarding). Примечательно, что L2TP совместим с IPSec. Углубляться сильнее не буду - рассказывать об особенностях того или иного протокола можно довольно долго. Замечу лишь, что благодаря изящному решению некоторых задач и невероятной гибкости IPSec стал наиболее популярным. Так, судя по результатам нескольких исследовательских групп, примерно 70-75% частных виртуальных сетей функционируют именно на его основе. Прямо-таки стандарт де-факто.

Атаки на VPN

Важно понять, что все эти протоколы не шифруют данные, а лишь определяют используемые алгоритмы шифрования. И помимо этого контролируют остальные параметры VPN-туннеля. Немало умников пыталось найти в этих протоколах какой-нибудь изъян, серьезную ошибку, грозящую нарушить целостность приватной сети. Но… за последнее время не было найдено ни одной более-менее серьезной уязвимости. Отсюда делаем вывод: браться за взлом VPN-сети на уровне протокола – дело неблагодарное.

Взламывать шифр – тоже не лучшее предложение, т.к. используемые в технологи VPN алгоритмы более чем устойчивы к подобным атакам. Для декодирования идущих по сети данных, пожалуй, не хватит потенциала даже среднего суперкомпьютера. Что уж говорить об обычном PC. Тем более, никто не может дать гарантию, что ты возьмешься за дешифровку именно той информации, которая тебе интересна.

Короче говоря, складывается впечатление, что сама по себе технология VPN практически безупречна. Безупречна-то она, может, и безупречна, но всю ее хваленую надежность могут с легкостью свести на нет даже незначительные ошибки в используемом оборудовании. И это особенно актуально, когда VPN обеспечивается чисто программными средствами. Так как в этом случае любое проникновение в ось, поддерживающую VPN-шлюз, может обернуться потерей конфиденциальной информации. Тут уже не помогут даже самые стойкие криптографические алгоритмы и длинные ключи. Печально. И особенно потому, что взлом ОС – задача довольно стандартная и зачастую легко реализуемая благодаря багам в различных сервисах и ядре системы.

Аппаратные средства хотя и считаются куда более безопасными, но и на них особенно надеяться не приходится. Поищи интереса ради в багтраке заметки об уязвимостях в VPN-оборудовании. Уверяю тебя, ты будешь неприятно удивлен! Критических ошибок немеренно. Причем в самом разном оборудовании - как в серверном, так и в клиентском. Публичные эксплоиты, слава Богу, на каждом шагу не валяются, но в приватных архивах подобного добра наверняка хватает. Особенно с учетом официально признанной крупной утечки исходников Cisco.

Напоследок

В последнее время VPN начинают встречаться все чаще и чаще. Так что ты в порядке вещей должен как можно быстрее познакомиться с этой поистине революционной технологией. Иначе не исключено, что рано или поздно ты попадешь впросак, оприходовав свежий сервак с установленным на нем VPN-шлюзом и не зная, с какой стороны к нему подойти :).

Даешь анонимность!

В последнее время все популярнее становится мегамодный сервис – анонимные VPN-шлюзы. Если увидишь громкие слоганы «Долой носки и прокси, да здравствует VPN!», знай - это оно! Предприимчивые перцы арендуют за бугром широкий канал, налаживают защищенный VPN-шлюз и начинают продавать VPN-аккаунты за деньги. Потенциальный покупатель в этом случае получает офигительный сервис. Первостепенная его задача – разумеется, обеспечение анонимности. А ее хоть отбавляй. Куда бы ты ни пошел, какой бы софт ни использовал – везде будет светиться IP-шник, выделенный тебе VPN-шлюзом. Естественно, носки и прокси еще никто не отменял. Но, коллега, поверь мне - этот способ обеспечения анонимности куда лучше. И не подумай, что это реклама. Никак нет! Я сужу по себе: как только я хочу остаться инкогнито, мне приходится выполнять целый ряд действий. Для начала я нахожу свежие proxy-листы (точнее, сокс-листы) и в обязательном порядке проверяю их на работоспособность. Причем серверы, что находятся в далеком Зимбабве, как правило, не подходят – скорость не та. Поэтому приходится тщательно отбирать среди них наиболее шустрые. Далее неизбежна процедура «соксофикации программ» с построением используемых носков в цепочку. Более того, время от времени и вовсе требуется наладить безопасный SSH-туннель, дабы обеспечить шифрование данных. Я параноик? Нет, просто люблю спать спокойно. Анонимные же VPN-шлюзы разом решают все эти проблемы – для этого нужно лишь залогиниться в частную сеть. Минимум геморроя при максимуме анонимности. Немаловажно и то, что трафик шифруется, а значит логи провайдера станут абсолютно бесполезными.

Главный вопрос – где эти самые VPN-аккаунты взять? К сожалению, направо и налево их не раздают, на халяву не выделяют. Придется, как говорится, изрядно попыхтеть. Разумеется, проще всего аккаунт купить. Объявления подобного плана имеются практически на всех форумах хакерской и кардерской тематики. Типичный пример – недавно умершая борда http://forum.carderplanet.cc. Если мне не изменяет память, там эта услуга стоила $50/месяц. Согласен, немало. Поэтому с целью экономии можно обратиться к буржуям – есть все шансы, что выйдет дешевле. Проштудировав форумы и различные сайты (набери в любимом поисковике «анонимный VPN»), не забудь об IRC. Живое общение с людьми порой дает ощутимые результаты, т.к. VPN-аккаунт вполне можно выцыганить или на что-нибудь обменять. Главное – выбрать правильную стратегию трейдинга. Не нужно выкладывать разом все имеющееся у тебя хозяйство. Порой один редкий эксплоит стоит десяти таких аккаунтов. Но и жадничать особо не стоить, т.к. жлобов, естественно, мало кто любит и уважает.

Помнится, год назад на сайтах нескольких американских университетов была возможность получить доступ к VPN-шлюзу совершенно бесплатно. Само собой разумеется, что услуга предоставлялась исключительно преподавателям и студентам вуза. Однако долгое время регистрация не подразумевала даже элементарной сверки регистрирующегося с базой данных универа. VPN-аккаунт мог получить любой желающий. К несчастью, сервис в последствии стал достоянием общественности и под напором кучи ламеров халяву прикрыли. Но я уверен, что подобные фишки есть и сейчас, нужно лишь поискать. И если ты такую фишку найдешь, то изволь грамотно заполнить регистрационную форму. Главное - не вызвать подозрение у проверяющего аккаунты человека. А для этого нужно вводить корректные и членораздельные данные, в том числе валидный ZIP-код и такую штуку, как Social Security Number (S/N). Для США номер социального страхования имеет вид XXX-XX-XXXX, где X - цифра (0-9).

NFO

Каждая машина может быть членом только одной VPN. Хотя цепочку VPN организовать теоретически вполне возможно. Но нужно ли? :)

INFO

Информацию о том, как поднять VPN под Linux, ты можешь прочитать в подробнейшей статье Forb’а, опубликованной в #11/03 номере.

WWW

Документы о том, как поднять VPN под Windows, ты найдешь на этих сайтах: http://www.osp.ru/win2000/worknt/2001/06/630.htm и http://www.di-net.ru/posetup_vpn_xp.php. А здесь лежит офигительный мануал по VPN: www.howstuffworks.com/vpn.htm.

От себя добавлю: купить VPN-аккаунт можно тут.

Статьи по теме:

Анонимность в Internet: анонимайзеры, прокси, socks

SSH-туннелинг или замена VPN