VPN-->Tor-->VPN

[Тренер]

Вопрос к безопансикам и не только.
Установил себе на VPSке Дебиан и на ней поднял OpenVPN. В принципе разобрался, как это работает. Трафик шифруется, логи отключил на самом впн сервере, на первый взгляд айпи скрыл. Работает быстро, стабильно, очень дешево, кому необходимо, можно сделать в разных странах. Для сёрфинга по ДМ и др. теневым ресурсам вполне хватает. Но остается проблема – провайдер VPS. Который по первому запросу предоставит всю имеющуюся инфу о том, кто конектился к VPSке. Вывод - анонимность уровень «песочница»
Второй вариант – Double VPN, ещё есть трипл, кватро и т.д.. Теоретически я понимаю как это сделать, но не хватает знаний пока по iptables. На сколько я понимаю, этот вариант более надежен, особенно если использовать разные сервисы, которые предоставляют VPS, в разных странах. Но последнее время мне часто стали попадаться заметки, в которых говорится о том, что это только усложняет процесс определения риал IP и немного оттягивает по времени. Не более. Если кто-то знает как работает деанон по даблвпн, с удовольствием бы почитал.
Получается что используя только ВПН (не важно сингл, дабл и т.д.) для защиты, мы можем не переживать лишь за свой трафик, который надежно шифруется. Но гарантию скрытия айпи это не дает.
Для более надежного скрытия ip адреса может подойти Тор, при правильной эксплуатации. Но там проблема с безопасностью именно трафика на выходных ретрансляторах.
Вариантов использования ТОР + ВПН в сети нашел два, VPN-->Tor и Tor-->VPN. Нашел мануал как сделать tor over vpn, думаю получится. Как делать цепочку Tor-->VPN пока не знаю. Но, по сути, мне ни один из вариантов не подходит. Т.к. в первом, на ресурсы я буду заходить с айпишниками тора, а это не есть для меня хорошо. Во втором варианте, я от провайдера VPS на котором VPN скрываю как бы свой реальный ip, но при этом рискую трафиком.
Учитывая все вышеописанные «за» и «против» делаю вывод, что неплохо работала бы связка vpn1-->Tor-->vpn2. В таком случае мы светим ip лишь vpn2, провайдер которого сможет предоставить лишь адрес Тора и не больше. Соответственно добраться до айпи VPN1, будет невозможно. Весь трафик будет зашифрован вплоть до выхода из VPN2.
Теперь собственно вопросы. Возможно ли реализовать такую цепочку? На сколько она будет безопасна по вашему мнению? Если возможно, то какие минусы несет такая схема кроме возможной потери скорости?
П.с. Если все что я выше описал полнейший бред, пишите прямо, не стесняйтесь. Я выдержу. :rolleyes: Ткните носом в чем ошибаюсь, я в этом пока чайник, но очень заинтересовала данная тема.

 

[Traxex]

1

Вопрос к безопансикам и не только.
Установил себе на VPSке Дебиан и на ней поднял OpenVPN. В принципе разобрался, как это работает. Трафик шифруется, логи отключил на самом впн сервере, на первый взгляд айпи скрыл. Работает быстро, стабильно, очень дешево, кому необходимо, можно сделать в разных странах. Для сёрфинга по ДМ и др. теневым ресурсам вполне хватает. Но остается проблема – провайдер VPS. Который по первому запросу предоставит всю имеющуюся инфу о том, кто конектился к VPSке. Вывод - анонимность уровень «песочница»
Второй вариант – Double VPN, ещё есть трипл, кватро и т.д.. Теоретически я понимаю как это сделать, но не хватает знаний пока по iptables. На сколько я понимаю, этот вариант более надежен, особенно если использовать разные сервисы, которые предоставляют VPS, в разных странах. Но последнее время мне часто стали попадаться заметки, в которых говорится о том, что это только усложняет процесс определения риал IP и немного оттягивает по времени. Не более. Если кто-то знает как работает деанон по даблвпн, с удовольствием бы почитал.
Получается что используя только ВПН (не важно сингл, дабл и т.д.) для защиты, мы можем не переживать лишь за свой трафик, который надежно шифруется. Но гарантию скрытия айпи это не дает.
Для более надежного скрытия ip адреса может подойти Тор, при правильной эксплуатации. Но там проблема с безопасностью именно трафика на выходных ретрансляторах.
Вариантов использования ТОР + ВПН в сети нашел два, VPN-->Tor и Tor-->VPN. Нашел мануал как сделать tor over vpn, думаю получится. Как делать цепочку Tor-->VPN пока не знаю. Но, по сути, мне ни один из вариантов не подходит. Т.к. в первом, на ресурсы я буду заходить с айпишниками тора, а это не есть для меня хорошо. Во втором варианте, я от провайдера VPS на котором VPN скрываю как бы свой реальный ip, но при этом рискую трафиком.
Учитывая все вышеописанные «за» и «против» делаю вывод, что неплохо работала бы связка vpn1-->Tor-->vpn2. В таком случае мы светим ip лишь vpn2, провайдер которого сможет предоставить лишь адрес Тора и не больше. Соответственно добраться до айпи VPN1, будет невозможно. Весь трафик будет зашифрован вплоть до выхода из VPN2.
Теперь собственно вопросы. Возможно ли реализовать такую цепочку? На сколько она будет безопасна по вашему мнению? Если возможно, то какие минусы несет такая схема кроме возможной потери скорости?
П.с. Если все что я выше описал полнейший бред, пишите прямо, не стесняйтесь. Я выдержу. :rolleyes: Ткните носом в чем ошибаюсь, я в этом пока чайник, но очень заинтересовала данная тема.

В реальной жизни тебе это мало поможет. Я бы посоветовал купи усилитель wifi и лови халявный по своему городу. Если все правильно сделаешь тебя не найдут никогда.

 

[Teodor Bodler]

vpn-vps-дедик-прокси-интернет = ваще огонь, только грузиться будет скорее всего ооч долго(

 

[mestniy007]

vpn-vps-дедик-прокси-интернет

Неужели так кто то делает ?

 

[Тренер]

vpn-vps-дедик-прокси-интернет = ваще огонь, только грузиться будет скорее всего ооч долго(

Я так понял это сарказм?

 

[Teodor Bodler]

Я так понял это сарказм?

я исхожу из ваших данных. я бы упростил до впн-дедик-прокси-интернет

 

[Teodor Bodler]

я исхожу из ваших данных. я бы упростил до впн-дедик-прокси-интернет

или впн-прокси-дедик-интернет (чтобы впн не палить)

 

[Тренер]

или впн-прокси-дедик-интернет (чтобы впн не палить)

Когда мне надо работать с дедика, я так всегда и делаю. Я просто походил по сервисам разным, которые предлагают свои ВПНы для анонимности описывая какие-то сумасшедшие связки длинной в 4 сервера. Рассказывают о 2096битном шифровании и т.д. Ну как по мне, всё это тупо маркетинг и не более. И никакой анонимности ОДИН сервис обеспечить не может. Ну во-первых логи, одному царю известно, отключили они их или нет. Во вторых, если это один сервис предоставляет тебе цепочку из любого кол-ва серверов то он же по запросу её и ВСЮ и выдаст. Смысл тогда? По поводу дохерабитного шифрования, так 128битное вроде ещё никто не сломал. Зачем мне тогда больше, тем более что я должен переплатить ещё за это.
Вот после этого всего и задумался о всём своем. И пришла мне в голову такая идея, но так как познания в мат части очень скудны, хотел послушать мнения профи.

 

[Тираэль]

Когда мне надо работать с дедика, я так всегда и делаю. Я просто походил по сервисам разным, которые предлагают свои ВПНы для анонимности описывая какие-то сумасшедшие связки длинной в 4 сервера. Рассказывают о 2096битном шифровании и т.д. Ну как по мне, всё это тупо маркетинг и не более. И никакой анонимности ОДИН сервис обеспечить не может. Ну во-первых логи, одному царю известно, отключили они их или нет. Во вторых, если это один сервис предоставляет тебе цепочку из любого кол-ва серверов то он же по запросу её и ВСЮ и выдаст. Смысл тогда? По поводу дохерабитного шифрования, так 128битное вроде ещё никто не сломал. Зачем мне тогда больше, тем более что я должен переплатить ещё за это.
Вот после этого всего и задумался о всём своем. И пришла мне в голову такая идея, но так как познания в мат части очень скудны, хотел послушать мнения профи.

Мне тоже интересно мнение по этому поводу,работаю на данный момент над анонимность и безопасностью.Теодор если не трудно - прокомментируй,очень интересно твоё мнение.

 

[temp@alivance]

использую связку vpn-tor-vpn считаю наилучшей для анонимности. Можно еще воткнуть в цепочку сервис ultrasurf тогда трафик пойдет через 3 разных средства анонимизации. (vpn-tor-ultrasurf-vpn). Скорость инета приемлемая. Да и на дедик лучше заходить с впн-тор-рдп

 

[dakuan]

сли кто-то знает как работает деанон по даблвпн, с удовольствием бы почитал.

Так же как и обычный - любой сервер, независимо от владельца, стоит в каком-нибудь ДЦ, а ДЦ обязан сотрудничать с правохранительными органами государства, в чьей юрисдикции он находится, иначе его попросту прикроют (есть bullet-proof хостинги, но до определенных пределов и цены там уже другие). Кроме всего прочего это означает, что должны вестись логи всех подключений за определенный период времени (netflow в сжатом виде весит немного, так что это вполне осуществимо). Имея на руках такие логи выявить следующее звено в цепочке - это уже дело техники. Если цепочка состоит из нескольких серверов в разных частях шарика, то задача усложняется, т.к. требуется сотрудничество с полицией других государств.

Короче, если ты не международный мошенник, укравший несколько сотен миллионов долларов и которым всерьез заинтересовался какой-нибудь интерпол, то крайне маловероятно, что кто-то будет бегать и распутывать твою цепочку по всему миру, т.к. высока вероятность, что она приведет к какому-нибудь 3g-модему, оформленному на гастарбайтера Джамшута и выброшенному еще полгода назад. В таких случаях гораздо проще отследить финансовые потоки.

Теперь собственно вопросы. Возможно ли реализовать такую цепочку? На сколько она будет безопасна по вашему мнению? Если возможно, то какие минусы несет такая схема кроме возможной потери скорости?

Сделать вполне возможно. Даже тривиально, я бы сказал. Минусы - серьезная потеря скорости и стабильности - работать по rdp будет уже не очень комфортно. И тебе придется время от времени переподключать впн, чтобы он не висел долго через одну и ту же цепочку tor.

 

[temp@alivance]

"серьезная потеря скорости" не торенты же качать, скорость тор зависит от кол-ва узловв в цепи, она настривается 3-4 узла за глаза, так же можно сделать выборку чтобы узлы использовались только с широким каналом. По дефолту скорость 100-200 KB/s. Насчет стабильности - все работает сутками, глюки у тор бывают конечно когда он перестает автоматически сторить цепочки, но довольно редко, и решается перезапуском клиента. Впн переподлкючать не нужно, тор сам меняет входные узлы по заданному интервалу времени.

 

[dakuan]

Впн переподлкючать не нужно, тор сам меняет входные узлы по заданному интервалу времени.

Тут вы заблуждаетесь - tor перестраивает цепочки каждые 10 минут, это верно, но это не влияет на существующие tcp-подключения, т.е. если у вас висит активная tcp-сессия через tor, то она так и будет висеть сутками через одну и ту же цепочку.

 

[temp@alivance]

при создании новой цепочки все предыдущие подключения разрываются, иначе бы на сайтах при использовании тор не нужно было бы перелогиниваться. Тор юзаю через vidalia так там есть тулза сменить личность, тоесть в любой момент времени разорвать все соединения, и запустить новые. А по дефолту по заданному интервалу времени.

 

[dakuan]

при создании новой цепочки все предыдущие подключения разрываются, иначе бы на сайтах при использовании тор не нужно было бы перелогиниваться.

Повторяю еще раз: вы заблуждаетесь.
Между VPN и HTTP большая разница. HTTP - это stateless протокол, он не требует постоянно поддерживать tcp-подключение и каждый раз вы можете попадать через другую цепочку - по дефолту тор держит 3 открытых цепочки и перестраивает их каждые 10 минут. Но если через цепочку есть подключение (впн например), то она не закрывается до тех пор, пока это подключение активно, только помечается недоступной для новых подключений.


Не верите мне на слово - посмотрите официальный FAQ тора (https://www.torproject.org/docs/faq.html.en#ChangePaths), там черным по белому написано следующее:

But note that a single TCP stream (e.g. a long IRC connection) will stay on the same circuit forever -- we don't rotate individual streams from one circuit to the next. Otherwise an adversary with a partial view of the network would be given many chances over time to link you to your destination, rather than just one chance.

Если и этого недостаточно, то смотрим исходник тора, где цепочки помечаются как marked_for_close: https://gitweb.torproject.org/tor.git/tree/src/or/circuitlist.c

 

[temp@alivance]

Так. то что вы написали относится к тор браузеру о проистаиванни цепочки длительных подключений, это решается кнопкой "смена личности" т.е. впн переподключать не нужно. Наглядно увидить как ходит трафик в тор и строит цепочки можно в проге Advor и еще там куча настроек. Пример, каждые 10 мин происходит реконект аськи, скайпа и т.д. И наглядно видно что реконект идет через новые подключения.

 

[dakuan]

Так. то что вы написали относится к тор браузеру о проистаиванни цепочки длительных подключений, это решается кнопкой "смена личности" т.е. впн переподключать не нужно.

Тор-браузер - это всего лишь слегка кастомизированный firefox, всю работу по построению цепочек там выполняет все тот же обыкновенный демон tor. А всякие Vidallia и прочие тулзы всего лишь работают через его контрольный протокол.

 

[temp@alivance]

через другие инструменты тор простаивание цепочек не обнаружено. vidalia, masksurf, advor. в последнем все наглядно.

 

[dakuan]

через другие инструменты тор простаивание цепочек не обнаружено. vidalia, masksurf, advor. в последнем все наглядно.

Vidalia - это всего лишь GUI для контрольного интерфейса демона tor.
А advor лично у меня вызывает подозрения, т.к. использует ряд очень спорных решений - например, алгоритм выбора нод для цепочки дает результаты слишком отличающиеся от случайного распределения, т.е. одни ноды выбираются значительно чаще других.

 

[temp@alivance]

да нормальный рандом у advor, и гибкая настройка.