Professor
Professional
- Messages
- 213
- Reaction score
- 22
- Points
- 18
И так, начинаем, для начала стоит объяснить, что же вообще из себя представляет технология VPN.
Virtual Private Network (VPN) - это технология, которая позволяет пользователям создавать безопасное и частное сетевое соединение через публичную сеть, такую как интернет. VPN создает виртуальный зашифрованный туннель между устройством пользователя и удаленным сервером, который может находиться в любой точке мира. Удаленный сервер выступает в качестве посредника между устройством пользователя и интернетом, обеспечивая безопасное и приватное соединение.
VPN работают с использованием различных протоколов, таких как Wireguard, OpenVPN, L2TP, PPTP и т.д., для установления соединения между устройством пользователя и удаленным сервером. Эти протоколы шифруют данные, передаваемые между устройством пользователя и удаленным сервером, делая их нечитаемыми для любой неавторизованной третьей стороны. Затем зашифрованные данные передаются по виртуальному туннелю и расшифровываются удаленным сервером, который затем пересылает их по назначению.
Шифрование, используемое в VPN, основано на сочетании симметричной и асимметричной криптографии. Симметричная криптография используется для шифрования данных, передаваемых между устройством пользователя и удаленным сервером, а асимметричная криптография используется для установления безопасного соединения между двумя конечными точками. Асимметричная криптография так же используется для обмена ключами, которые используются для шифрования и дешифрования данных, передаваемых между конечными точками.
VPN обеспечивают различные преимущества, такие как конфиденциальность, безопасность и удаленный доступ. Они обычно используются компаниями для предоставления своим сотрудникам безопасного удаленного доступа к корпоративным ресурсам, таким как файлы и приложения компании. Они также используются частными лицами для защиты своей конфиденциальности и онлайн-деятельности от посторонних глаз, особенно при использовании общественных точек доступа Wi-Fi.
Коротко подытожу всё вышенаписанное - VPN обеспечивает безопасное и частное соединение через интернет, позволяя пользователям передавать данные безопасно и анонимно. Он работает с использованием различных протоколов и методов шифрования для создания виртуального туннеля между устройством пользователя и удаленным сервером, обеспечивая безопасное и частное соединение. VPN предлагают множество преимуществ и являются важнейшей технологией как для предприятий, так и для частных лиц.
Теперь рассмотрим по отдельности 2 самых популярных VPN-протокола – OpenVPN и Wireguard.
Начнем с OpenVPN:
OpenVPN - это протокол VPN с открытым исходным кодом, который широко используется для создания безопасных и частных соединений через bнтернет. Это универсальный протокол, совместимый с различными операционными системами и устройствами, что делает его популярным выбором среди провайдеров и пользователей VPN.
OpenVPN использует шифрование SSL/TLS для установления безопасного соединения между устройством пользователя и VPN-сервером. SSL/TLS - это широко распространенный протокол шифрования, который обычно используется для защиты веб-трафика. Благодаря использованию SSL/TLS, OpenVPN обеспечивает безопасное и приватное соединение, устойчивое к различным типам атак, таким как "человек посередине" и атакам подмены данных.
Протокол OpenVPN работает с помощью комбинации двух основных компонентов: клиента и сервера. Клиент - это программное обеспечение, установленное на устройстве пользователя, а сервер - это программное обеспечение, работающее на удаленном сервере. Клиент и сервер взаимодействуют друг с другом с помощью протокола OpenVPN, который включает в себя различные сообщения и пакеты, которыми обмениваются две конечные точки.
Чтобы установить соединение, клиент сначала инициирует запрос на соединение с сервером. Запрос включает в себя различные параметры, такие как IP-адрес клиента, учетные данные для аутентификации и настройки шифрования. Затем сервер проверяет учетные данные клиента и согласовывает параметры шифрования, которые будут использоваться для соединения.
После установления соединения клиент и сервер обмениваются данными с помощью VPN-туннеля. Все данные, передаваемые по туннелю, шифруются и расшифровываются на конечных точках с использованием согласованного метода шифрования. OpenVPN также предоставляет различные возможности для оптимизации производительности и безопасности VPN-соединения, такие как сжатие, маршрутизация и управление ключами.
OpenVPN - это надежный и безопасный протокол VPN, обеспечивающий высокий уровень конфиденциальности и безопасности для пользователей. Использование шифрования SSL/TLS, совместимость с различными операционными системами и устройствами, а также различные варианты оптимизации делают его популярным выбором среди VPN-провайдеров и пользователей.
Теперь рассмотрим более современный VPN-проктокол – Wireguard
WireGuard - это современный, высокопроизводительный и безопасный протокол VPN, который был разработан для улучшения существующих технологий VPN. Он разработан, чтобы быть простым, эффективным и гибким, обеспечивая при этом надежную безопасность и защиту конфиденциальности.
В WireGuard используется новый подход к криптографии VPN под названием "Noise Protocol Framework".
Noise - это модульная структура протокола, которая позволяет разработчикам создавать собственные криптографические протоколы, адаптированные к конкретным условиям использования. Она разработана для обеспечения безопасности, эффективности и гибкости и служит основой для безопасных протоколов связи, таких как WireGuard.
WireGuard использует комбинацию криптографических алгоритмов, включая криптографию эллиптических кривых, для установления безопасных соединений между конечными точками. Он основан на одноранговой модели, где каждая конечная точка считается равноправной и имеет свой собственный набор криптографических ключей. Такой подход упрощает процесс создания и управления VPN-соединениями, поскольку каждая конечная точка может инициировать соединение и обмениваться криптографическими ключами, не полагаясь на центральный сервер.
Процесс обмена ключами в WireGuard основан на сочетании алгоритма Диффи-Хеллмана и симметричного шифрования. Когда две конечные точки устанавливают соединение, они обмениваются набором криптографических ключей, которые используются для шифрования и расшифровки данных, передаваемых между ними. Этот процесс обмена ключами разработан для защиты от различных типов атак, включая атаки типа "человек посередине" и атаки повторного воспроизведения (Replay Attack).
После установления соединения данные, передаваемые между конечными точками, шифруются и аутентифицируются с помощью комбинации симметричной и асимметричной криптографии. Такой подход обеспечивает надежную защиту безопасности и конфиденциальности от различных типов атак.
WireGuard разработан как эффективное и легкое решение с минимальной кодовой базой и низкими накладными расходами. Он также является гибким и может быть легко интегрирован в различные операционные системы и устройства. Его простота, эффективность и безопасность делают его популярным выбором как среди провайдеров VPN, так и среди пользователей, это современный и инновационный VPN-протокол, который использует новый подход к криптографии для обеспечения надежной безопасности и защиты конфиденциальности. Использование Noise Protocol Framework, одноранговой модели и эффективных криптографических примитивов делает его надежным и эффективным VPN-решением, которое набирает популярность в индустрии VPN.
Стоит подробнее рассмотреть протокол Noise, который используется в Wireguard
Протокол Noise - это модульная основа для построения безопасных протоколов связи. Он был разработан Тревором Перрином и другими в 2018 году и завоевал популярность как основа для построения современных безопасных протоколов связи, таких как WireGuard.
Фреймворк протоколов Noise разработан для того, чтобы быть гибким, эффективным и безопасным. Он позволяет разработчикам создавать пользовательские криптографические протоколы, адаптированные к конкретным случаям использования, без необходимости реализовывать сложные и подверженные ошибкам криптографические примитивы с нуля.
Протокол Noise построен на концепции паттернов, которые представляют собой предопределенные последовательности сообщений и криптографических операций, используемых для установления безопасных соединений между конечными точками. Паттерны позволяют разработчикам создавать сложные протоколы из простых блоков, обеспечивая при этом безопасность и эффективность результирующего протокола.
Протокол Noise использует комбинацию криптографических алгоритмов, включая криптографию с симметричным ключом, криптографию с открытым ключом и криптографические хэши, для обеспечения надежной безопасности и защиты конфиденциальности. Он разработана таким образом, чтобы быть устойчивой к различным типам атак, включая подслушивание, фальсификацию и атаки повторного воспроизведения.
Процесс обмена ключами в Noise основан на сочетании алгоритма Диффи-Хеллмана и симметричного шифрования. Когда две конечные точки устанавливают соединение, они обмениваются набором криптографических ключей, которые используются для шифрования и расшифровки данных, передаваемых между ними. Этот процесс обмена ключами разработан для защиты от различных типов атак, включая атаки "человек посередине" и атаки повторного воспроизведения.
Noise также предоставляет различные возможности для оптимизации производительности и безопасности протокола связи, такие как сжатие, возобновление сеанса и аутентифицированное шифрование.
Теперь сравним TLS в OpenVPN и Noise в Wireguard
Noise в WireGuard и TLS в OpenVPN служат одной цели - обеспечить безопасную связь между конечными точками через незащищенную сеть. Однако они отличаются по своей конструкции, реализации и свойствам безопасности.
TLS (Transport Layer Security) - это широко используемый протокол для обеспечения безопасности сетевого взаимодействия, особенно в веб-приложениях. Он использует комбинацию асимметричной и симметричной криптографии для обеспечения надежной аутентификации, шифрования и защиты целостности. TLS обычно реализуется на транспортном уровне сетевого стека, который отвечает за обеспечение надежной и безопасной связи между конечными точками.
В OpenVPN TLS используется для защиты соединения между клиентом и сервером. Он используется для создания безопасного туннеля, аутентификации участвующих сторон и шифрования передаваемых между ними данных. OpenVPN использует сочетание асимметричной и симметричной криптографии для обеспечения надежной безопасности и защиты конфиденциальности.
С другой стороны, Noise - это протокольная структура, разработанная для обеспечения гибкости, эффективности и безопасности. Это модульная структура для создания пользовательских криптографических протоколов, таких как те, что используются в WireGuard. Noise использует комбинацию криптографических примитивов, включая криптографию эллиптических кривых, для установления безопасных соединений между конечными точками. Noise реализован непосредственно в протоколе WireGuard, а не используется как отдельный уровень, как TLS в OpenVPN.
В целом, хотя TLS в OpenVPN и Noise в WireGuard служат схожей цели обеспечения безопасной связи между конечными точками, они различаются по своему дизайну, реализации и свойствам безопасности.
Теперь сравним эти 2 VPN-протокола (Wireguard и OpenVPN) между собой:
Разработка и выпуск:
OpenVPN - это хорошо изученный и широко используемый протокол, существующий с 2001 года. Это сложный протокол, который использует несколько криптографических алгоритмов для установления безопасной связи между клиентом и сервером. OpenVPN может работать через различные сетевые протоколы, такие как TCP, UDP и SCTP.
Wireguard - это более новый и простой протокол, который был представлен в 2016 году. Он разработан, чтобы быть быстрым, эффективным и простым в использовании. Wireguard использует современные криптографические примитивы, такие как ChaCha20, Poly1305, BLAKE2s и Curve25519 для обеспечения надежного шифрования и аутентификации. Wireguard использует протокол UDP для связи и оптимизирован для производительности.
Безопасность:
OpenVPN имеет хорошую репутацию в области безопасности и был проверен независимыми экспертами по безопасности. Он обеспечивает надежные механизмы шифрования и аутентификации, включая поддержку различных криптографических алгоритмов, таких как AES, SHA и RSA. OpenVPN также поддерживает различные методы аутентификации, такие как пароли, сертификаты и маркеры.
Wireguard также разработан с учетом требований безопасности и был проверен независимыми экспертами по безопасности. Он использует современные криптографические алгоритмы, которые считаются безопасными и устойчивыми к атакам. Wireguard имеет меньшую поверхность атаки по сравнению с OpenVPN благодаря более простой конструкции и кодовой базе.
Производительность:
OpenVPN известен относительно высоким использованием процессора, что может повлиять на его производительность на маломощных устройствах. На протокол также могут влиять перегрузки сети и потеря пакетов, что приводит к снижению производительности.
Wireguard разработан для оптимальной производительности и имеет более низкое использование ЦП по сравнению с OpenVPN. Wireguard также менее восприимчив к перегрузкам сети и потере пакетов, что приводит к повышению общей производительности.
Простота использования (не очень актуально при использовании преднастроенных Docker-контейнеров при настройке сервера):
OpenVPN может быть сложным в установке и настройке. Протокол требует наличия различных конфигурационных файлов и команд, что может отпугнуть начинающих пользователей.
Wireguard разработан как простой и легкий в использовании протокол. Он имеет меньший конфигурационный файл и требует меньше команд для установки и настройки, что делает его более доступным для начинающих пользователей.
Кодовая база ядра Wireguard насчитывает около 4000 строк кода, когда как OpenVPN имеет около 400000 строк кода. Так же, Wireguard включен в ядро Linux начиная с версии 5.6
В заключение, OpenVPN и Wireguard - это надежные и безопасные протоколы VPN, которые имеют различные сильные и слабые стороны. OpenVPN - это хорошо изученный протокол, обеспечивающий надежную защиту и поддержку различных криптографических алгоритмов и методов аутентификации. Однако он может быть сложным в установке и настройке, а на его производительность могут влиять перегрузки сети и потеря пакетов. Wireguard, является более новым и простым протоколом, оптимизированным для производительности и простоты использования. Он использует современные криптографические примитивы и имеет меньшую площадь атаки, что делает его хорошим выбором для пользователей, которые отдают предпочтение скорости и простоте.
Оба этих протокола хорошие, несмотря на свои минусы, OpenVPN можно сконфигурировать на высокую пропускную способность, и настроить сервер за несколько минут с использованием Docker-контейнера с OpenVPN. Выбирайте тот протокол, который вам удобнее.
Инструкции по настройке VPN-серверов с данными протоколами вы можете найти в CyberSecurity Wiki
Теперь перейдем к сети Tor (текст взят из моей статьи про сеть Tor)
Сеть Tor - это сложная система, предназначенная для защиты конфиденциальности и анонимности пользователей при работе в Интернете. Разработанная ВМФ США, а затем переданная некоммерческой организации Tor Project, сеть Tor предоставляет людям возможность доступа в интернет без раскрытия их подлинной личности или местонахождения.
По своей сути сеть Tor функционирует путем маршрутизации интернет-трафика пользователей через ряд узлов, каждый из которых выступает в качестве ретранслятора. Узлы управляются энтузиастами со всего мира и разбросаны по нескольким континентам. Когда пользователь подключается к Tor, его трафик сначала шифруется, а затем направляется через три случайно выбранных узла, каждый из которых расшифровывает и снова шифрует трафик, прежде чем передать его следующему узлу. Этот процесс известен как "луковая маршрутизация", поскольку каждый слой шифрования снимается подобно слоям лука по мере прохождения трафика через каждый узел.
Использование нескольких узлов в этом процессе делает сеть Tor настолько эффективной для защиты конфиденциальности своих пользователей. Поскольку каждый узел знает только личность предыдущего узла и следующего узла в цепочке, для каждого отдельного узла практически невозможно отследить трафик пользователя до его источника. Кроме того, поскольку каждый узел знает только личность узла, непосредственно предшествующего ему и следующего за ним, любому узлу трудно определить, какая информация передается.
Для дальнейшей защиты конфиденциальности своих пользователей Tor также использует систему мостов. Мосты - это частные узлы, которые не публикуются в сети Tor, что затрудняет правительствам и другим организациям блокировать трафик Tor. Вместо того чтобы подключаться непосредственно к сети Tor, пользователи могут подключиться к мосту, который выступает в качестве посредника между пользователем и сетью Tor.
Несмотря на многочисленные функции конфиденциальности и безопасности, в сети Tor существуют потенциальные уязвимости, которыми могут воспользоваться злоумышленники. Например, если злоумышленник контролирует достаточное количество узлов в сети, он может отследить трафик пользователя до его источника. Аналогичным образом, если злоумышленник сможет скомпрометировать компьютер пользователя или установить на него вредоносное ПО, он сможет увидеть трафик пользователя в сети Tor до того, как он будет зашифрован.
Рассмотрим теперь типы мостов в сети Tor:
Obfs4, Snowflake и Meek-Azure - это три различных типа мостов, которые можно использовать в сети Tor для обеспечения дополнительных уровней обфускации и безопасности.
Obfs4 - это усовершенствованный мост, который разработан для того, чтобы трафик Tor было сложнее обнаружить и заблокировать. Obfs4 использует комбинацию криптографических методов и обфускации протокола, чтобы сетевым фильтрам было сложнее идентифицировать трафик Tor. Это включает шифрование трафика Tor с помощью потокового шифра, а также модификацию протокола Tor, чтобы сделать его похожим на другие типы трафика, такие как SSL или SSH. Obfs4 широко используется пользователями Tor и считается одним из самых эффективных мостов для обфускации трафика Tor.
Snowflake - это относительно новый тип моста, который был разработан проектом Tor в ответ на растущую потребность в более масштабируемом и устойчивом типе моста. Snowflake работает, используя веб-браузеры волонтеров и энтузиастов в качестве временных прокси-серверов для трафика Tor. Когда пользователь запрашивает мост Snowflake, запрос перенаправляется в браузер, который затем передает трафик Tor в сеть Tor. Поскольку браузер действует как временный прокси, сетевым фильтрам сложнее обнаружить и заблокировать трафик Tor. Snowflake все еще находится в стадии разработки и в настоящее время проходит бета-тестирование.
Meek-Azure - это моста, предназначенный для того, чтобы трафик Tor выглядел как обычный веб-трафик. Meek-Azure использует облачные службы Azure для маршрутизации трафика Tor через серию прокси-серверов, что усложняет обнаружение и блокирование трафика сетевыми фильтрами. Поскольку Meek-Azure использует облачные сервисы, он может быть медленнее других типов мостов, но он обеспечивает дополнительный уровень безопасности и обфускации.
В заключение, Obfs4, Snowflake и Meek-Azure - это три различных моста, которые можно использовать в сети Tor для обеспечения дополнительных уровней обфускации и безопасности. Каждый тип моста использует различные методы, чтобы усложнить обнаружение и блокирование трафика Tor, и пользователи могут выбрать мост, который лучше всего соответствует их конкретным потребностям в безопасности и конфиденциальности.
Цепочка узлов Tor, также известная как цепь Tor, является важнейшим компонентом сети Tor. Цепь Tor - это серия из трех узлов, или реле, через которые проходит трафик Tor на пути к месту назначения. Каждый узел схемы выбирается случайным образом из пула добровольцев-ретрансляторов, составляющих сеть Tor.
Теперь рассмотрим типы узлов в сети Tor.
Ниже приводится описание трех узлов, составляющих цепь Tor:
Входной узел, также известный как сторожевой узел, является первым узлом в цепи Tor. Пользовательский клиент Tor выбирает случайный входной узел из пула доступных узлов, и весь трафик Tor шифруется и отправляется на входной узел. Входной узел отвечает за расшифровку трафика, пересылку его на следующий узел в цепи и добавление собственного уровня шифрования перед дальнейшей пересылкой.
Промежуточный узел - это второй узел в цепи Tor. Клиент Tor выбирает случайный промежуточный узел из пула доступных узлов, трафик шифруется и отправляется на промежуточный узел с входного узла. Средний узел расшифровывает трафик, добавляет еще один уровень шифрования и пересылает его на выходной узел.
Выходной узел - это последний узел в цепи Tor. Выходной узел получает зашифрованный трафик от промежуточного узла, расшифровывает его и отправляет в конечный пункт назначения. Поскольку трафик расшифровывается на выходном узле, важно использовать HTTPS или другие протоколы шифрования, чтобы защитить содержимое трафика от перехвата или анализа.
Цепочка узлов Tor меняется автоматически каждые 10 минут, либо может быть изменена пользователем в любой момент путем перезапуска Tor.
Существуют способы деанонимизации пользователей в сети Tor, и специалистам по информационной безопасности важно понимать методы и инструменты, используемые для этого. Рассмотрим основные методы:
Анализ трафика:
Анализ трафика - распространенный метод, используемый для деанонимизации пользователей в сети Tor. Анализ трафика включает в себя мониторинг и анализ сетевого трафика для выявления закономерностей и связей. Поскольку сеть Tor направляет трафик через множество ретрансляторов, анализ трафика становится более сложным. Однако анализ трафика все еще можно использовать для деанонимизации пользователей в сети Tor. Например, если злоумышленник может наблюдать за узлами входа и выхода из соединения Tor, он может сопоставить трафик и деанонимизировать пользователя.
Временная корреляция:
Временная корреляция - еще один метод, используемый для деанонимизации пользователей в сети Tor. Временная корреляция включает в себя анализ времени сетевого трафика для выявления закономерностей и связей.
Вредоносные программы и эксплойты:
Вредоносные программы и эксплойты также используются для деанонимизации пользователей в сети Tor. Злоумышленник может использовать вредоносное ПО или эксплойты для получения доступа к устройству пользователя и сбора информации о его личности и местоположении.
В заключение следует отметить, что деанонимизация пользователей в сети Tor возможна с помощью различных методов, таких как анализ трафика, временная корреляция, вредоносные программы и эксплойты. Поэтому специалистам по информационной безопасности крайне важно понимать эти методы и принимать меры для защиты пользователей сети Tor. Применение методов, таких как использование VPN, регулярное обновление программного обеспечения, а также избегание подозрительных ссылок и загрузок, может помочь защитить пользователей от атак деанонимизации.
Сравним VPN и Tor, хотя это не очень корректно
VPN и Tor - это две разные технологии, которые служат схожей цели обеспечения конфиденциальности и анонимности в интернете. Однако они отличаются по своей конструкции, реализации и свойствам безопасности.
Реализация:
VPN - это частная сеть, обеспечивающая безопасную связь через Интернет. VPN работает путем шифрования интернет-трафика пользователя и маршрутизации его через удаленный сервер, расположенный в другом географическом месте. Сервер VPN действует как посредник между пользователем и Интернетом, что затрудняет отслеживание действий пользователя в сети.
Сеть Tor представляет собой децентрализованную сеть серверов и клиентов, которая обеспечивает анонимное общение через интернет. Tor работает путем маршрутизации интернет-трафика пользователя через серию зашифрованных ретрансляторов, что затрудняет отслеживание действий пользователя в сети.
Безопасность:
VPN используют комбинацию криптографических протоколов, для шифрования и защиты интернет-трафика пользователя. VPN обеспечивают высокий уровень безопасности и конфиденциальности, но они не являются надежными. VPN могут быть скомпрометированы, если VPN-провайдер взломан или если устройство пользователя заражено вредоносным ПО.
Tor использует несколько уровней шифрования для защиты интернет-трафика пользователя, что затрудняет отслеживание его действий в сети. Tor также предоставляет дополнительные возможности, такие как Tor Browser, который представляет собой модифицированную версию браузера Firefox, предварительно настроенную для использования сети Tor. Однако Tor не является полностью безопасным и может быть скомпрометирован продвинутыми злоумышленниками, которые могут контролировать большое количество узлов в сети. Так же, цепочка Tor меняется каждые 10 минут, а соответственно и меняется IP выходной ноды, т.е. IP, который видят посещаемые вами ресурсы, в случае использования VPN IP-адрес будет всегда один и тот же (принадлежащий серверу, к которому вы подключаетесь)
Скорость и производительность:
VPN обычно предлагают более высокую скорость интернета по сравнению с Tor, поскольку интернет-трафик пользователя направляется через один сервер, расположенный в другом географическом месте. Однако на скорость интернета пользователя может влиять расстояние между пользователем и VPN-сервером, а также количество пользователей, подключенных к одному и тому же VPN-серверу.
У Tor низкая скорость интернета по сравнению с VPN, поскольку интернет-трафик пользователя проходит через серию зашифрованных ретрансляторов, что затрудняет отслеживание действий пользователя в интернете. Этот дополнительный уровень шифрования может замедлить скорость интернета, особенно если пользователь обращается к приложениям с высокой пропускной способностью, таким как потоковое видео или обмен файлами.
VPN и Tor предназначены для разных типов пользователей. VPN идеально подходят для тех, кто хочет зашифровать свой интернет-трафик и обойти интернет-цензуру, а Tor - для тех, кто хочет защитить свою конфиденциальность и анонимность в Интернете. И VPN, и Tor имеют свои преимущества и недостатки, и пользователям важно выбрать технологию, которая лучше всего отвечает их потребностям, либо совмещать эти технологии, о чем мы поговорим далее.
Как многие знают, VPN и Tor можно сочетать, сейчас рассмотрим плюсы и минусы таких комбинаций и затронем вопрос рациональности использования различных связок.
Начнем с простейшей связки – VPN>Tor
При такой схеме пользователь сначала подключается к VPN-серверу, а затем выходит в сеть Tor, таким образом входной узел не знает вашего реального IP-адреса, так же при такой схеме нет необходимости использования мостов для обхода блокировок Tor (актуально для пользователей из РФ). Такая связка крайне простая в реализации, в общем случае достаточно включить VPN на своем устройстве и открыть Tor Browser. Минусом данной схемы является то, что может заметно упасть скорость соединения, если VPN-сервер имеет низкую пропускную способность. К минусам так же можно было бы отнести тот факт, что вам надо будет доверять VPN-провайдеру, что он не “сольет” ваш реальный IP-адрес, но поскольку чтоб узнать IP-адрес вашего VPN-провайдера надо распутать цепочку Tor (это маловероятный сценарий), то этот минус является “притянутым за уши”.
В общем, такая связка является весьма неплохой и простой в реализации, я вполне допускаю её использование, в некоторых случаях она обеспечивает более высокую безопасность, чем использование мостов Tor.
Теперь рассмотрим связку Tor>VPN
При такой связке вы сначала подключаетесь к сети Tor, а затем к VPN.
Преимуществами данной связки являются:
Дополнительный уровень конфиденциальности: наш VPN-сервер будет видеть не ваш реальный IP-адрес, а IP-адрес узла выхода из Tor.
Возможность подключаться даже к тем сайтам, которые запрещают Tor-соединения, они не будут видеть то, что вы используете Tor.
Доступ к удаленной переадресации портов.
Пакеты все еще шифруются при прохождении через выходной узел Tor.
К недостаткам можно отнести следующее:
Потери в скорости соединения в случае использования VPN-сервера с низкой пропускной способностью.
Не будет доступа к onion-сайтам.
Сложность реализации (не все VPN-провайдеры поддерживают подключение к ним из сети Tor).
От себя добавлю, что подобную связку чаще всего используют для сокрытия факта использования Tor от посещаемого ресурса, но это не очень рационально, поскольку для этих целей можно использовать SOCKS5 прокси в браузере. Что касается дополнительного уровня защиты, то это является плюсом только в редких частных случаях, когда вы попадаете на вредноносную цепочку Tor (крайне маловероятно) или вредоносный выходной узел Tor. Я бы рекомендовал использовать цепочку VPN-серверов, вместо такой связки, это будет проще в реализации и в некоторых случаях не будет уступать по эффективности.
Коротко остановимся на связке VPN>Tor>VPN
Это когда вы сначала подключаетесь к VPN-серверу, затем к сети Tor и потом к другому VPN-серверу. Не буду останавливаться на плюсах и минусах данной связки, т.к. это можно понять если вышенаписанного. Данную связку я тоже не рекомендую по причинам, описанным в рассмотрении связки Tor>VPN, я бы рекомендовал заменить такую схему на цепочку из VPN-серверов.
Важно учитывать, что при использвоании цепочки VPN-серверов, сервера НЕ должны принадлежать одному и тому же провайдеру!
На этом основная часть лекции законечна, мы рассмотрели принципы работы таких средств анонимизации, как VPN и Tor, а так же сценарии их использования.
Virtual Private Network (VPN) - это технология, которая позволяет пользователям создавать безопасное и частное сетевое соединение через публичную сеть, такую как интернет. VPN создает виртуальный зашифрованный туннель между устройством пользователя и удаленным сервером, который может находиться в любой точке мира. Удаленный сервер выступает в качестве посредника между устройством пользователя и интернетом, обеспечивая безопасное и приватное соединение.
VPN работают с использованием различных протоколов, таких как Wireguard, OpenVPN, L2TP, PPTP и т.д., для установления соединения между устройством пользователя и удаленным сервером. Эти протоколы шифруют данные, передаваемые между устройством пользователя и удаленным сервером, делая их нечитаемыми для любой неавторизованной третьей стороны. Затем зашифрованные данные передаются по виртуальному туннелю и расшифровываются удаленным сервером, который затем пересылает их по назначению.
Шифрование, используемое в VPN, основано на сочетании симметричной и асимметричной криптографии. Симметричная криптография используется для шифрования данных, передаваемых между устройством пользователя и удаленным сервером, а асимметричная криптография используется для установления безопасного соединения между двумя конечными точками. Асимметричная криптография так же используется для обмена ключами, которые используются для шифрования и дешифрования данных, передаваемых между конечными точками.
VPN обеспечивают различные преимущества, такие как конфиденциальность, безопасность и удаленный доступ. Они обычно используются компаниями для предоставления своим сотрудникам безопасного удаленного доступа к корпоративным ресурсам, таким как файлы и приложения компании. Они также используются частными лицами для защиты своей конфиденциальности и онлайн-деятельности от посторонних глаз, особенно при использовании общественных точек доступа Wi-Fi.
Коротко подытожу всё вышенаписанное - VPN обеспечивает безопасное и частное соединение через интернет, позволяя пользователям передавать данные безопасно и анонимно. Он работает с использованием различных протоколов и методов шифрования для создания виртуального туннеля между устройством пользователя и удаленным сервером, обеспечивая безопасное и частное соединение. VPN предлагают множество преимуществ и являются важнейшей технологией как для предприятий, так и для частных лиц.
Теперь рассмотрим по отдельности 2 самых популярных VPN-протокола – OpenVPN и Wireguard.
Начнем с OpenVPN:
OpenVPN - это протокол VPN с открытым исходным кодом, который широко используется для создания безопасных и частных соединений через bнтернет. Это универсальный протокол, совместимый с различными операционными системами и устройствами, что делает его популярным выбором среди провайдеров и пользователей VPN.
OpenVPN использует шифрование SSL/TLS для установления безопасного соединения между устройством пользователя и VPN-сервером. SSL/TLS - это широко распространенный протокол шифрования, который обычно используется для защиты веб-трафика. Благодаря использованию SSL/TLS, OpenVPN обеспечивает безопасное и приватное соединение, устойчивое к различным типам атак, таким как "человек посередине" и атакам подмены данных.
Протокол OpenVPN работает с помощью комбинации двух основных компонентов: клиента и сервера. Клиент - это программное обеспечение, установленное на устройстве пользователя, а сервер - это программное обеспечение, работающее на удаленном сервере. Клиент и сервер взаимодействуют друг с другом с помощью протокола OpenVPN, который включает в себя различные сообщения и пакеты, которыми обмениваются две конечные точки.
Чтобы установить соединение, клиент сначала инициирует запрос на соединение с сервером. Запрос включает в себя различные параметры, такие как IP-адрес клиента, учетные данные для аутентификации и настройки шифрования. Затем сервер проверяет учетные данные клиента и согласовывает параметры шифрования, которые будут использоваться для соединения.
После установления соединения клиент и сервер обмениваются данными с помощью VPN-туннеля. Все данные, передаваемые по туннелю, шифруются и расшифровываются на конечных точках с использованием согласованного метода шифрования. OpenVPN также предоставляет различные возможности для оптимизации производительности и безопасности VPN-соединения, такие как сжатие, маршрутизация и управление ключами.
OpenVPN - это надежный и безопасный протокол VPN, обеспечивающий высокий уровень конфиденциальности и безопасности для пользователей. Использование шифрования SSL/TLS, совместимость с различными операционными системами и устройствами, а также различные варианты оптимизации делают его популярным выбором среди VPN-провайдеров и пользователей.
Теперь рассмотрим более современный VPN-проктокол – Wireguard
WireGuard - это современный, высокопроизводительный и безопасный протокол VPN, который был разработан для улучшения существующих технологий VPN. Он разработан, чтобы быть простым, эффективным и гибким, обеспечивая при этом надежную безопасность и защиту конфиденциальности.
В WireGuard используется новый подход к криптографии VPN под названием "Noise Protocol Framework".
Noise - это модульная структура протокола, которая позволяет разработчикам создавать собственные криптографические протоколы, адаптированные к конкретным условиям использования. Она разработана для обеспечения безопасности, эффективности и гибкости и служит основой для безопасных протоколов связи, таких как WireGuard.
WireGuard использует комбинацию криптографических алгоритмов, включая криптографию эллиптических кривых, для установления безопасных соединений между конечными точками. Он основан на одноранговой модели, где каждая конечная точка считается равноправной и имеет свой собственный набор криптографических ключей. Такой подход упрощает процесс создания и управления VPN-соединениями, поскольку каждая конечная точка может инициировать соединение и обмениваться криптографическими ключами, не полагаясь на центральный сервер.
Процесс обмена ключами в WireGuard основан на сочетании алгоритма Диффи-Хеллмана и симметричного шифрования. Когда две конечные точки устанавливают соединение, они обмениваются набором криптографических ключей, которые используются для шифрования и расшифровки данных, передаваемых между ними. Этот процесс обмена ключами разработан для защиты от различных типов атак, включая атаки типа "человек посередине" и атаки повторного воспроизведения (Replay Attack).
После установления соединения данные, передаваемые между конечными точками, шифруются и аутентифицируются с помощью комбинации симметричной и асимметричной криптографии. Такой подход обеспечивает надежную защиту безопасности и конфиденциальности от различных типов атак.
WireGuard разработан как эффективное и легкое решение с минимальной кодовой базой и низкими накладными расходами. Он также является гибким и может быть легко интегрирован в различные операционные системы и устройства. Его простота, эффективность и безопасность делают его популярным выбором как среди провайдеров VPN, так и среди пользователей, это современный и инновационный VPN-протокол, который использует новый подход к криптографии для обеспечения надежной безопасности и защиты конфиденциальности. Использование Noise Protocol Framework, одноранговой модели и эффективных криптографических примитивов делает его надежным и эффективным VPN-решением, которое набирает популярность в индустрии VPN.
Стоит подробнее рассмотреть протокол Noise, который используется в Wireguard
Протокол Noise - это модульная основа для построения безопасных протоколов связи. Он был разработан Тревором Перрином и другими в 2018 году и завоевал популярность как основа для построения современных безопасных протоколов связи, таких как WireGuard.
Фреймворк протоколов Noise разработан для того, чтобы быть гибким, эффективным и безопасным. Он позволяет разработчикам создавать пользовательские криптографические протоколы, адаптированные к конкретным случаям использования, без необходимости реализовывать сложные и подверженные ошибкам криптографические примитивы с нуля.
Протокол Noise построен на концепции паттернов, которые представляют собой предопределенные последовательности сообщений и криптографических операций, используемых для установления безопасных соединений между конечными точками. Паттерны позволяют разработчикам создавать сложные протоколы из простых блоков, обеспечивая при этом безопасность и эффективность результирующего протокола.
Протокол Noise использует комбинацию криптографических алгоритмов, включая криптографию с симметричным ключом, криптографию с открытым ключом и криптографические хэши, для обеспечения надежной безопасности и защиты конфиденциальности. Он разработана таким образом, чтобы быть устойчивой к различным типам атак, включая подслушивание, фальсификацию и атаки повторного воспроизведения.
Процесс обмена ключами в Noise основан на сочетании алгоритма Диффи-Хеллмана и симметричного шифрования. Когда две конечные точки устанавливают соединение, они обмениваются набором криптографических ключей, которые используются для шифрования и расшифровки данных, передаваемых между ними. Этот процесс обмена ключами разработан для защиты от различных типов атак, включая атаки "человек посередине" и атаки повторного воспроизведения.
Noise также предоставляет различные возможности для оптимизации производительности и безопасности протокола связи, такие как сжатие, возобновление сеанса и аутентифицированное шифрование.
Теперь сравним TLS в OpenVPN и Noise в Wireguard
Noise в WireGuard и TLS в OpenVPN служат одной цели - обеспечить безопасную связь между конечными точками через незащищенную сеть. Однако они отличаются по своей конструкции, реализации и свойствам безопасности.
TLS (Transport Layer Security) - это широко используемый протокол для обеспечения безопасности сетевого взаимодействия, особенно в веб-приложениях. Он использует комбинацию асимметричной и симметричной криптографии для обеспечения надежной аутентификации, шифрования и защиты целостности. TLS обычно реализуется на транспортном уровне сетевого стека, который отвечает за обеспечение надежной и безопасной связи между конечными точками.
В OpenVPN TLS используется для защиты соединения между клиентом и сервером. Он используется для создания безопасного туннеля, аутентификации участвующих сторон и шифрования передаваемых между ними данных. OpenVPN использует сочетание асимметричной и симметричной криптографии для обеспечения надежной безопасности и защиты конфиденциальности.
С другой стороны, Noise - это протокольная структура, разработанная для обеспечения гибкости, эффективности и безопасности. Это модульная структура для создания пользовательских криптографических протоколов, таких как те, что используются в WireGuard. Noise использует комбинацию криптографических примитивов, включая криптографию эллиптических кривых, для установления безопасных соединений между конечными точками. Noise реализован непосредственно в протоколе WireGuard, а не используется как отдельный уровень, как TLS в OpenVPN.
В целом, хотя TLS в OpenVPN и Noise в WireGuard служат схожей цели обеспечения безопасной связи между конечными точками, они различаются по своему дизайну, реализации и свойствам безопасности.
Теперь сравним эти 2 VPN-протокола (Wireguard и OpenVPN) между собой:
Разработка и выпуск:
OpenVPN - это хорошо изученный и широко используемый протокол, существующий с 2001 года. Это сложный протокол, который использует несколько криптографических алгоритмов для установления безопасной связи между клиентом и сервером. OpenVPN может работать через различные сетевые протоколы, такие как TCP, UDP и SCTP.
Wireguard - это более новый и простой протокол, который был представлен в 2016 году. Он разработан, чтобы быть быстрым, эффективным и простым в использовании. Wireguard использует современные криптографические примитивы, такие как ChaCha20, Poly1305, BLAKE2s и Curve25519 для обеспечения надежного шифрования и аутентификации. Wireguard использует протокол UDP для связи и оптимизирован для производительности.
Безопасность:
OpenVPN имеет хорошую репутацию в области безопасности и был проверен независимыми экспертами по безопасности. Он обеспечивает надежные механизмы шифрования и аутентификации, включая поддержку различных криптографических алгоритмов, таких как AES, SHA и RSA. OpenVPN также поддерживает различные методы аутентификации, такие как пароли, сертификаты и маркеры.
Wireguard также разработан с учетом требований безопасности и был проверен независимыми экспертами по безопасности. Он использует современные криптографические алгоритмы, которые считаются безопасными и устойчивыми к атакам. Wireguard имеет меньшую поверхность атаки по сравнению с OpenVPN благодаря более простой конструкции и кодовой базе.
Производительность:
OpenVPN известен относительно высоким использованием процессора, что может повлиять на его производительность на маломощных устройствах. На протокол также могут влиять перегрузки сети и потеря пакетов, что приводит к снижению производительности.
Wireguard разработан для оптимальной производительности и имеет более низкое использование ЦП по сравнению с OpenVPN. Wireguard также менее восприимчив к перегрузкам сети и потере пакетов, что приводит к повышению общей производительности.
Простота использования (не очень актуально при использовании преднастроенных Docker-контейнеров при настройке сервера):
OpenVPN может быть сложным в установке и настройке. Протокол требует наличия различных конфигурационных файлов и команд, что может отпугнуть начинающих пользователей.
Wireguard разработан как простой и легкий в использовании протокол. Он имеет меньший конфигурационный файл и требует меньше команд для установки и настройки, что делает его более доступным для начинающих пользователей.
Кодовая база ядра Wireguard насчитывает около 4000 строк кода, когда как OpenVPN имеет около 400000 строк кода. Так же, Wireguard включен в ядро Linux начиная с версии 5.6
В заключение, OpenVPN и Wireguard - это надежные и безопасные протоколы VPN, которые имеют различные сильные и слабые стороны. OpenVPN - это хорошо изученный протокол, обеспечивающий надежную защиту и поддержку различных криптографических алгоритмов и методов аутентификации. Однако он может быть сложным в установке и настройке, а на его производительность могут влиять перегрузки сети и потеря пакетов. Wireguard, является более новым и простым протоколом, оптимизированным для производительности и простоты использования. Он использует современные криптографические примитивы и имеет меньшую площадь атаки, что делает его хорошим выбором для пользователей, которые отдают предпочтение скорости и простоте.
Оба этих протокола хорошие, несмотря на свои минусы, OpenVPN можно сконфигурировать на высокую пропускную способность, и настроить сервер за несколько минут с использованием Docker-контейнера с OpenVPN. Выбирайте тот протокол, который вам удобнее.
Инструкции по настройке VPN-серверов с данными протоколами вы можете найти в CyberSecurity Wiki
Теперь перейдем к сети Tor (текст взят из моей статьи про сеть Tor)
Сеть Tor - это сложная система, предназначенная для защиты конфиденциальности и анонимности пользователей при работе в Интернете. Разработанная ВМФ США, а затем переданная некоммерческой организации Tor Project, сеть Tor предоставляет людям возможность доступа в интернет без раскрытия их подлинной личности или местонахождения.
По своей сути сеть Tor функционирует путем маршрутизации интернет-трафика пользователей через ряд узлов, каждый из которых выступает в качестве ретранслятора. Узлы управляются энтузиастами со всего мира и разбросаны по нескольким континентам. Когда пользователь подключается к Tor, его трафик сначала шифруется, а затем направляется через три случайно выбранных узла, каждый из которых расшифровывает и снова шифрует трафик, прежде чем передать его следующему узлу. Этот процесс известен как "луковая маршрутизация", поскольку каждый слой шифрования снимается подобно слоям лука по мере прохождения трафика через каждый узел.
Использование нескольких узлов в этом процессе делает сеть Tor настолько эффективной для защиты конфиденциальности своих пользователей. Поскольку каждый узел знает только личность предыдущего узла и следующего узла в цепочке, для каждого отдельного узла практически невозможно отследить трафик пользователя до его источника. Кроме того, поскольку каждый узел знает только личность узла, непосредственно предшествующего ему и следующего за ним, любому узлу трудно определить, какая информация передается.
Для дальнейшей защиты конфиденциальности своих пользователей Tor также использует систему мостов. Мосты - это частные узлы, которые не публикуются в сети Tor, что затрудняет правительствам и другим организациям блокировать трафик Tor. Вместо того чтобы подключаться непосредственно к сети Tor, пользователи могут подключиться к мосту, который выступает в качестве посредника между пользователем и сетью Tor.
Несмотря на многочисленные функции конфиденциальности и безопасности, в сети Tor существуют потенциальные уязвимости, которыми могут воспользоваться злоумышленники. Например, если злоумышленник контролирует достаточное количество узлов в сети, он может отследить трафик пользователя до его источника. Аналогичным образом, если злоумышленник сможет скомпрометировать компьютер пользователя или установить на него вредоносное ПО, он сможет увидеть трафик пользователя в сети Tor до того, как он будет зашифрован.
Рассмотрим теперь типы мостов в сети Tor:
Obfs4, Snowflake и Meek-Azure - это три различных типа мостов, которые можно использовать в сети Tor для обеспечения дополнительных уровней обфускации и безопасности.
Obfs4 - это усовершенствованный мост, который разработан для того, чтобы трафик Tor было сложнее обнаружить и заблокировать. Obfs4 использует комбинацию криптографических методов и обфускации протокола, чтобы сетевым фильтрам было сложнее идентифицировать трафик Tor. Это включает шифрование трафика Tor с помощью потокового шифра, а также модификацию протокола Tor, чтобы сделать его похожим на другие типы трафика, такие как SSL или SSH. Obfs4 широко используется пользователями Tor и считается одним из самых эффективных мостов для обфускации трафика Tor.
Snowflake - это относительно новый тип моста, который был разработан проектом Tor в ответ на растущую потребность в более масштабируемом и устойчивом типе моста. Snowflake работает, используя веб-браузеры волонтеров и энтузиастов в качестве временных прокси-серверов для трафика Tor. Когда пользователь запрашивает мост Snowflake, запрос перенаправляется в браузер, который затем передает трафик Tor в сеть Tor. Поскольку браузер действует как временный прокси, сетевым фильтрам сложнее обнаружить и заблокировать трафик Tor. Snowflake все еще находится в стадии разработки и в настоящее время проходит бета-тестирование.
Meek-Azure - это моста, предназначенный для того, чтобы трафик Tor выглядел как обычный веб-трафик. Meek-Azure использует облачные службы Azure для маршрутизации трафика Tor через серию прокси-серверов, что усложняет обнаружение и блокирование трафика сетевыми фильтрами. Поскольку Meek-Azure использует облачные сервисы, он может быть медленнее других типов мостов, но он обеспечивает дополнительный уровень безопасности и обфускации.
В заключение, Obfs4, Snowflake и Meek-Azure - это три различных моста, которые можно использовать в сети Tor для обеспечения дополнительных уровней обфускации и безопасности. Каждый тип моста использует различные методы, чтобы усложнить обнаружение и блокирование трафика Tor, и пользователи могут выбрать мост, который лучше всего соответствует их конкретным потребностям в безопасности и конфиденциальности.
Цепочка узлов Tor, также известная как цепь Tor, является важнейшим компонентом сети Tor. Цепь Tor - это серия из трех узлов, или реле, через которые проходит трафик Tor на пути к месту назначения. Каждый узел схемы выбирается случайным образом из пула добровольцев-ретрансляторов, составляющих сеть Tor.
Теперь рассмотрим типы узлов в сети Tor.
Ниже приводится описание трех узлов, составляющих цепь Tor:
Входной узел, также известный как сторожевой узел, является первым узлом в цепи Tor. Пользовательский клиент Tor выбирает случайный входной узел из пула доступных узлов, и весь трафик Tor шифруется и отправляется на входной узел. Входной узел отвечает за расшифровку трафика, пересылку его на следующий узел в цепи и добавление собственного уровня шифрования перед дальнейшей пересылкой.
Промежуточный узел - это второй узел в цепи Tor. Клиент Tor выбирает случайный промежуточный узел из пула доступных узлов, трафик шифруется и отправляется на промежуточный узел с входного узла. Средний узел расшифровывает трафик, добавляет еще один уровень шифрования и пересылает его на выходной узел.
Выходной узел - это последний узел в цепи Tor. Выходной узел получает зашифрованный трафик от промежуточного узла, расшифровывает его и отправляет в конечный пункт назначения. Поскольку трафик расшифровывается на выходном узле, важно использовать HTTPS или другие протоколы шифрования, чтобы защитить содержимое трафика от перехвата или анализа.
Цепочка узлов Tor меняется автоматически каждые 10 минут, либо может быть изменена пользователем в любой момент путем перезапуска Tor.
Существуют способы деанонимизации пользователей в сети Tor, и специалистам по информационной безопасности важно понимать методы и инструменты, используемые для этого. Рассмотрим основные методы:
Анализ трафика:
Анализ трафика - распространенный метод, используемый для деанонимизации пользователей в сети Tor. Анализ трафика включает в себя мониторинг и анализ сетевого трафика для выявления закономерностей и связей. Поскольку сеть Tor направляет трафик через множество ретрансляторов, анализ трафика становится более сложным. Однако анализ трафика все еще можно использовать для деанонимизации пользователей в сети Tor. Например, если злоумышленник может наблюдать за узлами входа и выхода из соединения Tor, он может сопоставить трафик и деанонимизировать пользователя.
Временная корреляция:
Временная корреляция - еще один метод, используемый для деанонимизации пользователей в сети Tor. Временная корреляция включает в себя анализ времени сетевого трафика для выявления закономерностей и связей.
Вредоносные программы и эксплойты:
Вредоносные программы и эксплойты также используются для деанонимизации пользователей в сети Tor. Злоумышленник может использовать вредоносное ПО или эксплойты для получения доступа к устройству пользователя и сбора информации о его личности и местоположении.
В заключение следует отметить, что деанонимизация пользователей в сети Tor возможна с помощью различных методов, таких как анализ трафика, временная корреляция, вредоносные программы и эксплойты. Поэтому специалистам по информационной безопасности крайне важно понимать эти методы и принимать меры для защиты пользователей сети Tor. Применение методов, таких как использование VPN, регулярное обновление программного обеспечения, а также избегание подозрительных ссылок и загрузок, может помочь защитить пользователей от атак деанонимизации.
Сравним VPN и Tor, хотя это не очень корректно
VPN и Tor - это две разные технологии, которые служат схожей цели обеспечения конфиденциальности и анонимности в интернете. Однако они отличаются по своей конструкции, реализации и свойствам безопасности.
Реализация:
VPN - это частная сеть, обеспечивающая безопасную связь через Интернет. VPN работает путем шифрования интернет-трафика пользователя и маршрутизации его через удаленный сервер, расположенный в другом географическом месте. Сервер VPN действует как посредник между пользователем и Интернетом, что затрудняет отслеживание действий пользователя в сети.
Сеть Tor представляет собой децентрализованную сеть серверов и клиентов, которая обеспечивает анонимное общение через интернет. Tor работает путем маршрутизации интернет-трафика пользователя через серию зашифрованных ретрансляторов, что затрудняет отслеживание действий пользователя в сети.
Безопасность:
VPN используют комбинацию криптографических протоколов, для шифрования и защиты интернет-трафика пользователя. VPN обеспечивают высокий уровень безопасности и конфиденциальности, но они не являются надежными. VPN могут быть скомпрометированы, если VPN-провайдер взломан или если устройство пользователя заражено вредоносным ПО.
Tor использует несколько уровней шифрования для защиты интернет-трафика пользователя, что затрудняет отслеживание его действий в сети. Tor также предоставляет дополнительные возможности, такие как Tor Browser, который представляет собой модифицированную версию браузера Firefox, предварительно настроенную для использования сети Tor. Однако Tor не является полностью безопасным и может быть скомпрометирован продвинутыми злоумышленниками, которые могут контролировать большое количество узлов в сети. Так же, цепочка Tor меняется каждые 10 минут, а соответственно и меняется IP выходной ноды, т.е. IP, который видят посещаемые вами ресурсы, в случае использования VPN IP-адрес будет всегда один и тот же (принадлежащий серверу, к которому вы подключаетесь)
Скорость и производительность:
VPN обычно предлагают более высокую скорость интернета по сравнению с Tor, поскольку интернет-трафик пользователя направляется через один сервер, расположенный в другом географическом месте. Однако на скорость интернета пользователя может влиять расстояние между пользователем и VPN-сервером, а также количество пользователей, подключенных к одному и тому же VPN-серверу.
У Tor низкая скорость интернета по сравнению с VPN, поскольку интернет-трафик пользователя проходит через серию зашифрованных ретрансляторов, что затрудняет отслеживание действий пользователя в интернете. Этот дополнительный уровень шифрования может замедлить скорость интернета, особенно если пользователь обращается к приложениям с высокой пропускной способностью, таким как потоковое видео или обмен файлами.
VPN и Tor предназначены для разных типов пользователей. VPN идеально подходят для тех, кто хочет зашифровать свой интернет-трафик и обойти интернет-цензуру, а Tor - для тех, кто хочет защитить свою конфиденциальность и анонимность в Интернете. И VPN, и Tor имеют свои преимущества и недостатки, и пользователям важно выбрать технологию, которая лучше всего отвечает их потребностям, либо совмещать эти технологии, о чем мы поговорим далее.
Как многие знают, VPN и Tor можно сочетать, сейчас рассмотрим плюсы и минусы таких комбинаций и затронем вопрос рациональности использования различных связок.
Начнем с простейшей связки – VPN>Tor
При такой схеме пользователь сначала подключается к VPN-серверу, а затем выходит в сеть Tor, таким образом входной узел не знает вашего реального IP-адреса, так же при такой схеме нет необходимости использования мостов для обхода блокировок Tor (актуально для пользователей из РФ). Такая связка крайне простая в реализации, в общем случае достаточно включить VPN на своем устройстве и открыть Tor Browser. Минусом данной схемы является то, что может заметно упасть скорость соединения, если VPN-сервер имеет низкую пропускную способность. К минусам так же можно было бы отнести тот факт, что вам надо будет доверять VPN-провайдеру, что он не “сольет” ваш реальный IP-адрес, но поскольку чтоб узнать IP-адрес вашего VPN-провайдера надо распутать цепочку Tor (это маловероятный сценарий), то этот минус является “притянутым за уши”.
В общем, такая связка является весьма неплохой и простой в реализации, я вполне допускаю её использование, в некоторых случаях она обеспечивает более высокую безопасность, чем использование мостов Tor.
Теперь рассмотрим связку Tor>VPN
При такой связке вы сначала подключаетесь к сети Tor, а затем к VPN.
Преимуществами данной связки являются:
Дополнительный уровень конфиденциальности: наш VPN-сервер будет видеть не ваш реальный IP-адрес, а IP-адрес узла выхода из Tor.
Возможность подключаться даже к тем сайтам, которые запрещают Tor-соединения, они не будут видеть то, что вы используете Tor.
Доступ к удаленной переадресации портов.
Пакеты все еще шифруются при прохождении через выходной узел Tor.
К недостаткам можно отнести следующее:
Потери в скорости соединения в случае использования VPN-сервера с низкой пропускной способностью.
Не будет доступа к onion-сайтам.
Сложность реализации (не все VPN-провайдеры поддерживают подключение к ним из сети Tor).
От себя добавлю, что подобную связку чаще всего используют для сокрытия факта использования Tor от посещаемого ресурса, но это не очень рационально, поскольку для этих целей можно использовать SOCKS5 прокси в браузере. Что касается дополнительного уровня защиты, то это является плюсом только в редких частных случаях, когда вы попадаете на вредноносную цепочку Tor (крайне маловероятно) или вредоносный выходной узел Tor. Я бы рекомендовал использовать цепочку VPN-серверов, вместо такой связки, это будет проще в реализации и в некоторых случаях не будет уступать по эффективности.
Коротко остановимся на связке VPN>Tor>VPN
Это когда вы сначала подключаетесь к VPN-серверу, затем к сети Tor и потом к другому VPN-серверу. Не буду останавливаться на плюсах и минусах данной связки, т.к. это можно понять если вышенаписанного. Данную связку я тоже не рекомендую по причинам, описанным в рассмотрении связки Tor>VPN, я бы рекомендовал заменить такую схему на цепочку из VPN-серверов.
Важно учитывать, что при использвоании цепочки VPN-серверов, сервера НЕ должны принадлежать одному и тому же провайдеру!
На этом основная часть лекции законечна, мы рассмотрели принципы работы таких средств анонимизации, как VPN и Tor, а так же сценарии их использования.
