一般ユーザー向けのVPN。 本当に必要なのか役に立たないオプションですか？

Habréでは、仮想プライベートネットワーク（VPN）に関する多くの記事：自己構成ガイド、技術概要、使用例。 それらのすべては、ある程度まで、現代の情報スペースの脅威を十分に認識しており、意図的に1つまたは別の保護方法を選択する上級ユーザー向けに設計されています。

一般ユーザーになるには？ 彼らを脅かすものは何ですか？ 彼らにはVPNが必要ですか？

これらの質問に答えるには、Wi-Fiアクセスポイントとトラフィックアナライザーを備えた簡単なテストベンチを組み立てるだけで十分です。 結果は非常に面白いでしょう。



ハッカーの武器として、Wi-Fiアダプターが組み込まれた通常のコンピューターを使用します。 アクセスポイントの電源を入れ、 hostapd



とdhcp3



を使用しdhcp3



。 インストールと構成に関する多くの説明があります（ one 、 two 、 three ）。 インターネットへのゲートウェイを構成します。 その後、 Wiresharkをインストールし、ワイヤレスインターフェイスでトラフィックのキャプチャを開始します。 モバイルデバイスをアクセスポイント（私の場合はiPad）に接続します。 カフェの無料アクセスポイントと、モバイルデバイスでリラックスした訪問者をエミュレートします。



この記事では、証明書のなりすましとHTTPSトラフィックのプロキシを使用しませんが、HTTPの盗聴の最も単純なケースを考慮します。 以下のダンプのすべての個人データが変更されます。



すべての「最愛の」VKontaktika（vk.com）から始めましょう。 接続時のユーザートラフィックを確認します。

 GET /login?role=fast&to=&s=1&__q_hash=bd8b2282f344a97ebe12b0c485952a6f HTTP/1.1 Host: m.vk.com Connection: keep-alive Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://m.vk.com/login?role=fast&to=&s=1&m=1&email=mail%40yandex.ru User-Agent: Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) CriOS/26.0.1410.53 Mobile/10B329 Safari/8536.25 Accept-Encoding: gzip,deflate,sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3 Cookie: remixlang=0; remixmdevice=768/1024/2/!!!!!!; remixstid=267699470; remixmid=; remixsid=; remixsid6=; remixgid=; remixemail=; remixpass=; remixapi_sid=; remixpermit=; remixsslsid=
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

クライアントのJavaScriptは、パスワードに代わってハッシュを計算し、GETリクエストで送信します。 その後、サーバーはリダイレクトで応答し、Cookieを設定します。

 HTTP/1.1 302 Found Server: nginx/1.2.4 Date: Mon, 03 Jun 2013 16:56:02 GMT Content-Type: text/html; charset=windows-1251 Content-Length: 20 Connection: keep-alive X-Powered-By: PHP/3.332 Pragma: no-cache Cache-control: no-store P3P: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT" Set-Cookie: remixsid=c04f7b2295b3b54405205a4306d6511c6cd9857f33249c004121c; expires=Wed, 11-Jun-2014 05:01:34 GMT; path=/; domain=.vk.com Set-Cookie: remixtemp_sid=; expires=Sun, 25-May-2014 15:48:33 GMT; path=/; domain=.vk.com Location: / Content-Encoding: gzip
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、クライアントは、Cookieを転送してリダイレクトリンクで指定された場所に移動します

 GET / HTTP/1.1 Host: m.vk.com Connection: keep-alive Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://m.vk.com/login?role=fast&to=&s=1&m=1&email=mail%40yandex.ru User-Agent: Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) CriOS/26.0.1410.53 Mobile/10B329 Safari/8536.25 Accept-Encoding: gzip,deflate,sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3 Cookie: remixlang=0; remixmdevice=768/1024/2/!!!!!!; remixstid=267699470; remixmid=; remixsid6=; remixgid=; remixemail=; remixpass=; remixapi_sid=; remixpermit=; remixsslsid=; remixsid=c04f7b5995b3b54405205a4306d6511c6cd9558f33249c004121c; remixtemp_sid=
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで、このユーザーのユーザー名で「ハッカー」にログインできます。 Cookieを設定するためのプラグイン（FFにはCookies Manager +を使用）、 remixsid



の最後のダンプからremixlang



、 remixstid



、 remixsid



処方し、 remixstid



/ remixsid



to =＆s = 1＆__ q_hash = bd8b2282f344a97ebe12b0c485956aに移動します -あなたはユーザーのフィードにいます。



iPhone / iPad用のVKontakteアプリケーションは安全な接続を使用しているのでしょうか？ いいえ、そうではありません。 トラフィックアナライザーは、APIへのHTTP POST要求を表示します。

 POST /method/execute HTTP/1.1 Host: api.vk.com Accept-Encoding: gzip Content-Type: application/x-www-form-urlencoded; charset=utf-8 Content-Length: 266 Connection: keep-alive Cookie: remixdt=-10800; remixrt=1; remixlang=3 User-Agent: 2.3.11 rv:10037 (iPad; iPhone OS 6.1.3; nb_NO) code=var%20messages%20%3D%20API.messages.get%28%7Bfilters%3A1%7D%29%3B%20return%20%7Bunread%3Amessages%5B0%5D%7D%3B&api_id=2753915&access_token=ac43d874bd29351e2e2b20b0c671029edc84a48a715f97721111568443b5ba42f00a349b95f692e5727ec&sig=cb7ac6c6346bd26b762929efe0f711d1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

access_token



パラメーターは、別の名前で許可に使用できるものです。



VKontakteファンがHTTPS経由でのみ接続することは合理的ですが、VKontakteサーバー上のHTTPからHTTPSへの強制リダイレクトはアクティブ化されていません。 また、Apple iOSのアプリケーションはHTTPを使用していますが、ここでは脅威は絶え間ありません。 VPNがなければ、未知のネットワークに接続することは非常に危険です。



さらに調べます。 LiveJournal（livejournal.com）は、創造的な知識人、デザイナー、反対者の間で非常に人気があります。 LJの一部のブログでは、収益を得る主な手段です。 アカウントの下のモバイルデバイスからLiveJournal Webサイトにアクセスし、「ハッカー」ゲートウェイのトラフィックを確認します。

 GET / HTTP/1.1 Host: www.livejournal.com Connection: keep-alive Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) CriOS/26.0.1410.53 Mobile/10B329 Safari/8536.25 Accept-Encoding: gzip,deflate,sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3 Cookie: ljuniq=EQwqgJzEJVk0mqr%3A1370276381%3Apgstats0; ljmastersession=v2:u12213803:s119:a68UFciy4PP:g398155211a6adc80bc47746a28dbcb9146b6a257//1; ljloggedin=v2:u12213003:s119:t1370286730:gb4fd54e13950d47f0940aa78f3de73582ebd4c64; BMLschemepref=horizon; langpref=ru/1370272950; ljsession=v1:u12213803:s119:t1370275200:gf1c7f737342bcb5759c70a257cbf97acc9512731//1; PRUM_EPISODES=s=1370747384764&r=http%3A//www.livejournal.com/; __utma=48425145.515596637.1370276682.1370276682.1370281850.2; __utmb=48425145.1.10.1370281850; __utmc=48425145; __utmz=48425145.1370276682.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それだけです。不正な接続に関するすべてのデータがあります。 ljuniq



でljmastersession



、 ljloggedin



、 ljmastersession



、およびljsession



cookieを設定するだけで十分ljsession



。 その後、大胆にlivejournal.comにアクセスし、被害者に代わって投稿を書きます。



そのため、ユーザー認証プロセス中にHTTPを使用するほとんどすべてのサービスに対して。



Facebook、Twitter、Github、LinkedIn-よくやった、HTTPSを介したリソース認証のみ。 GmailとYandexのメールシステムについても同じことが言えます。 深刻な企業は、ユーザーのデータのセキュリティについて真剣に考え始めています。



Yandexには問題がありますが。 モバイルデバイスからpartner.yandex.ruにアクセスします 。 ゲートウェイ上のトラフィックを確認します。 ログインプロセスでは、 passport.yandex.ruへの移行が行われ、認証はHTTPSを通過し、Cookieが設定されますが、 partner.yandex.ruへのリダイレクトは既に設定されたCookieで登録されています。

 GET /registered HTTP/1.1 Host: partner.yandex.ru Connection: keep-alive Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 User-Agent: Mozilla/5.0 (iPad; CPU OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) CriOS/26.0.1410.53 Mobile/10B329 Safari/8536.25 Accept-Encoding: gzip,deflate,sdch Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3 Cookie: yandexuid=9257588111370282489; _ym_visorc=b; ys=udn.bXRzLZ1heA%3D%3D; yp=1685643738.udn.bXRzLW1heA%3D%3D; yandex_login=mail; my=YzYBSQA=; L=X3MKVQFiRwt/Ql9afF5hfnZBbwBCeHkXUypkHiQcHkwyOwFcRjh9JnMzKT0GXD0NSDVcdEMCUUB4XyEDqhpbNQ==.1620283888.9752.254668.6b58de4c285c135c1273a411170dba5c; Session_id=2:1685643738.-875.0.1121887.8:1370283888922:1422936785:15.0.1.1.0.73736.1393.a9075755a24d0d44ef3f216256625665
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

さて、すべてが悲しいです、 yandexuid



、 ys



、 yp



、 yandex_login



、 my



、 L



、 Session_id



、 partner.yandex.ru / yandex_login



しmy



、アフィリエイトプログラムの管理者コンソールを確認します。 メールを含む他のすべてのYandexサービスも利用できます。



このような場合、モバイルデバイスでVPNを使用するのが最善のオプションです。 発信トラフィックに対してVPNへの自動接続を備えたソリューションを選択することを強くお勧めします。 iOSデバイスの場合、この技術はVPNオンデマンドと呼ばれ、Androidデバイスの場合-Always-on VPNです。







「ハッカー」にとって、すべてのVPNトラフィックは次のような非常に退屈で単調に見えます。

 No. Time Source Destination Protocol Info 95 7.372487 10.0.1.200 109.233.59.108 ESP ESP (SPI=0xc6ed086f) Frame 95 (126 bytes on wire, 126 bytes captured) Ethernet II, Src: 7c:fa:df:cb:d3:89 (7c:fa:df:cb:d3:89), Dst: HonHaiPr_23:f0:9a (0c:60:76:23:f0:9a) Internet Protocol, Src: 10.0.1.200 (10.0.1.200), Dst: 109.233.59.108 (109.233.59.108) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 0000 00.. = Differentiated Services Codepoint: Default (0x00) .... ..0. = ECN-Capable Transport (ECT): 0 .... ...0 = ECN-CE: 0 Total Length: 112 Identification: 0x38cd (14541) Flags: 0x00 Fragment offset: 0 Time to live: 64 Protocol: UDP (0x11) Header checksum: 0x8c93 [correct] [Good: True] [Bad : False] Source: 10.0.1.200 (10.0.1.200) Destination: 109.233.59.108 (109.233.59.108) User Datagram Protocol, Src Port: ipsec-nat-t (4500), Dst Port: ipsec-nat-t (4500) Source port: ipsec-nat-t (4500) Destination port: ipsec-nat-t (4500) Length: 92 Checksum: 0x0000 (none) Good Checksum: False Bad Checksum: False UDP Encapsulation of IPsec Packets Encapsulating Security Payload ESP SPI: 0xc6ed086f ESP Sequence: 54
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

VPNのもう1つの利点は、ユーザーがアクセスしたアドレスが隠されることです。 リスナーにとっては、訪問の履歴だけでなく、あらゆる情報がユーザーへのさらなる攻撃に役立つ可能性があります。 接続がVPN経由の場合、そのような情報は利用できません。



サーバー管理者は、すべての承認フォームをHTTPSページに配置することをお勧めします。 さらに、有効期間の長いStrict-Transport-Securityヘッダーをサーバー応答に追加することをお勧めします。 これにより、partner.yandex.ruについて上記の状況が回避されます。



最も一般的なユーザーには、VPNベースのソリューションが絶対に必要であることがわかります。



私の観点から、OpenVPNまたはIPSecに基づいたソリューションの最も便利で正当な使用。 OpenVPNは、ほぼすべてのプラットフォームで動作しますが、モバイルデバイスにサードパーティアプリケーションをインストールする必要があります。 IPSecサポートは、最も一般的なモバイルプラットフォームの基本機能に組み込まれています。 Apple iOSは構成プロファイルをサポートしており、VPNセットアップは、デバイスにプロファイルをインストールすることになります。 これについては以前の記事で書いた。



私のruVPN.netプロジェクトは、上記の脅威から保護するために特別に作成されました。 6月以降、自動接続サポート（VPN-on-Demand）を備えたApple iOSデバイス（iPhone、iPad）のVPNインフラストラクチャの商用運用が開始されました。 接続して 、友達を招待します。 データのセキュリティを無視しないでください！