「かくれんぼ」：インターネット上の匿名技術について少し

インターネットセキュリティは常に議論の的となっています。 特に、ネットワーク上で匿名性を確保する問題は依然として非常に人気があります。



今日は、情報セキュリティのトピックに戻り、VPN、プロキシ、Tor、その他いくつかのソリューションの簡単なレビューを行いたいと思います。





/写真Magnus CC

プロキシ

プロキシサーバーの本質は、トラフィックを中継として自分自身にリダイレクトすることです。 したがって、宛先ノードは、リクエストがあなたによってではなく、プロキシサーバーによって送信されたと見なします。 このソリューションを使用すると、一部のサービスがインストールするさまざまなネットワーク制限をバイパスできます（特に、地理的な場所によるブロック）。



プロキシにはいくつかの種類があります。 1つはWebプロキシです。これはHTTPトラフィックのみが自身を通過し、デフォルトでは送信トラフィックにプロキシ使用状況データを追加します。 このソリューションの欠点の1つは、スクリプトとJavaおよびAdobe Flashプラグインのサポートの欠如です。 さらに、多くのWebプロキシは、ほとんどのネットワークリソースでブロックされているリストに簡単にアクセスできるため、膨大な数のユーザーによって使用されています。



プロキシの2番目のタイプはSOCKSプロキシサーバーです。 SOCKSプロトコルは、OSIモデルのセッションレベルです。 これにより、高レベルのプロトコル（HTTP、FTP、POPZなど）からの独立性が実現され、SOCKSはHTTPだけでなくすべてのトラフィックを通過できます。 そのため、たとえばFTPを介してファイルをアップロードし、電子メールを送信することができます。



別に、CGIプロキシまたはいわゆるアノニマイザーに言及できます。これらは、ユーザーが必要なサイトのアドレスを入力するフォームを持つWebサーバーです。 その後、要求されたリソースのページが開きますが、CGIプロキシのアドレスはブラウザーのアドレスバーに表示されます。 CGIプロキシは、他のWebサーバーと同様に、HTTPSを使用して、自身とクライアント間の通信チャネルを保護できます。



「+」：

• パブリックプロキシは無料です
• ほとんどの場合、インターネット上で簡単にナビゲートするにはこれらで十分です。
• ネットワーク制限をバイパスできます
• 領土制限の回避を許可する

「-」：

• ほとんどの実装はデータ暗号化を使用しません。
• パブリックプロキシはしばしば不安定です
• 最も人気のあるプロキシは、多くのサイトによってブロックされています。

Tor

Torは、インターネット上で最も人気のあるID隠蔽テクノロジーの1つであり、これに特化した最初のテクノロジーです。 ただし、匿名性とセキュリティは明確に区別する必要があります。 情報はシステム自体の内部でのみ暗号化されるため、このテクノロジーでは、Torネットワークの外部で傍受されることからデータを保護したり、コンテンツをeyes索好きな目から隠すことはできません。



ただし、ネットワークの入出力におけるトラフィックの脆弱性にもかかわらず、Torはこのデータをユーザーに関連付けることを許可していません。 システムの主な考え方は、トラフィックを複数の匿名サーバーにリダイレクトして、ネットワークの出口で宛先ノードがデータソースと見なされる宛先サーバーのみを見るようにすることです。



トラフィックは、任意の数のサーバー（ただし3つ以上）を通じてリダイレクトされます。これにより、メタデータを「難読化」することにより、情報の実際のソースをかなりうまく隠すことができます。 このようなリダイレクションシステムは、オニオンルーティングと呼ばれます。ネットワーク内の各ノードは、トラフィックをリダイレクトするための命令を使用して、メッセージの一部のみを復号化できます。



出力ノードはメッセージを完全に復号化し、オープンネットワークのエンドノードにリダイレクトします。 これを行うために、Torはリダイレクトチャネルを形成し、このチャネルに含まれるすべてのネットワークノードから暗号化キーを受け取ります。 受信したキーは、送信する前にデータを暗号化するために使用する情報の送信者に送信されます。



Tor は高レベルのネットワーク匿名性を提供しますが、真の匿名性を確保することはほとんど見つけることが不可能な問題です。 Torネットワーク開発者とネットワークユーザーを公開したいハッカーの間には、「軍拡競争」があります。 Torネットワークでハッカー攻撃が成功したことは注目に値します。 したがって、100％の保証で人を隠すことができると主張することはできません。 ただし、Torは依然として匿名性を保証する最も効果的で信頼できる手段の1つです。



「+」：

• 有効なデータソースをマスクすることにより匿名性を提供します
• Torネットワーク自体内でデータ暗号化を提供します。
• 優れた保護機能。

「-」：

• Torネットワークは、ポイントツーポイント暗号化を実装していないため、データセキュリティを提供しません。HTTPSなど、他の暗号化アプリケーションを使用する必要があります
• ネットワークは、システム内のサーバーの操作をサポートするボランティアに依存しています
• ネットワークはハッカーやand報機関によって攻撃されました。

VPN

VPNの動作方法は、Torおよびプロキシに似ています。 VPNに接続する場合、プライベートネットワークを介してデータストリームをリダイレクトします。 このネットワークには、独自のサーバー（イントラネット）と出力ノード（Torの場合のように）があります。 したがって、VPN経由でインターネットに接続する場合、宛先ホストはVPNサーバーのアドレスのみを見ることができます。



Torサーバーとは異なり、VPNサーバーは大企業によってサポートされており、大企業はログ記録の禁止の原則を遵守していることが多く、これによりセキュリティがさらに強化されます。 ほとんどすべての商用VPNプロバイダーは、OpenVPNとPPTPの2つの実装の選択肢を提供します。 あまり一般的でないのは、L2TP + IPSecおよびSSTPです。 それとは別に、インターネットトラフィックに行く前に異なる国の2つの異なるVPNサーバーとQuadVPNを通過するときにDoubleVPNを提供するサービスに注目する価値があります-この場合4つのサーバーがすぐに表示されます。



「+」：

• 良好な暗号化を提供します
• VPNは追加のセキュリティシステムを提供します。NATを備えたファイアウォール、DNSリークに対する保護、プライベートDNSなどです。

「-」：

• コンピューターでVPNを実行するには、追加の計算能力が必要です
• トラフィックは、VPNサーバーの管理者に表示されます（SSL / TSLを使用した暗号化を使用する場合は回避できます）

TorとVPNの組み合わせ

VPNはデータを保護する優れた方法であり、ネットワーク（Tor）で匿名性を確保する手段と組み合わせて、より高いレベルの「心の平和」を実現できます。



VPNを介したTor



このスキームでは、VPNサーバーは永続的な入力ノードであり、その後、暗号化されたトラフィックがTorネットワークに送信されます。 実際には、このスキームは単純に実装されます。まず、VPNサーバーへの接続が行われ、次にTorブラウザーが起動され、VPNトンネルを介した必要なルーティングが自動的に構成されます。



このようなスキームにより、Torを使用している事実をISPから隠すことができます。 また、Torの理論的な妥協の場合、ログを保存しないVPN境界によって保護されます。 VPNの代わりにプロキシサーバーを使用することは無意味であることに注意してください。VPNによって提供される暗号化なしでは、このようなスキームには大きな利点はありません。



「+」：

• プロバイダーは、Torを使用していることを知りません（ただし、VPNを使用していることを知っている場合もあります）
• Torホストは実際のIPアドレスを知りません。
• Torネットワーク（.onion）上の隠しアドレスへのアクセスを許可します

「-」：

• VPNプロバイダーは、有効なIPアドレスを知っています。
• Tor出口ノードには脆弱性保護はありません

Torを介したVPN



このスキームでは、データは最初に暗号化されてVPNサーバーに送信され、次にTorネットワーク経由で転送されます。 この場合、Torと連携するようにVPNクライアントを構成する必要があります。



同様の接続スキームを使用して、外部リソースによるTorノードのブロッキングをバイパスすることができ、さらに、出力ノードでリッスンすることからトラフィックを保護する必要があります。 ほとんどのユーザーは異なるリソースにアクセスし、このスキームではクライアントは常に同じVPNサーバーに移動するため、出力ノードは一般的なフローでクライアントを簡単に割り当てることができることに注意することも重要です。 当然、Torの後の​​従来のプロキシサーバーの使用は、プロキシへのトラフィックが暗号化されていないため、あまり意味がありません。



「+」：

• VPNプロバイダーはソースの実際のIPアドレスを知らず、Torネットワークの出力ノードのIPアドレスのみを知っています
• すべてのトラフィックはVPNクライアントによって暗号化されるため、Torネットワークの出力ノードの脆弱性に対する保護が提供されます
• サーバーの場所を選択できます
• プログラムが最初にサポートしていない場合でも、すべてのインターネットトラフィックはTorネットワークを通過します。

「-」：

• VPNプロバイダーはトラフィックを見ることができますが、あなたと接続することはできません
• スキームの複雑な実装

ホニックス

さらに、匿名性を確保するために特別に設計されたオペレーティングシステムがあることに注意してください。 そのようなOSの1つがWhonixです。 彼女の仕事は、VirtualBox仮想マシンで実行されている2つのDebianオペレーティングシステムに基づいています。



この構成では、1つのシステムがゲートウェイであり、Torネットワークを介してすべてのトラフィックを送信します。もう1つのシステムは、ゲートウェイを介してのみネットワークに接続する分離ワークステーションです。 このメカニズムは、分離プロキシサーバーと呼ばれます。 このスキームは、マシン自体がその外部IPアドレスを知らないため、ワークステーション上のソフトウェアに関連する多くの脆弱性を回避します。



Whonix OSは、多くの便利な匿名メカニズムを実装しています。 たとえば、安全なホスティングサービスを提供できます。攻撃者がWebサーバーをハッキングした場合でも、秘密鍵を盗むことはできません。 Whonixは、プロバイダーからTorを使用するという事実を隠すことができるブリッジもサポートし、Freenet、I2Pなど、他の匿名ネットワークを介したトンネリングの可能性を提供します。このような接続の機能に関する詳細情報は、 こちらをご覧ください 。



このシステムはテストされ、十分に文書化されており、Tor / VPN / Proxyのすべての組み合わせでうまく機能しますが、それでもいくつかの欠点があります。 これらには、かなり複雑な構成と、2台の仮想マシンまたは個別の物理機器をサポートする必要性が含まれます。 また、WhonixプロジェクトはTorとそのツールとは独立して開発されているため、それらの脆弱性から保護することはできません。

結論の代わりに：匿名性を確保する他の方法

上記の「匿名化」の方法に加えて、インターネット上で匿名性に専念する個別のプロジェクトが多数あります。 今日、次のソリューションが積極的に開発されています：Freenet、GNUnet、JAP、RetroShare、Perfect Dark。 インターネットプロバイダーからの独立を達成できる匿名のWi-Fiベースのネットワークも興味深い場合があります。Byzantiumプロジェクト、Netsukukuプロジェクト、BATMANプロジェクト



追加資料 ： IaaSダイジェスト-テクノロジーとビジネスの変革に関する25の資料 。