Бесплатный сыр бесплатных VPN

Здравствуйте, уважаемые коллеги.

Часто доводилось наблюдать (на Хабре в том числе) обсуждения безопасности веб-серфинга через публичные незащищенные WiFi сети и рекомендации по защите.


Как минимум советуется к использованию HTTPS везде, где только это возможно. Многие вспоминают про TOR и/или VPN. Кто-то предпочитает VPN до своего собственного сервера (зато он гарантированно логи подключений не пишет!), кто-то VPN покупает. Бывает, вспоминают и о халяве. Полной или с ограничениями (xxx Мб в месяц для пробы и мы рады будем видеть вас среди наших клиентов, если вам понравится). В частности примелькались такие «лейблы», как Expat Shield и SecurityKISS. Условия у них разные, но это не суть. В том или ином виде, с ограничениями или без, но это халява. Поставили, пробуем.

SecurityKISS успешно подключился и отрапортовал, что External IP 217.147.94.149 (UK).
Пинг, произвольный сайт в браузере… вроде все работает. Проверяем telnet-ом коннект к 25 порту на некий интернет-сервер, в консоли которого сижу в момент эксперимента напрямую, без туннеля. Tcpdump, запущенный на внешнем интерфейсе сервера молчит о каких-либо попытках подключения, трафика на 25 порт нет. Но telnet уверяет, что коннект есть. Правда баннера почтовика нет… Набираю EHLO 123 и в ответ вываливается

421 Cannot connect to SMTP server xx.xx.xx.xx (xx.xx.xx.xx:25), connect timeout

где xx.xx.xx.xx — IP моего сервера.

Как вы понимаете, это отвечает не мой сервер xx.xx.xx.xx и не telnet с его «Подключение к xx.xx.xx.xx… Не удалось открыть подключение к этому узлу, на порт Y: Сбой подключения»

Пробую то же самое на 80-м порту. Коннект есть, tcpdump ничего не показывает. Набираю через некоторое (достаточно продолжительное) время GET / — пошли TCP-SYN пакеты (реально 80 порт не прослушивается, никакого сервиса на нем нет).

IP 217.147.94.149.8414 > xx.xx.xx.xx.80: S 832655572:832655572(0) win 16384 <mss 1366,nop,nop,sackOK>

Вывод — прозрачно проксируют все, что могут.

Пробуем Expat Shield.

Коннект на 25 порт проходит похоже без фокусов, баннер и все остальное на месте. Пробуем 80 порт. Такой же эффект, как и в случае SecurityKISS. И тут автор заметки делает очепятку. Вместо GET пишет GER. Сеанс рвется с выводом вот этого

400 Bad Request

400 Bad Request



nginx/1.0.6




На этот раз информативней, «светится» nginx/1.0.6.

Вот такая безопасность. Эти сервисы, конечно, защитят от прослушивания в случае гостевого WiFi, но в случае стационарного проводного подключения риск раскрыть данные аутентификации или получить модифицированный контент на порядок выше, чем если этими туннелями не пользоваться.

Если кто-то заинтересовался, есть еще небольшой любопытный и чем-то похожий материал на тему интернета через 3G.
Поделиться публикацией

Похожие публикации

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 55

    +28
    Интересно было бы почитать про 3G.
      +5
      Подписываюсь… данная тематика тоже интересна
        +11
        Попробую оформить свой небольшой, но, имхо, любопытный опыт в следующей заметке.
          +6
          Спасибо, будем ждать
      +5
      о чем вообще статья?
      о том, что провайдеры vpn используют кеширующие прокси?
      или принудительно редиректят на свои smtp, чтобы хоть как-то от спама отбиться?
        +3
        А зачем VPN-провайдеру использовать кэширующий прокси?
          +1
          Для журналов, больше не для чего.

          habrahabr.ru/post/148200/#reply
            +1
            Для журналов вполне достаточно по одной строчке в iptables и конфиге syslogd. На кебруме так делаем, полёт нормальный уже два года, ни одна абуза на спамеров не осталась без соответствующего ей бана аккаунта. Наличие в цепочке обработки траффика чего-то умнее VPN-сервера, работающего с TUN/TAP модулем, и сетевого с тека ядра наводит на нехорошие мысли.
              0
              Одна строчка в иптаблес точно не даст того уровня логгирования, что дает прокси. Об этом и речь, что осадочек остается. А на счет защиты от спама (массовых рассылок уж точно) действительно средств того же иптаблес вполне хватит. Глубже анализа на L3-4 можно и не спускаться.
                +1
                У нас лог следующего вида:
                Jul 20 06:25:52 pine vmunix: [4632886.666365] FRWLL_FWD_NEW IN=tap1 OUT=eth0 SRC=172.16.0.121 DST=92.98.113.113 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=449 DF PROTO=TCP SPT=51414 DPT=38941 WINDOW=5840 RES=0x00 SYN URGP=0
                Как можно заметить, это выдача того, что iptables выдаёт в dmesg, откдуда оно потом вытаскивается сислогом. Когда к нам приходит абуза о спаме, я просто иду и грепаю IP-адрес, на который шёл спам, а потом смотрю, какому юзеру на этом сервере был тогда присвоен соотвествующий IP.
                Если у кого-то что--то сложнее (я не говорю о вещах типа netflow, делают то же самое, но лучше), то, скорее всего, воруют личные данные.
                  –1
                  Опять же, когда «деревья были большими» а контора, в которой я работал относительно мала и шла борьба за каждого клиента, логи прокси помогали понять (как один из наглядных примеров), что там у человека обновилось и съело его месячную абонентку. Одного ип и порта для этого понимания не достаточно, url тут очень кстати и не только он. Да и вообще, много случаев можно припомнить, когда это требовалось и хорошо выручало. И мы ничего не воровали :) И кстати, при общении с упр. К выручало тоже.
                    +4
                    Отлично, но причём тут VPN-сервис, которым люди пользуются, чтобы за ними никто не следил?
                    0
                    а как определить на какой хост подключается?
                      0
                      В плане? SRC=172.16.0.121 — внутренний IP в сети VPN-сервера, с которого сидит клиент, DST=92.98.113.113 — адрес сервера, к которому идёт подключение. Кому именно был выдан этот внутренний IP всегда можно посмотреть в базе биллинга. Чтобы забанить по жалобе спамера или кардера, этих данных хватает с лихвой, а больше ни для чего VPN-сервису логи быть нужны не могут в принципе.
                        0
                        Нет, если на одном айпи много сайтов или если один сайт на многих айпи а жалоба пришла по домену а не по айпи?
                          0
                          Вы прочитали то, что выше написано?
                            0
                            да, и я спрашиваю как айпи подключения может хватить для определения домена подключения.
                            пример:
                            целевой сайт находится на 4 айпи: 1.1.1.1, 2.2.2.2, 3.3.3.3 и 4.4.4.4
                            в логах у нас 2.2.2.2 и 100 подключений от разных аккаунтов.
                            в абузе site.ru и время примерное
                            что будет грепать kekekeks?
                              0
                              Очевидно, натравлю на site.ru утилиту nslookup.
                                0
                                у сайта скажем 100 айпи, в абузе не указана точная дата.
                                сайт этот популярный и пользователи вашего VPN часто пользуются им.
                                как вы найдете злоумышленника
                                  0
                                  За два года работы такого экзотического совпадения обстоятельств ни разу не было. Будем уточнять у автора абузы, на какой IP и когда шёл спам/атака. В конце концов, это ему надо, а не нам.
                                    0
                                    И да, логи DNS-сервера у нас тоже есть, конкретный IP, на который от нас шло ранее соединение, определить можно.
                                      0
                                      а вот по поводу DNS логов это уже интересно.
                                        0
                                        Очень часты случаи, когда после подключения VPN у пользователя не прописывается корректно DNS сервер и остаётся тот, что выдал провайдер в своей локалке. В итоге мы плюнули и заворачиваем весь траффик на 53-ий порт на себя. В качестве дополнительной плюшки получили лог DNSки.
                                          0
                                          а вы руками проходитесь по серверам и смотрите логи?
                                            0
                                            Ну да, абузы не так часто приходят, а залогиниться по ssh и натравить grep — дело нескольких секунд.
                                      0
                                      хостеру надо чтобы абузов не было.
                                      хостер легко закрывает аренду чтобы избежать попадания сети в спамлист.

                                      но предположим )
                                      спасибо за ответ на вопрос
                        0
                        я вот такую штучук делал github.com/ybw/ulogd/tree/master/sensor для VPN одного :) и много чего ещё
                +1
                Точно, про это. Можете сказать — спасибо, кэп :)
                Я вот может тупой, но я не понимаю, зачем сейчас провайдеру (любому) кэширующий прокси, кроме как для логгирования HTTP. Я работал в провайдерской конторе городского масштаба. И таки да, мы использовали кэширующий прокси. Года так до 2004. Это имело хоть какой-то смысл во времена, когда «деревья были большими», т.е. времена безлимитов только в «столицах», пользовательских ценах за трафик в районе 2 рублей за мб… эх, ностальгия. Потом отдача от этого прокси стала стремиться к нулю, а затрат он требовал, что бы тянуть нагрузку. Когда апргейды уже не помогали и надо было масштабировать, все это дело просто послали лесом. В конце-концов это просто лишняя точка отказа.
                И что со спамом? Мне кажется, что это как-то странно — держать подобный сервис и потом героически пытаться защититься от, скажем так, не вполне благонадежных пользователей. Да даже если пользователь благонадежен (и наивен), он от подобного сервиса если и не ждет характеристик абозоустойчивого злосервиса, но уж на какие-то нормы приличия рассчитывает. Говоря короче — ведут netflow — пускай, но проксировать — это как-то…
                  +1
                  если вы не понимаете, это не означает, что оно никому не нужно.
                  прокси может с успехом использоваться для кеширования, срезания ненужных заголовков, дополнительной анонимизации.
                    +1
                    Кэширование зло для клиента. Уж поверьте. Резать заголовки — здорово, только это как бы не должно быть заботой провайдера. Я их, допустим, из соображений дополнительной безопасности подделал, а мне их срезали. Некоторые сайты, кстать, вообще могут не пустить в итоге. Эффективное кэширование требует хороших ресурсов. В наше время гигабитных каналов и прочего подобного это (даваемая кэшированием экономия трафика и увеличение скорости отдачи контента) неактуально даже для пионернетов. А вот в чем действительно эта технология эффективна — в журналировании, модифицировании контента и прочем подобном. Для vpn, используемого с целями анонимности и приватности не самые жизненные задачи, не находите?
                      +2
                      А, ну да, и кэширование (а значит возможность просмотра и изучения не просто истории серфинга, но и контента) так же на пользу моей приватности и анонимности.
                  0
                  Да, я бы про 3G тоже почитал ибо именного через 3G модем выхожу в сеть.
                    +13
                    А не надо отправлять почту на 25-й порт. Для этого придумали 587 порт.
                      0
                      Кто скажет что плохого/хорошего про OverPlay.net?
                        +3
                        Ну впн провайдер же должен как-то защищаться от всяких кардеров, спамеров и прочих личностей. В случае бесплатного впн это особо актуально, т.к. никаких данных о пользователе у провайдера нет.

                        Хотя лично я знаю SmartHide, который дает пробный впн на 7 дней, без каких либо ограничений. Но система там хитрая — перед тем как получить триал надо вбить платежные данные (креду/paypal/etc), но деньги снимутся только через семь дней и только в том случае, если вы не отмените продление подписки. Работают они через Avangate (крупный регистратор софта), поэтому вбивать креду не страшно.

                        Такая модель бесплатного на мой взгляд наиболее оптимальна. Всякие жулики отсеиваются с вероятностью 99% и впн провайдер не боится что через него кого-нибудь хакнут, а пользователь получает полноценный впн бесплатно на неделю. Все довольны, все счастливы.
                          0
                          У нас на кебруме есть демо-сервер на относительно абузоустойчивой площадке. Единственное ограничение — не шибко большой канал, который обычно забит топой халявщиков и открытость только 443-го и 80-го портов. Никаких левых проксей не держим, проблем в связи с этим не испытываем. Что мы делаем не так?
                            0
                            Что вы делаете не так: не отвечаете на вопросы в тех поддержке.
                              0
                              Ну это не ко мне уже, я саппортом не занимаюсь.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            +2
                            Пользуюсь Hotspot Shield и Expat Shield очень долго, НО исключительно для просмотра US-only/UK-only сайтов вроде Hulu, Pandora, BBC iPlayer, PBSKids, etc. Когда-то давно, заинтересовавшись, выяснил что оба Shield-а суть бренды штатовской конторы под названием «AnchorFree inc.» учредителями в которой числяться лица со славянскими именами и фамилиями.

                            Всегда удивляло, что они позиционируют себя в качестве защиты от прослушивания в Wi-Fi сетях. Какая в сущности разница — будет мой не-SSL трафик анализироваться владельцем открытой точки, или владельцем открытого VPN? Сейчас они вроде как сменили стратегию, и в рекламе расхваливают возможность доступа к всё тем-же US/UK-ресурсам для экспатов, и экономию трафика за счет сжатия картинок.
                              +2
                              " будет мой не-SSL трафик анализироваться владельцем открытой точки .."

                              В том и дело, что в случае открытой точки трафик может анализироваться парнем за соседним столиком (в том числе и SSL через MITM в некоторых случаях)
                                0
                                А в случае VPN трафик может анализироваться парнем на соседнем континенте. В случае корпоративного VPN трафик может (и будет) анализироваться средствами вашей корп. сети. В случае «собственного» VPN на VPS/AWS/Colo/etc трафик может анализироваться на выходе с «вашего» сервера хостером/провайдером хостера. Ну и до кучи — во всех вышеперечисленных случаях — парнем за соседним столом: ведь если он достаточно подкован для того, чтобы провернуть MITM для HTTPS — он с таким-же успехом провернет его для вашего VPN.

                                Никогда не понимал людей, которые покупают/поднимают VPN для обеспечения приватности/анонимности. и потом ходят из-под VPN в _свою_ почту/вконтактик/ЖЖ. Ведь изначальное предназначение этого инструмента совсем иное: обеспечение [безопасного] удаленного доступа к ресурсам, обычно доступным лишь изнутри сети организации внутренним сайтам, файловым шарам, etc. Второе предназначение (о нем я писал выше) является подмножеством первого, только в этом случае «сетью организации» будет «интернет США».

                                Для обеспечения приватности существуют совсем другие инструменты: тот-же SSL, no-follow-режимы в браузерах, и т.п.

                                Для анонимности — тоже свой набор: затрояненные соксы, TOR, etc

                                А вот «волшебной кнопки», по нажатию которой вы становитесь абсолютно защищены от всех угроз недоверенных сетей, ИМХО, не существует. По крайней мере мне о таком инструменте пока ничего не известно.
                                  +2
                                  Возможно тут смысл такой:
                                  дяде в америке (vpn-провайдеру) плевать на то с кем вы общаетесь вконтактике, впн защищает от ближайшего недруга, жаждущего подсмотреть за вами.
                              +1
                              Делал VPN-сервис для себя, друзей и хороших знакомых, а потом решил продавать доступ.
                              prostovpn.ru
                              $1 в месяц, IPv6; прозрачный доступ в Tor и I2P, логгируется только факт подключения к vpn и временные рамки, ограничение — 20гб в месяц. Все сервера в США. Считаю, что это отличное решение для частых пользователей открытого вайфая.
                                –2
                                У вас там только OpenVPN, а почему не стали делать PPTP/L2TP? Ведь Вы сразу отрезали всех пользователей iPhone/iPad.
                                  0
                                  Нравится OpenVPN т.к. работает везде, невзирая на NAT и корпоративные файрволлы, работает через TCP и UDP, даже где-то был старый патч, чтобы и через ICMP работал. На iPhone и iPad тоже есть клиенты, но нужен jailbreak, без него никак.
                                    0
                                    С этим согласен. Я настраивал OpenVPN на TCP 443-й порт (https), на него вообще очень редко какие-то ограничения стоят.
                                    +1
                                    а на многих роутерах gre режут, и что тогда с вашим pptp делать?
                                    l2tp слишком прожорлив и сложен в настройке местами.
                                      0
                                      Я к тому, что на неджейлбрейкнутых iPhone/iPad нет возможности использовать что либо, кроме L2TP/PPTP и Cisco IPSec.

                                      Но, в принципе, мы можем считать, что сервис на них не ориентирован :)
                                        0
                                        Кстати, в чем сложности с l2tp?

                                        openswap + xl2tpd, в простейшем случае — с shared key. Нюансы есть, но ничего нереализуемого.
                                          0
                                          он тоже использует gre (можно по windows заставить перейти на tcp — но надо в реестре шаманить), gre часто блокируется провайдером.
                                            0
                                            Откуда в L2TP/IPSec взялся GRE (который я всегда ассоциировал с PPTP)?
                                      0
                                      Простите, а где у вас на сайте про 20 Гб написано?
                                        0
                                        В статистике при покупке

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое