Скрыть объявление
Для безопасных сделок с продавцами рекомендуем пользоваться Гарант сервисом

Vpn Leaks Или Как Защититься От Деанонимизации Трафика

Тема в разделе "Флейм", создана пользователем Smalls, 30/6/16.

  1. Smalls

    Smalls Очень активный ползователь

    Сообщения:
    52
    Симпатии:
    0
    Мануал копи\паст. Здесь и на соседних площадках не нашел, а ман очень полезен, поэтому выкладываю! Сам пользуюсь, все работает!

    VPN — Интересное об анонимности или как уберечься от элементарных ошибок

    VPN — платный (обычно) сервис, который предоставляет своему клиенту возможность шифровать свой исходящий трафик , а также в Интернете представляет клиента от своего имени (то бишь в мульти-паспорте будет IP VPN сервера вместо IP провайдера клиента).

    Однако существует множество подводных камней, с которыми сталкивается клиент при использовании VPN. Один из таких камней — разрыв соединения VPN. Второй - ipv6 трафик.

    Разрыв соединения VPN.

    При разрыве соединения VPN происходит следующее. Трафик клиента больше не шифруется, это раз. Клиент представляется в интернете ресурсам от имени IP провайдера, это два. О какой же тут анонимности тогда говорить...

    ipv6 трафик.

    Часто провайдеры VPN услуг не предоставляют своим клиентам ipv6-адреса. А это значит, что когда в интернете вы столкнетесь с ресурсом, который поддерживает ipv6, то велика вероятность, что общаться с этим ресурсом вы начнете опять таки от имени IP провайдера и, конечно же, полностью открыто.

    Как же быть?

    Прежде всего настроить фаерволл! Если мы запретим исходящий трафик, кроме как до VPN -сервера, то при разрыве соединения VPN любые сетевые соединения и запросы будут невозможны. Вы даже не сможете выйти за пределы своего роутера или вайфай точки.

    Во-вторых, необходимо запретить использование ipv6.

    Итак, приступим.

    1. Базовая настройка фаерволла в ОС Debian 8.

    Представимся системе суперпользователем

    # su

    Создадим файл с правилами iptables

    # nano /etc/iptables.sh

    Добавим набор простых правил для базовой настройки

    #!/bin/bash
    # Очищаем правила iptables
    iptables -F
    iptables -F -t nat
    iptables -F -t mangle
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X
    # Устанавливаем правила по умолчанию (запретить любой трафик)
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    # Разрешаем локальный трафик для loopback
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    # Пропускать все инициированные соединения, а также дочерние от них
    iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
    # Отбрасывать пакеты, которые не могут быть идентифицированы
    iptables -A INPUT -m state --state INVALID -j DROP
    # Сохраняем правила
    /sbin/iptables-save > /etc/iptables_rules

    Даем файлу (который мы только что создали право на запуск)

    # chmod 0740 iptables.sh

    Запускаем на выполнение

    #sh /etc/iptables.sh

    Проверяем правила

    # iptables -L -v -n

    Правила применились и произошла их запись в файл /etc/iptables_rules
    Теперь нужно, чтобы они применялись при каждой загрузке сервера
    Открываем файл /etc/network/interfaces и добавляем в него строчку

    post-up iptables-restore < /etc/iptables_rules

    Вот и все! Базовая настройка фаерволла завершена. Пока у вас не получится выйти в интернет. Нам ведь нужно выйти на просторы сети анонимно? Ведь так? Тогда нужно немного подождать.

    2. Отключение ipv6.

    Отключаем ipv6.

    # echo «#disable ipv6» | tee -a /etc/sysctl.conf
    # echo «net.ipv6.conf.all.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
    # echo «net.ipv6.conf.default.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
    # echo «net.ipv6.conf.lo.disable_ipv6 = 1» | tee -a /etc/sysctl.conf
    # sysctl -p

    Проверяем, что ipv6 отключен

    # ifconfig | grep inet6

    3. Настройка фаерволла для VPN (клиент OpenVPN).

    Открываем файл /etc/iptables.sh

    # nano /etc/iptables.sh

    Добавляем строчки перед строчкой # Сохраняем правила

    # Настройки VPN
    iptables -A OUTPUT -o tun0 -j ACCEPT
    iptables -A OUTPUT -p udp -d $1/32 --dport 1194 -j ACCEPT

    Запускаем скрипт и передаем ему IP VPN-сервера в качестве единственного параметра

    # sh /etc/iptables.sh 45.31.212.2

    (Сюда подставляйте IP VPN-сервера вашего провайдера)

    Таким образом можно быстро и легко сменить IP сервера VPN (удобно переключаться между серверами. Вы же переключаетесь, правда?)

    4. Бонусы.

    Проверка DNS-Leak (утечка DNS) http://dnsleaktest.com
    Проверка IP-Leak (Утечка IP) http://ipleak.net
    Проверка ipv6-Leak (Утечка ipv6) http://ipv6-test.com

    5. Бонусы DNS.

    Пользуйтесь только анонимными DNS-серверами (вместо серверов, предоставляемых провайдером). Хотя при конфигурации фаерволла (как выше) утечки DNS невозможны (или почти невозможно), все же лучше подстраховаться.

    Ссылка: http://opennicproject.org

    Выводы:

    При такой конфигурации фаерволла во время обрыва соединения VPN Огненная Стена защитит вас от утечек деанонимизирующего трафика. VPN падает и вы больше не можете использовать любые сетевые приложения пока не подымете его снова.
    Решение очень простое и рабочее. Настройте свой фаерволл и защитите себя от утечек IP, DNS, ipv6 и незашифрованного трафика.
     

Поделиться этой страницей