multi-hop vpn


Etter hvert som truslene fra avansert sporing og statssponsert overvåking fortsetter å vokse, leter noen personvernentusiaster etter mer beskyttelse i form av multi-hop VPN-er. Hvis du vurderer ressursene som brukes av overvåkningsorganer for å av anonymisere brukere, er det faktisk et gyldig valg å velge en VPN-tjeneste som tilbyr et høyere nivå av anonymitet.

En multi-hop VPN krypterer bare tilkoblingen din over to eller flere servere (flere humle) før du går ut på det vanlige internett. Å dirigere trafikken din gjennom to eller flere servere i separate jurisdiksjoner gir deg et høyere nivå av personvern og sikkerhet - selv om en server skulle bli kompromittert.

I denne guiden vil vi forklare hvorfor folk bruker multi-hop VPN-er og hvordan de kan hjelpe deg med å oppnå de høyeste nivåene av personvern og sikkerhet. Vi vil undersøke to forskjellige typer multi-hop VPN-oppsett:

  1. Multi-hop-konfigurasjon ved bruk av en primær VPN-tjeneste og to eller flere VPN-servere (ofte kalt en “kaskade”).
  2. Multi-hop-konfigurasjon som involverer to eller flere forskjellige VPN-tjenester og forskjellige lokasjoner (noen ganger kalt en "nestet kjede").

Nøkkelfaktoren når du vurderer om du trenger en multi-hop VPN er din trusselmodell. Hvor mye privatliv trenger du og ønsker gitt din unike situasjon?

Ansvarsfraskrivelse: For de aller fleste brukere er en multi-hop VPN verken nødvendig eller verdt ytelsen avveininger (økt latenstid og lavere hastigheter). Et standard VPN-oppsett (single-hop) med sterk OpenVPN-kryptering, null lekkasjer og andre personvernverktøy (sikker nettleser, annonseblokker osv.) Skal gi deg mer enn nok personvern og sikkerhet.

For de virkelig paranoide, og for de som søker de høyeste nivåene av online anonymitet, er det imidlertid multi-hop VPN-er ...

Overvåking og avansert anonymitet på nettet

En multi-hop VPN er et godt personvernverktøy mot målrettet overvåking og andre teoretiske angrepsvektorer vi vil diskutere nedenfor. Det kan også være nyttig for de i farlige situasjoner, som journalister eller politiske dissidenter som bor i undertrykkende land.

Et sentralt spørsmål er om du kan stole på datasenteret der VPN-serveren er lokalisert.

VPN-tjenester vil leie eller lease servere fra datasentre over hele verden for sitt nettverk. Disse serverne vil være fullstendig kryptert, sikret og under kontroll av VPN-leverandøren, og dermed forhindre tredjeparts tilgang til sensitive brukerdata og trafikk.

Hva kan datasenteret se med en kryptert VPN-server?

Selv med sterk kryptering av VPN-serveren, kan datasenteret (verten) - eller kanskje et eksternt statlig overvåkningsbyrå - potensielt overvåke innkommende og utgående trafikk på serveren..

Selv om dette kan virke alarmerende, vil det fortsatt være veldig vanskelig for datasenteret (eller tredjepart) å samle nyttig informasjon fordi:

  • Trafikken forblir kryptert på VPN-tunnelen, som akkurat nå anses å være uknuselig (256-bit AES OpenVPN).
  • Det er ekstremt vanskelig å korrelere utgående trafikk med innkommende trafikk. (Teoretisk sett kan trafikkorrelasjon for noen brukere være mulig gjennom avansert statistisk analyse og studere trafikkmønstre, selv om dette fortsatt er ekstremt vanskelig.)
  • De fleste VPN-er bruker delte IP-er, med mange brukere på en gitt server samtidig, og all trafikk er blandet. (Merk: dette er også grunnen til at du ikke skal "rulle din egen VPN" som bare du bruker).

Selv om en standard VPN-konfigurasjon med én hop, vil være tilstrekkelig for de aller fleste brukere, kan innkommende / utgående trafikkorrelasjon fortsatt være mulig - i det minste i teorien.

vpn-servere overvåkingEn enkelt VPN-server kan målrettes av motstandere.

Er datasentre virkelig målrettet mot trafikk korrelasjonsangrep?

Vi har ingen måte å vite helt sikkert på. I mange tilfeller når myndighetene ønsket kundedata, gikk de ganske enkelt til datasenteret og tok fysisk grep på serveren:

  • Perfekte personvernservere var (ingen kundedata ble påvirket)
  • ExpressVPN-servere ble beslaglagt i Tyrkia (ingen kundedata ble påvirket) - som påpekt i guiden min om ingen logger VPN-tjenester

I andre tilfeller har noen VPN-er samarbeidet med myndigheter og overlevert brukerinformasjon - se for eksempel saken med IPVanish og også med PureVPN.

Multi-hop VPN-kaskade

Det første eksemplet på en multi-hop VPN vi vil undersøke er en "kaskade" - der trafikken er kryptert over to eller flere av VPN-serverne.

En leverandør som tilbyr muligheten til å lage tilpassede VPN-kaskader med opptil fire servere, er. Her er en grunnleggende visuell forklaring på hvordan det ville fungere ved å bruke en fire-hop VPN-kaskade:

vpn multi-hop vpn kaskade

På bildet over blir brukerens identitet endret ved hvert hopp og kryptert på nytt ved hjelp av OpenVPN 256-bit AES-kryptering (for eksempel), før trafikken går ut av VPN-kaskaden til det vanlige internett. Med hvert hopp får den nye VPN-serveren bare den forrige VPN-serverens IP-adresse / plassering - ytterligere skjule og beskytte brukerens sanne identitet.

Perfect Privacy gjør også noen interessante poeng i deres:

Med en kaskadet tilkobling blir dette [trafikk korrelasjons] angrepet mye vanskeligere fordi mens Internett-leverandøren / avlytteren fortsatt kjenner VPN-inngangsnoden til brukeren, vet den ikke på hvilken server trafikken kommer ut. Han må overvåke alle VPN-servere og ta en gjetning på hvilken utgangsnode brukeren bruker. Dette gjør det nesten umulig å identifisere brukere med suksess.

Det er også teoretisk mulig at en angriper har fysisk tilgang til VPN-serveren i datasenteret. I så fall kan han muligens utføre et de-anonymiseringsangrep på VPN-brukeren. En kaskadet tilkobling beskytter mot denne angrepsvektoren: Siden brukerens trafikk er innkapslet med et ekstra lag med kryptering for hvert hopp i kaskaden, kan ingen trafikk leses eller korreleres med innkommende trafikk.

Angriperen vil fremdeles se utgående kryptert trafikk til en annen VPN-server, men han kan ikke bestemme om dette er en midtre eller avkjøringsnode. For å kunne avskjære og avkryptere trafikken, måtte angriperen ha fysisk tilgang til alle humle i kaskaden samtidig. Dette er praktisk talt umulig hvis humlen er i forskjellige land.

Ved å bruke et multi-hop-oppsett med sterk kryptering og andre personvernverktøy (for eksempel en sikker nettleser), gir du et ekstremt høyt nivå av anonymitet og sikkerhet på nettet.

Double-hop VPN-er

Double-hop VPN-servere er en unik funksjon for noen VPN-leverandører.

Med en VPN-konfigurasjon med dobbelt hop, kunne den første serveren se den opprinnelige IP-adressen din, og den andre serveren kunne se den utgående trafikken din, men ingen av serverne vil ha både din IP-adresse og utgående trafikk.

brukerretning-4caretning-4SE-2-retning-4internett

Dette oppsettet bør fremdeles tilby anstendig ytelse, og det vil også gi et høyere nivå av sikkerhet og personvern over et enkelt-hop-oppsett.

Det er noen få VPN-er som tilbyr dobbelt-hop-konfigurasjoner som jeg har testet og funnet å fungere bra:

  • - 3,75 dollar per måned; basert i Romania; 22 dobbelt-hop-konfigurasjoner (VPN.ac-gjennomgang)
  • - 3,49 dollar per måned (med); basert i Panama; 16 dobbelt-hop-konfigurasjoner (NordVPN-gjennomgang)
  • - 2,99 dollar per måned; basert i Bulgaria; men bare to dobbelt-hop-konfigurasjoner som for øyeblikket er tilgjengelige (VPNArea review)

Opptreden: I testingen min har jeg funnet ut at du fremdeles kan få utmerkede hastigheter med noen dobbelt-hop VPN-er. Nedenfor er et eksempel der jeg traff over 81 Mbps nedlastingshastighet med VPN.ac på deres Tyskland > Canada-forbindelse. Baselinehastigheten min (ikke VPN) var rundt 100 Mbps (testet fra Tyskland).

mac os vpn hastighetVPN.ac tilbyr utmerket ytelse - selv med dobbelt-hop-tilkoblinger.

En ulempen med dobbelthopp-VPN-ene som er nevnt over, er at de bare tilbyr statisk konfigurasjoner. Dette betyr at du ikke kan konfigurere din egen unike multi-hop VPN ved å bruke noen server i nettverket.

I tillegg kan du også opprette dobbelt-hop VPN-konfigurasjoner med og - men disse er selvkonfigurerbare, i stedet for statisk, noe vi forklarer mer nedenfor.

Nettleserutvidelse + VPN-klient med VPN.ac

Et annet nyttig personvernverktøy er en sikker proxy-nettleserutvidelse, som kan kombineres med en VPN-app på operativsystemet. VPN.ac tilbyr en sikker proxy-nettleserutvidelse for nettlesere Firefox, Chrome og Opera. Utvidelsen krypterer all trafikk i nettleseren ved hjelp av TLS (HTTPS) og er rask og lett.

På bildet nedenfor kan du se Jeg er koblet til en VPN-server i Sverige med VPN.acs desktop-applikasjon, mens jeg også er koblet til en server i New York gjennom nettleserens proxy-utvidelse. Legg merke til de utmerkede hastighetene, til tross for dobbel kryptering og lengre avstand (fra min beliggenhet i Europa):

double-hop vpn-server

Akkurat som med VPN-applikasjonen deres, tilbyr VPN.ac også dobbelt-hopp proxy-lokasjoner for nettleseren. Dette betyr at du kan kjøre en dobbel-hop VPN-serverforbindelse på den desktop VPN-appen, og også en egen dobbelt-hop-tilkobling gjennom nettleseren. Siden nettleserutvidelsen fungerer uavhengig (i motsetning til de fleste andre VPN nettleserutvidelser), kan den kombineres med en annen VPN-tjeneste som kjører på skrivebordsprogrammet.

Selvkonfigurerbare multi-hop VPN-er

En selvkonfigurerbar multi-hop VPN lar deg enkelt velge serverne i VPN-kaskaden.

er den eneste leverandøren som lar deg opprette selv konfigurerbar VPN kaskader med opptil fire humle direkte i VPN-klienten. Jeg testet denne funksjonen for Perfect Privacy-gjennomgangen med både Windows- og Mac OS-klienter, og fant ut at alt fungerer bra.

Her er en fire-hop VPN-serverkaskade: Frankfurt >> København >> Calais >> Malmö

perfekt personvern best vpnPerfect Privacy Windows-klienten, bruker en fire-hop VPN-kaskade.

Med denne konfigurasjonen vil din sanne identitet og IP-adresse beskyttes bak fire forskjellige krypterte VPN-servere.

Hver webside du besøker vil bare se serverdetaljene for det siste hoppet i VPN-kaskaden. Du kan ganske enkelt aktivere konfigurasjonsinnstillingen for multi-hop og deretter dynamisk legge til eller fjerne VPN-servere i VPN-klienten. Her er en lekkasjetest som demonstrerer dette:

perfekt ipv6 og ipv4Multi-hop VPN-kaskade uten lekkasjer.

Du kan også se over at Perfect Privacy gir meg både en IPv4 og IPv6-adresse - de er en av få VPN-er som tilbyr .

Jeg testet også denne fire-hop-konfigurasjonen for hastighet og fikk nedlasting på 25 Mbps (på en 100 Mbps-tilkobling). Dette er ikke så ille med tanke på høyere latenstid og trafikk som blir kryptert på nytt over alle fire humle. (En dobbel-hop-konfigurasjon med servere i nærheten ville vært raskere.)

multi-hop vpn speed cascadeUtmerkede hastigheter for en VPN-kaskade ved bruk av fire forskjellige servere (humle).

Merk: Med perfekt personvern kan du bruke selvkonfigurerbare multi-hop-kaskader med:

  • Windows VPN Manager-app
  • Linux VPN Manager-app
  • Mac OS-app
  • NeuroRouting-funksjon (forklart nedenfor)

Et annet alternativ for en fire-hop VPN-kaskade er med .

ZorroVPN er en Belize-basert leverandør som gjorde det bra med testing for ZorroVPN-gjennomgangen. Bortsett fra den høyere prisen, er den største ulempen med ZorroVPN at de ikke tilbyr noen tilpassede VPN-applikasjoner. Dette forårsaker noen få problemer:

  • Du må bruke tredjeparts OpenVPN-applikasjoner, for eksempel Viscosity, Tunnelblick eller andre..
  • Du må opprette konfigurasjonsfilen for multi-hop VPN-server manuelt og deretter importere filen til VPN-applikasjonen. Med andre ord, du kan ikke bare lage eller endre en multi-hop-kaskade direkte i VPN-appen, for eksempel med .

Det andre problemet her er at ingen av disse tredjepartsapplikasjonene har innebygde innstillinger for lekkasjebeskyttelse. Du må konfigurere en drepebryter og lekkasjebeskyttelse manuelt for alle enheter.

ZorroVPN tilbyr et anstendig utvalg av servere og god ytelse. Se testresultatene i ZorroVPN-gjennomgangen eller besøk for mer info.

Dynamiske multi-hop VPN-konfigurasjoner (NeuroRouting)

Den siste utviklingen innen multi-hop-tilkoblinger og avansert sikkerhet er. Dette er en unik funksjon i oktober 2017 av Perfect Privacy.

NeuroRouting er en dynamisk, multi-hop-konfigurasjon som lar deg samtidig rute trafikken din over en rekke unike / forskjellige serverkonfigurasjoner i nettverket. Denne funksjonen blir forklart mer i NeuroRouting-innlegget mitt, men her er hovedpoengene:

  • dynamisk - Internett-trafikken din blir rutet dynamisk over flere humle i VPN-servernettverket for å ta den mest sikre ruten. Rutebanen er basert på TensorFlow, en åpen kildekode-programvare for maskinlæring, og data forblir i nettverket så lenge som mulig. Basert på TensorFlow lærer nettverket kontinuerlig den beste og sikreste ruten for en gitt webside / server.
  • Samtidig - Hver nettside / server du får tilgang til vil ta en unik rute. Å få tilgang til flere forskjellige nettsteder vil gi deg mange, unike multi-hop konfigurasjoner og IP-adresser på samme tid, tilsvarende plasseringen til nettstedsserveren og den siste VPN-serveren i kaskaden.
  • Server-side - Denne funksjonen er aktivert serversiden, noe som betyr at hver gang du får tilgang til VPN-nettverket, vil NeuroRouting være aktiv (med mindre du deaktiverer den fra medlemsoversikten). Dette betyr også at den vil fungere på alle enheter - fra rutere til Mac OS og Android. Til slutt fungerer NeuroRouting med OpenVPN (hvilken som helst konfigurasjon) så vel som IPSec / IKEv2, som kan brukes naturlig på de fleste operativsystemer.

Bildet nedenfor viser NeuroRouting i aksjon, med brukeren koblet til en VPN-server på Island, mens han får tilgang til fire forskjellige nettsteder lokalisert i forskjellige deler av verden.

perfekt neurorouting for personvernNeuroRouting i aksjon.

Du kan lære mer om .

Multi-hop VPN-kjeder med forskjellige VPN-leverandører

Et annet alternativ er å opprette kjeder som bruker mer enn en VPN-leverandør samtidig. Dette blir noen ganger referert til som en "VPN i en VPN" eller en "nestet kjede" av VPN-er.

Dette er et godt alternativ for å beskytte brukere mot en VPN som kan bli kompromittert, samt en VPN-server som kan bli kompromittert.

Her er noen forskjellige måter å gjøre dette på:

VPN 1 på ruteren > VPN 2 på datamaskin / enhet

Dette er et enkelt oppsett med en VPN på en ruter og deretter bruke en annen VPN-tjeneste på datamaskinen eller enheten din, som er koblet gjennom VPN-ruteren din. Å velge servere i nærheten vil bidra til å minimere ytelsen som treffes med dette oppsettet.

VPN 1 på datamaskin (vert) > VPN 2 på virtuell maskin (VM)

Dette er et annet oppsett som kan kjøres uten mye bry. Enkelt installer VirtualBox (gratis), installer og konfigurer operativsystemet i VM, for eksempel Linux (gratis), og installer og kjør deretter en VPN fra VM. Dette oppsettet kan også beskytte deg mot fingeravtrykk av nettlesere ved å forfalske et annet operativsystem fra vertsdatamaskinen.

Du kan også legge til en ruter til miksen ved å bruke tre forskjellige VPN-tjenester:

VPN 1 på ruteren > VPN 2 på datamaskin (vert) > VPN 2 på virtuell maskin (VM)

Til slutt kan du også lage virtuelle maskiner i virtuelle maskiner, og dermed legge til flere lenker til kjeden. (Hvis du er ny på virtuelle maskiner, er det mange videoer tilgjengelig online som forklarer oppsett og bruk.)

Virtuelle maskiner er et flott verktøy for personvern og sikkerhet, siden de lar deg lage isolerte miljøer for forskjellige formål - også kjent som compartmentalization. Innenfor VirtualBox kan du opprette mange forskjellige VM-er ved å bruke forskjellige operativsystemer, for eksempel Linux, som du kan installere gratis. Dette lar deg også enkelt lage nye nettleserens fingeravtrykk med hver ekstra VM, samtidig som du skjuler vertsmaskinens fingeravtrykk.

Bruk Linux - Når jeg konfigurerer VMer, vil jeg anbefale å kjøre et Linux OS av følgende grunner:

  • Gratis
  • Åpen kilde
  • Mer privat enn Windows eller Mac OS
  • Sikkerere enn Windows eller Mac OS

Ubuntu er brukervennlig og lett å komme i gang på få minutter.

Merk: Husk å gjøre det deaktiver WebGL i Firefox med alle VM-ene dine (se instruksjonene i Firefox personvernveiledning ved å bruke om: config-innstillinger). Dette vil forhindre fingeravtrykk av grafikk siden alle VM-ene vil bruke den samme grafikkdriveren.

Konklusjon på multi-hop VPN-er

En multi-hop VPN-konfigurasjon er en utmerket måte å beskytte deg mot målrettet overvåking, forbedret overvåking og andre trusselscenarier. Å bruke en multi-hop VPN vil gjøre trafikkorrelasjonsangrep ekstremt vanskelig for en motstander, selv om en VPN-server skulle bli kompromittert.

Hvis du søker de høyeste nivåene av anonymitet på nettet, kan du bruke en multi-hop VPN “kjede” med forskjellige leverandører og forskjellige steder. Dette kan enkelt gjøres med virtuelle maskiner ved hjelp av den gratis VirtualBox-programvaren.

En av de enkleste metodene for å bruke en multi-hop VPN på alle enheter ville være å bruke fra Perfect Privacy. Bare aktiver NeuroRouting fra medlemsoversikten, og det blir automatisk brukt på alle enheter som kobles til VPN, med hvilken som helst protokoll, hvilken som helst app og hvilken som helst enhet (fordi det er en funksjon på serversiden, i stedet for en appfunksjon).

Nedenfor er multi-hop VPN-ene jeg har testet som viste seg å fungere godt.

Hold deg trygg!

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me