VPN Multi-Hop


Ponieważ zagrożenia związane z zaawansowanym śledzeniem i sponsorowanym przez państwo nadzorem wciąż rosną, niektórzy entuzjaści prywatności szukają większej ochrony w postaci VPN typu multi-hop. Jeśli weźmiesz pod uwagę zasoby wydawane przez agencje monitorujące na zanonimizowanie użytkowników, wybór usługi VPN oferującej wyższy poziom anonimowości jest rzeczywiście uzasadniony.

Sieć VPN z wieloma przeskokami szyfruje połączenie na dwóch lub więcej serwerach (wielu przeskokach) przed wyjściem do zwykłego Internetu. Kierowanie ruchu przez dwa lub więcej serwerów w oddzielnych jurysdykcjach zapewnia wyższy poziom prywatności i bezpieczeństwa - nawet jeśli jeden serwer zostałby zagrożony.

W tym przewodniku wyjaśnimy, dlaczego ludzie używają sieci VPN typu multi-hop i jak mogą pomóc Ci osiągnąć najwyższy poziom prywatności i bezpieczeństwa. Przeanalizujemy dwa różne typy konfiguracji VPN typu multi-hop:

  1. Konfiguracja z wieloma przeskokami przy użyciu jednej podstawowej usługi VPN i dwóch lub więcej serwerów VPN (często nazywanych „kaskadą”).
  2. Konfiguracja wielu przeskoków obejmująca dwie lub więcej różnych usług VPN i różnych lokalizacji (czasami nazywana „łańcuchem zagnieżdżonym”).

Kluczowym czynnikiem przy rozważaniu, czy potrzebujesz sieci VPN z wieloma przeskokami, jest Twoja model zagrożenia. Ile prywatności potrzebujesz i chcesz, biorąc pod uwagę twoją wyjątkową sytuację?

Zrzeczenie się: Dla zdecydowanej większości użytkowników VPN z wieloma przeskokami nie jest ani konieczny, ani warty kompromisów w zakresie wydajności (zwiększone opóźnienie i niższe prędkości). Standardowa konfiguracja VPN (z jednym przeskokiem) z silnym szyfrowaniem OpenVPN, zerowymi przeciekami i innymi narzędziami do prywatności (bezpieczna przeglądarka, blokowanie reklam itp.) Powinna zapewnić więcej niż wystarczającą prywatność i bezpieczeństwo.

Jednak dla osób naprawdę paranoicznych i poszukujących najwyższego poziomu anonimowości w Internecie istnieją sieci VPN z wieloma przeskokami…

Nadzór i zaawansowana anonimowość online

VPN z wieloma przeskokami jest dobrym narzędziem ochrony prywatności przed ukierunkowanym monitorowaniem i innymi teoretycznymi wektorami ataku, które omówimy poniżej. Może być również przydatny dla osób w niebezpiecznych sytuacjach, takich jak dziennikarze lub dysydenci polityczni mieszkający w krajach uciskających.

Jedno kluczowe pytanie dotyczy tego, czy możesz zaufać centrum danych, w którym znajduje się serwer VPN.

Usługi VPN będą wynajmować lub dzierżawić serwery z centrów danych na całym świecie dla ich sieci. Serwery te będą w pełni zaszyfrowane, zabezpieczone i będą kontrolowane przez dostawcę VPN, co uniemożliwi dostęp stron trzecich do wrażliwych danych użytkowników i ruchu.

Co może zobaczyć centrum danych z zaszyfrowanym serwerem VPN?

Nawet przy silnym szyfrowaniu serwera VPN centrum danych (host) - a może zewnętrzna państwowa agencja nadzoru - może potencjalnie monitorować przychodzący i wychodzący ruch na serwerze.

Choć może się to wydawać niepokojące, centrum danych (lub strona trzecia) nadal będzie bardzo trudno zebrać przydatne informacje, ponieważ:

  • Ruch pozostaje zaszyfrowany w tunelu VPN, który obecnie jest uważany za niezniszczalny (256-bitowy AES OpenVPN).
  • Skorelowanie ruchu wychodzącego z ruchem przychodzącym jest niezwykle trudne. (Teoretycznie korelacja ruchu dla niektórych użytkowników może być możliwa dzięki zaawansowanej analizie statystycznej i badaniu wzorców ruchu, chociaż pozostaje to niezwykle trudne).
  • Większość sieci VPN wykorzystuje wspólne adresy IP, z wieloma użytkownikami na danym serwerze w tym samym czasie, przy jednoczesnym mieszaniu całego ruchu. (Uwaga: dlatego też nie powinieneś „tworzyć własnej sieci VPN”, z której będzie korzystać tylko Ty).

Mimo że standardowa konfiguracja VPN z jednym przeskokiem będzie odpowiednia dla zdecydowanej większości użytkowników, korelacja ruchu przychodzącego / wychodzącego może być nadal możliwa - przynajmniej teoretycznie.

monitorowanie serwerów VPNPojedynczy serwer VPN może być celem przeciwników.

Czy centra danych naprawdę są celem ataków korelacji ruchu?

Nie mamy sposobu, aby się upewnić. W wielu przypadkach, gdy władze chciały danych klientów, po prostu udały się do centrum danych i fizycznie zajęły serwer:

  • Serwery Perfect Privacy były (nie miało to wpływu na dane klientów)
  • Serwery ExpressVPN zostały skonfiskowane w Turcji (nie miało to wpływu na dane klientów) - jak wskazano w moim przewodniku dotyczącym usług VPN bez dzienników

W innych przypadkach niektóre sieci VPN współpracowały z organami i przekazywały informacje o użytkownikach - patrz na przykład sprawa z IPVanish, a także z PureVPN.

Kaskada VPN typu Multi-hop

Pierwszym przykładem sieci VPN z wieloma przeskokami, którą zbadamy, jest „kaskada” - w której ruch jest szyfrowany na dwóch lub więcej serwerach VPN.

Jednym z dostawców oferujących możliwość tworzenia niestandardowych kaskad VPN z maksymalnie czterema serwerami jest. Oto podstawowe wizualne wyjaśnienie, jak to by działało przy użyciu kaskady VPN z czterema przeskokami:

vpn multi-hop vpn cascade

Na powyższym zdjęciu tożsamość użytkownika jest zmieniana przy każdym przeskoku i ponownie szyfrowana przy użyciu 256-bitowego szyfrowania AES OpenVPN (na przykład), zanim ruch opuści kaskadę VPN do zwykłego Internetu. Przy każdym przeskoku nowy serwer VPN otrzymuje tylko adres IP / lokalizację poprzedniego serwera VPN - dodatkowo zaciemniając i chroniąc prawdziwą tożsamość użytkownika.

Doskonała prywatność zawiera również kilka interesujących punktów w ich:

Przy połączeniu kaskadowym ten atak [korelacji ruchu] staje się znacznie trudniejszy, ponieważ chociaż dostawca Internetu / podsłuchiwacz nadal zna węzeł wejściowy VPN użytkownika, nie wie, na którym serwerze opuszcza ruch. Będzie musiał monitorować wszystkie serwery VPN i zgadywać, z którego węzła wyjściowego korzysta użytkownik. To sprawia, że ​​prawie niemożliwe jest identyfikowanie użytkowników przez korelację ruchu.

Teoretycznie możliwe jest również, że osoba atakująca ma fizyczny dostęp do serwera VPN w centrum danych. W takim przypadku może on przeprowadzić atak de-anonimizacji na użytkownika VPN. Połączenie kaskadowe chroni przed tym wektorem ataku: ponieważ ruch użytkownika jest kapsułkowany dodatkową warstwą szyfrowania dla każdego przeskoku w kaskadzie, nie można odczytać ruchu ani korelować z ruchem przychodzącym.

Atakujący nadal widział wychodzący zaszyfrowany ruch do innego serwera VPN, ale nie może ustalić, czy jest to węzeł środkowy czy wyjściowy. Aby skutecznie przechwycić i rozproszyć ruch, atakujący musiałby mieć fizyczny dostęp do wszystkich przeskoków w kaskadzie jednocześnie. Jest to praktycznie niemożliwe, jeśli chmiel jest w różnych krajach.

Korzystanie z konfiguracji multi-hop z silnym szyfrowaniem i innymi narzędziami do prywatności (takimi jak bezpieczna przeglądarka) zapewnia wyjątkowo wysoki poziom anonimowości i bezpieczeństwa online.

Sieci VPN z podwójnym skokiem

Serwery VPN z podwójnym skokiem są unikalną funkcją niektórych dostawców VPN.

Przy konfiguracji VPN z podwójnym przeskokiem pierwszy serwer może zobaczyć twój początkowy adres IP, a drugi serwer może zobaczyć twój ruch wychodzący, ale żaden serwer nie będzie miał zarówno twojego adresu IP, jak i ruchu wychodzącego.

użytkownikkierunek-4cakierunek-4se-2kierunek-4Internet

Ta konfiguracja powinna nadal zapewniać przyzwoitą wydajność, a także zapewnia wyższy poziom bezpieczeństwa i prywatności w porównaniu z konfiguracją z jednym przeskokiem.

Istnieje kilka sieci VPN oferujących konfiguracje podwójnego przeskoku, które przetestowałem i stwierdziłem, że działają dobrze:

  • - 3,75 USD miesięcznie; z siedzibą w Rumunii; 22 konfiguracje podwójnego przeskoku (przegląd VPN.ac)
  • - 3,49 USD miesięcznie (z); z siedzibą w Panamie; 16 konfiguracji podwójnego skoku (przegląd NordVPN)
  • - 2,99 USD miesięcznie; z siedzibą w Bułgarii; ale obecnie dostępne są tylko dwie konfiguracje podwójnego przeskoku (przegląd VPNArea)

Występ: W moich testach stwierdziłem, że nadal możesz uzyskać doskonałe prędkości dzięki niektórym VPNom z podwójnym skokiem. Poniżej znajduje się przykład, w którym osiągnąłem prędkość pobierania ponad 81 Mbps za pomocą VPN.ac w ich Niemczech > Połączenie z Kanadą. Moja podstawowa prędkość (nie VPN) wynosiła około 100 Mb / s (testowane z Niemiec).

mac os prędkość VPNVPN.ac oferuje doskonałą wydajność - nawet przy połączeniach z podwójnym przeskokiem.

Jeden wada wspomniane wyżej sieci VPN z podwójnym przeskokiem oferują tylko statyczny konfiguracje. Oznacza to, że nie można skonfigurować własnej unikalnej sieci VPN typu multi-hop przy użyciu dowolnego serwera w sieci.

Ponadto możesz także tworzyć konfiguracje VPN z podwójnym przeskokiem za pomocą i - ale są one konfigurowalne samodzielnie, a nie statyczne, co wyjaśnimy poniżej.

Rozszerzenie przeglądarki + klient VPN z VPN.ac

Kolejnym przydatnym narzędziem do ochrony prywatności jest bezpieczne rozszerzenie przeglądarki proxy, które można połączyć z aplikacją VPN w systemie operacyjnym. VPN.ac oferuje bezpieczne rozszerzenie przeglądarki proxy dla przeglądarek Firefox, Chrome i Opera. Rozszerzenie szyfruje cały ruch w przeglądarce za pomocą TLS (HTTPS) i jest szybki i lekki.

Na poniższym obrazku widać, że jestem podłączony do serwera VPN w Szwecji za pomocą aplikacji komputerowej VPN.ac, a także jestem podłączony do serwera w Nowym Jorku za pomocą rozszerzenia proxy przeglądarki. Zwróć uwagę na doskonałe prędkości, pomimo podwójnego szyfrowania i większej odległości (z mojej lokalizacji w Europie):

podwójny serwer VPN VPN

Podobnie jak w przypadku aplikacji VPN, VPN.ac oferuje także lokalizacje proxy z podwójnym skokiem dla przeglądarki. Oznacza to, że możesz uruchamiać połączenie z serwerem VPN z podwójnym skokiem w aplikacji komputerowej VPN, a także osobne połączenie z podwójnym skokiem przez przeglądarkę. Ponieważ rozszerzenie przeglądarki działa niezależnie (w przeciwieństwie do większości innych rozszerzeń przeglądarki VPN), można je łączyć z inną usługą VPN działającą w aplikacji komputerowej.

Konfigurowalne sieci VPN typu multi-hop

Samonfigurowalna sieć VPN typu multi-hop pozwala na indywidualny wybór serwerów w kaskadzie VPN.

jest jedynym dostawcą, który pozwala Ci tworzyć samokonfigurowalny Kaskady VPN z maksymalnie cztery chmiel bezpośrednio w kliencie VPN. Przetestowałem tę funkcję pod kątem oceny doskonałej prywatności zarówno w klientach Windows, jak i Mac OS i stwierdziłem, że wszystko działa dobrze.

Oto kaskada serwerów VPN z czterema przeskokami: Frankfurt >> Kopenhaga >> Calais >> Malmo

idealna prywatność najlepsza VPNKlient Windows Perfect Privacy, wykorzystujący kaskadę VPN z czterema przeskokami.

Dzięki tej konfiguracji Twoja prawdziwa tożsamość i adres IP będą chronione przed czterema różnymi zaszyfrowanymi serwerami VPN.

Każda witryna, którą odwiedzasz, zobaczy tylko dane serwera ostatniego przeskoku w kaskadzie VPN. Możesz po prostu włączyć ustawienie konfiguracji multi-hop, a następnie dynamicznie dodawać lub usuwać serwery VPN w kliencie VPN. Oto test szczelności wykazujący:

idealna prywatność ipv6 i ipv4Kaskada VPN typu Multi-hop bez wycieków.

Możesz również zobaczyć powyżej, że Perfect Privacy zapewnia mi zarówno adres IPv4, jak i IPv6 - są one jedną z niewielu sieci VPN oferujących .

Przetestowałem również tę konfigurację czteroskokową pod kątem szybkości i pobrałem 25 Mb / s (przy połączeniu 100 Mb / s). Nie jest to takie złe, biorąc pod uwagę, że większe opóźnienia i ruch są ponownie szyfrowane we wszystkich czterech przeskokach. (Konfiguracja podwójnego przeskoku z pobliskimi serwerami byłaby szybsza).

kaskada prędkości VPN typu multi-hopDoskonałe prędkości dla kaskady VPN przy użyciu czterech różnych serwerów (chmiel).

Uwaga: Dzięki Perfect Privacy możesz używać samodzielnie konfigurowalnych kaskad multi-hop z:

  • Aplikacja Windows VPN Manager
  • Aplikacja Linux VPN Manager
  • Aplikacja na system Mac OS
  • Funkcja NeuroRouting (wyjaśniona poniżej)

Inną opcją dla kaskady VPN z czterema przeskokami jest .

ZorroVPN jest dostawcą z Belize, który dobrze sprawdził się w testach do przeglądu ZorroVPN. Oprócz wyższej ceny główną wadą ZorroVPN jest to, że nie oferują żadnych niestandardowych aplikacji VPN. Powoduje to kilka problemów:

  • Będziesz musiał korzystać z zewnętrznych aplikacji OpenVPN, takich jak Viscosity, Tunnelblick lub inne.
  • Konieczne będzie ręczne utworzenie pliku konfiguracji serwera VPN z wieloma przeskokami, a następnie zaimportowanie go do aplikacji VPN. Innymi słowy, nie można po prostu utworzyć lub zmienić kaskady multi-hop bezpośrednio w aplikacji VPN, na przykład za pomocą .

Innym problemem jest to, że żadna z aplikacji innych firm nie ma wbudowanych ustawień ochrony przed wyciekiem. Konieczne będzie ręczne skonfigurowanie wyłącznika awaryjnego i ochrony przed wyciekiem dla wszystkich urządzeń.

ZorroVPN oferuje przyzwoity wybór serwerów i dobrą wydajność. Zobacz wyniki testu w przeglądzie ZorroVPN lub odwiedź, aby uzyskać więcej informacji.

Dynamiczne konfiguracje VPN typu multi-hop (NeuroRouting)

Najnowszym osiągnięciem w zakresie połączeń z wieloma przeskokami i zaawansowanych zabezpieczeń jest. To była wyjątkowa funkcja w październiku 2017 r. przez Perfect Privacy.

NeuroRouting to dynamiczny, konfiguracja wielu przeskoków, która umożliwia jednoczesne kierowanie ruchem przez wiele unikalnych / różnych konfiguracji serwerów w sieci. Ta funkcja została wyjaśniona bardziej w moim poście NeuroRouting, ale oto główne punkty:

  • Dynamiczny - Twój ruch internetowy jest dynamicznie kierowany przez wiele przeskoków w sieci serwerów VPN, aby wybrać najbardziej bezpieczną trasę. Ścieżka routingu oparta jest na oprogramowaniu TensorFlow, oprogramowaniu typu open source do uczenia maszynowego, a dane pozostają w sieci tak długo, jak to możliwe. Sieć oparta na TensorFlow nieustannie uczy się najlepszej i najbezpieczniejszej trasy dla danej witryny / serwera.
  • Jednoczesny - Każda witryna / serwer, do którego masz dostęp, podąży unikalną trasą. Dostęp do wielu różnych stron internetowych zapewni Ci liczne, unikalne konfiguracje multi-hop i adresy IP w tym samym czasie, odpowiadające lokalizacji serwera strony i ostatniego serwera VPN w kaskadzie.
  • Po stronie serwera - Ta funkcja jest aktywowana po stronie serwera, co oznacza, że ​​za każdym razem, gdy uzyskujesz dostęp do sieci VPN, NeuroRouting będzie aktywny (chyba że wyłączysz go z pulpitu członka). Oznacza to również, że będzie działać na dowolnym urządzeniu - od routerów po Mac OS i Android. Wreszcie, NeuroRouting współpracuje z OpenVPN (dowolną konfiguracją), a także IPSec / IKEv2, które mogą być używane natywnie w większości systemów operacyjnych.

Poniższy obraz pokazuje NeuroRouting w akcji, z użytkownikiem podłączonym do serwera VPN na Islandii, jednocześnie uzyskując dostęp do czterech różnych stron internetowych znajdujących się w różnych częściach świata.

idealny neurorouting prywatnościNeuroRouting w akcji.

Możesz dowiedzieć się więcej na temat .

Łańcuchy VPN typu Multi-hop z różnymi dostawcami VPN

Inną opcją jest tworzenie łańcuchów przy użyciu więcej niż jednego dostawcy VPN w tym samym czasie. Jest to czasami określane jako „VPN w VPN” lub „zagnieżdżony łańcuch” VPN.

Jest to dobra opcja do ochrony użytkowników przed VPN, który może być zagrożony, a także serwer VPN, który może zostać zagrożony.

Oto kilka różnych sposobów, aby to zrobić:

VPN 1 na routerze > VPN 2 na komputerze / urządzeniu

Jest to łatwa konfiguracja z VPN na routerze, a następnie za pomocą innej usługi VPN na twoim komputerze lub urządzeniu, które jest połączone przez router VPN. Wybranie pobliskich serwerów pomoże zminimalizować spadek wydajności dzięki tej konfiguracji.

VPN 1 na komputerze (hoście) > VPN 2 na maszynie wirtualnej (VM)

To kolejna konfiguracja, którą można uruchomić bez większych problemów. Prosta instalacja VirtualBox (darmowa), instalacja i konfiguracja systemu operacyjnego na maszynie wirtualnej, takiej jak Linux (darmowa), a następnie instalacja i uruchomienie VPN z poziomu maszyny wirtualnej. Ta konfiguracja może również pomóc chronić Cię przed odciskami palców przeglądarki, fałszując system operacyjny inny niż komputer hosta.

Możesz również dodać router do miksu, używając trzech różnych usług VPN:

VPN 1 na routerze > VPN 2 na komputerze (hoście) > VPN 2 na maszynie wirtualnej (VM)

Na koniec można również tworzyć maszyny wirtualne w obrębie maszyn wirtualnych, dodając w ten sposób więcej łączy do łańcucha. (Jeśli dopiero zaczynasz korzystać z maszyn wirtualnych, dostępnych jest wiele filmów online wyjaśniających konfigurację i obsługę).

Maszyny wirtualne są doskonałym narzędziem do ochrony prywatności i bezpieczeństwa, ponieważ umożliwiają tworzenie izolowanych środowisk do różnych celów - znanych również jako przedział. W VirtualBox możesz tworzyć wiele różnych maszyn wirtualnych przy użyciu różnych systemów operacyjnych, takich jak Linux, które możesz zainstalować za darmo. Umożliwia to również łatwe tworzenie nowych odcisków palców przeglądarki przy każdej dodatkowej maszynie wirtualnej, a także ukrywanie odcisku palca komputera hosta.

Użyj Linuksa - Podczas konfigurowania maszyn wirtualnych zalecam uruchomienie systemu operacyjnego Linux z następujących powodów:

  • Darmowy
  • Otwarte źródło
  • Bardziej prywatny niż Windows lub Mac OS
  • Bardziej bezpieczny niż Windows lub Mac OS

Ubuntu jest przyjazny dla użytkownika i łatwy do uruchomienia w kilka minut.

Uwaga: Upewnij się, że wyłącz WebGL w Firefoksie ze wszystkimi maszynami wirtualnymi (zobacz instrukcje w przewodniku prywatności Firefoksa, używając about: config settings). Zapobiegnie to pobieraniu odcisków palców graficznych, ponieważ wszystkie maszyny wirtualne będą używać tego samego sterownika grafiki.

Wniosek w sprawie VPN z wieloma przeskokami

Konfiguracja VPN z wieloma przeskokami to doskonały sposób ochrony przed ukierunkowanym monitorowaniem, ulepszonym nadzorem i innymi scenariuszami zagrożeń. Korzystanie z VPN typu multi-hop sprawi, że ataki korelacji ruchu będą niezwykle trudne dla przeciwnika, nawet jeśli serwer VPN zostałby zagrożony.

Jeśli szukasz najwyższego poziomu anonimowości w Internecie, możesz skorzystać z „łańcucha” VPN wielu przeskoków z różnymi dostawcami i różnymi lokalizacjami. Można to łatwo zrobić za pomocą maszyn wirtualnych za pomocą bezpłatnego oprogramowania VirtualBox.

Jedna z najprostszych metod używania VPN typu multi-hop na wszystkie urządzenia byłoby wykorzystanie z Perfect Privacy. Wystarczy aktywować NeuroRouting z pulpitu członka, a zostanie on automatycznie zastosowany do wszystkie urządzenia, które łączą się z VPN, z dowolnym protokołem, dowolną aplikacją i dowolnym urządzeniem (ponieważ jest to funkcja po stronie serwera, a nie funkcja aplikacji).

Poniżej znajdują się testowane przeze mnie sieci VPN z wieloma przeskokami, które okazały się skuteczne.

Bądź bezpieczny!

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me