Το προφίλ μας στο Google Plus
6

Στον αγώνα για ανέμελο torrenting, μέρος 1/3: Οι προδιαγραφές μιας ιδανικής λύσης και οι πρώτες δοκιμές

Πρόσφατα αντιμετωπίσαμε ένα περιστατικό που μας έκανε ν’ αναθεωρήσουμε τη σχέση μας με το BitTorrent. Συνειδητοποιήσαμε ότι ακόμη κι ένας καλορυθμισμένος OpenVPN server, ο οποίος μάλιστα βρίσκεται υπό τον πλήρη έλεγχό μας, δεν είναι αρκετός για να ξεχάσουμε τα τελεσιγραφικά emails του στιλ “σταματήστε το κατέβασμα ή υποστείτε τις συνέπειες”.

Μέρος 1/3: Οι προδιαγραφές μιας ιδανικής λύσης και οι πρώτες δοκιμές
Μέρος 2/3: Δημιουργία βολικού κι ασφαλούς Seedbox
Μέρος 3/3: Πρώτη γραμμή άμυνας, με το pfSense

Οι τακτικοί αναγνώστες θα γνωρίζετε ίσως το θαυμασμό που τρέφουμε προς τη σύγχρονη κρυπτογραφία. Ειδικά για την προστασία των δικτυακών πακέτων που στέλνουμε και λαμβάνουμε από το Internet, συχνά προτιμάμε να τα δρομολογούμε μέσω ενός απομακρυσμένου OpenVPN server που εμείς οι ίδιοι έχουμε στήσει κι ελέγχουμε και συνεπώς τον εμπιστευόμαστε πλήρως. Κάθε φορά λοιπόν που βγαίνουμε στον έξω κόσμο κατ’ αυτόν τον τρόπο, τα πακέτα που διακινούνται μεταξύ του υπολογιστή μας και του απομακρυσμένου server ταξιδεύουν μέσα από ένα ισχυρά κρυπτογραφημένο τούνελ και κανείς στο ενδιάμεσο δεν είναι σε θέση να τα διαβάζει — φυσικά ούτε ο ISP μας.

Τα προβλήματα αρχίζουν όταν βγαίνουμε από τον OpenVPN server, π.χ., για να επισκεφθούμε ένα web site, να χρησιμοποιήσουμε μια υπηρεσία streaming, να κατεβάσουμε κάτι κ.ο.κ. Μπορεί ο ISP μας να μη βλέπει τι κάνουμε, κάποια στιγμή όμως μοιραία αναδυόμαστε στο “κανονικό” Internet και η δημόσια διεύθυνση IP του OpenVPN server καταγράφεται. Αλλά για να μη μιλάμε γενικά, ας αναφερθούμε σε ένα πρόσφατο περιστατικό που βιώσαμε.

Ένα περιστατικό διαφορετικό από τα άλλα
Μεταξύ των διαφόρων άρθρων που κατά καιρούς έχουμε δημοσιεύσει περί OpenVPN, στο τεύχος 048 δείξαμε πόσο εύκολο είναι να εγκαταστήσουμε τον δικό μας Access Server σε VPS στο cloud. Σε άλλο άρθρο του ίδιου τεύχους πήγαμε το θέμα λίγο παρακάτω και ρυθμίσαμε έναν pfSense-based router ώστε να λειτουργεί ως client για τον συγκεκριμένο OpenVPN Access Server. Κατ’ αυτόν τον τρόπο είναι πολύ εύκολο να ορίζουμε κανόνες για το ποια μηχανήματα του τοπικού δικτύου βγαίνουν στον έξω κόσμο μέσω OpenVPN και ποια όχι, κανόνες για τις μέρες της εβδομάδας ή/και για τις ώρες της ημέρας που η κίνηση ενός host δρομολογείται μέσω OpenVPN κ.ο.κ.

Ένα παρόμοιο setup υφίσταται και στο τοπικό δίκτυο της Parabing Creations, της μικρής εκδοτικής πίσω από το deltaHacker. Τις προάλλες, με τη βοήθεια του Transmission BitTorrent client κατεβάζαμε αμέριμνοι επεισόδια μιας σειράς που μας αρέσει κι όποτε έχουμε το χρόνο την παρακολουθούμε. Η εν λόγω σειρά δεν προβάλλεται από τα ελληνικά κανάλια ούτε διατίθεται μέσω Netflix (τουλάχιστον όχι για τη χώρα μας), οπότε άλλον τρόπο για να τη βλέπουμε δεν έχουμε. Το downloading των επεισοδίων έγινε μέσω OpenVPN Access Server που διατηρούμε σε droplet της Digital Ocean, σε datacenter στο New Jersey (η εταιρεία ονομάζει τα VPS της “droplets”). Η αλήθεια είναι ότι από τη στιγμή που το droplet κατοικεί σε αμερικάνικο έδαφος, δεν θα έπρεπε να κατεβάζουμε μέσω αυτού. Αλλά ξέρετε τι πανίσχυρο τέρας είναι η συνήθεια, ειδικά όταν υποβοηθείται από τις δυνάμεις του Σιγά-Μωρέ-Μη-Συμβεί-Σ’-Εμένα (TM).

Γύρω στις 48 ώρες μετά το downloading, οι δυνάμεις του Σιγά-Μωρέ-Μη-Συμβεί-Σ’-Εμένα (TM) γελούσαν εις βάρος μας — μερικές μάλιστα είχαν πέσει στο πάτωμα και δυσκολεύονταν ν’ ανασάνουν. Στο inbox του προσωπικού mail server του γράφοντα είχε καταφθάσει email από τη Digital Ocean. Αφήνοντας στην άκρη τα τυπικά, η ουσία του email είχε ως ακολούθως:

Δεχθήκαμε παράπονα από την τάδε σύμπραξη κατόχων πνευματικών δικαιωμάτων επί ταινιών/σειρών/μουσικής. Από αυτή τη διεύθυνση IP, η οποία είναι από το δίκτυό μας και την έχει το droplet σας, κάποιος πραγματοποίησε downloading μέσω BitTorrent εκείνου και τ’ άλλου αρχείου. Η λήψη έλαβε χώρα από εκείνη έως και την άλλη την ώρα, της δείνα ημερομηνίας. Τα αρχεία σχετίζονται με υλικό που προστατεύεται από πνευματικά δικαιώματα. Παρακαλείσθε όπως τα διαγράψετε αμέσως. Παροτρύνεστε επίσης να προβείτε στις κατάλληλες ενέργειες, ώστε να μην παρατηρηθεί ξανά παρόμοια δραστηριότητα από το λογαριασμό σας. Σε περίπτωση που αποτύχετε να συμμορφωθείτε διατηρούμε το δικαίωμα για μόνιμο κλείσιμο του λογαριασμού σας. Ευχαριστούμε για τη συνεργασία, χαρείτε τη μέρα σας.

Ομολογούμε πως δεν είναι η πρώτη φορά που λαμβάνουμε παρόμοιο email. Πριν τέσσερα περίπου χρόνια συντηρούσαμε ένα Tor exit node σε BSD VM, κάπου στην Καλιφόρνια. Ο VM provider είχε τραμπουκιστεί από την MPAA και με τη σειρά του τραμπούκισε εμάς. Ουσιαστικά, κάποιοι αθεόφοβοι επιβάρυναν το δίκτυο ανωνυμίας του Tor για το κατέβασμα ταινιών, σειρών κι ένας Θεός ξέρει τι άλλο. Υπεύθυνοι βέβαια φανήκαμε εμείς, αφού τρέχαμε exit node και το δημόσιο IP του αντίστοιχου VM καταγράφηκε από εκείνους που συμμετέχουν σε swarms μόνο και μόνο για να παρακολουθούν ποιος κατεβάζει τι. Μετά το email που λάβαμε προσπαθήσαμε να δυσκολέψουμε τους downloaders, επιτρέποντας την έξοδο μόνο από συγκεκριμένα ports. Δεν καταφέραμε πολλά όμως. Αποφασίσαμε τελικά να συνεχίσουμε να στηρίζουμε το δίκτυο του Tor, αλλά με ένα απλό relay κι όχι με exit node.

Δύο χρόνια αργότερα επιχειρήσαμε να στήσουμε ξανά Tor exit node, αυτή τη φορά σε VPS που βρισκόταν σε datacenter λίγο έξω από το Ρέικιαβικ. Τους πρώτους μήνες όλα πήγαιναν καλά. Κάποια στιγμή όμως ένας administrator από Ιαπωνία (ή ήταν από Κορέα;) έστειλε email στον VPS provider, επισημαίνοντας ότι ένα από τα VPS του παρουσίαζε συμπεριφορά χαρακτηριστική ενός malware. Σ(ι)ούρ ινάφ, επρόκειτο για το VPS μας και, κάπως έτσι, άλλος ένας exit node μετατράπηκε σε απλό relay.

Αυτή τη φορά, με το email της Digital Ocean, η κατάσταση είχε μια σημαντική διαφορά σε σύγκριση με τις άλλες δύο: Οι υπεύθυνοι για την αναστάτωση ήμασταν *πράγματι* εμείς κι όχι κάποιος βαριεστημένος λογιστής από το Μπόουζμαν της Μοντάνα, ούτε ένας ζωηρός uber-haxxor-wannabe από το Ντίλι του Ανατολικού Τιμόρ. Απαντήσαμε αμέσως στη Digital Ocean ευχαριστώντας τους για την ενημέρωση, τους εξηγήσαμε ότι θα διερευνήσουμε το ζήτημα και θα βρούμε τον υπεύθυνο, ενώ τους υποσχεθήκαμε ότι αυτή η συμπεριφορά δεν θα επαναληφθεί. Μάλλον δεν μας πίστεψαν, απάντησαν ωστόσο ευγενικά ευχαριστώντας μας που τους ευχαριστήσαμε — βεβαίως και που συμμορφωθήκαμε προς τας υποδείξεις.

Είναι προφανές ότι η χρήση του *συγκεκριμένου* OpenVPN Access Server για το κατέβασμα περιεχομένου που προστατεύεται από πνευματικά δικαιώματα, αποτέλεσε τουλάχιστον αφελή ενέργεια από μέρους μας. Αν θέλουμε να προστατεύουμε την ιδιωτικότητά μας και ταυτόχρονα να κάνουμε και το περιστασιακό μας torrenting, τότε χρειαζόμαστε εναλλακτική προσέγγιση.

Αναζητώντας τον ιδανικό VPN provider
Το κατέβασμα μέσω BitTorrent δεν πρέπει να είναι ανιχνεύσιμο από τον ISP μας, κι αυτό διασφαλίζεται σχετικά εύκολα χάρη στο VPN tunneling. Το περιστατικό εξάλλου με τον Access Server και τη Digital Ocean, αποδεικνύει ότι εκτός από τον ISP έχουμε ν’ ανησυχούμε και για τον VPN provider: η ταυτότητά μας πρέπει να του είναι άγνωστη. Μαζί με το privacy ως προς τον ISP, λοιπόν, χρειαζόμαστε *και* anonymity ως προς τον VPN provider. Είναι επίσης επιθυμητή η δυνατότητα επιλογής της γεωγραφικής περιοχής όπου βρίσκεται ο VPN server. Έτσι, αναλόγως της επιλογής μας τη μία φορά θα φαίνεται ότι βρισκόμαστε στο Νησί του Πάσχα, την άλλη στην Ελβετία, την παράλλη στο Άινταχο κ.ο.κ. Φυσικά, το να στήσουμε ένα σωρό OpenVPN servers σε datacenters εδώ κι εκεί στον πλανήτη, δεν αυξάνει απότομα μόνο τη δυσκολία διαχείρισης αλλά και το κόστος. Αυτό που θα θέλαμε είναι *έναν* VPN provider, ο οποίος με χαμηλό κόστος θα μας επιτρέπει να επιλέγουμε “σημείο εξόδου”.

Καθώς κάναμε τη σύντομη λίστα με τις προδιαγραφές μιας λύσης για ασφαλές torrenting, θυμηθήκαμε μια είδηση που είχαμε διαβάσει στο site του περιοδικού. Επρόκειτο για έρευνα που είχε διεξαγάγει το TorrentFreak, επιχειρώντας να καταγράψει την πολιτική των VPN providers ως προς τη διατήρηση αρχείων καταγραφής για την ταυτότητα αλλά και για τις δραστηριότητες των πελατών τους. Όταν είχαμε πρωτοδιαβάσει το άρθρο, θετική εντύπωση μάς είχε κάνει το TorGuard. Από την πρώτη φορά που η ομώνυμη υπηρεσία μπήκε στο ραντάρ μας, έχουμε διαβάσει πολλά θετικά σχόλια γι’ αυτή. Αποφασίσαμε, λοιπόν, ότι έχει φτάσει η ώρα να τη δοκιμάσουμε στην πράξη.

Υπηρεσία VPN για τους φίλους του BitTorrent
Το όνομα TorGuard παραπέμπει στο σύστημα ανωνυμίας του Tor, στην πραγματικότητα όμως το “Tor” αποτελεί αναφορά στο torrent. Η εταιρεία δεν κρύβει ότι απευθύνεται στους χρήστες εφαρμογών BitTorrent, παρέχοντας λύσεις για τη διασφάλιση της ανωνυμίας τους. Αναλυτικότερα, με την υπηρεσία Anonymous Proxy ο πελάτης ρυθμίζει *μεμονωμένες* εφαρμογές ώστε να χρησιμοποιούν ανώνυμους διαμεσολαβητές. Από την άλλη, με την υπηρεσία Anonymous VPN οι υπολογιστές μας και *όλες* οι εφαρμογές που τρέχουν είναι δυνατόν να έχουν ανώνυμη αλλά και κρυπτογραφημένη πρόσβαση σε πλήθος VPN servers της εταιρείας ανά τον πλανήτη. Σημειώστε ότι επιτρέπεται να συνδέουμε έως και πέντε συσκευές μας στους servers του TorGuard. Αν όμως διαθέτουμε έναν router ο οποίος μπορεί να λειτουργεί ως OpenVPN client, τότε όλες οι συσκευές πίσω του είναι δυνατόν να βγαίνουν στο Internet από τους VPN servers της εταιρείας.

Το κλειδί σε κάθε περίπτωση είναι η ανωνυμία, συγκεκριμένα η υπόσχεση για μη τήρηση αρχείων καταγραφής για τους πελάτες του TorGuard. Όποτε η εταιρεία λαμβάνει ειδοποιήσεις για παραβίαση πνευματικών δικαιωμάτων, απλά *αδυνατεί* να γνωρίζει ποιοι είναι οι χρήστες που με τη δραστηριότητά τους παραβίασαν τα όποια δικαιώματα. Το δε σύστημα πληρωμών της εταιρείας είναι σε διαφορετικό δίκτυο από εκείνο με τους proxies και τους VPN servers, ενώ υπάρχει και δυνατότητα πληρωμής μέσω BitCoin. Έτσι, η ταυτότητα των πελατών προστατεύεται ακόμα περισσότερο.

Από τις δύο υπηρεσίες που παρέχονται για τη διασφάλιση της ανωνυμίας επιλέξαμε την Anonymous VPS, αφού εκτός από την ανωνυμία μας ενδιαφέρει *και* η ιδιωτικότητα (privacy). Για την υλοποίηση κρυπτογραφημένων τούνελ το TorGuard επιστρατεύει τη δοκιμασμένη τεχνολογία του OpenVPN και υπάρχουν σχετικοί servers σε περισσότερες από 65 γεωγραφικές περιοχές ανά τον πλανήτη. Φυσικά, ο πελάτης έχει τη δυνατότητα για επιλογή OpenVPN server. Αναλόγως λοιπόν της δραστηριότητάς του, δύναται να βγαίνει στο Internet από χώρες που είναι φιλικές ως προς το privacy ή από servers μέσω των οποίων θα έχει ανεμπόδιστη πρόσβαση σε υπηρεσίες όπως το Netflix.

Σημείωση. Το Netflix έχει αρχίσει να διατίθεται παντού στον πλανήτη, ωστόσο δεν παρέχεται το ίδιο περιεχόμενο σε κάθε χώρα. Ο πιο πλούσιος κατάλογος είναι διαθέσιμος στην Αμερική και η Netflix έχει ανακοινώσει πως θα κάνει ό,τι μπορεί, ώστε να εμποδίζει τους πελάτες που χρησιμοποιούν proxies ή VPN servers. Η TorGuard δεν άργησε ν’ απαντήσει. Υποσχέθηκε ότι θα προσθέτει διαρκώς νέους servers, ώστε οι πελάτες της, αν κι όποτε το επιθυμούν, να συνεχίσουν να έχουν πρόσβαση *και* στο περιεχόμενο του αμερικάνικου Netflix.

Πώς ξεκινάμε με το Anonymous VPN;
Παρέχονται μηνιαία, τρίμηνα, εξάμηνα κι ετήσια πακέτα. Το ετήσιο βγαίνει στα 5 δολάρια ανά μήνα, όσο δηλαδή και το πιο φθηνό droplet της Digital Ocean. Προτείνουμε να ξεκινήσετε με το μηνιαίο πακέτο, ώστε να δείτε αν η υπηρεσία σάς κάνει. Θα πληρώσετε 9,99 δολάρια αλλά τουλάχιστον θα έχετε την άνεση του χρόνου για να δοκιμάσετε το TorGuard στην πράξη, καθώς και να παίξετε με διάφορα configurations (γι’ αυτά συζητάμε στα επόμενα μέρη του αφιερώματός μας). Αν για οποιονδήποτε λόγο αποφασίσετε ότι η υπηρεσία Anonymous VPN του TorGuard δεν σας κάνει ή απλά δεν είστε έτοιμος για συνδρομή, μην ξεχάσετε να ακυρώσετε την τρέχουσα: κάντε login στο client dashboard, μετά πάνω στο όνομα της υπηρεσίας σας, ύστερα στο κουμπάκι Management Actions κι επιλέξτε το Request Cancellation.

Δυνατότητες σύνδεσης
Από τη σελίδα https://torguard.net/downloads.php κατεβάζουμε το TorGuard lite VPN app, για το λειτουργικό σύστημα της προτίμησής μας (Linux, Windows, OS X). Για τη σύνδεση σε κάποιον OpenVPN server θα χρειαστεί να πληκτρολογήσουμε το username και το password μας στην υπηρεσία, όπως τα καθορίσαμε κατά την εγγραφή μας.

Κρίσιμες επιλογές πριν τη σύνδεση σε OpenVPN server του TorGuard.

Πριν την πραγματοποίηση μιας σύνδεσης έχουμε δυνατότητα επιλογής απομακρυσμένου OpenVPN server. Στο παράδειγμα έχουμε ξεχωρίσει έναν server στο Calgary του Καναδά (1). Για το πρωτόκολλο μεταφοράς πάνω από το οποίο υλοποιείται το κρυπτογραφημένο τούνελ, οι δυνατότητες είναι δύο: TCP ή UDP (2). Το TCP το προτιμάμε αν μας ενδιαφέρει η αξιοπιστία, αφού το πρωτόκολλο εγγυάται την παράδοση των πακέτων. Επίσης, τα VPN τούνελ πάνω από TCP χρησιμοποιούν τυπικά ports, όπως το 80 ή το 443, συνεπώς σπανίως μπλοκάρονται. Αν πάλι πρώτο μας μέλημα είναι η ταχύτητα, π.χ., λόγω εφαρμογών streaming, P2P, torrenting κ.ο.κ., τότε προτείνεται να επιλέγουμε το UDP. Σε αντίθεση με το TCP, το πρωτόκολλο UDP δεν εγγυάται την παράδοση των πακέτων κι επομένως οι συνδέσεις πάνω απ’ αυτό είναι λιγότερο αξιόπιστες. Στην πράξη πάντως σπανίως θα έχουμε προβλήματα. Παρέχεται εξάλλου δυνατότητα για επιλογή του αλγορίθμου κρυπτογράφησης (cipher) (3). Ο AES-256-CBC προσφέρει τη μέγιστη δυνατή ασφάλεια, αλλά σε κάποιες περιπτώσεις έχει μια κάποια αρνητική επίπτωση στην ταχύτητα. Για πολύ καλό επίπεδο ασφάλειας αλλά *και* ταχύτητα, προτείνεται ο AES-128-CBC. Το TorGuard υποστηρίζει και τον Blowfish cipher (BF-CBC), ωστόσο για αυξημένες επιδόσεις και ασφάλεια καλό είναι να επιλέγουμε τον AES-128-CBC. Αν, τέλος, θέσουμε Cipher = None, τότε η σύνδεσή μας προς τον απομακρυσμένο OpenVPN server δεν θα είναι κρυπτογραφημένη. Αναλυτικότερα: Τα στοιχεία του λογαριασμού μας (username και password) μεταδίδονται κρυπτογραφημένα, η διεύθυνση IP που μας έχει δώσει ο ISP παραμένει κρυμμένη (βγαίνουμε στο Internet με το δημόσιο IP του απομακρυσμένου OpenVPN server), ωστόσο μεταξύ του client και του server δεν υφίσταται κρυπτογραφημένο τούνελ κι έτσι ο ISP μας είναι σε θέση να βλέπει τη δικτυακή μας δραστηριότητα. Θέτουμε Cipher = None όταν και μόνον όταν θέλουμε να κρύβουμε την ταυτότητά μας, μας ενδιαφέρει να έχουμε τη μέγιστη δυνατή ταχύτητα σύνδεσης προς τον OpenVPN server, ενώ την ίδια στιγμή δεν μας ενδιαφέρει το τι βλέπει ο ISP μας.

Αφού δώσουμε τα credentials του λογαριασμού μας (username και password) στο TorGuard lite VPN app, καλό είναι να τσεκάρουμε και το κουτάκι Remember Credentials.

Αφού δώσουμε τα credentials του λογαριασμού μας (username και password) στο TorGuard lite VPN app, καλό είναι να τσεκάρουμε και το κουτάκι Remember Credentials. Έτσι, δεν θα χρειάζεται να τα πληκτρολογούμε κάθε φορά που θα επιχειρούμε σύνδεση.

Μετά την επίτευξη σύνδεσης το TorGuard lite VPN app παρουσιάζει τη διεύθυνση του tunnel interface (Local IP), καθώς και τη διεύθυνση με την οποία βγαίνουμε στο Internet (Remote IP).

Μετά την επίτευξη σύνδεσης το TorGuard lite VPN app παρουσιάζει τη διεύθυνση του tunnel interface (Local IP), καθώς και τη διεύθυνση με την οποία βγαίνουμε στο Internet (Remote IP). Κατά περιπτώσεις, είναι λογικό να θέλουμε να κάνουμε μερικούς έξτρα ελέγχους, μόνοι μας. Περισσότερα επ’ αυτού διαβάστε στην επόμενη παράγραφο.

Οι πελάτες του TorGuard λαμβάνουν δωρεάν άδεια χρήσης για τον εμπορικό OpenVPN client ονόματι Viscosity.

Οι πελάτες του TorGuard λαμβάνουν δωρεάν άδεια χρήσης για τον εμπορικό OpenVPN client ονόματι Viscosity, ο οποίος διατίθεται για Windows και OS X. Το Viscosity κοστίζει εννέα δολάρια και είναι ο αγαπημένος μας OpenVPN client προς τους δικούς μας OpenVPN servers. Για την περίπτωση όμως του TorGuard, δεν βλέπουμε το λόγο να προτιμήσουμε το Viscosity έναντι του TorGuard lite VPN app. Αντίθετα, στο προαναφερθέν βλέπουμε προτερήματα που δεν έχει το Viscosity. Κατ’ αρχάς, το TorGuard lite VPN app το εγκαθιστούμε σε όσα μηχανήματα θέλουμε, ενώ για το Viscosity κανονικά προβλέπεται μία εγκατάσταση ανά άδεια χρήσης. Αλλά η πιο σημαντική διαφοροποίηση έγκειται στα killswitches και Stealth VPN, δύο σημαντικές δυνατότητες που παρέχει μόνο το TorGuard lite VPN app. Περισσότερα επ’ αυτών στη συνέχεια του παρόντος άρθρου.

Εφαρμογές για σύνδεση στους OpenVPN servers του TorGuard διατίθενται τόσο για Android όσο και για iOS.

Εφαρμογές για σύνδεση στους OpenVPN servers του TorGuard διατίθενται τόσο για Android όσο και για iOS. Είναι δωρεάν, όμως για τη σύνδεση χρειάζονται τα credentials λογαριασμού με ενεργή συνδρομή. Δεν έχουμε λόγο για χρήση OpenVPN στο smartphone, εγκαταστήσαμε ωστόσο τον επίσημο client για Android και παίξαμε λίγο. Παρατηρήσαμε ότι για την κρυπτογράφηση χρησιμοποιούταν ο Blowfish cipher και δεν υπήρχε δυνατότητα για χρήση AES-128 ή AES-256. Λογικά πρόκειται για συνειδητή επιλογή των προγραμματιστών της εφαρμογής, ώστε να μην επιβαρύνεται η μπαταρία της συσκευής. Κατά τα άλλα, ο χρήστης του app επιλέγει μεταξύ των OpenVPN servers που έχει η εταιρεία ανά τον πλανήτη και οι συνδέσεις πραγματοποιούνται επιτυχώς.

Στους servers του TorGuard μπορούμε να συνδεόμαστε κι από το “κλασικό” Unix-οειδές OpenVPN, ζητώντας του να συμπεριφερθεί ως απλός client. Χρειαζόμαστε βέβαια τα απαραίτητα πιστοποιητικά και configuration files, τα οποία λαμβάνουμε από το site του TorGuard. Αν πάλι ο router μας υποστηρίζει λειτουργικότητα OpenVPN client, τότε μπορούμε να συνδέσουμε εκείνον στους servers του TorGuard. Περισσότερα για όλα αυτά διαβάστε στα δύο επόμενα μέρη του αφιερώματός μας.

Δοκιμές και έλεγχοι
Θέλουμε να βεβαιωθούμε για τα ακόλουθα:

  • στο Internet εμφανιζόμαστε με το δημόσιο IP του εκάστοτε OpenVPN server κι όχι με εκείνο που μας έχει δώσει ο ISP μας
  • χρησιμοποιούμε τους name servers που υποδεικνύει ο OpenVPN server κι όχι εκείνους του ISP
  • κατά το κατέβασμα torrents, η δημόσια διεύθυνση IP από τον ISP *δεν* διαρρέει
  • είμαστε προστατευμένοι ως προς το ύπουλο WebRTC leak (βλ. παρακάτω).

Τις δικές μας δοκιμές τις κάναμε από ένα μηχάνημα με Windows 10, χρησιμοποιώντας το TorGuard lite VPN app. Δείτε τα screenshots που ακολουθούν κι οπωσδήποτε διαβάστε τις αντίστοιχες περιγραφές.

Πριν την όποια δοκιμή, για την ακρίβεια πριν τη σύνδεση σε κάποιον OpenVPN server, επισκεπτόμαστε τις ρυθμίσεις του TorGuard lite VPN app και συγκεκριμένα την καρτέλα Network.

Πριν την όποια δοκιμή, για την ακρίβεια πριν τη σύνδεση σε κάποιον OpenVPN server, επισκεπτόμαστε τις ρυθμίσεις του TorGuard lite VPN app και συγκεκριμένα την καρτέλα Network. Εκεί, φροντίζουμε ώστε τα κουτάκια Prevent WebRTC Leak, Prevent IPv6 Leak και Prevent DNS Leak να είναι όλα τσεκαρισμένα. Στη συνέχεια συνδεόμαστε σε κάποιον από τους OpenVPN servers του TorGuard. Εμείς συνδεθήκαμε σε έναν που βρίσκεται στη Ζυρίχη.

Για τον έλεγχο της δημόσιας διεύθυνσης IP με την οποία βγαίνουμε στο Internet, το TorGuard προτείνει να επισκεφθούμε τη διεύθυνση http://torguard.net/whats-my-ip.php -- βεβαίως από τον web browser της προτίμησής μας.

Για τον έλεγχο της δημόσιας διεύθυνσης IP με την οποία βγαίνουμε στο Internet, το TorGuard προτείνει να επισκεφθούμε τη διεύθυνση http://torguard.net/whats-my-ip.php — βεβαίως από τον web browser της προτίμησής μας. Δεν είναι υποχρεωτικό να πάμε σ’ αυτή τη διεύθυνση. Υπάρχει μια πληθώρα sites που εμφανίζουν στον browser το δημόσιο IP μας (το http://ifconfig.me είν’ ένα από αυτά). Ακόμη και μια αναζήτηση του στιλ “what is my ip” να κάνουμε στο Google, το πρώτο αποτέλεσμα που θα επιστρέψει η μηχανή θα είναι το δημόσιο IP μας. Σε κάθε περίπτωση, από τη στιγμή που είμαστε συνδεδεμένοι σε OpenVPN server, το εν λόγω IP θα πρέπει να είναι διαφορετικό από εκείνο που μας έχει δώσει ο ISP μας. Αν δεν είσαστε βέβαιοι για το προαναφερθέν, αποσυνδεθείτε από τον OpenVPN server κι ακολούθως αναζητήστε το IP με κάποιους από τους τρόπους που μόλις αναφέραμε.

Όταν είμαστε συνδεδεμένοι σε απομακρυσμένο OpenVPN server αλλά τα DNS queries απαντώνται από κάποιον name server του ISP μας ή, γενικότερα, από κάποιον name server του τοπικού σημείου σύνδεσης στο Internet (π.χ., δημόσιο Hotspot, WiFi καφετέριας, ξενοδοχείου κ.λπ.), τότε έχουμε DNS leak και η ιδιωτικότητά μας υποβαθμίζεται.

Όταν είμαστε συνδεδεμένοι σε απομακρυσμένο OpenVPN server αλλά τα DNS queries απαντώνται από κάποιον name server του ISP μας ή, γενικότερα, από κάποιον name server του τοπικού σημείου σύνδεσης στο Internet (π.χ., δημόσιο Hotspot, WiFi καφετέριας, ξενοδοχείου κ.λπ.), τότε έχουμε DNS leak και η ιδιωτικότητά μας υποβαθμίζεται. Πράγματι, ενώ τα πακέτα που στέλνουμε και λαμβάνουμε παραμένουν κρυπτογραφημένα, κάποιος τρίτος είναι σε θέση να βλέπει ποια sites επισκεπτόμαστε, ποιες υπηρεσίες χρησιμοποιούμε κ.ο.κ. Οι OpenVPN servers του TorGuard είναι έτσι ρυθμισμένοι ώστε να ενημερώνουν τους πελάτες για τους δικούς τους name servers. Μολαταύτα, σε κάποιες περιπτώσεις ακόμη και τότε είναι πιθανό να έχουμε DNS leak. Στα Windows, π.χ., όπου δεν υπάρχει η έννοια του καθολικού name server, κάθε δικτυακό ενδιάμεσο (network interface) επιτρέπεται να έχει τον δικό του name server. Σε κάποιες περιπτώσεις το λειτουργικό αγνοεί το routing table και την προκαθορισμένη πύλη, συνεπώς τα DNS queries δεν αποστέλλονται μέσω του tunneling interface κι έχουμε DNS leak. Ανεξαρτήτως του λειτουργικού συστήματος που χρησιμοποιούμε, προκειμένου να ελέγξουμε αν το σύστημά μας παρουσιάζει DNS leaks μπορούμε απλά να επισκεφθούμε την ιστοσελίδα https://torguard.net/vpn-dns-leak-test.php. Αν στους name servers που θα δούμε εκεί απουσιάζουν εκείνοι του ISP μας και του τοπικού δικτύου εντός του οποίου βρισκόμαστε, τότε δεν υπάρχει DNS leak. (Δεν έχουμε λόγο ανησυχίας αν οι name servers που ανιχνευτούν είναι εκείνοι της Google ή/και της OpenDNS.)

Ακόμη κι αν κατεβάζουμε torrents μέσω VPN, αυτό δεν σημαίνει ότι η διεύθυνση IP που έχουμε πάρει από τον ISP μας είναι αδύνατον να διαρρεύσει.

Ακόμη κι αν κατεβάζουμε torrents μέσω VPN, αυτό δεν σημαίνει ότι η διεύθυνση IP που έχουμε πάρει από τον ISP μας είναι αδύνατον να διαρρεύσει. Κάτι τέτοιο ίσως συμβεί εξαιτίας κάποιου ύπουλου bug στον BitTorrent client που χρησιμοποιούμε. Ίσως πάλι ο απομακρυσμένος OpenVPN πέσει, οπότε ξαφνικά θα βγαίνουμε στο Internet μέσω του ISP μας. Αν το όποιο τοπικό firewall επιτρέπει στον BitTorrent client να κατεβάζει μέσω μη-κρυπτογραφημένου network interface, τότε η δραστηριότητά μας ξαφνικά θα είναι ορατή στον ISP. Ένας τρόπος προκειμένου να βεβαιωθούμε για τη δημόσια διεύθυνση IP που έχουμε καθώς κατεβάζουμε κάποιο torrent με τον αγαπημένο μας client, είναι να πάμε πρώτα στη διεύθυνση https://torguard.net/checkmytorrentipaddress.php και να πάρουμε το torrent file που δίνεται από εκεί. Το συγκεκριμένο αρχείο θα το φορτώσουμε στον BitTorrent client της επιλογής μας. Δεν πρόκειται να κατέβει κάτι, στους trackers όμως θα δούμε το δημόσιο IP που έχει ο client. Αν είναι διαφορετικό από εκείνο που μας έχει δώσει ο ISP, τότε όλα είναι καλά. Αν *δεν* είναι διαφορετικό, βεβαιωνόμαστε κατ’ αρχάς ότι η σύνδεσή μας προς το TorGuard είναι ενεργή. Ίσως επίσης χρειαστεί να ελέγξουμε και για διαθέσιμες ενημερώσεις για τον BitTorrent client. Για τις δοκιμές μας εμείς χρησιμοποιήσαμε το Tixati για Windows κι όλα πήγαν καλά. Επιτυχημένη δοκιμή κάναμε και με το Transmission για OS X. Στο δεύτερο άρθρο της σειράς μας, όπου στήνουμε ένα βολικό κι ασφαλές Seedbox, διασφαλίζουμε ότι όλα είναι καλά με τον BitTorrent client κι επιπρόσθετα φροντίζουμε ώστε να του μπλοκάρεται η πρόσβαση στο Internet, κάθε φορά που η σύνδεση προς τον OpenVPN server πέφτει.

Εξαιτίας του WebRTC leak bug ο web browser που χρησιμοποιούμε είναι δυνατόν ν' αποκαλύπτει την πραγματική, δημόσια διεύθυνση IP που έχουμε πάρει από τον ISP μας.

Το WebRTC (Web Real-Time Configuration) είναι ένα API που δημιουργήθηκε από το World Wide Web Consortium (W3C) κι επιτρέπει στους browsers να επικοινωνούν απευθείας για την υλοποίηση εφαρμογών chat, video calling, P2P filesharing κ.ά., χωρίς την ανάγκη για plugins. Πριν από έναν περίπου χρόνο το TorrentFreak αποκάλυψε ότι συγκεκριμένοι browsers που υποστηρίζουν το WebRTC πάσχουν από μια σοβαρή αδυναμία, η οποία οδηγεί στην κατάλυση της ασφάλειας των VPN tunnels μέσω της αποκάλυψης της δημόσιας διεύθυνσης IP που ο VPN client έχει πάρει από τον ISP. Μεταξύ άλλων browsers, η αδυναμία αφορά στους Firefox και Chrome και εκδηλώνεται κάτω από Windows. Το TorGuard lite VPN app για Windows παρέχει προστασία κατά του WebRTC leak. Από τις εκδόσεις για Linux και OS X η σχετική επιλογή απουσιάζει, αφού σ’ αυτές τις πλατφόρμες το WebRTC leak δεν εκδηλώνεται. Προκειμένου να ελέγξουμε αν είμαστε ευάλωτοι ως προς το WebRTC leak bug, αρκεί να πάμε μια βόλτα από το https://diafygi.github.io/webrtc-ips ή από το https://torguard.net/vpn-webrtc-leak-test.php. Σε κάθε περίπτωση, το δημόσιο IP που έχουμε πάρει από τον ISP δεν πρέπει να ανιχνευθεί.

Για τους ελέγχους μας δεν είναι απαραίτητο να καταφεύγουμε στις σελίδες που προτείνει το TorGuard.

Για τους ελέγχους μας δεν είναι απαραίτητο να καταφεύγουμε στις σελίδες που προτείνει το TorGuard. Παράδειγμα: Από το https://ipleak.net έχουμε δυνατότητα ελέγχου για IP/DNS/WebRTC leaks, ενώ τσεκάρουμε και τη δημόσια διεύθυνση IP που εμφανίζει ο BitTorrent client της προτίμησής μας.

Ένα από τα κλασικά τεστ που μας αρέσει να κάνουμε, πριν και μετά τη σύνδεση σε OpenVPN server: Ανίχνευση της διαδρομής (traceroute) από το μηχάνημά μας έως συγκεκριμένο server στο Internet.

Ένα από τα κλασικά τεστ που μας αρέσει να κάνουμε, πριν και μετά τη σύνδεση σε OpenVPN server: Ανίχνευση της διαδρομής (traceroute) από το μηχάνημά μας έως συγκεκριμένο server στο Internet. Στο παράδειγμα, βρισκόμαστε σε ένα μηχάνημα με Windows 10 κι από ένα Command Prompt Window τρέχουμε το tracert για το box.colder.xyz.

Καταπολέμηση του Deep Packet Inspection και killswitches
Εφαρμόζοντας τεχνικές Deep Packet Inspection (DPI) ένας ISP είναι εύκολο να διαπιστώνει αν οι πελάτες του χρησιμοποιούν κάποια τεχνολογία VPN. Σε ένα αγγελικά πλασμένο Internet, το DPI δεν θα απασχολούσε κανέναν πελάτη. Η πραγματικότητα όμως είναι λίγο διαφορετική. Για παράδειγμα, σε απολυταρχικά καθεστώτα το DPI εφαρμόζεται προκειμένου να επιτρέπεται ή να απαγορεύεται η πρόσβαση στο Internet για τους πολίτες. Αλλά και σε άλλες χώρες, συχνά το DPI επιστρατεύεται προκειμένου να αποθαρρύνεται η κρυπτογράφηση. Μπορεί, π.χ., κάποιος πελάτης να έχει αγοράσει σύνδεση στα 24Mbps, όταν όμως χρησιμοποιεί VPN tunneling ο ISP να του ελαττώνει την ταχύτητα στα 8Mbps (throttling).

Το TorGuard παρέχει τη δυνατότητα για το λεγόμενο Stealth VPN, κατά το οποίο τα κρυπτογραφημένα πακέτα μασκαρεύονται και δείχνουν ν’ αποτελούν μέρος απλής κίνησης HTTPS. Η ιδέα είναι ότι οι τεχνικές DPI από πλευράς ISP θα αποτυγχάνουν να κατηγοριοποιούν τα πακέτα του χρήστη, συνεπώς δεν θα μπλοκάρεται η πρόσβασή του στο Internet, ούτε θα περιορίζεται η ταχύτητα σύνδεσής του. Το Stealth VPN δεν υποστηρίζεται από όλους τους OpenVPN servers του TorGuard, συνεπώς αν μας ενδιαφέρει τότε θα πρέπει να επιλέξουμε τον κατάλληλο server. Στη λίστα του TorGuard lite VPN app, οι υπό συζήτηση servers έχουν στα δεξιά τους ένα εικονίδιο που μοιάζει με οθόνη ραντάρ. Παρεμπιπτόντως, ο γεωγραφικά εγγύτερος Stealth VPN server που βρήκαμε ήταν στο Άμστερνταμ.

Να αναφέρουμε τέλος και τα killswitches, μια εξαιρετικά ενδιαφέρουσα αλλά και χρήσιμη δυνατότητα του TorGuard lite VPN app. Χάρη σ’ αυτά, όταν για οποιονδήποτε λόγο χάνεται η σύνδεσή μας προς τον OpenVPN server, τότε μία ή περισσότερες εφαρμογές που εμείς έχουμε καθορίσει τερματίζονται αυτόματα. Σκεφτείτε, π.χ., ότι έχουμε αφήσει ένα μηχάνημα με Windows να κατεβάζει αμέριμνα, με χρήση του αγαπημένου μας BitTorrent client. Κάποια στιγμή ο απομακρυσμένος OpenVPN server εμφανίζει κάποιο πρόβλημα, με αποτέλεσμα η σύνδεσή μας προς αυτόν να διακοπεί. Τα Windows τότε θα συνεχίσουν να βγαίνουν στο Internet μέσω της κανονικής σύνδεσης προς τον ISP κι ο BitTorrent client θα συνεχίσει να κατεβάζει, προδίδοντας τη δραστηριότητά μας στον ISP. Θα γίνει, δηλαδή, ό,τι θέλαμε να αποφύγουμε — εκτός κι αν είχαμε φροντίσει να προσθέσουμε τον BitTorrent client στη λίστα των εφαρμογών που τερματίζονται κατά τη διακοπή της σύνδεσης VPN.

Στο δεύτερο άρθρο του αφιερώματος δείχνουμε πώς φτιάχνουμε ένα ευέλικτο Seedbox με Ubuntu Server για ανέμελο κι ασφαλές torrenting. Στο τρίτο και τελευταίο άρθρο ρυθμίζουμε κατάλληλα έναν pfSense-based router, ώστε να διατηρεί ενεργές περισσότερες από μία συνδέσεις σε OpenVPN servers του TorGuard. Έτσι, η δικτυακή κίνηση ενός πλήθους μηχανημάτων πίσω από το pfSense θα προστατεύεται αποτελεσματικά — κι αναλόγως της βασικής αποστολής του αντίστοιχου μηχανήματος.

6 Responses to “Στον αγώνα για ανέμελο torrenting, μέρος 1/3: Οι προδιαγραφές μιας ιδανικής λύσης και οι πρώτες δοκιμές”

  1. fmakias | 17/02/2016 at 15:47

    ποσο τυχαιο ειναι οτι πηραν ειδηση το download σου σε συνδυασμο με τα win10?λεω εγω τωρα ο συνωμοσιολογος….εκπληκτικα καλο αρθρο btw!!!!

    • subZraw | 17/02/2016 at 15:50

      Το downloading που πήραν είδηση είχε γίνει από Linux box. Όσοι συμμετέχουν σε swarms μόνο και μόνο για να καταγράφουν τις διευθύνσεις IP των συμμετεχόντων, δεν θα μπορούσαν να νοιάζονται λιγότερο για το OS που χρησιμοποιεί ο καθένας.

      • fmakias | 17/02/2016 at 22:26

        με μπερδεψαν οι φωτογραφιες.ακουγονται πολλα για τις πληροφοριες που στελνει το os γιαυτο το ειπα

  2. msofoulis | 29/02/2016 at 08:53

    Πολύ καλό και αναλυτικό άρθρο, μπράβο. Μια ερώτηση (αν το έχεις δοκιμάσει): το vpn unlimited κάνει την ίδια δουλειά; Εννοώ έχει τις δυνατότητες που γράφεις και παραπάνω;

  3. fireblade9 | 21/04/2017 at 00:18

    Καλησπέρα στην παρέα
    Το αρθρο σου πολύ καλό ειδικά για αυτούς που τώρα μαθαίνουμε.
    Εγω έχω δοκιμάσει μόνο το ipvanish και το expressvpn με το τελευταίο να έχει ικανοποιητικές ταχύτητες και τον πρώτο λίγο παίδεμα σε οτι αφορά το dnsleak .(Δεν ξέρω τη γνώμη έχεις για τις υπηρεσίες τους)

    Εχω μερικές απορίες αρχάριου
    Εκεί που λες οτι μπορείς να πληρώσεις και με bitcoin για την ανώνυμη συναλλαγή ως προς τον VPN provider , τι νόημα έχει αφού κάθε φορά που θα συνδέεσε σε αυτόν θα γνωρίζει την ip του ISP σου οτι συνδεθηκες ή δεν κρατάει ουτε αυτά τα στοιχεία έστω οτι συνδέθηκες σε αυτούς με την ip σου??

    Εάν έχεις transmission σε freenas μπορείς να εκμεταλλευτείς την δυνατότητα killswitches με κάποιο τρόπο??

    Το IPsec VPN που εχει το router μου μπορεί να υποστηρίξει τις παραπανω υπηρεσίες??

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων