<
  • Главная
Статьи

Анонімний веб-серфінг - користь і шкода анонімайзерів (частина 1)

У цій статті автор описує, як анонимайзер або анонімізуючих проксі дозволяє обійти політики брандмауера і поставити під загрозу три головних властивості інформаційної безпеки мережі підприємства: конфіденційність, доступність і цілісність. Але з іншого боку, анонимайзер може приносити і користь: він допомагає приховувати ваш IP-адресу під час перегляду сайтів.

GIAC (GSEC) Gold Certification

Автор: Пітер Чоу (Peter Chow), [email protected]

Консультант: Хамед Кіабані (Hamed Khiabani)

І великі і маленькі компанії витрачають величезні кошти на те, щоб бути впевненими: їх мережеві ресурси і Інтернет-з'єднання використовуються за призначенням. Компанії наймають кращих професіоналів в області інформаційних технологій, але навіть самий технічно неосвічений користувач зможе знайти хитрий спосіб обійти політики брандмауера і отримати доступ до заблокованих веб-сайтів. У цій статті автор описує, як анонимайзер або анонімізуючих проксі дозволяє обійти політики брандмауера і поставити під загрозу три головних властивості інформаційної безпеки мережі підприємства: конфіденційність, доступність і цілісність. Але з іншого боку, анонимайзер може приносити і користь: він допомагає приховувати ваш IP-адресу під час перегляду сайтів.

1. Введення

1.1. дилема

І великі і маленькі компанії витрачають величезні кошти на те, щоб бути впевненими: їх мережеві ресурси і Інтернет-з'єднання використовуються за призначенням. Компанії наймають кращих професіоналів в області інформаційних технологій, але навіть самий технічно неосвічений користувач зможе знайти хитрий спосіб обійти політики брандмауера і отримати доступ до заблокованих веб-сайтів. У цій статті описує, як анонимайзер або анонімізуючих проксі дозволяє обійти політики брандмауера і поставити під загрозу три головних властивості інформаційної безпеки мережі підприємства: конфіденційність, доступність і цілісність. Але з іншого боку, анонимайзер може приносити і користь: він допомагає приховувати ваш IP-адресу під час перегляду сайтів.

1.2. Ввідна інформація

Анонімайзери (або анонімізуючих проксі) - це програмні продукти і сервіси, які можуть приносити як користь, так і шкоду. Анонімайзери надають можливість анонімно подорожувати по мережі шляхом підміни справжнього IP-адреси користувача. Анонімайзери також можуть обходити фільтри безпеки, встановлені політиками брандмауера (ACL-листи) і отримувати доступ до заборонених веб-сайтів або передавати інформацію без відома організації, порушуючи тим самим три основних властивості інформаційної безпеки.

Все, що потрібно зробити користувачеві, так це встановити проксі додаток і налаштувати в веб-браузері адресу проксі. Потім, при спробі доступу до веб-сайту, комп'ютер з'єднується з проксі-сервером, обходить політики брандмауера і заходить на заблокований сайт.

Перший анонимайзер - Anonymizer.com - розробив в 1997 році Ленс Котрелл в процесі роботи над своєю дисертацією з астрофізики в каліфорнійському університеті в Сан-Дієго. Коттрелл ратував за анонімність в мережі, і саме він заснував проект Kosovo Privacy Project, що дозволяє користувачам анонімно і безкарно повідомляти про події Косівської війни 1999 року (Cottrell, 2011).

З ростом популярності Інтернету, все більше і більше людей ставляться до мережі, як до головного джерела інформації. Також зростає роль і комунікаційних сервісів: електронної пошти, чатів, миттєвих повідомлень (IM), соціальних мереж (Facebook, Twitter). Електронна комерція та онлайн-банкінг - це ще дві області, які змінили підхід користувачів до ведення бізнесу та управління своїми персональними даними. Безліч веб-сайтів сьогодні збирають інформацію про те, які саме ресурси відвідує користувач при подорожі по глобальній павутині. Записується практично все: починаючи від IP-адреси користувача, закінчуючи тим, скільки часу він провів на конкретному сайті. Кожен клік миші на сайті приносить цінну (і в грошовому плані теж) інформацію, за яку готові заплатити зацікавлені компанії. Багато людей вже знають, що інформація про них збирається, зберігається в cookies, а потім вирушає в комерційні та рекламні компанії типу DoubleClick або Adbot. Обережні користувачі включають анонімізуючих програмне забезпечення і сервіси, щоб зберігати конфіденційність і замаскувати своє реальне місце розташування і IP-адреса. Ще одна причина, по якій варто маскувати IP-адреса, полягає в тому, що маскування додає ще один рівень захисту від хакерів під час подорожі по мережі. Проте, у Анонімайзера є і побічні ефекти, і цими ефектами з полюванням скористалися винахідливі користувачі: анонимайзер дозволяє обійти корпоративний міжмережевий екран і отримати доступ до заблокованих сайтів. На рисунку 1 показано, як міжмережевий екран блокує сайт.

На рисунку 1 показано, як міжмережевий екран блокує сайт

Малюнок 1. Попередження

На рисунку 2 зображено, як анонимайзер обходить правила брандмауера.

Малюнок 2. Обхід ACL-правил

2. Принципи роботи

2.1. Приклад роботи Анонімайзера

Робоча станція в мережі, як правило, підключається до комутатора, а комутатор - до маршрутизатора. На маршрутизаторі для запобігання неавторизованих підключень може бути налаштований міжмережевий екран або проксі-сервер. На рисунку 3 зображена ситуація, коли користувач зі своєї робочої станції намагається відкрити сайт www.youtube.com. В ACL-правилах прописано дозволяти доступ на www.youtube.com , Отже, користувач зможе зайти на бажаний сайт.

com   , Отже, користувач зможе зайти на бажаний сайт

Малюнок 3. Дозволені веб-сайти

На рисунку 4 відображена зворотна ситуація: доступ до www.youtube.com заборонений. Брандмауер заблокує з'єднання, а в веб-браузері користувача з'явиться відповідне повідомлення.

Малюнок 4. Заборонені веб-сайти

На рисунку 5 показана ситуація, коли користувач для доступу до www.youtube.com скористався Інтернет-анонімайзером (проксі-сервером). Комп'ютер з анонімайзером встановлюють захищене з'єднання, що дозволяє користувачеві обійти ACL-правила і вільно подорожувати по мережі непомітно для брандмауера. В результаті міжмережевий екран навіть не підозрює, що користувач заходить на заблоковані веб-сайти.

В результаті міжмережевий екран навіть не підозрює, що користувач заходить на заблоковані веб-сайти

Малюнок 5. Доступ до забороненого сайту через анонімайзер

2.2. Як здійснити задумане

Існує безліч програм і сервісів-анонімайзерів. Деякі з них поширюються безкоштовно (наприклад, proxify.com), за інші доведеться заплатити. JonDonym, наприклад, має місячну абонентську плату, розмір якої залежить від обсягу трафіку. Як приклад для цієї статті була обрана безкоштовна версія анонімізуючих проксі-сервера JonDonym - (JAP) AN.ON.

(JAP) AN.ON - це дослідницький, безкоштовно розповсюджуваний проект. Додаток написано на Java, завдяки чому (JAP) AN.ON можна встановлювати на різні операційні системи, в тому числі і на Windows, Macintosh, OS / 2, Linux / UNIX та ін.

JAP дозволяє анонімно і непомітно подорожувати по мережі. Проксі-сервера JAP розташовані по всьому світу (JAP, 2012). Завантажити JAP можна з сайту http://anon.inf.tu-dresden.de/index_en.html (Див. Додаток А). Після скачування зверніться за процесу установки (див. Додаток B).

2.3. Заблоковані веб-сайти

Компанії налаштовують свої міжмережеві екрани, виходячи з безлічі чинників. Один з факторів - запобігання атак на мережеві ресурси компанії. Інший фактор - обмеження доступу внутрішнім користувачам до неприйнятним або шкідливим веб-сайтів.

У наступному прикладі корпоративний міжмережевий екран забороняє доступ до сайту http://www.anonymizer.com . Коли користувач намагається відкрити вказаний сайт, у вікні його браузера з'являється попередження "Security risk blocked for your protection", і доступ до сайту буде заборонений, см. Малюнок 6.

Малюнок 6. Попередження брандмауера про заблокованому сайті

Визначте налаштування свого IP-адреси. Відкрийте Windows Internet Explorer і введіть www.whatismyip.com в адресний рядок. На сайті відобразиться ваш IP-адреса: 45.112.164.5 (адреса в цілях безпеки був змінений), см. Малюнок 7 (Whatismyip.com, 2012).

com, 2012)

Малюнок 7. Визначення IP-адреси

2.4. запуск JAP

Для маскування своєї IP-адреси запустіть і налаштуйте додаток JAP.

Крок 1: Відкрийте сторінку з іконці програми JAP, щоб запустити програму, см. Малюнок 8.

Малюнок 8. Іконка програми JAP

Крок 2: Щоб включити службу анонімності, клікніть по радіокнопку "On", див. Малюнок 9.

Малюнок 9

Малюнок 9. Інтерфейс програми JAP

Крок 3: У списку оберіть місце розташування і сервер анонімізації: "FreeBee-Bozlano", див. Малюнок 10.

Малюнок 10. Вибір сервера анонімізації

Крок 4: Налаштуйте Windows Internet Explorer на використання проксі. Відкрийте Internet Explorer, натисніть кнопку "Tools", а потім "Internet Options", див. Малюнок 11.

Малюнок 11

Малюнок 11. Налаштування проксі-сервера в веб-браузері

Крок 5: У вікні "Internet Options" виберіть вкладку "Connections", а потім клацніть на кнопці "LAN settings", див. Малюнок 12.

Малюнок 12. Вибір налаштувань LAN

Крок 6: В поле "Proxy server" поставте галочку "Use a proxy server for your LAN". В поле адреси введіть "localhost", а в полі порту "4001". На закінчення настройки натисніть кнопку "ОК" і закрийте вікно "Internet Options", див. Малюнок 13.

Малюнок 13

Малюнок 13. Налаштування IP-адреси і порту проксі-сервера

Зауваження: Знімайте галочку "Use a proxy server for your LAN", коли ви не працюєте з проксі-сервером, інакше звичайні з'єднання встановлюватися не будуть.

Крок 7: Протестуємо настройки проксі-сервера. Знову відкрийте Internet Explorer і введіть www.whatismyip.com в адресний рядок. Тепер ваш IP-адреса не 45.112.164.5, а 178.33.255.188, і перебуваєте ви не в Сполучених Штатах, а у Франції, см. Малюнок 14 (Whatismyip.com, 2012).

com, 2012)

Малюнок 14. Перевірка IP-адреси з включеним проксі

2.5. Доступ до заблокованих веб-сайтів

Тепер в адресному рядку Internet Explorer введіть URL http://www.anonymizer.com . Зараз міжмережевий екран не блокує сайт, і ніякого попереджуючого повідомлення у вікні браузера ми не спостерігаємо, см. Малюнок 15 (Anonymizer.com, 2012).

com, 2012)

Малюнок 15. Отримання доступу до заблокованого веб-сайту за допомогою проксі

посилання

  1. Lance Cottrell, From Wikipedia, the free encyclopedia, (October 2, 2011). Retrieved from http://en.wikipedia.org/wiki/Lance_Cottrell
  2. EC-Council Press, Ethical Hacking and Countermeasures, Cengage Learning (2010) Livinginternet.com, How Anonymizers Work Retrieved from http://www.livinginternet.com/i/is_anon_work.htm (2012)
  3. Anonymizer.com, knowledgecenter, Retrieved from http://www.anonymizer.com/knowledgecenter (2012)
  4. Fred Hapgood, Web Monitoring: Anonymizers vs. Anti-Anonymizers, Retrieved from http://www.csoonline.com/article/221589/web-monitoring-anonymizers-vs.-antianonymizers (2008)
  5. JAP, Protection of Privacy on the Internet, Retrieved from http: //anon.inf.tudresden. de / index_en.html (2012)
  6. JonDonym, Private and Secure Web Surfing, Retrieved from http: // anonymous-proxyservers. net / (2012)
  7. What is My IP, Shows Your IP Address, Retrieved from http://whatismyip.com (2012) Proxify, Proxify® anonymous proxy protects your online privacy, Retrieved from http://proxify.com (2012)
  8. Carolyn Pearson, The "Great Firewall" of China, A Real National Strategy to Secure Cyberspace ?, GIAC practical repository (2004)
  9. Wireshark, The world's foremost network protocol analyzer, Retrieved from http://www.wireshark.org/ (2012)
  10. Websense, V-Series appliance, Retrieved from http://www.websense.com/content/appliances.aspx (2012)
  11. Network Chemistry, Inc., Packetyzer Software, Retrieved from http://www.gotoassist.com (2012)
  12. Informer Technologies, Inc., Software.informer, Network Chemistry Packetyzer, Retrieved from http://network-chemistry-packetyzer.software.informer.com (2012)
  13. Microsoft Support, The Basics of Reading TCP / IP Trace, Retrieved from http://support.microsoft.com/kb/169292 (2012)
  14. Cisco, Cisco IPS 4200 Series Sensors, Retrieved from http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5729/ps5713/ps4077/ps9157/pro duct_data_sheet09186a008014873c_ps4077_Products_Data_Sheet.html (2012)
  15. Nevis Network, An Architectural View of LAN Security: In-Band versus Out-of-Band Solutions, Retrieved from http://www.nevisnetworks.com/content/white_papers/Inband% 20vs% 20Out-of-band.pdf (2007 )
  16. Sourcefire, Snort, Retrieved from http://www.snort.org/ (2012)
  17. John Brozycki, Detecting and Preventing Anonymous Proxy Usage, http://Sans.org, Reading Room (2008)
  18. Nicholas Pappas, Network IDS & IPS Deployment Strategies, Retrieved from http://www.sans.org/reading_room/whitepapers/detection/network-ids-ips-deploymentstrategies_2143 (2008)

Далі буде...

Додаток A. Завантаження JAP

Додаток B. Встановлення JAP



Новости
    Без плагина
    На сайте WordPress имеется файл, именуемый как .htaccess. Многие пользователи не предают ему особого внимания и не используют все его возможности. На самом деле файл .htaccess – это дополнительные конфигурации

    Плагин подписки wordpress
    Очень трудно найти один плагин подписки wordpress , который объединил бы в себе все виды подписок, которые так необходимы сайту. Именно поэтому я решил сделать подборку лучших плагинов, которые смогут

    Слайд-шоу с помощью плагина для WordPress UnPointZero Slider
    Плагин для cms WordPress UnPointZero Slider – новостной слайдер. Он отражает в форме слайд-шоу изображения со ссылками на ваши статьи и краткие выдержки оттуда. Его можно установить и на новостной сайт,

    Плагины для Wordpress
    С помощью этого плагина вы легко сможете интегрировать Google диск на ваш WordPress сайт или блог . Gravity Forms — лучший плагин для создания форм на WordPress, от самых простых (например, форма

    Подписки плагином JetPack: размещение и редакция формы подписки
    Вступление Здравствуйте! В этой статье я покажу, как использовать плагин JetPack для создания пользовательской формы подписки и как эту формы подписки плагином JetPack добавлять в статьи сайта, а при

    Чистка сайта WordPress плагином WP-optimize
    От автора Со временем использования система WordPress накапливает не нужные файлы, комментарии и неиспользуемые данные в базе данных. Эти файлы и данные создаются в процессе работы и нужны для этого,

    Возможности Jetpack плагина
    Вступление Возможности Jetpack плагина это более 30 функциональных модуля плагина, делающего его универсальным плагином WordPress, заменяющего аналогичные сторонние плагины. Jetpack один заменяет десятки

    Резервное копирование WordPress сайта без плагинов
    Вступление Резервное копирование WordPress это второе, что нужно научиться делать после установки WordPress. Можно сколько угодно говорить о безопасности сайта и его защите, но лучшего варианта защиты

    Плагины на приват для Майнкрафт ПЕ
    > > Плагины на приват для Майнкрафт ПЕ Порой всем нам хочется попробовать себя в роли администратора сервера и испытать эту ответственность, но, к сожалению, вы не всегда все знаете о создании

    Плагин WordPress Database Backup. Архивация базы данных блога на WordPress
    Привет друзья! Сегодня на очереди еще один простой, НО, необходимый и полезный плагин — плагин WordPress Database Backup , который с легкостью и самостоятельно произведет процесс, который научно называется:

  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью