עס איז צייט צו רעדן וועגן VPNs - חלק (2)

ארטיקלען און באטראכטונגען איבער דער חרדי'שער געזעלשאפט און קולטור
רעאגיר
באניצער אוואטאר
טאמבל סאס
שריפטשטעלער
שריפטשטעלער
הודעות: 4200
זיך רעגיסטרירט: דאנערשטאג מערץ 08, 2012 7:59 am
געפינט זיך: נישט דאס פלאץ.
האט שוין געלייקט: 7123 מאל
האט שוין באקומען לייקס: 3584 מאל

עס איז צייט צו רעדן וועגן VPNs - חלק (2)

שליחה דורך טאמבל סאס »

עס איז צייט צו רעדן וועגן VPNs - חלק (2)

(פאר א לינק צו חלק 1, זעה דא)

ובכן, וועל איך צעטיילן די קומענדיגע טייל פון דעם ארטיקל אין פיהר חלקים און פרובירן זיך קאנצעטרירן אויף די טעקניקעל אספעקטס נאר אויף וויפיל ס'איז נוגע פראקטיקלי אדער צו סעפארטן פארוואס כ'האב געקליבן דער ספעציפישער טול ארויס פון אן אנדערער:

* פארוואס דארפן מיר א VPN אויב מיר האבן TSL\SSL?

* וואס איז די ציהל פון א VPN און ווי אזוי ארבעט זי (ווי ווייט עס איז נוגע למעשה)?

* די פארשידענע קאמפאנענטס דערפון, טעכנישע אספעקטן צו נעמען אין באטראכט, און וועלכע צו טשוזן (פון קאמפיטינג פראוויידערס אדער פראטאקאלן)?

* אלס א פעיד סערוויס ווערסוס אייגנס?


אויף ווי אזוי גענוי צו קאנפיגערן א VPN, דאס וועל איך לאזן פאר דעם באנוצער ווייל די קאנפיגערעישנס און וועלכע אפפערינגס צו נוצן דיפערן צופיהל געוואנדן לויט די סוירקומסטענסעס פון דער יוזער, זיין הארדוועיר און סאפטוועיר און אויך די גענויע בענעפיטס וואס ער וויל פון דעם VPN (למשל עקסעס צו געאגראפיקלי רעסטריקטעד קאנטענט ווערסוס פריוועסי). און אויך ווייל אינסטרוקציעס ווי אזוי גענוי צו קאנפיגערן, דאס קען מען לייכט אפירזוכן אנליין. מיין מטרה דא איז צו איבערצייגן די וויכטיגקייט דערפון און ווייזן ווי רעלאטיוולי לייכט און ביליג עס איז, זיך עס איינצוהאנדלען.

פארוואס דארפן מיר א VPN אויב מיר האבן HTTPS  (TSL\SSL)?

די איידיע פון א VPN  איז אז זי גיבט דיך א קאננעקשן איבער וואס דו ביסט אין טשארדזש און וואס פראטעקט דיך פון סנופּערס (מען אין די מידל אטאקע) אויף יעדן פלאץ וואס דו באנוצט זיך מיט דער קאננעקשאן. נישט קיין חילוק צו ס'איז פון דיין היים ראוטער אדער פון אן אינטערנעט קאפעי וכדומה. (פארשטייט זיך אזוי לאנג ווי דו האסט נישט געגיבן דיין קאמפיוטער צו עמיצען ווי 'טעג' זאל איר אינפעקטן מיט ספיי-וועיר)..

לאמיך מסביר זיין. HTTPS מאכט זיכער אז דיין קאננעקשאן מיט א גיווען וועבסייט וואס דו באזוכסט איז ענקריפטעד און דערפאר סעקיור. אבער דו ביסט נישט אין קאנטראל פון דער קאננעקשאן. עס איז תלוי אין די וועבסייט'ס אפערעיטער (און אלע סערוויסעס דער וועבסייט רופט/נוצט) אז זיי זאלן אויפסעטן די סעקיור קאננעקשאן ריכטיג. נאך מער, נאכנישט אלע וועבסייטס און סערוויסעס נוצן שוין HTPPS און אויך העלפט HTTP נאר פאר וועב טראפיק (אדער סיי וואס אימערער טעכנעלאגיע וואס נוצט HTTP). עס העלפט אבער נישט אויף למשל אנדערע אפליקאציעס וואס דו האסט מעגליך אינסטולירט אויף דיין קאמפיוטער/סמארטפאון/טאבלעט וכו', וואס דארפן/נוצן די אינטערנעט, און קענען נוצן א רייע (עטליכע אין דרייסיג און אפשר אפי' מער  - אויף די אפליקאציע לעיער) אנדערע קאננעקשאן פראטאקאלס און נישט HTTP, זיי זענען נישט ענקריפטעד. עטליכע מעשלים דערפון זענען אימיעל פאר א סטאַרט, ווידעאו קאנפרענצינג ווי למשל זום, און געמינג עפס. אין פאקט (?) יעדע עפפ וואס נוצט די UDP פראטאקאל (טראנספארט לעיער) וועט יעדע האָפ וואס די דאטא פּאקעט מאכט אויפ'ן וועג אין די נעטווארק (אויף דיין ISP’s ראוטערס/סערווערס), צווישן די מקור און די דעסטינעישן, ברויכן קאררעקטלי זיין קאנפיגערד און סעקיור פאר די דאטא פּאַקעט צו בלייבן סעקיור.

(נאכדעם איז וויכטיק צו פארשטיין אז (די מאדערנע מעטאדס פון) ענקריפשען, כאטש זיי זענען טאקע כמעט אוממעגליך צו ברעכן, ווען זיי ווערן אבער אין פראַקטיס גענוצט נישט סתם אלס א רויע אלגאריטם (ווי עס איז אויף פאפיר) נאר אלס א טייל פון א גרעסערע סעלושען (אדער אימפלעמענטעישן) וואס אפפערט כמה פיטשערס, געשריבן (קאוד) דורך צענדליגע מענטשן, אפטמאל אפּען סאורס (און אויך אפטמאל נוצענדיג שוין-עוועילבל לייברעריס און בּלעק-באקס פונקציעס וואס קענען מעגליך אנטהאלטן וואלנערביליטיס), וואס דארף ארבעטן אויף א רייע הארדוועיר און פירמוועיר פון כל מיני ווענדארס און ווערסיעס, מיט כל מיני אינטערעסן, במילא קענען זיך אזוי אריינכאפן באגס און הינטער-טירלעך, סיי אין די קאוד אדער אין די הארדוועיר און פירמוועיר, וואס קען אמאל פירן אז א העקער אדער מיטל-מאן זאל קענען אויסקרויזן אדער סוירקומווענטן די ענקריפשען און ערלויבן אז א פיינטליכע אויג זאל קענען לייגן א האנט אויף די דאטא אדער עכ"פ אויף די מעטאדאטא (ווי 'מאין באת ולאן אתה הולך') אהן דארפן ברעכן די ענקריפשען. און נאכדעם, די ענקריפשען מעטאדס אליינס גייען דאך אויך אריבער סייקלס וואו וואלנערביליטיס ווערן דיסקאווערט, קאמפיוטערס ווערן שנעלער, שליסלען ווערן לענגער א.א.וו. איך וועל שפעטער, ווען איך וועל רעדן פונוואספארא פראטאקאל צו קלויבן פאר די VPN, מער רעדן דערפון.

דערפאר איז אבער וויכטיק צו גיין מיט א פראטאקאל וואס נוצט אן ענקריפשן מעטאד וואס איז די פשוטסטע (טעקניקלי ספיקינג: האט א פארהעלטניסמעסיג קליינע קאוד בעיס און ארדינערילי: אפפערט נישט אזויפיהל פיטשערס און איז נישט [נאכנישט] עוויעלעבל פאר אזויפיהל פלאטפארמעס) און איז דאס בעסטע טעסטעד (וואס איז באמת א שטיקל סתירה ווייל די עלטערע, און די געווענליך מער קאמפלעקס וואָנס, זענען בעסער טעסטעד; אבער בעסער טעסטעד מיין איך פון צווישן די זעלבע קלאס פון מעטאדס, למשל 'נייערע'). און דערפאר איז אויך וויכטיג אז דו ביסט באלעבוס אויף די ענקריפטעד קאננעקשאן און נישט למשל דער וועבסייט וואס דו באזוכסט ווייל אויב דו לאזט עס פאר א צווייטן, ווייסטו נישט וואס יענער האט ארומגעשפיהלט דערמיט עס נאר צומאכן אויסזעהן ווי ס'איז סעקיור אבער אינ'אמת'ן ביסטו אפשר טראנספערנט. אויכעט, אפילו אויב יענער האט עס יא ריכטיג סעקיורד און פרובירט דאס בעסטע, ווייסטו נישט אויב סייבער קרימינאלן האבן אפשר געהעקט זיין נעטווארק משא"כ ביי דיר וואס די וועקטאר פון ריסק און אינטערעסע איז געווענליך אסאך קלענער.)

צום לעצט, און מערסט וויכטיג ברויך מען פארשטיין אז אויב די וועבסייט האט נישט ליב וואס דו טוסט אדער ווער דו ביסט (און זיי ווייסן דאס ווייל זיי זענען דאך דיע וואס דיקריפטן דיין דאטא און קענען זעהן דיין IP אדרעס; אגב, ליהוי ידיעה אז עס עקזעסטירט אַן אָף די שעלוו סאפטוועיר אדער פּלאָגין וואס ערלויבט קאוועשטיבל מנהלים צו לייענען יעדנ'ס פריוואטע הודעות אויף דער סייט. נישט אז זיי האבן דאס אינסטולירט אבער ס'געפינט זיך אזא מציאות) אדער אויב דער ISP (וואס קען אויך לייענען דיין אדרעס, הגם נישט דיין דאטא – אויב איז עס ענקריפטעד) גלייכט נישט וואו דו באזוכסט צו אפילו אויב דער עפפ אדער טול וואס דו נוצט זיך צו קאננעקטן צו די אינטערנעט, א שטייגער ווי וואטסעפפ, שמעקט נישט דיין נאז (אויב טוען זיי זעלבסט נישט ענקריפטן דיין דאטא און מחשיב זיין פריוועסי) קענען זיי און אין אסאך קאנטריס דארפן זיי, זיך פארבונדן מיט די אויטאריטעטן און זיי איבערגעבן דיין דאטא און אידענטיט, רוב מאל אהן דיך אפי' מודיע זיין (וואטסעפ איז נאר א משל ווייל זיי דוכט זיך ענקריפטן יא דיין דאטא ענד טו ענד). און די זעלבע פארקערט, אויב עמיצער אין א גאווערנמענט עידזשענסי כאפט אן אינטערעסע אין דיך, ווייל דו האסט אמאל געזאגט ליגנט אויף א סעקשן 8 אפליקאציע, ווייל עפעס ביי דיין באזוך מיט דיין קינד ביים דאקטער האט געהויבן אויגן-ברעמען אדער ווייל דיין באנק האט דעטעקט אנאמיליס אין דיין אקאונט און באריכטעט צו די טעקס-מען וואס האט דאן פארווערדעד דיין נאמען צו די ענפארסמענט עידזשענסיס, מעגן זיי קאנטאקטן דיין ISP און פארלאנגען די לעצטע זאלן זיי לאזן שפיאנירן אויף דיינע אינטערנעט קאמיוניקאציע אהן דיין וויסן.

אין פאקט, עס עקזעסטירן שוין אינטער-קאנטינענטל טולס, פראיעקטן און אָפמאַכן אין פלאץ וואס לאזן די אויטאריטעטן און שפיאנאזש אגענטורן זיך אונטערהערן, זאמלען און אנאלאזירן מענטשנ'ס קאמיונאקאציע קודם המעשה מיט די ציהל [אויסרייד] צו דערשמעקן קריים און טעראר בעפאר זי געשעהט און זיי אזוי פארמיידן (עיין 14-Eyes). ווי איז עס אויב דער שיינער איד אין דיין שוהל ביים מזרח וואנט האט געכאפט א דיס-לייקינג צו דיר און הויבט אויף א טעלעפאן צו זיין קאנטאקט וואס ער האט געמאכט אין די לאקאלע פאליציי בריגאדע (צו מיט א קאנטאקט וואס ער האט געמאכט אין איינע פון די גרויסע טעכּ קאמפאניס ווי גוגל, פעיסבוק אדער מייקרעסאפט) און בעהט פון אים א קליינטשיקע טובהלע, ער זאל דיר אויפזוכן אין דאטאבעיס און לייגן א טעבּ אויף דיינע אינטערנעט אקטיוויטעטן?! אוודאי איז דא געזעצן ארום סובפינעס און מודיע זיין א דזשאדזש איידער זיי מעגן דיך טעפּן אבער אין פראקטיס געשעהט דאס נאר ווען זיי ווילן ערגעץ גיין דערמיט, דהיינו זיי פלאנען צו ברענגען אן עקשועל קעיס און זיך באנוצן דערמיט אין געריכט. ווען זיי ווילן זיך נאר באנוצט מיט די אינפארמאציע כדי צו אויסרעכענען דיינע שריט, דיך קאנטראלירן אדער סתם פאר נייגעריגקייט און פּערווערטעדנעס, ווי אונזער מזרח-וואנט איד, דעמאלס וועסטו קיינמאל נישט וויסן דערפון סיידן אויב דו האסט אן אויסנאמע חוש הריח, אינטואישן, און סייעתא דשמיא צו באמערקן אז דיינע שונאים זענען אייביג א טריט פאראויס פון דיר..

נחזור לענינינו, דערנאך איז דא WIFI קאננעקשאנס, עספעשעלי ווען דו נוצט עמיצן אנדערשנ'ס WIFI ווי למשל ביים דאקטער, עירפארט אדער קאפי שאפּ. דארט דארפסטו אויך ענקריפשן צווישן דיין מאשין און די ראוטער ווייל יענעם'ס ראוטער מעג מען נישט טראסטן חוץ מזה וואס די ראטוער קען איינפאך זיין א פיינעפל אטאקע.

א VPN טוט ענקריפטען אלצדינג, אויף יעדע לעוול און פון יעדן פלאץ, פון די פריעסטע אָרידזשין אין די קאננעקשאן, אדורך דיין ISP און סיי וועלכע אנדערע סנופער, ביז ווען עס קומט ארויס פון דיי VPN פראוויידער'ס סערווער, רעדי צו פארן צו די דעסטינעישן פון די גיווען וועבסייט אדער אינטערנעט סערוויס/סערווער וואס דו ווילסט נוצן; אפטמאל דינענדיג ווי אן עדישענעל לעיער צו די ענקריפשען אלגאריטמס וואס דו נוצט שוין במילא – א שטייגער ווי DES3, EAS  אדערRSA  נאר דאסמאל מיט אן אנדערע מעטאד ווי למשל Diffie-Hellman  אדער  ECC(יא ECC עקזעסטירט שוין אויך פאר VPNs, אין דער Wire Guard אימפלעמענטעישן); אדער עטליכע לעיערס פון א קאמבינאציע, די זעלבע, אדער ענליכע ענקריפשען מעטאדס (א שטייגער ווי Open VPN  וואס נוצט אויך TSL, וואס HTTPS נוצט היינט).  

קלארמאכונג:  נישט אז מען קען נישט נוצן די דאזיגע אלגאריטמס סיידן אויב מען נוצט ,VPN נאר צוזאגן אז אפטמאל פראוויידט עס אן עדישענל און אנדערע מעטאד פון ענקריפשען פון וואס דו האסט עוועילעבל (און מיט וואס דו קענסטיך נישט אלעמאל וועלן) אהן די VPN. ווי אויך איז אמת אז ווען איך זאג א VPN ענקריפטעד אלצדינג איז נאכאלס געוואנדן וואו דו אינסטאלירסט עס, אין די וועב בראוזער, עז עי אפליקאציע אדער אין די ראוטער? אבער נקודה: וואס ס'גייט איר אדורך איז כולה ענקריפטעד, פון דיר ביז צו די VPN סערווער. ד.ה. אויב אויף די וועב בראוזער, דאן איז אלס וואס דו טוסט אויף יענע וועב בראוזער ענקריפעד, אויב אויף די אפליקעישן לעוול, דאן אלע דיינע אפליקעישנס אויף דער דעווייס און אויב אויף דיין ראוטער, דאן אלע דעווייסעס וואס זענען קאננעקטעד צו דער ראוטער.

וואס איז די ציהל פון א VPN און ווי אזוי ארבעט זי (ווי ווייט עס איז נוגע למעשה)?

די ציהל פון א VPN איז א צווייפאכיגע:  איינס, צו ענקריפטן אדער פארשליסן דיין דאטא, קיינער זאל עס נישט קענען, היידזשעקן און  לייענען איפ'ן וועג ביז צו די דעסטינאציע און צוויי, דיך צו האלטן אנאנים, אז קיינער אינדערמיטן, אפילו אז ער זעהט די דאטא (נישט אז ער קען עס לייענען, נאר באטראכט די ענקריפשן ווי כאילו עס באשאפט א טונעל אין וועלכע דער דאטא פארט; ער זעהט דעם טונעל אבער נישט וואס איז אין איר) זאל ער נישט וויסן פון וואו דער דאטא קומט און וואו עס גייט. (חוץ דער VPN פראוויידער פארשטייט זיך אבער אויך נישט אלעמאל און אפילו ווען יא, נאר צייטווייליג – ווי איך וועל שפעטער מסביר זיין).

די ענקריפשען ווערט דערגרייכט אזוי ווי יעדע ענקריפשען וואס איז ביסוד סימעטריק, עי-סימעטריק אדער א הייבריד פון די צוויי. ענקריפשן איז ביסודו א שלאס מיט וואס די דאטא ווערט פארשלאסן אזוי אז נאר דו און דער רעסיפיענט קענען עס לייענען. די שלעסער קענען זיין פון צוויי סארטן. אדער א שלאס אין וועלכע ביידע פון אייך ברויכן די זעלבע שליסל (און דאן ברויך מען פאר די שליסל זעלבסט אויפקומען מיט א וועג איר צו פארשליסן און אייך ערלויבן אויפצוטוישן דעם שליסל איידער איר טוישט אויס צווישן זיך, די דאטא זעלבסט) – סימעטריק; אדער א שלאס וועלכער האט צוויי שליסלען: איינס מיט וועלכער מען פארשליסט איר און די צווייטע מיט וועלכע מען עפנט איר. די וואס מען נוצט צו פארשליסן איז פובליק פאר יעדעם איינעם צו נוצן (ד.מ. שטעל דיך פאר א פאסט קעסטל מיט א שלאס, יעדער קען פאר מיר אוועקלייגן א בריוועלע דארטן און פארשליסן. די פארשליסונגס-שליסל הענגט נעבן דעם פאסט-קעסטל) אבער די אנדערע, מיט וועלכע מען עפנט איר, ליגט נאר ביי מיר און נאָר איך קען איר אויפפענען – עי-סימעטריק. און מען קען די שליסלען איבערנוצן וויפיהל מאל מען וויל. פארשטענדליך אז יעדע מענטש האט זיך א פּארל פון די שליסלען. מאדערנע ענקריפשען מעטאדס זענען פארשטענדליך אסאך מער קאמפליצירט ווי דעם און באשטייען געווענליך פון מערערע אויסטוישנגען פון וויכטיקע וועריפיקעישן און אויטענטיקעישן אינפארמאציע, איידער די דאטא ווערט עקסטשעינדזשד, וואס ווי געזאגט קענען זיי נוצן מערערע ענקריפשען מעטאדס, אדער הייברידס, צוזאמען.

די אנאנימיזירונג פון דיין אידענטיטעט; ד.ה. פון וואנעט דער קאננעקשן איז ארויס און דערפאר מי הוא זה וואס זוכט צו גיין צו 'דער און דער' אנגעגיבענער דעסטינאציע אדער 'ווער איז עס' דער באלעבוס פון די דאטא?, קומט פון דעם וואס אנשטאט דיין ISP זאל ווי כאילו צושטעלן די וויעקהל (די אויטא) וואס זאל טראגן דיין דאטא פון דיר ביז וואו (למשל וועלכע וועבסייט) דו ווילסט גיין, טוט דאס פאר דיר דער VPN פראוויידער, מיט דער ISP דינענדיג ווי א מיטל-מאן אינדערמיט (אדער ווי דער דרייווער פון דער וויעקהל אבער אצינד פארט דער וויעקהל (אדער יעצט-קאמופלאזשטער וויעקהל צוליב ענקריפשען) צו דיין VPN פראוויידער אנשטאט, און פון דארט און ווייטער קען א צווייטער, דער VPN’s, ISP איבערנעמען. דיין ISP (אדער סיי וועלכער וועמען ער אדער דו נוצט אויפ'ן וועג (ווי למשל געז סטאנציע =  נעטווארק אינפראסטרוקטור, פאספארט אויטאריטעטן = גאווערנמענט סוירוועילענס), האט יעצט נישט קיין אהונג איבער די קאנטרעבּענט (פּאָן אינטענדעד) וואס ער דרייווט פאר דיר אין די וויעקהל, און אויכעט ווייסט ער נישט אוואוהין עס גייט. דיין ISP קען זעהן די צייטן ווען דו קאננעקסט, צו דיין VPN פראוויידער/סערווער, (3 אינמיטן די נאכט) און ווילאנג דער קאננעקשאן נעמט (פינף שעה – מסתמא בינזש וואטשינג..) ער קען אויך זעהן ווי סאך בענדוויטה דו פארנוצט (מסתמא סטריעמינג אדער טאררענטינג א בלו-רעי) אבער ער ווייסט נישט וועם דו באזוכסט (אדאנק די הילף פון די VPN סערווער); אויך ווייסט ער נישט פארוואס דו נוצט די בענדוויטה, דהיינו וואס דו טוסט דערמיט.

יעצט א גוטע פראגע איז: וואס איז מיט דיין VPN פראוויידער?  ער קען דאך יא לייענען דיין דאטא? ער ווייסט דאך יא וואו עס גייט? איז לאמיר ענטפערן די צוויי פראגעס באזונדער. צו ער קען לייענען דיין דאטא?  לאו דוקא. געדענק אז די ענקריפשען וואס ער לייגט ארויף (נאך ווען די דאטא איז ביי דיר, אויף דיין קאמפיוטער, מיט די סעלושען וואס ער גיבט דיר) איז נאָר נאך א לעיער פון ענקריפשען בנוסף צו דאס (און צומאל מער פון איינס) וואס דו נוצט שוין [האפענטליך] סייווי: אויב דו באזוכסט אן HTTPS סייט (מערק די באלד) און נאך איינס, אויב דו מאכסט א בענק פּעימענט אדער מאני טרענספער דורך אן אפיציעלע 'געיטוועי' און א דריטע אפשר אויב דו שיקסט אן אימיעל מיט PGP ענקריפשען. און אפילו אויב געוויסע מעטאדאטא (אינפארמאציע וועגן די דאטא וואס דו שיקסט: למשל דער רעסיפיענט אדרעס פון א אימיעל) איז נישט ענקריפטעד איז אבער די מערסטע פון די תוכן שוין יא ענקריפטעד נאך פאר די VPN. איי, דיין IP אדרעס און צו וועמען דו שיקסט? נו, דערפאר האסטו דאך אים געקליבן, אז ער, דער VPN פראוויידער, זאל זיין אין פלאץ פון דיין ISP. עמיצען וועסטו דאך מוזן טראסטן אין די ענד מיט די אינפארמאציע?! יעצט שטעלט זיך די פראגע, וועמען צו טראסטן? וועלכע VPN פראוויידער צו טשוזן? און די קומענדיגע חלק וועל איך רעדן וועלכע און ווי-אזוי צו טשוזן.
אויב דו מיינסט אז די נומערן וועלן אלעמאל זיגן - דערמאן דיך נאר וויפיל מענטשן די גאז קאמערן האבן געקענט פארנעמען אין א איינצלנע טאג? 10,000 לכל הדעות.
רעאגיר