Полное руководство по : безопасности/анонимности/конфиденциальности в сети. (Ваш IP адрес/Ваши запросы DNS и IP)

[EmiratesHR|Help]

Ваш IP-адрес:​

Отказ от ответственности: весь этот абзац касается вашего общедоступного IP-адреса в Интернете, а не IP-адреса вашей локальной сети.

Ваш IP-адрес — самый известный и очевидный способ, с помощью которого вас можно отследить. Этот IP-адрес — это IP-адрес, который вы используете в источнике. Здесь вы подключаетесь к Интернету. Этот IP-адрес обычно предоставляется вашим интернет-провайдером (xDSL, мобильный, кабельный, волоконно-оптический, кафе, бар, друг, сосед). В большинстве стран действуют правила хранения данных это предписывает вести журналы того, кто использует какой IP-адрес в определенное время / дату, на срок до нескольких лет или на неопределенный срок. Ваш интернет-провайдер может сообщить третьей стороне, что вы использовали определенный IP-адрес в определенную дату и время спустя годы после факта. Если этот IP (оригинальный) просочится в любой момент по какой-либо причине, его можно использовать для прямого отслеживания вас. Во многих странах вы не сможете получить доступ в Интернет, не предоставив провайдеру какую-либо форму идентификации (адрес, идентификатор, настоящее имя, адрес электронной почты…).

Излишне говорить, что большинство платформ (таких как социальные сети) также сохраняют (иногда на неопределенный срок) IP-адреса, которые вы использовали для регистрации и входа в их службы.

Вот некоторые онлайн-ресурсы, которые вы можете использовать, чтобы найти информацию о вашем текущем общедоступном IP -адресе прямо сейчас:

• Найдите свой IP:
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
    (Бонус, проверьте свой IP на наличие утечек DNS)
• Найдите свой IP-адрес или местоположение любого IP-адреса:
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
• Узнайте, является ли IP-адрес «подозрительным» (в черных списках) или скачал ли он «вещи» на некоторых общедоступных ресурсах:
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
    (Отнеситесь к этому с долей скептицизма, он может не показать ничего интересного и имеет ограниченные источники данных. Это больше для развлечения, чем для чего-то серьезного.)
• Регистрационная информация IP (скорее всего, ваш интернет-провайдер или интернет-провайдер вашего соединения, который, скорее всего, знает, кто использует этот IP-адрес в любое время):
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
• Проверьте наличие открытых сервисов или открытых устройств на IP-адресе (особенно если на нем есть дырявые смарт-устройства):
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
    (замените IP-адрес на свой или любой другой или измените в поле поиска, в этом примере IP-узел Tor Exit)
• Различные инструменты для проверки вашего IP-адреса, такие как проверка черных списков и многое другое:
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
• Хотите знать, подключены ли вы через Tor?
  • Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

По этим причинам вам нужно будет запутать и скрыть исходный IP-адрес (тот, который связан с вашей идентификацией) или скрыть его с помощью комбинации различных средств:

• Использование общедоступной услуги Wi-Fi (бесплатно).
• Использование сети анонимности Tor (бесплатно).
• Использование услуг VPN анонимно (анонимно за наличные или Monero).

Обратите внимание, что, к сожалению, эти решения не идеальны, и вы столкнетесь с проблемами производительности .

Все это будет объяснено позже в этом руководстве.

Ваши запросы DNS и IP:​

DNS означает «Система доменных имен» и представляет собой службу, используемую вашим браузером (и другими приложениями) для поиска IP-адресов службы. Это огромный «список контактов» (телефонная книга для пожилых людей), который работает так же, как спрашивая у него имя, и он возвращает номер для звонка. За исключением того, что вместо этого он возвращает IP.

Каждый раз, когда ваш браузер хочет получить доступ к определенной службе, такой как Google, через

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Ваш браузер (Chrome или Firefox) будет запрашивать службу DNS, чтобы найти IP-адреса веб-серверов Google.
подпадать под действие правил хранения данных или просто вести журналы по другим причинам (например, сбор данных в рекламных целях). Таким образом, этот интернет-провайдер сможет рассказать обо всем, что вы делали в Интернете, просто просматривая эти журналы, которые, в свою очередь, могут быть предоставлены злоумышленнику. Удобно, что это также самый простой способ для многих злоумышленников применить цензуру или родительский контроль с помощью блокировки DNS . Предоставленные DNS-серверы дадут вам другой адрес (отличный от реального) для некоторых веб-сайтов (например, перенаправление thepiratebay.org на какой-либо правительственный веб-сайт). Такая блокировка широко применяется во всем мире для определенных сайтов .

Использование частной службы DNS или вашей собственной службы DNS могло бы смягчить эти проблемы, но другая проблема заключается в том, что большинство этих запросов DNS по умолчанию по-прежнему отправляются в виде открытого текста (незашифрованного) по сети. Даже если вы просматриваете PornHub в окне инкогнито, используя HTTPS и частную службу DNS, шансы чрезвычайно высоки, что ваш браузер отправит незашифрованный DNS-запрос в виде открытого текста на некоторые DNS-серверы, спрашивая в основном: «Итак, какой IP-адрес у

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

.ком?».

Поскольку он не зашифрован, ваш интернет-провайдер и/или любой другой злоумышленник все равно может перехватить (используя атаку «человек посередине» ), ваш запрос узнает и, возможно, зарегистрирует то, что искал ваш IP. Тот же интернет-провайдер также может подделывать ответы DNS, даже если вы используете частный DNS. Делает использование частного DNS-сервиса бесполезным.

В качестве бонуса многие устройства и приложения будут использовать жестко заданные DNS-серверы, минуя любые системные настройки, которые вы можете установить. Так обстоит дело, например, с большинством (70%) Smart TV и значительной частью (46%) игровых консолей . Для этих устройств вам придется заставить их прекратить использование их жестко заданной службы DNS, что может привести к тому, что они перестанут работать должным образом.

Решением этой проблемы является использование зашифрованного DNS с использованием DoH (DNS через HTTPS ), DoT (DNS через TLS ) с частным DNS-сервером (это может быть размещено локально с помощью такого решения, как pi-hole , удаленно размещено с помощью решение, такое как nextdns.io, или использование решений, предоставляемых вашим провайдером VPN или сетью Tor). Это должно предотвратить отслеживание ваших запросов вашим интернет-провайдером или каким-либо посредником… за исключением того, что это может быть не так.

Небольшой промежуточный отказ от ответственности: это руководство не обязательно поддерживает или рекомендует услуги Cloudflare, даже если они упоминаются в этом разделе несколько раз для технического понимания.

К сожалению, протокол TLS, используемый в большинстве HTTPS-соединений в большинстве браузеров (среди них Chrome/Brave), снова приведет к утечке доменного имени через рукопожатия SNI (это можно проверить здесь, в Cloudflare:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

). На момент написания этого руководства только браузеры на основе Firefox поддерживают ECH (зашифрованный клиент Hello , ранее известный как eSNI ) на некоторых веб-сайтах, которые будут шифровать все от начала до конца (в дополнение к использованию защищенного частного DNS через TLS/HTTPS). и позволит вам скрыть ваши DNS-запросы от третьих лиц . И эта опция также не включена по умолчанию, поэтому вам придется включить ее самостоятельно

В дополнение к ограниченной поддержке браузера, только веб-сервисы и CDN позади CDN Cloudflare поддерживают ECH/eSNI на данном этапе . Это означает, что ECH и eSNI не поддерживаются (на момент написания этого руководства) большинством основных платформ, таких как:

• Amazon (включая AWS, Twitch…)
• Microsoft (включая Azure, OneDrive, Outlook, Office 365…)
• Google (включая Gmail, Google Cloud…)
• Apple (включая iCloud, iMessage…)
• Реддит
• YouTube
• Фейсбук
• Инстаграм
• Твиттер
• Гитхаб

Некоторые страны, такие как Россия и Китай , могут (не проверено, несмотря на статьи) блокировать рукопожатия ECH/eSNI на сетевом уровне, чтобы разрешить отслеживание и предотвратить обход цензуры. Это означает, что вы не сможете установить HTTPS-соединение со службой, если не позволите им увидеть, что это было.

На этом проблемы не заканчиваются. Часть проверки HTTPS TLS называется OCSP , и этот протокол, используемый браузерами на основе Firefox, приведет к утечке метаданных в виде серийного номера сертификата веб-сайта, который вы посещаете. Затем злоумышленник может легко определить, какой веб-сайт вы посещаете, сопоставив номер сертификата . Эту проблему можно решить с помощью сшивания OCSP . К сожалению, это включено, но не применяется по умолчанию в Firefox/Tor Browser. Но веб-сайт, который вы посещаете, также должен его поддерживать, а не все. С другой стороны, браузеры на основе Chromium используют другую систему, называемую CRLSets , которая, возможно, лучше.

Вот список того, как различные браузеры ведут себя с OCSP:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Вот иллюстрация проблемы, с которой вы можете столкнуться в браузерах на базе Firefox.

Наконец, даже если вы используете собственный зашифрованный DNS-сервер (DoH или DoT) с поддержкой ECH/eSNI и сшиванием OCSP, этого может быть недостаточно, поскольку исследования анализа трафика показали, что по-прежнему можно надежно идентифицировать и блокировать нежелательные запросы. Только DNS через Tor смог продемонстрировать эффективную конфиденциальность DNS в недавних исследованиях, но даже его все еще можно обойти другими средствами.

Можно также решить использовать Tor Hidden DNS Service или ODoH (Oblivious DNS over HTTPS ) для дальнейшего повышения конфиденциальности/анонимности, но , к сожалению , насколько нам известно, на момент написания этой статьи эти методы предоставляются только Cloudflare (

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

,

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

). Это работоспособные и достаточно безопасные технические варианты, но есть и моральный выбор, хотите ли вы использовать Cloudflare или нет (несмотря на риск, исходящий от некоторых исследователей ).

Обратите внимание, что Oblivious DNS адресован злоумышленнику, который подслушивает одно из перечисленных здесь подключений, но не все. Он не касается глобального пассивного противника (GPA), который может прослушивать многие или все эти соединения :

• трафик между клиентским распознавателем и рекурсивным распознавателем
• рекурсивный преобразователь и преобразователь ODNS
• преобразователь ODNS и авторитетный сервер.

Наконец, есть также эта новая возможность под названием DoHoT, которая означает DNS через HTTPS через Tor, которая также может еще больше повысить вашу конфиденциальность/анонимность и которую вы могли бы рассмотреть, если вы более опытны в Linux. См.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Это руководство не поможет вам с этим на данном этапе, но оно может появиться в ближайшее время.

Вот иллюстрация, показывающая текущее состояние конфиденциальности DNS и HTTPS на основе наших текущих знаний

Что касается вашего обычного повседневного использования (неконфиденциального), помните, что только браузеры на базе Firefox пока поддерживают ECH (ранее eSNI) и что на данном этапе это полезно только для веб-сайтов, размещенных за CDN Cloudflare. Если вы предпочитаете версию на основе Chrome (что понятно для некоторых из-за некоторых лучше интегрированных функций, таких как перевод «на лету»), то мы рекомендуем вместо этого использовать Brave, который поддерживает все расширения Chrome и предлагает гораздо лучшую конфиденциальность, чем Хром.

Но история не останавливается на достигнутом. Теперь, потому что после всего этого, даже если вы зашифруете свой DNS и используете все возможные средства защиты. Простые IP-запросы к любому серверу, вероятно, позволят злоумышленнику определить, какой сайт вы посещаете. И это просто потому, что к большинству веб-сайтов привязаны уникальные IP-адреса, как описано здесь:

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. Это означает, что злоумышленник может создать набор данных известных веб-сайтов, например, включая их IP-адреса, а затем сопоставить этот набор данных с IP-адресом, который вы запрашиваете. В большинстве случаев это приведет к правильному угадыванию веб-сайта, который вы посещаете. Это означает, что, несмотря на сшивание OCSP, несмотря на ECH/eSNI, несмотря на использование зашифрованного DNS… Злоумышленник все равно может угадать веб-сайт, который вы посещаете.

Поэтому, чтобы смягчить все эти проблемы (насколько это возможно и как можно лучше), в этом руководстве позже будут рекомендованы два решения: использование Tor и виртуализированно многоуровневое решение VPN через Tor ( DNS через VPN через Tor или DNS через TOR). Также будут объяснены другие варианты (Tor через VPN, только VPN, без Tor/VPN), но они менее рекомендуются.

 

[EmiratesHR|Help]

Полная энциклопедия здесь

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.