Chciałbym przeprowadzić ankietę dotyczącą używania VPN-a. Chodzi o najczęstszy przypadek kiedy przykładowo z sieci domowej (za SNAT-em) zestawiamy tunel VPN z naszego kompa do jakiegoś dostawcy VPN-a będącego gdzieś w internecie.
Pytanie: Czy używasz VPN-a i czy czujesz się bezpiecznie używając go?
Vpn nie ma nic wspólnego z bezpieczeństwem jako takim. Owszem jest wykorzystywany jako element zabezpieczenia w firmach żeby się dostać do wewnętrznych usług ale to w sumie tyle jeśli chodzi o bezpieczeństwo. Vpn dla ZU służy do 2 celów: zmiany lokalizacji państwa by dostać się do usług/treści niedostępnych w danym kraju np innej biblioteki filmów na vod oraz do tego by usłudze nie pokazywać swojego ip i lokalizacji jeśli nie chcemy by w łatwo sposób ktoś się o tym dowiedział np wchodząc na strony nie do końca legalne albo takie oferujące treści gdzie nie chcieli byśmy aby kiedyś wypłynęło info że tam zaglądaliśmy. Ale wszelkie hasła głoszone przez dostawców vpnów że daje to bezpieczeństwo itp można wsadzić między bajki.
@userek_jakis: a kto mi da gwarancję, że operator VPNa nie podsłuchuje całego ruchu, który przez niego przechodzi?
No jak to kto? Operator tak napisał na swojej stronie. To ci nie wystarczy? W sumie bardzo mądre, wszystko co robimy przekazywać jednej firmie. Bardziej to bezpieczne z pewnością. Np logowanie do banku przez vpn - dostawca vpn pozna dane logowania.
gajusz800 napisał(a):
No jak to kto? Operator tak napisał na swojej stronie. To ci nie wystarczy? W sumie bardzo mądre, wszystko co robimy przekazywać jednej firmie. Bardziej to bezpieczne z pewnością.
Przecież mniej więcej tak samo jest ze zwykłymi ISP - cały ruch sieciowy powierzasz jednej firmie. Chyba, że masz wielu dostawców i np. BGP, ale to niewiele w omawianej kwestii zmienia.
Idąc dalej zgodnie z paranoicznym tokiem rozumowania: wiesz, że korzystając z konta Microsoft lub iCloud też powierzasz "wszystko" jednej firmie? Nawet więcej niż w przypadku VPN, bo dostawca VPN nie ma dostępu do Twoich prywatnych dokumentów, zdjęć, innych plików, historii przeglądania, kart, zakładek, haseł, itd.
Chociaż co do powierzania jednej firmie, to mało powiedziane, bo zazwyczaj korzystając ze "zwykłego" Internetu nieświadomie korzystasz z kilku warstw enkapsulacji i zazwyczaj jest to właśnie VPN, tyle zbudowany w oparciu o MPLS (czasem też L2TP lub GRE), a poszczególne warstwy są zarządzane przez różne podmioty, które dodatkowo zmieniają się jeszcze na trasie pakietów.
Wystarczy, że jeden z tych podmiotów coś spieprzy i klops, bo chyba nie myślisz, że ISP lubią ponosić koszty masowego szyfrowania ruchu w tych ich VPNach? Już sam koszt dodatkowej energii elektrycznej potrzebnej do szyfrowania ruchu na masową skalę jest horrendalnie wysoki.
Np logowanie do banku przez vpn - dostawca vpn pozna dane logowania.
Bzdura, chyba że "rozszyje" sesję TLS. Ale to da się zauważyć nawet jeśli jest zielona kłódka na pasku.
Poza tym zwykły ISP też ma taką możliwość techniczną, nie mówiąc już o możliwości włamania do sieci ISP, bo z bezpieczeństwem u dostawców Internetu różnie bywa.
abrakadaber napisał(a):
@userek_jakis: a kto mi da gwarancję, że operator VPNa nie podsłuchuje całego ruchu, który przez niego przechodzi?
Najczęściej nic nie stoi na przeszkodzie, żebyś został swoim własnym dostawcą VPN.
Alley Cat napisał(a):
Przecież mniej więcej tak samo jest ze zwykłymi ISP - cały ruch sieciowy powierzasz jednej firmie. Chyba, że masz wielu dostawców i np. BGP, ale to niewiele w omawianej kwestii zmienia.
Nie do końca jest to tak samo, bo ISP w zasadzie nie widzi ruchu przez https, w odróżnieniu od dostawcy vpn, który jeśli zechce to może to obejść. No ISP wiadomo kim jest, kto to jest. O jakimś dostawcy vpn nie da się tego samego powiedzieć.
Teoretycznie można wnioskować, że jeśli robisz coś nielegalnego to będziesz bezpieczniejszy przekierowując cały swój ruch do kogoś zlokalizowanego gdzieś na końcu świata. Z drugiej strony, przekazując wrażliwe dane nie wiadomo komu możesz wpaść w jeszcze większe kłopoty.
Jeśli chcesz się ukryć, to już lepiej jak użyjesz TOR-a. VPN co najwyżej do obejścia blokady lokalizacji użytkownika ma sens.
gajusz800 napisał(a):
Nie do końca jest to tak samo, bo ISP w zasadzie nie widzi ruchu przez https, w odróżnieniu od dostawcy vpn, który jeśli zechce to może to obejść.
W jaki sposób?
vpn jest dobry jak chesz obejsc zabezpieczenia regionalne albo jakies inne pseudo zabezpieczenia po IP
Najbezpieczniej to sie czuje bez telefonu i Internetu :D
gajusz800 napisał(a):
Nie do końca jest to tak samo, bo ISP w zasadzie nie widzi ruchu przez https, w odróżnieniu od dostawcy vpn, który jeśli zechce to może to obejść.
Bzdura. Prawda jest taka, że jedni i drudzy normalnie nie widzą contentu https, ale jeśli zechcą, to mogą "obejść" TLS, a jeśli zrobią to umiejętnie, to Ty nawet nie zauważysz, bo na pasku będzie zielona kłódka.
Tylko po co dostawca VPN miałby to robić? Żeby narobić sobie kłopotów? Zwłaszcza że wymaga to dość znacznych nakładów pracy (chociaż nie aż tak znacznych, jak mogłoby się wydawać) oraz posiadania konkretnej wiedzy i umiejętności.
Obawiałbym się raczej niekompetencji januszowatych dostawców, niezależnie czy jest to VPN czy zwykły ISP.
No ISP wiadomo kim jest, kto to jest. O jakimś dostawcy vpn nie da się tego samego powiedzieć.
Jak już wspomniałem - normalnie jest kilka warstw enkapsulacji obsługiwanych przez różne podmioty, które jeszcze dodatkowo wielokrotnie zmieniają się na trasie pakietu.
Nie jest więc tak, że w razie fuckupu wiadomo kto zawinił. Logów często już nie ma albo okazuje się, że informacje potrzebne do ustalenia przebiegu zdarzeń w ogóle nie były logowane.
Jeśli chcesz się ukryć, to już lepiej jak użyjesz TOR-a. VPN co najwyżej do obejścia blokady lokalizacji użytkownika ma sens.
Nie wchodzi się tak po prostu używając TORa na 4programmers :P
Ankieta miała być aktywna jeszcze przez kilka dni ale widzę, że już nie ma nowych głosowań ani odniesień więc mogę chyba już uznać ją za zakończoną i zadać kolejne pytanie w temacie:
Zakładając, że cała transmisja jest szyfrowana w ramach tego tunelu (na początku tunelu szyfrowanie a na końcu deszyfrowanie) to czy ktokolwiek z was widzi jakiekolwiek inne zagrożenia (czyli nie wymienione jak do tej pory w tym wątku) wynikające z użytkowania takiego tunelu?
userek_jakis napisał(a):
Zakładając, że cała transmisja jest szyfrowana w ramach tego tunelu (na początku tunelu szyfrowanie a na końcu deszyfrowanie) to czy ktokolwiek z was widzi jakiekolwiek inne zagrożenia wynikające z użytkowania takiego tunelu?
Tak, niektóre z tych zagrożeń zostały nawet wskazane w wątku.
Przecież takie użycie nie ma sensu bo dokładamy kolejne potencjalnie słabe ogniwo do naszego połączenia.
Pytanie powinno brzmieć czy używamy VPN za każdym razem gdy łączymy się spoza domu. Nie widzę sensu używania w domu chyba że ktoś myśli że jest w ten sposób w jakikolwiek sposób bardziej anonimowy i używa tego do piracenia. Może łącząc się z jakimś egzotycznym krajem który ma w poważaniu prawa autorskie i prośby o ujawnienie danych to może mieć rzeczywiście sens w tym przypadku, ale co wtedy z prędkością i opóźnieniami? Na pewno nie do używania na bieżąco.
Osobiście używam VPN w domu jedynie do okłamania kraju z którego się łączę (do serwisów streamingowych / youtuba), a poza domem bardzo sporadycznie, jedynie jeśli nie ma zasięgu i łączę się z jakiegoś publicznego wifi i muszę np zalogować się po rdp. HTTPS jest na tyle bezpieczne że nie ma to większego sensu do zwykłego użytkowania, praktycznie wszystko jest dziś szyfrowane, a połączenie przez VPN w publicznej sieci nie chroni nas w żaden sposób przed atakiem wewnątrz sieci, nadal jesteśmy dostępni po lokalnej adresacji, nadal ktoś z tej samej sieci może np się włamać do naszego komputera jeśli mamy słabe hasło lub niezaktualizowany system / dziurawe aplikacje.
Jedyna różnica jest taka że ktoś z tej samej otwartej sieci nie podejrzy już adresów serwerów z którymi się łączymy - marny zysk.
Używam VPN'a aby anonimizowac ruch dla bezpośredniego ISP. Dalej mi to zwisa.
/+ mam server VPN'a w domu jak chce podłączyć się do sieci lokalnej albo kierować ruch przez moja siec bo np whitelisting ip u klientów.
obscurity napisał(a):
Przecież takie użycie nie ma sensu bo dokładamy kolejne potencjalnie słabe ogniwo do naszego połączenia.
Pytanie powinno brzmieć czy używamy VPN za każdym razem gdy łączymy się spoza domu. Nie widzę sensu używania w domu
A ja widzę: jeśli ktoś mieszka w więcej niż jednej lokalizacji i ma np. w domu serwery (jakiś NAS na przykład) to korzystna może być budowa sieci VPN łączącej te lokalizacje. Można jeszcze zainstalować redundantne łącza i uruchomić dynamiczny routing lub SD-WAN :)
Innym przypadkiem jest oczywiście praca zdalna i zestawienie połączenia VPN z siecią pracodawcy.
HTTPS jest na tyle bezpieczne że nie ma to większego sensu do zwykłego użytkowania,
Zdziwiłbyś się co do bezpieczeństwa tego HTTPS :P
drugim zagrożeniem jest to że dla providera VPN jesteśmy widziani jak z lokalnej sieci.
Nie do końca tak jest.
Jeżeli dostawca lub jeden z pracowników będzie chciał to może połączyć się do tej samej sieci i łączyć się do naszego komputera, nie trzeba tu już łamać długich kluczy a wystarczy często zaledwie złamać jedno hasło. Jeżeli połączenie VPN dla wygody zestawimy na routerze to dostawca VPN może uzyskać dostęp do całej naszej sieci lokalnej. Będzie mógł bez łamania czegokolwiek sterować naszym telewizorem, zmieniać ustawienia routera (zwłaszcza jeśli nadal mamy na nim standardowe hasło) itp — obscurity 36 minut temu
Od tego są firewalle (po stronie klienta VPN i po stronie serwera), żeby się nie dało :)
Brakuje opcji „używam w pracy bo muszę ale prywatnie mam to gdzieś”.
Alley Cat napisał(a):
Jeżeli dostawca lub jeden z pracowników będzie chciał to może połączyć się do tej samej sieci i łączyć się do naszego komputera, nie trzeba tu już łamać długich kluczy a wystarczy często zaledwie złamać jedno hasło. Jeżeli połączenie VPN dla wygody zestawimy na routerze to dostawca VPN może uzyskać dostęp do całej naszej sieci lokalnej. Będzie mógł bez łamania czegokolwiek sterować naszym telewizorem, zmieniać ustawienia routera (zwłaszcza jeśli nadal mamy na nim standardowe hasło) itp — obscurity 36 minut temu
Od tego są firewalle (po stronie klienta VPN i po stronie serwera), żeby się nie dało :)
Czyli łączysz się z VPNem a potem ustawiasz firewalle tak żeby mu nie ufać i nie dało się łączyć między urządzeniami podpiętymi do niego?
Ja widzę tylko dwa zastosowania VPNa:
Używanie VPNa po to, żeby czuć się "bezpieczniej" to głupota. Jest wiele rzeczy, które należało by zrobić najpierw aby faktycznie polepszyć swoje bezpieczeństwo w sieci (choćby zróżnicowane i mocne hasła do wszelakich serwisów, których używamy, do banków, maili, itp czy też nie klikanie w nieznane załączniki/linki w mailach).
Wg mnie używanie VPNa aby być bezpiecznym to jak "stosowanie" stosunku przerywanego, żeby nie zajść w ciążę.
obscurity napisał(a):
Czyli łączysz się z VPNem a potem ustawiasz firewalle tak żeby mu nie ufać i nie dało się łączyć między urządzeniami podpiętymi do niego?
 Bo na przykład po co laptopy podpięte do VPN miałyby się ze sobą komunikować? One mają mieć dostęp do określonych zasobów, na przykład do konkretnych usług na serwerach.
Nazywa się to "defense in depth" :D
Sieciom VPN pracodawców też nie muszę do końca ufać i nie koniecznie wpuszczam do siebie ruch z tych sieci. Nie inaczej jest w przypadku regularnego ISP - po co ISP ma mieć możliwość grzebania mi w sieci lokalnej?
Albo co gorsza inni abonenci? Dostanie się jakiś malware na czyjś komputer w Radomiu i ma mieć dostęp do mojego serwera SMB/CIFS w DC?
Alley Cat napisał(a):
obscurity napisał(a):
Czyli łączysz się z VPNem a potem ustawiasz firewalle tak żeby mu nie ufać i nie dało się łączyć między urządzeniami podpiętymi do niego?
 Bo na przykład po co laptopy podpięte do VPN miałyby się ze sobą komunikować? One mają mieć dostęp do określonych zasobów, na przykład do konkretnych usług na serwerach.
Mówimy o domowym zastosowaniu a tu akurat zasobami są najczęściej inne komputery. Ja używam VPN głównie do tego żeby się łączyć do pc-ta z laptopa spoza domu, z tym że używam lokalnego skonfigurowanego przez siebie vpna.
Wydaje mi się że odbiegasz od tematu, pytanie było czy używamy w domu stale VPNa żeby zwiększyć swoje bezpieczeństwo w sieci, a Ty piszesz że można poblokować wszystko tak żeby połączenie z VPN było bezpieczne. To chyba łatwiej się nie łączyć z VPN?
Alley Cat napisał(a):
Sieciom VPN pracodawców też nie muszę do końca ufać i nie koniecznie wpuszczam do siebie ruch z tych sieci. Nie inaczej jest w przypadku regularnego ISP - po co ISP ma mieć możliwość grzebania mi w sieci lokalnej?
Ruch z zewnątrz do wewnątrz sieci lokalnej jest domyślnie wycinany na chyba wszystkich domowych routerach, ISP nie ma szans grzebania w sieci lokalnej. W przeciwieństwie do providera VPN - tu z definicji "private network" stajemy się częścią tej samej sieci, co gorsza - konfiguracja tej sieci jest zazwyczaj narzucana przez serwer.
Jeśli się dobrze nie zabezpieczymy to łączenie się z przypadkowym VPN jest dużo mniej bezpieczne niż łączenie z dowolnym ISP.
Zawsze wydawało mi się że używasz VPNa wtedy, gdy bardziej ufasz VPN providerowi niż ISP.
Ok po przeczytaniu postów z dnia dzisiejszego ogłaszam dwóch zwycięzców:
@obscurity i @Alley Cat przy czym @obscurity chyba trochę wcześniej zwrócił uwagę na to właśnie o co mi chodziło :)
A chodziło mi o to, że w wielu (nie we wszystkich) przypadkach taki provider VPN-a ma dostęp do naszego kompa lub sieci :)
Czyli jeśli nie mamy żadnego filtra pakietów u siebie wtedy jesteśmy szeroko otwarci na działania kogoś kto ma dostęp po tej zdalnej stronie do końcówki VPN-a. Czyli na nic np. SNAT bo i tak ktoś z drugiej strony jest w stanie dobić się do naszego kompa lokalnego.
No ale informowanie takiego przeciętnego użytkownika o takiej możliwości nie jest w interesie providera VPN-a. Widział ktoś kiedyś, żeby jakikolwiek provider VPN-a pisał o takim niebezpieczeństwie przy okazji reklamowania swojego VPN-a?
obscurity napisał(a):
Mówimy o domowym zastosowaniu a tu akurat zasobami są najczęściej inne komputery. Ja używam VPN głównie do tego żeby się łączyć do pc-ta z laptopa spoza domu, z tym że używam lokalnego skonfigurowanego przez siebie vpna.
Właśnie: łączysz się do konkretnej stacji, a do innych urządzeń nie. Dobrą praktyką w Twojej sytuacji byłoby wycięcie ruchu do pozostałych urządzeń.
Wydaje mi się że odbiegasz od tematu, pytanie było czy używamy w domu stale VPNa żeby zwiększyć swoje bezpieczeństwo w sieci, a Ty piszesz że można poblokować wszystko tak żeby połączenie z VPN było bezpieczne.
Bo z VPN jest tak jak ze wszystkim: dobrze jest myśleć nad tym, co się robi :)
To chyba łatwiej się nie łączyć z VPN?
No łatwiej, ale co z tego?
Ruch z zewnątrz do wewnątrz sieci lokalnej jest domyślnie wycinany na chyba wszystkich domowych routerach, ISP nie ma szans grzebania w sieci lokalnej.
Zależy od routera.
Obawiam się jednak, że np. taki ASUS może mieć zdanie odrębne na temat pozwalania ISP na grzebanie w sieci lokalnej XD
Jeśli się dobrze nie zabezpieczymy to łączenie się z przypadkowym VPN jest dużo mniej bezpieczne niż łączenie z dowolnym ISP.
+1
userek_jakis napisał(a):
Widział ktoś kiedyś, żeby jakikolwiek provider VPN-a pisał o takim niebezpieczeństwie przy okazji reklamowania swojego VPN-a?
Trochę mało realne. To tak jakbyś wymagał od banków żeby w reklamach zawierali informację że mają dostęp do wszystkich twoich pieniędzy i tak naprawdę jakby chcieli to mogliby ci je wszystkie zabrać i możesz liczyć jedynie na BFG
Osobiście siedzę na swoim IP i mi dobrze.
Natomiast jak chcę się ukryć to używam tora.
Ewentualnie torr + open proxy. Od wielkiego dzwona.
Jeszcze chciałem kiedyś sprawdzić I2P ale nie było czasu.
obscurity napisał(a):
Jeśli się dobrze nie zabezpieczymy to łączenie się z przypadkowym VPN jest dużo mniej bezpieczne niż łączenie z dowolnym ISP.
Alley Cat napisał(a):
Bo z VPN jest tak jak ze wszystkim: dobrze jest myśleć nad tym, co się robi :)
Otóż to. O to też mi chodziło. Dobrze że to napisaliście.
Ok, to może podsumujmy cały wątek:
Wyłącz tvn... a nie, sorry: Wyłącz vpn. Włącz myślenie.
Tak, to tak miało być: Wyłącz vpn. Włącz myślenie.
Sorki za to przejęzyczenie :)
I pamiętajcie o firewallu.
