04/05/2016

O czym powinieneś wiedzieć, zanim zaczniesz korzystać z VPN-a

Informacje Porady

W tym artykule, poświęconym połączeniom VPN (ang. Virtual Private Network – wirtualna sieć prywatna), opowiem Wam o aspektach technicznych i prawnych, które bezpośrednio dotyczą tego rozwiązania.

vpn-part-3-FB

Aspekty techniczne

Uważny czytelnik z pewnością przypomina sobie, jak w poprzednim artykule kładłem silny nacisk na odpowiednią implementację, konfigurację oraz korzystanie z wszelkiego rodzaju sieci VPN. Nawet najbardziej wiarygodna wersja protokołu jest bezużyteczna, jeśli jest używana niewłaściwie.

Wszystkie rozwiązania VPN, które wcześniej omawialiśmy, mają jedną cechę wspólną: bazują na otwartym kodzie źródłowym, co powinno ułatwić sprawdzanie ich na obecność luk. W rzeczywistości jednak jest wiele innych problemów poza tymi dotyczącymi kodu.

Najbardziej oczywistym problemem jest sporadyczne rozłączanie się połączenia VPN, co w rezultacie, zupełnie niespodziewanie, kieruje ruch poprzez sieć publiczną. Taka sytuacja może mieć miejsce na przykład wtedy, gdy użytkownik jest połączony z publiczną siecią Wi-Fi lub inną dostępną siecią mobilną. W najgorszym wypadku użytkownik może nie zostać o tym powiadomiony, a połączenie VPN nie zostanie automatycznie ponownie nawiązane.

W systemach Windows 7 i nowszych firma Microsoft wprowadziła funkcję VPN Reconnect. Jeśli używasz alternatywnej platformy, powinieneś skorzystać z opcji dostosowania ustawień połączenia lub z tak zwanej funkcji ‚kill switch’, która monitoruje stan połączenia VPN. Jeśli połączenie zostanie zerwane, cały ruch sieciowy zostanie zablokowany, działanie wszystkich uruchomionych aplikacji zostanie zakończone, a system spróbuje ponownie nawiązać połączenie z siecią VPN. Niektóre komercyjne klienty VPN oferują podobną funkcjonalność.

Drugi problem związanym z VPN, który jest mniej oczywisty i występuje rzadziej, dotyczy protokołu IPv6. Ponieważ wciąż jest on rzadko używany, wszystkie główne systemy operacyjne mają go domyślnie włączonego, podczas gdy VPN najczęściej korzysta z IPv4.

Co w takim razie może się stać? Otóż, jeśli IPv6 jest obsługiwany w sieci publicznej, a klient połączy się z zasobem korzystającym z tej samej wersji protokołu, ruch sieciowy może zostać domyślnie skierowany do sieci publicznej opartej na protokole IPv6. Najprostszym środkiem zabezpieczającym byłoby całkowite wyłączenie obsługi IPv6 na poziomie systemu operacyjnego.

Oczywiście możliwe jest kierowanie całego ruchu sieciowego do VPN, ale wymaga to obsługi takiej funkcji ze strony serwera oraz określonych ustawień po stronie klienta. Badania przeprowadzone w 2015 r. dały do myślenia dostawcom rozwiązań VPN, którzy zaczęli szukać odpowiednich rozwiązań dla swoich klientów.

Badanie wykazało również istnienie trzeciego problemu: przecieków DNS. W idealnym przypadku, gdy użytkownik połączy się z VPN-em, żadne żądanie DNS nie powinno wyjść poza VPN – wszystkie żądania powinny być przetwarzane przez odpowiednie serwery DNS. Jeśli jest inaczej, należy zadbać o dodanie do konfiguracji sieci innych, zaufanych DNS-ów, np. Google Public DNS lub OpenDNS. Można też korzystać z rozwiązania VPN oferowanego w pakiecie z takimi usługami jak DNSCrypt. Ta ostatnia opcja służy do szyfrowania i sprawdzania autentyczności żądań/odpowiedzi DNS, co przydaje się w wielu innych sytuacjach.

W prawdziwym życiu zalecenia te są dość rzadko stosowane, a ludzie korzystają z serwerów DNS oferowanych przez sieci publiczne. Oczywiście odpowiedź uzyskana z tych serwerów może być niepoprawna, a nawet fałszywa, co jest świetną okazją dla cyberprzestępców stosujących farming (wykorzystywanie dziury w serwerze DNS w celu przekierowania ruchu na zupełnie inny serwer). Drugą szkodą wywołaną przez przecieki DNS jest naruszenie prywatności: osoba z zewnątrz może odkryć adresy serwerów DNS i tym samym poznać nazwę dostawcy internetu oraz mniej lub bardziej dokładną lokalizację użytkownika.

Osoby używające systemów Windows są w poważniejszej sytuacji niż może się to wydawać. Podczas gdy system Windows 7 będzie próbował poznać wszystkie serwery DNS jeden po drugim i będzie czekał na odpowiedź, system Windows 8/8.1 szybciej poradzi sobie z tą sytuacją poprzez równoczesne wysłanie żądań do wszystkich znanych serwerów DNS na wszystkich znanych połączeniach. Jeśli pożądany serwer nie zwróci odpowiedzi w ciągu jednej minuty, zostanie użyta odpowiedź innego serwera. Jednakże w przypadku sieci VPN zwrócenie odpowiedzi z serwera DNS może potrwać znacznie dłużej. Na szczęście można ręcznie wyłączyć tę opcję. Niestety jest też zła wiadomość – będzie to wymagało dokonania żmudnych manipulacji w rejestrze systemu.

W Windows 10 sprawy mają się jeszcze gorzej. Ten system operacyjny także wysyła żądania DNS wszędzie i używa odpowiedzi, która zostanie zwrócona najszybciej. Niestety w tym przypadku nie ma żadnej dobrej wiadomości: tej nad wyraz użytecznej opcji nie można wyłączyć z poziomu systemu.

Istnieje także kilka luk w WebRTC. Ta technologia (dostępna w przeglądarce) początkowo była stworzona w celu zapewnienia bezpośredniego połączenia między dwoma węzłami sieciowymi i obecnie jest używana głównie do połączeń audio i wideo. Przeciek jest tu bardzo prawdopodobny, ponieważ WebRTC odwołuje się do wszystkich dostępnych połączeń sieciowych jednocześnie i używa tego, które odpowie jako pierwsze.

Ten sam brak kontroli można znaleźć w innych wtyczkach, takich jak Java lub Adobe Flash, jeśli nie we wszystkich programach. Stanowi to poważne zagrożenie dla prywatności użytkowników.

Aspekty prawne

Pierwszy i najważniejszy problem związany z VPN-em dotyczy różnic w prawie między poszczególnymi państwami: klient VPN może być w jednym kraju, a serwer VPN może znajdować się w zupełnie innym miejscu na Ziemi, nieważne jak przyjacielsko nastawionym. Może być też tak, że w trakcie korzystania z VPN-a ruch sieciowy podróżuje przez jeszcze inne kraje. Nawet jeśli nie naruszysz żadnego prawa, Twoje dane mogą zostać przechwycone i przeanalizowane w trakcie przesyłania.

Zaskakujące jest to, że bezpieczny ruch sieciowy może zostać odszyfrowany nawet kilka lat później. Sam fakt korzystania z VPN-a może wzbudzać niechciane zainteresowanie ze strony organów ścigania (a co, jeśli ktoś chce coś ukryć poprzez VPN?).

Mogą się również zdarzać sytuacje, w których nie ma przeciwskazań co do korzystania z sieci VPN, jednak występują ograniczenia technicznie (zobacz mój poprzedni tekst lub poczytaj o programie PRISM).

W większości przypadków ograniczenia prawne dotyczą raczej silnego szyfrowania niż samego rozwiązania VPN. To oczywiste, że każdy kraj chciałby chronić swoje informacje, a jednocześnie uzyskiwać dane innych, co jest ewidentnym powodem mocnego kontrolowania kryptografii.

W Stanach Zjednoczonych, które są prawdopodobnie liderem w dziedzinie IT wśród innych krajów, sytuacja jest bardzo ciekawa. Nowe standardy szyfrowania muszą zostać najpierw zatwierdzone przez NIST (The National Institute of Standards and Technology – Narodowy Instytut Standaryzacji i Technologii). Jednakże standardy te różnią się siłą: szyfrowanie jest bardziej odporne dla rynku wewnętrznego, a jest słabsze dla produktów eksportowych. Firmy zajmujące się sprzętem i oprogramowaniem, które walczą o kontrakty rządowe, muszą działać zgodnie z tymi regulacjami.

Nie musimy przypominać, gdzie są tworzone najpopularniejsze systemy operacyjne i rozwiązania szyfrujące, w tym moduły VPN. Ten problem jest znacznie poważniejszy niż prawdopodobieństwo istnienia tylnych furtek w takim oprogramowaniu. Okazuje się, że technologie sieciowe, które powinny stać się standardami przemysłowymi, mogą mieć słabe punkty od samego początku.

Na dowód tego cofnijmy się do 2013 r., w którym NIST został oskarżony o pozwolenie NSA (National Security Agency – Naczelna Agencja Wywiadowcza) na używanie wersji generatora liczb pseudolosowych, która zawierała luki, jako podstawy dla nowego standardu szyfrowania. Teoretycznie ułatwiłby on odszyfrowanie „chronionych” informacji.

Podejrzenia zaczęły się pojawiać kilka miesięcy po opublikowaniu nowego standardu. Osoba nadzorująca prawidłowość działania została obwiniona o umyślne opublikowanie zbyt wyrafinowanego opisu dla wydanych standardów i zaleceń. Opisy były tak niejasne, że nawet specjaliści ds. szyfrowania nie mogli od razu zrozumieć, o co chodzi. I w tym miejscu chciałbym zaznaczyć, że liczą się nie tylko sprawy bezpieczeństwa i siła ochrony, ale także praktyczna implementacja.

 

Podsumowanie

Na zakończenie chciałbym podzielić się przydatnym odnośnikiem: jest to tabela opisująca popularnych dostawców VPN. Bardzo łatwo się z niej korzysta: im więcej zielonych komórek zawiera wiersz, tym bardziej niezawodny jest dany dostawca. Jeśli miałbyś ochotę skorzystać z sieci VPN, ale nie chcesz sprawdzać szeregu zagadnień technicznych i prawnych, to ta tabela jest właśnie dla Ciebie. Pamiętaj tylko, że należy postępować dokładnie zgodnie z instrukcjami dostawcy i że lepiej dmuchać na zimne.