¿Se pueden rastrear las VPN sin sesión?

18

Las VPN sin sesión, como ExpressVPN, afirman que no pueden decirle a las autoridades su IP real, incluso si se les pregunta. Ellos afirman:

  

No hay registros de conexión. Nunca registra las marcas de tiempo de conexión, la duración de la sesión, la dirección IP de origen o la dirección IP de ExpressVPN que su computadora asume cuando está conectada a la VPN.

Entonces, en este escenario, ¿no pueden compartir tu IP real incluso si lo desean? ¿Es 100% seguro usar VPN como esta?

    
pregunta Amit Nar 09.12.2017 - 23:57
fuente

1 respuesta

31

Es absolutamente posible.

Ataques de análisis de tráfico

Incluso si una VPN es honesta acerca de su afirmación de que no inician sesión, su ISP ascendente ciertamente registra. Sería inaudito que no lo hicieran. Para una VPN (a diferencia de Tor), la entrada y la salida pasan por el mismo ISP, permitiendo ataques de análisis de tráfico triviales. Le expliqué un poco de esto en esta respuesta . Tome la siguiente serie de eventos, con el ISP como el ISP ascendente de la VPN (o un proxy):

  • El ISP ve que 203.0.113.42 envía 253 bytes de datos en t + 0.
  • El ISP ve que el servidor proxy envía una solicitud de 253 bytes a example.com/foo.html en t + 1.
  • El ISP ve que example.com envía una respuesta de 90146 bytes en t + 2.
  • El ISP ve que 203.0.113.42 recibe una respuesta de 90146 bytes en t + 3.

A partir de esto, se vuelve trivial darse cuenta de que 203.9.113.42 está conectado a example.com/foo.html . Este es un tipo de ataque de análisis de tráfico, específicamente un ataque de correlación de tráfico. Prácticamente todos los ISP mantienen este tipo de información a través de NetFlow y sistemas omnipresentes similares.

Problemas con la pila de red

Hay otro problema con una VPN. Debe darse cuenta de que el término Red privada virtual es ahora más un término de marketing. Las VPN nunca fueron diseñadas con el anonimato en mente. El "privado" en VPN se refiere a las direcciones privadas reservadas por la IANA especificadas en RFC 1918 . No significa "derecho a la privacidad" o algo similar. Todo lo que está diseñado para es conectar dos sistemas y exponerlos entre sí como interfaces de red virtual con direcciones IP locales (privadas). Esto tiene varios problemas:

  • Su pila de redes está "expuesta", por lo que una vulnerabilidad en su kernel podría explotarse.
  • Por este mismo motivo, toma de huellas dactilares de TCP / IP puede identificarlo de forma única, incluso detrás de una VPN .
  • Se ve obligado a utilizar el mismo NAT que un gran número de usuarios que no son de confianza, lo que les permite atacar indirectamente, a veces incluso permitiéndoles descubrir cosas como su nombre de host.

Visualizando el problema

Es útil ver cómo funciona todo esto, visualmente, en forma de diagrama. La línea única representa el tráfico bajo la IP de su hogar, y la línea doble representa el tráfico con una IP diferente. Un ataque de correlación de tráfico implica la correlación de la actividad (tiempo y tamaño) de ambos tipos de tráfico.

Cómo funciona una conexión simple:

Client ----[Client ISP]----+
                           |
Server <---[Server ISP]----+

Cómo funciona una VPN:

Client ----[Client ISP]---[       ]----> VPN
                          [VPN ISP]       |
Server <===[Server ISP]===[       ]=======+

Cómo funciona Tor:

Client ----[Client ISP]---[         ]--> Node1
                          [Node1 ISP]      |
                   +======[         ]======+
                   |
                   +======[         ]==> Node2
                          [Node2 ISP]      |
                   +======[         ]======+
                   |
                   +======[         ]==> Node3
                          [Node3 ISP]      |
Server <===[Server ISP]===[         ]======+

En este diagrama puede ver cómo el ISP de la VPN está en posición de correlacionar de manera trivial las dos conexiones, en comparación con una red mixta como Tor, en la que el ISP de cada nodo debe colaborar para tener la oportunidad de desononimizar a alguien. Esto no es imposible, y un adversario que puede ver una parte importante de Internet en un momento dado puede ser capaz de lograr esto un cierto porcentaje del tiempo. Sin embargo, es muy difícil de hacer, y el protocolo Tor incluye una serie de características (implementadas y en desarrollo activo) para que esto sea aún más difícil de lo que ya es.

Otra cosa importante a recordar es que Tor cambiará periódicamente los nodos que usa. Aunque el primer nodo permanece igual para evitar los llamados ataques de Sybil, los otros dos cambiarán a lo sumo cada 10 minutos, o cada vez que se visite un dominio diferente. Esto reduce la posibilidad de que el nodo final vea demasiado tráfico a lo largo del tiempo. Las VPN, por otro lado, naturalmente serán objetivos estáticos.

Lo que todo esto significa

  • El uso de una VPN (o proxy) no lo protege del ISP de la VPN que revela sus registros, incluso si el servicio VPN es completamente honesto acerca de su política de no registro.
  • Su pila de red está expuesta y es visible para cualquier servidor de terceros al que se conecte, lo que permite una posible explotación y la identificación de TCP / IP.
  • Las redes de anonimato como Tor proporcionan cierto nivel de protección de correlación de tráfico y ocultan su red de redes, aunque, como todos los sistemas, no es perfecto.

Si necesita el anonimato, debe usar Tor sin una VPN, a menos que sea necesaria una VPN para evitar un firewall que Tor no pueda evitar, de lo contrario sería superfluo.

    
respondido por el forest 10.12.2017 - 05:48
fuente

Lea otras preguntas en las etiquetas