Tło profilu użytkownika
command-dos@command-dos
Blog (53)
Komentarze (3.2k)
Recenzje (0)
@command-dosJak nie dać się podsłuchać — prze(z)PiS — VPN dla opornych

Jak nie dać się podsłuchać — prze(z)PiS — VPN dla opornych

06.01.2016 23:01

Kiedy tak siedziałem i patrzyłem się w łazienkowy sufit, pomyślałem sobie, a miałem ostatnio trochę czasu na różne przemyślenia, że czułbym się niekomfortowo, gdyby (w tak głębokim moim skupieniu) dopadł mnie czyjś wzrok, lub ktoś usłyszałby wtedy często wypowiadane do samego siebie (od czasu do czasu warto porozmawiać z kimś mądrym) pewne swoje przemyślenia. Czułbym się tak, jakbym był zmuszony do chodzenia z przezroczystym plecakiem, aby każdy mógł zobaczyć co mam do niego zapakowane, choć zwykle nie noszę w nim ani bomb, ani też kompromitujących kogoś czasopism. Nie mam zbyt wiele do ukrycia, ale nie mając swojego kąta, zacisza gdzie spokojnie można sobie pogrzebać w... nosie, na przykład, gdzie każdy i o każdej porze bez mojego zezwolenia mógłby sobie popatrzeć, co w danej chwili robię, czego nie robię, czułbym się niekomfortowo.

ja... nie mogę: kto mi to tam włożył?
ja... nie mogę: kto mi to tam włożył?

Nie muszę nikogo uświadamiać, że doczekaliśmy się bardzo ciekawych czasów. Dzisiaj sporo rzeczy można załatwić przez internet nie ruszając się z domu: możemy zrobić zakupy, możemy zapłacić rachunki, możemy pracować, dzięki komunikatorom i portalom społecznościowym mamy kontakt z rodziną, ze znajomymi, zamiast iść do kina możemy pobra... eheh, strumieniować zakupiony film wprost na ekran naszego telewizora. W internecie przechowujemy także nasze pliki, zdjęcia, mamy dostęp do naszych pieniędzy, którymi możemy zarządzać, do informacji, które możemy przetwarzać, możemy w nim nawet popełnić przestępstwo, jak i być w nim także podglądani, podsłuchiwani, śledzeni - na nasze nieszczęście, nie możemy w nim jeszcze odbębnić odsiadki (chyba, że o czymś nie wiem).

każdy jest potencjalnym terrorystą

Wszystko, o czym mówił Snowden, okazało się prawdą: każdy (nie)rząd chce o nas wiedzieć jak najwięcej. Snowden swoją arogancją przyśpieszył działania władz w kierunku legalizacji podglądania naszych poczynań w sieci. Dziś już nikt nie ukrywa się z informacją, że jesteśmy "na podsłuchu". Oczywiście, że jesteśmy - to wszystko dla naszego dobra i bezpieczeństwa. Dlatego powinniśmy mieć szklane domy i plecaki. Ciuchy najlepiej też, ale to w późniejszym etapie, bo dziś jeszcze nie potrafimy zdjąć burek z niektórych. Sam Obama nie kryje się z tym, że nasze konta przed przyjazdem do Stanów są przeglądane. Ten sam prezydent stwierdził, że ludzie posiadają zbyt dobre narzędzia kryptograficzne. W imię walki z terroryzmem rodzime firmy (google, apple) powinny zacząć współpracować - powiada.

Poparcie dla Edwarda Snowdena w Warszawie
Poparcie dla Edwarda Snowdena w Warszawie

Biorąc pod uwagę to, że nikły jest przyjazd służb NSA do mnie (nie ma powodów), jak i równie nikły jest mój wyjazd do Stanów (nad polskie morze jest już dla mnie trochę daleko), powiedzmy że daję Obamie możliwość lustrowania moich kont - nie obchodzi mnie to. Patrząc jednak na to, co dzieje się od kilku dobrych lat na naszym podwórku, mam wrażenie, jakby ktoś cały czas przygotowywał mnie do chodzenia po mieście bez majtek...

jak nie drzwiami, to oknem

Można założyć, że wszystko zaczęło się od ACTA, protestów, oburzenia, a potem od odrzucenia ACTA. Następnie próbowano przepisy ACTA wprowadzić pod innymi nazwami z różnych stron: CETA, SOPA, PIPA, FACTA (choć w tym ostatnim nie za bardzo dotyczyło internetu i prywatności internautów)... Można przyjąć, że na dzień dzisiejszy wszystkie te kontrowersyjne ustawy zostały oddalone, ale nie przeszkadza to władzom różnych państw na wprowadzanie własnych przepisów pozwalających śledzić internautów. Tak postąpiła Francja wprowadzając swoje Hadopi.

Dzisiaj, kiedy u nas w kraju rządy sprawuje praktycznie jedno ugrupowanie, można wprowadzać takie zmiany w ustawach, o których POprzednikom nawet się nie śniło i pójść ścieżką Francji, albo można ich nawet spróbować przebić. Zauważyłem, że posłowie ostatnio często i ciężko pracują nocami - widocznie tyle jest do naprawienia PO poprzednikach, że może nie starczyć czasu. W pośpiechu chyba (inaczej nie potrafię wytłumaczyć takiego "faux pas") przygotowali m.in. nowelizację ustawy o policji, według której możemy być śledzeni przy pomocy GPS bez wymaganych nakazów i zgody, a w trakcie inwigilacji można zbierać i nie niszczyć od razu materiałów nie związanych z przedmiotem inwigilacji (zbieranie haków). Ale (zakładam) to nas nie dotyczy - nie jesteśmy jakimiś tam rzezimieszkami, którym trzeba chatę przewrócić do góry nogami i GPSy przyczepiać do podwozi samochodów.

Niepokój przeciętnego internauty powinien wzbudzić fakt, że do tej pory służby mogły pozyskiwać dane jedynie w oparciu o ustawę Prawo Telekomunikacyjne, a teraz chcą mieć możliwość lustrowania nas także na podstawie przepisów O Świadczeniu Usług Drogą Elektroniczną (art.18 tej ustawy mówi m. in. o: oznaczeniach identyfikujących usługobiorcę, oznaczeniach identyfikujących system teleinformatyczny, z których korzystał usługobiorca, informacjach o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną). Cholera jasna! To samo próbowali zrobić POprzednicy, ale im się nie udało, bo Trybunał Konstytucyjny (układanka prawie rozwiązana?), bo Trybunał Sprawiedliwości Unii Europejskiej. Ci ostatni przyczepili się do możliwości inwigilacji bez zgody sądu, ale na co nam zgoda sądu w cywilizowanym i prawym kraju. Nie mamy nic do ukrycia, więc 7 lutego 2016 majtki zostaną definitywnie ściągnięte i na ulicach możemy zacząć świecić naszymi czterema literami - nie ma różnicy.

budujemy tunel

Mam wrażenie, że nasza władza za bardzo się o nas martwi i musi wprowadzić pewne regulacje, abyśmy byli jeszcze bardziej bezpieczni. Zauważyłem kiedyś, że dzieci nadopiekuńczych rodziców potrafią wymyślać takie obejścia regulacji ich opiekunów, na które inne dzieci (normalnych rodziców) nie wpadłyby nigdy. Pomyślałem sobie, skoro mamy chodzić bez majtek, to najlepiej byłoby podróżować przez miasto kanałami... Tak! To jest myśl: już podczas II wojny światowej powstało sporo tuneli schronowych. W jednym takim ponoć utknął "złoty pociąg" i do dziś dnia nie mogą go odnaleźć. Wniosek jest taki, że tunel wydaje się być najskuteczniejszą formą ochrony przed wścibskimi oczyma naszego nadopiekuńczego państwa... Zatem, przystępujemy do budowy.

tunel schronowy
tunel schronowy

wybieramy VPS

Aby przystąpić do budowy naszego wirtualnego tunelu, będziemy musieli zaopatrzyć się w jakiś serwer VPS. I nie bądź chytry, kup jakiś porządny serwer, a nie jakieś badziewie, które jest tańsze tylko 5zł/miesiąc, bo będziesz się denerwował zamiast normalnie korzystać. Zamysł jest taki, że do tunelu wchodzisz ze swojego urządzenia, a wychodzisz na świat za granicami naszego wścibskiego państwa, więc serwer nie może znajdować się w Polsce, gdyż to on będzie naszym wyjściem z tunelu. Ja skorzystałem z oferty OVH - wykupiłem serwer VPS we Francji za niecałe 15 zyli miesięcznie. Ty nie musisz tam kupować, ale pamiętaj że chcąc dalej korzystać z moich rad, to kup taki z Debianem, Ubuntu, lub CentOS'em. Jeśli nie chcesz, to rób jak uważasz i olej ten "poradnik".

w ramach usługi VPS-SSD na OVH
w ramach usługi VPS-SSD na OVH

Postanowiłem, że systemem na serwerze będzie Ubuntu Desktop, ale nie wybieraj dystrybucji desktopowej, jeśli chcesz przyoszczędzić pamięć i procesor na serwerze - i tak powłoka graficzna nie będzie potrzebna, więc wystarczy jakaś czysta dystrybucja, np. Ubuntu Server. Po zakończeniu wszystkich kroków wraz z wyborem systemu, otrzymałem powiadomienie pocztą elektroniczną o gotowości maszyny do pracy oraz potrzebnymi poświadczeniami do zalogowania się do niej (adres, nazwa użytkownika, hasło).

instalacja VPN

Żeby rozpocząć instalację musimy zalogować się do naszego systemu na serwerze VPS. W moim przypadku loguję się do systemu na użytkownika root, zatem odpalam terminal (użytkownicy windows używają tu putty) i wpisuję:

ssh root@adres_serwera_VPS

i jestem zalogowany do konsoli Ubuntu na serwerze VPS. Tylko uważaj - teraz jesteś root, więc nie spartacz czegoś, bo masz dostęp do wszystkich plików! Zresztą, system można łatwo przywrócić, przeinstalować, więc nie ma problemu. Najpierw zmień hasło do użytkownika root w systemie na VPSie:

passwd

Podaj nowe hasło, powtórz je i zapamiętaj. Do utworzenia tunelu VPN posłuż się programem openvpn. W tym celu musisz go najpierw zainstalować, a potem skonfigurować, zatem wpisz w terminalu komedę:

apt-get install ope....

...zaraz, zaraz - miał być przePiS dla opornych... To zamiast tego powyżej klepnij:

wget git.io/vpn --no-check-certificate -O openvpn-install.sh && bash openvpn-install.sh

Za pomocą tego zaklęcia będziesz miał od razu zainstalowany i skonfigurowany tunel VPN. Skrypt instalacyjny zada Ci po drodze kilka prostych pytań:

  1. IP address: tu_pojawi_się_adres_serwera - naciśnij Enter, bo prawdopodobnie jest to dobry adres - zapamiętaj go. Ułatwi Ci to korzystanie z Twojego serwera VPS w przyszłości.
  2. Port: 1194 - zostaw to, nie ruszaj tego, jeśli chcesz w prosty sposób korzystać z tunelu.
  3. Tu pojawi się lista 1-6 z serwerami DNS: DNS [1-6]: 1 - wybierz 1 albo 2, a jeśli chcesz możesz wybrać nawet 6.
  4. Client name: client - słowo "client" możesz zastąpić tu czym chcesz, ale nie używaj spacji ani znaków specjalnych - to będzie nazwa certyfikatu, którego będziesz używał. Najlepiej zostaw i nie ruszaj tej opcji, jeśli zamierzasz z tunelu korzystać tylko z jednego urządzenia. Jeśli ma być ich więcej, to nazywaj je tak, abyś wiedział gdzie masz je poinstalowane, np. laptop, iphone, cellphone, itd.
  5. Press any key to continue... - no, do cholery... wduś wreszcie jakiś klawisz!

No i nareszcie masz postawiony serwer VPN wraz z gotową jego konfiguracją: Your client config is available at ~/client.ovpn. Ten plik konfiguracyjny powinien wystarczyć do konfiguracji klienta, ale doświadczenie pokazuje że mogą się przydać też osobne pliki certyfikatów, które zostały wygenerowane. Najlepiej pobierz konfigurację klienta (.ovpn) oraz certyfikaty. Dla formalności sprawdź, czy VPN działa:

service openvpn status

Powinieneś zobaczyć komunikat w stylu VPN 'server' is running. Z serwera VPS możesz się już wylogować, maszyna chodzi, VPN działa. Teraz ponownie przejdź do konsoli swojego lokalnego komputera i pobierz plik konfiguracyjny ovpn ze swojego serwera (jest tam, gdzie zakomunikował skrypt na końcu instalacji) komendą:

scp root@adres_Twojego_serwera_VPS:/root/client.ovpn ~/Pobrane/

podaj hasło, a następnie pobierz klucz:

scp root@adres_Twojego_serwera_VPS:/etc/openvpn/easy-rsa/pki/private/client.key ~/Pobrane/

podaj hasło i analogicznie pobierz także certyfikaty:

scp root@adres_Twojego_serwera_VPS:/etc/openvpn/easy-rsa/pki/issued/client.crt ~/Pobrane/
scp root@adres_Twojego_serwera_VPS:/etc/openvpn/easy-rsa/pki/ca.crt ~/Pobrane/

No i teraz na swoim komputerze w katalogu domowym/Pobrane (musisz taki posiadać, jeśli nie, to dostosuj komendy powyżej), masz plik konfiguracyjny (ovpn) oraz klucz (key), jak i dwa certyfikaty (crt). Możemy konfigurować komputer, komórkę i cholera wie co jeszcze.

konfigurujemy klienta VPN

Teraz nareszcie możemy skonfigurować nasz sprzęt, aby połączenie z internetem przechodziło szyfrowanym kanałem VPN przez nasz serwer.

Jeśli posiadasz Ubuntu, czy tam innego linuksa, gdzie jest zainstalowany network-manager (zazwyczaj jest), to musisz doinstalować network-manager-openvpn:

sudo apt-get install network-manager-openvpn

następnie kliknij prawym klawiszem myszy na ikonce połączenia sieciowego, wybierz z menu Połączenia VPN -> Skonfiguruj VPN...

Rozpoczęcie konfiguracji klienta VPN na Ubuntu
Rozpoczęcie konfiguracji klienta VPN na Ubuntu

Następnie kliknij dodaj i z listy wybierz Zaimportuj zapisaną konfigurację VPN... Cholera wie dlaczego, ale nie importuje się to u mnie poprawnie z tego pliku ovpn - jedynie adres serwera się zgadza. W takim przypadku powinieneś uzupełnić konfigurację o klucz i certyfikaty, które pobrałeś wcześniej, tak aby konfiguracja się zgadzała.

Tak powinna wyglądać konfiguracja VPN w Network Manager
Tak powinna wyglądać konfiguracja VPN w Network Manager

No i teraz, nareszcie, możesz sprawdzić drożność swojego zarąbistego tunelu. Ponownie kliknij prawym na ikonce połączenia internetowego, wybierz połączenia VPN -> client. Przy ikonce powinna się pojawić kłódka. Jeśli możesz przeglądać strony w przeglądarce, to najprawdopodobniej oglądasz już je poprzez wykonany przez siebie tunel. Sprawdź teraz, jak strony identyfikują Twoje IP i lokalizację, ale nie wchodź na strony porno i nie sprawdzaj, czy reklamy wyświetlają się po francusku, tylko wejdź na jakąś stronkę, która zbada Twoją geolokalizację IP, np. choćby tu: https://www.iplocation.net/find-ip-address . U mnie Host Location wskazuje na: Roubaix, Nord-Pas-de-Calais France, więc zakładam że tunel działa - brawo.

Jeśli chciałeś skorzystać ze swojego połączenia VPN na smartfonie z androidem, to uspokój się i pobierz appkę OpenVPN Connect. Wgraj do tego smartfonu ten swój plik client.ovpn, uruchom aplikację w tym telefonie, kliknij ... -> Import -> Import Profile from SD card, następnie odszukaj plik, który wgrałeś, client.ovpn i gotowe. Teraz przyciśnij Connect i nie wystrasz się, bo android będzie mówił, że ktoś Cię podgląda, ale to Twój serwer tylko będzie na Ciebie patrzył - zatwierdź to i nie panikuj więcej. W menu pojawi się kluczyk i ikonka aplikacji OpenVPN, co oznacza, że korzystasz z tunelu VPN - brawo.

Połączenie VPN za pomocą aplikacji OpenVPN Connect
Połączenie VPN za pomocą aplikacji OpenVPN Connect

Jak skonfigurować klienta VPN na systemach iOS oraz Windows, to musisz sobie doszukać, bo nie dysponuję takimi drogimi urządzeniami, na których te systemy się odpalają, ale myślę że też nie będzie problemu - zerknij tutaj: https://openvpn.net/index.php/open-source/downloads.html

No i teraz masz taki tunel, że jak z niego skorzystasz, to żona gdy będzie Cię chciała znaleźć w domu, to nie zobaczy Cię przed kompem! ;)

Dobra, tak na poważnie już, to masz tu teledysk o podglądaniu: [youtube=https://www.youtube.com/watch?v=3tUh-x-fp8Q]

InternetBezpieczeństwoSerwery
Wybrane dla Ciebie
Komentarze (94)