Здравствуйте, уважаемые коллеги.
Часто доводилось наблюдать (на Хабре в том числе) обсуждения безопасности веб-серфинга через публичные незащищенные WiFi сети и рекомендации по защите.
Как минимум советуется к использованию HTTPS везде, где только это возможно. Многие вспоминают про TOR и/или VPN. Кто-то предпочитает VPN до своего собственного сервера (зато он гарантированно логи подключений не пишет!), кто-то VPN покупает. Бывает, вспоминают и о халяве. Полной или с ограничениями (xxx Мб в месяц для пробы и мы рады будем видеть вас среди наших клиентов, если вам понравится). В частности примелькались такие «лейблы», как Expat Shield и SecurityKISS. Условия у них разные, но это не суть. В том или ином виде, с ограничениями или без, но это халява. Поставили, пробуем.
SecurityKISS успешно подключился и отрапортовал, что External IP 217.147.94.149 (UK).
Пинг, произвольный сайт в браузере… вроде все работает. Проверяем telnet-ом коннект к 25 порту на некий интернет-сервер, в консоли которого сижу в момент эксперимента напрямую, без туннеля. Tcpdump, запущенный на внешнем интерфейсе сервера молчит о каких-либо попытках подключения, трафика на 25 порт нет. Но telnet уверяет, что коннект есть. Правда баннера почтовика нет… Набираю EHLO 123 и в ответ вываливается
421 Cannot connect to SMTP server xx.xx.xx.xx (xx.xx.xx.xx:25), connect timeout
где xx.xx.xx.xx — IP моего сервера.
Как вы понимаете, это отвечает не мой сервер xx.xx.xx.xx и не telnet с его «Подключение к xx.xx.xx.xx… Не удалось открыть подключение к этому узлу, на порт Y: Сбой подключения»
Пробую то же самое на 80-м порту. Коннект есть, tcpdump ничего не показывает. Набираю через некоторое (достаточно продолжительное) время GET / — пошли TCP-SYN пакеты (реально 80 порт не прослушивается, никакого сервиса на нем нет).
IP 217.147.94.149.8414 > xx.xx.xx.xx.80: S 832655572:832655572(0) win 16384 <mss 1366,nop,nop,sackOK>
Вывод — прозрачно проксируют все, что могут.
Пробуем Expat Shield.
Коннект на 25 порт проходит похоже без фокусов, баннер и все остальное на месте. Пробуем 80 порт. Такой же эффект, как и в случае SecurityKISS. И тут автор заметки делает очепятку. Вместо GET пишет GER. Сеанс рвется с выводом вот этого
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/1.0.6</center>
</body>
</html>
На этот раз информативней, «светится» nginx/1.0.6.
Вот такая безопасность. Эти сервисы, конечно, защитят от прослушивания в случае гостевого WiFi, но в случае стационарного проводного подключения риск раскрыть данные аутентификации или получить модифицированный контент на порядок выше, чем если этими туннелями не пользоваться.
Если кто-то заинтересовался, есть еще небольшой любопытный и чем-то похожий материал на тему интернета через 3G.
Автор: casperrr