Csomag és egyéb változások

Szeptember végével némileg átalakítjuk a vipVPN csomagokat. A változások listája a következő, ezek fokozatosan kerülnek bevezetésre a hogy közben a rendszer elavult részeit is átalakíthassuk:

– A legfontosabb, az árak egyelőre nem változnak :P Tervben van viszont újra a szezonális és a hosszabb előfizetés jutalmazása
– Elindítjuk az SSTP szerver végleges változatát, amit az Opennel közös előfizetéssel lehet elérni. Az SSTP szerverről itt lehet olvasni: http://blog.vipvpn.hu/2012/sstp-indul-a-teszteles/
– A korábbi hírrel ellentétben megtartjuk a PPTP (Basic) csomagot, mivel továbbra is van igény erre a csökkent biztonság ellenére. A korábbi hír itt elérhető: http://blog.vipvpn.hu/2012/pptp-biztonsagi-kockazat/
– A vipVPN Basic Lite átnevezésre kerül vipVPN Lite -ra; lehetségessé válik ingyenesen csatlakozni az Open és SSTP szerverekre is; a maximális sebesség 200kbit/s lesz a továbbiakban; nem lehet mostantól szerverként használni, azaz befelé csatlakozni; nem lehet az SMTP portokon kifelé csatlakozni; időközönként megszakítjuk a csatlakozást, ami után azonnal újra lehet kapcsolódni
– Bevezetésre kerül az új tűzfal felület, ami a régi kikapcsolása óta manuálisan volt megoldva. Ezzel be lehet állítani a megfelelő biztonsági szabályokat a VPN használatához.
– Részben átköltözünk egy új szerverközpontba, amivel megnöveljük a dedikált nemzetközi sávszélességünket

SSTP – indul a tesztelés

A mai nappal beállításra került az SSTP szerver és megnyitjuk tesztelésre. Itt egy kis FAQ arról, hogy mit kellhet tudni az SSTP VPN csatlakozásokról:

Q: Mi is az SSTP?
A: Az SSTP egy Microsoft által kifejlesztett SSL alapú VPN, amely felváltani hivatott az eddigi implementációkat a megnövelt biztonsággal, kompatibilitással és teljesítménnyel.

Q: Milyen operációs rendszerrel lehet használni?
A: Windows Vista SP1 és az utána megjelent PC és szerver Windows kiadások beépítve tartalmazzák. E mellett Linux alatt (NetworkManager integrációval) és Mikrotik routereken fut.

Q: Mit jelent a megnövelt biztonság?
A: Az SSTP SSL kódolással csatlakozik, ami a mai kódolások között a legtöbbet használt és legbiztonságosabbnak tekintett készlet. Megoldásra kerülnek a PPTP/L2TP biztonsági hibái. Hasonló SSL megoldást használ az OpenVPN.

Q: Mit jelent a megnövelt kompatibilitás?
A: Az SSTP 443/HTTPS porton kommunikál, így gond és egyéb beállítás nélkül használható szinte minden tűzfal és NAT megoldás mögött. Az OpenVPN-hez hasonló módon proxyn keresztül is tud kommunikálni, de csak authentikáció nélkülin.

Q: Mit jelent a megnövelt teljesítmény?
A: Mivel a Windows kernel szinten beépítve tartalmazza az SSTP VPN-t, így nincs az OpenVPN-hez hasonló userspace overhead, ezért jobb eredmények várhatóak sebességben.

Q: Milyen előfizetésre van szükségem a használatához?
A: Jelenleg vipVPN Open előfizetéssel használható és ezzel egyenértékű csomaggal lesz elérhető később is a szeptemberi változások után.

Q: Hogyan tudom beállítani?
A: A végleges leírás érkezik, egyelőre ezt a leírást lehet követni de a szerver címnek ezt kell megadni: sstp.vipvpn.hu

SSTP

PPTP – biztonsági kockázat

A PPTP VPN kapcsolatok egyes esetekben eddig is biztonsági kockázatot hordoztak, de a lehetséges felhasználása a réseknek limitált volt, mivel a 128-bit kódolás törés nagyon sok időt vesz igénybe és a kapott eredmény sem mindig működik. Előző hétvégén viszont a Defcon hacker konferencián bemutatásra került egy új módszer, amivel ezek a VPN-ek gyorsan és 100% sikerrel feltörhetőek olyan módon, hogy a támadó beleláthat a forgalomba vagy akár felcsatlakozhat a VPN szerverre a megszerzett belépővel. A módszer kitalálója és a vele kapcsolatban álló közösség, valamint a PPTP levlisták azt javasolják, hogy a PPTP forgalmat gondoljuk kódolatlanként és minél hamarabb szüntessük meg a használatát az interneten, mivel téves biztonságérzetet kelt.

Ennek megfelelően a vipVPN megszűnteti a Basic és Basic Lite szolgáltatásait. A leállás az SSTP csomag bevezetésével egyidőben várható, de legkésőbb szeptemberben.

PPTP - biztonsági kockázat

Adatforgalmi grafikon

Ha kíváncsi voltál, hogy mi is az a forgalom ami átmegy a vipVPN szerverein, itt egy kis ízelítő. Az alábbi grafikon a budapesti tartományunk forgalmát mutatja, 2 hetes nézetben, 30 perces mintavételezési közökkel. Nagyon jól látszik rajta a szokásos tendencia, délutáni-esti megugrott forgalom, hajnali-reggeli pangás. Ezen kívül kivehető még a hétvégi visszaesés is, ami a kolisok miatt péntek-szombat estét jelent.

Biztonság kérdése, blacklist és tűzfal

Az elmúlt hetekben többen kérdezték, hogy miért kapnak ritkábban-gyakrabban támadás jelzéseket a tűzfalon-vírusirón. Kb hasonló szavakkal elmondtam, hogy az internet nem kifejezetten barátságos hely, nagyon sok veszély leselkedik, és nem kell ahhoz rossz helyre kattintani vagy nem biztonságos forrásból származó programot elindítai, hogy célponttá váljunk. A legtöbb jelzés, amit kaphatunk a védelmi programokon abból ered, hogy nagyon sok szerver és zombi egész ip tartományokat scannel végig biztonsági réseket keresve: ez lehet egyszerű port scan, exploitok próbálgatása, dns spoofing, satöbbi. Az ok, amiért többször láthatunk ilyet vpn csatlakozás során az, hogy amikor normálisan fent vagy az interneten akkor az esetek nagy részében nem közvetlenül, hanem routeren keresztül csatlakozol, míg vpn esetében közvetlenül.

Az ilyen kérdések/panaszok orvoslására és általános biztonság növelése érdekében a héten ezért bevezettük, hogy a V3 szerverek nem továbbítanak csomagokat egyes black/block listán lévő forrásokból. Három ilyen listát kezdtünk el használni, és terv szerint ezeket hetente fogjuk frissíteni.

  • DShield (hálózatbiztonsággal foglalkozó oldal, a lista egy adott időszakra vonatkozó legtöbb támadás kiindulópontját tartalmazza)
  • SpamHaus (kifejezetten spam és egyéb kártékony elemek listázásával foglalkozik, a lista amit használunk többek között ellopott ip tartományokat és ellenőrizni lehetetlen címeket tartalmaz)
  • OpenBL (közösségi alapon épülő lista, ami megintcsak spam és támadások kiindulópontjait listázza)

Ugyancsak a héten újra elkezdtem dolgozni a vipVPN kapcsolatokat védő tűzfalon. Ez pár hónapja ki volt kapcsolva, mert nagyon kevesen használtátok, és aki használta annak is néha beragadt és csak manuálisan lehetett megoldani. A beragadásra azóta sem jöttem rá, az esetek 99%-ban jó volt és néha iptables nem törölte a szabályokat így a következő csatlakozásnál valaki másnak esetleg korlátozva voltak olyan portok, amiknek nem lett volna szabad.

A V3 kapcsolat és tűzfal teljesen új alapokra épül: egyrészt nem kétszeresen dinamikus (belső és külső) az ip kiosztás, hanem csak egyszeresen, másrészt nem scripten keresztül vannak beállítva a tűzfal szabályok, hanem minden szabály statikus és radius Filter-Id adja át az új csatlakozáskor. És miért is ne legyen statikus? Amíg nincs csatlakozás, nem létezik az interface és iptables sem akar jumpolni feleslegesen, így nincs plusz cpu terhelés. Viszont rendesen stabillá válik tőle a rendszer.

Az alaprendszer már készen van, belső tesztelés folyik illetve a webes kezelőfelületet kell még átalakítani hozzá. Úgy tervezem, hogy március első felében már lehet használni, de legkésőbb a végleges V3 átálláskor bevezetésre kerül.

Windows 7 vs 8 sebesség

Ahogy írtam a Windows 8 teszt kapcsán, az Open kapcsolatok gyorsabbak lettek. Sajnos nálam tényleg annyira instabil volt az OS, majd csak az RC-re fogok visszatérni, de addig is érdemes látni, hogy mire lehet majd számítani.

A tesztek alapján látható, hogy Windows 7 alatt a letöltési sebesség V2-V3 váltásnál megnő, a feltöltés viszont lelassul némileg. Ez viszont ellensúlyozásra kerül Windows 8 alatt, ahol a V3 szerver felé az aggregált sebesség minden eddiginél közelebb van a VPN nélkülihez.

Windows 7 Windows 8
Native
V2 Open
V3 Open

A teszteredmények ugyanazon a budapesti internet kapcsolaton és gépen születtek, mind a Magyar Telekom szerver ellen mérve.

Windows 8 teszt

TL;DR Customer Preview instabil de Windows 8 jó lesz, vipVPN nagyon gyors lesz vele

Már a nyár során kipróbáltam a Windows 8 Developer Previewt, de akkor annyira nagy ellenérzésem volt a Metro felülettel szemben, hogy csak átfutottam az egészen és visszatértem Windows 7 alá. Már akkor látszott, hogy az MS megpróbálja követni a trendeket, amit a Linux (főként Ubuntu) és OSX diktál, kinézetben és felhasználói érzésben.

A héten megjelent a Customer Preview, ami az utolsó lépés az első RC kiadás előtt. Nem volt mit tenni, ki kellett próbálni. A telepítés nagyon egyszerű volt, bár végül elhúzódott mert mindenképpen az SSD-re akartam rakni. Ha Windows alatt telepíted (tehát nem USB/DVD-ről), akkor az időtartam nagy része alatt ki lehet alttabolni a telepítőből és belefér egy rövid epizód megnézése. Több újraindítás után végre újra előttem volt az origami halas betöltő majd pedig a Metro felület.

Részben azért is siettem a telepítéssel, mert webchaten többen megkerestek a megjelenés napján, hogy menni fog-e a Win8 alatt a vipVPN kliens illetve hogy feltelepítették és nem megy. Így az első dolgom volt kipróbálni: mind a vipVPN, mind a gyári OpenVPN gond nélkül futott azonnal. Kipróbáltam a 2.2.0 (sajátunk erre épül egyelőre), 2.2.2 és 2.3-alpha1 verziókkal is, minden remekül ment. És nem csak futott, de sokkal gyorsabb eredményeket kaptam, mint Windows 7 alatt. (Következő bejegyzésben csinálok egy összehasonlítást)

Mivel Windows 7-re frissítettem, megmaradt az összes program és beállítás (talán kettőt kellett uninstallálni, amire figyelmztetett a telepítő), nem volt gond semilyen más programmal sem amit minden nap használok: Chrome, uTorrent, Minecraft, Visual Studio 2010, Trillian. Total Commander új verziót igényelt.

Hamar eljött az éjszaka és a kikapcsolás ideje. És jött az első hiba, ami magával hozta az összes többit. Láttatok már ilyet? Új BSOD

Másnap amikor bekapcsoltam a gépet, betöltött és a lock screent kioldottam, csak egy szürke képernyőt kaptam amivel semmit nem lehetett csinálni. Egy pár újraindítás és safe mode (amivel rendben ment) rájöttem, hogy valóban a bejelentkező képernyőn vagyok, csak nem látszik semmi a lényegből. Viszont az egérrel megtaláltam ahova a jelszó be lehet írni, beírtam és sikerült belépni! :)

Viszont ezek után minden szétesett: a metro (és a rendszer nagy része) felületről eltűntek a feliratok, csak az ikonok maradtak. És egyes programok elkezdtek összeesni. Nem indult el pl a vipVPN, és amikor debuggolni akartam a Visual Studio is crashelt betöltéskor.

Sajnos a rendszert nem tudtam megjavítani sem Resfresh (új funkció) használatával, Repairolni nem akartam, így nem maradt más mint hogy visszamegyek egyelőre Windows 7 alá.

UPDATE

Leírtani nem sikerült, full újrainstall kellett hogy visszamenjek Windows 7 alá.

vipVPN blog indul

A vipVPN tavaszi megújulása kapcsán úgy gondoltam ideje lenne egy blogot indítani. A vipVPN használata, fejlesztése, segítése közben felmerül nagyon sok kérdés, amit jobb blog formában kifejteni. Csak az fogja olvasni, akit érdekel, de annak jóval több információval tudunk itt szolgálni.

Nagyrészt a vipVPN rendszeréhez fognak kapcsolódni a témák, de legalábbis részben érinteni fogják. Vagy nem, de valahogy témába vág. Vagy csak érdekes.

Jó olvasást :)