جمعه، بهمن ۲۱، ۱۳۹۰

توضیحات مهم امنیتی جهت وبگردی



یکی از دوستان بالا(arianman) توضیحاتی را راجع به امنیت در وبگردی و نحوه عملکرد پروتکل های http و https و پورت ها دادند،توجه بفرمایید.

اگر شما با مثلا یک وب پروکسی وارد بالاترین بشید درواقع این پروکسی واسط بین کامپیوتر شما و سرور بالاترین هست. حتی اگر آدرس https بالاترین رو وارد وب پروکسی کنید فقط اطلاعات بین بالاترین و وب پروکسی واسط شما امن هست ولی ارتباط شما با پروکسی همچنان از طریق http هست و دیگه کد شده نیست.این تصور غلطی هست که چون ما آدرس امن جیمیل یا بالاترین رو وارد وب پروکسی میکنیم این ارتباط همچنان مثل وقتی که مستقیم با اونها در ارتباط هستیم امن باشه.

برای درک امنیت در حالتهای مختلف به مثالهای زیر توجه کنید:

حالت1: پورت 443 باز هست و سایت مورد نظر فیلتر نیست بدون هیچ پروکسی و مستقیم وارد جیمیل میشوید.

امنیت مثال 1: ارتباط شما با سرور جیمیل کاملا کد شده و امن هست مگر در موارد نادر مثل سرقت گواهینامه که چند ماه پیش اتفاق افتاد.

حالت 2: پورت 443 باز هست و سایت مورد نظر فیلتر هست و شما برای ورود به بالاترین از پروکسی یورفریدام و یا اولترا استفاده میکنید که از پورت 443 برای کد کردن استفاده میکنند:
مثال2:   http://balatarin.com

امنیت مثال 2: ارتباط بین سرور بالاترین و سرور یورفریدام یا اولترا امن نیست ولی ارتباط از سرور یورفریدام و یا اولترا با کامپیوتر شما کاملا امن و و کد شده هست.

حالت 3: پورت 443 باز هست و سایت مورد نظر فیلتر هست و شما برای ورود به بالاترین از پروکسی یورفریدام و یا اولترا استفاده میکنید که از پورت 443 برای کد کردن استفاده میکنند:
مثال3:   httpS://balatarin.com

امنیت مثال 3: ارتباط بین سرور بالاترین و سرور یورفریدام یا اولترا امن است و ارتباط از سرور یورفریدام و یا اولترا با کامپیوتر شما کاملا امن و کد شده هست.

حالت 4: پورت 443 بسته هست و سایت مورد نظر مثل جیمیل فیلتر نیست و میخواهید مستقیم وارد سایت بشید:

امنیت مثال 4: شما اصولا امکان ورود مستقیم به جیمیل رو ندارید و چون جیمیل ارتباط http رو بدلایل امنیتی ساپورت نمیکنه دیگه نمیتونید به هیچ روشی مستقیم واردش بشید.

حالت 5: پورت 443 بسته هست و سایت مورد نظر مثل جیمیل فیلتر نیست و چون نمیتونید مستقیم واردش بشید از یک پروکسی امن مثل یورفریدام استفاده میکنید و یا فیلتر است (مثل بالاترین) از یک پروکسی امن مثل یورفریدام استفاده میکنید:

مثال5:  : httpS://mail.google.comاز طریق یورفریدام
http://balatarin.com 
از طریق یورفریدام
httpS://balatarin.com 
از طریق یورفریدام
امنیت مثالهای 5: بدلیل بسته شدن پورت 443 برنامه یورفریدام قادر به ارتباط با سرور خودش نیست بنابراین از این راه هم امکان به ورود به جیمیل یا هیج سایت دیگه ای رو ندارید.

حالت 6: چون از طریق روشهای معمول نمیتونید وارد جیمیل یا بالاترین بشید ناچار میشید از یک وب پروکسی که از پورت ناامن 80 استفاده میکنه بهره بگیرید:

مثالهای6:                        

امنیت مثالهای 6: اگر به پروتکل آدرسهای مثال 6 نگاه بندازید متوجه میشید که اینها در اصل دارند از طریق http اطلاعات رو به شما میرسونند و اگرچه در ظاهر شما دارید از https سایتهای جیمیل و بالاترین استفاده میکنید ولی در واقع این ارتباط امن فقط بین سرورهای جیمیل و یا بالاترین با وب پروکسی هست و ارتباط سرور وب پروکسی با کامپیوتر شما به هیچ عنوان کد شده و امن نیست و براحتی قابل شنود هست به این صورت:

سرور جیمیل/بالاترین=کد شدن اطلاعات<--->ارتباط امن--->دی کد شدن اطلاعات=سرور وب پروکسی

سرور وب پروکسی=اطلاعات کد نشده<----->ارتباط ناامن---->اطلاعات کد نشده=اینترنت جمهوری اسلامی

اطلاعات کد نشده=اینترنت جمهوری اسلامی=استراق سمع<----->ارتباط ناامن---->کامپیوتر شما

حالت 7: حتما با توجه به مثال قبل میگید چون وی پی ان L2TP باز هست پس میشه با اون ارتباط امن برقرار کرد ولی من به این ارتباط مشکوک هستم چون دلیلی نداره وقتی سایر پورتهای امن بسته هستند پورت این پروتکل باز مونده باشه. پس میشه حدس زد اونها میتونن این ارتباط براحتی شنود کنند. مگر اینکه دلیل باز بودنش داشتن امکان استفاده روی پورت های مختلف باشه که من در این مورد اطلاعات بیشتری ندارم نمیتونم نظر بدم.

حالت 8: یه راه دیگه مونده و اون ارتباط ساکس هست که ظاهرا امنیت خوبی داره و مزیت بزرگی که داره استفاده روی پورتهای مختلف هست که بستن همه پورتها برای فیلترینگ ایران تقریبا غیر ممکن و محال هست. هرچند گزارش شده که جدیدا تونستن در این پروتکل هم اختلال بوجود بیارن. البته از اشخاص و سایتهای مطمئن این پروکسی رو تهیه و یا خریداری کنید. 

حالت 9: استفاده از برنامه های پروکسی که از پورت 80 استفاده میکنند و قابلیت کد کردن اطلاعات بین شما و سرور خودشون رو دارند مثل Opera Mini که روی موبایل نصب میشه و اگر سرور فیلتر نشدش رو بتونید پیدا کنید بهترین راه امن برای ارتباط در حال حاضر هست.

موفق باشید

arianman

۱ نظر: