ОРГАНИЗАЦИЯ АНОНИМНОГО ДОСТУПА К УДАЛЕННЫМ РЕСУРСАМ НА ОСНОВЕ ТЕХНОЛОГИИ ВЕБ-ПРОКСИ
Галкин
Алексей Сергеевич,
сотрудник академии Федеральной службы охраны России г. Орел, Россия
Архипов
Павел Андреевич,
сотрудник академии Федеральной службы охраны России г. Орел, Россия
Маркин
Дмитрий Олегович,
сотрудник академии Федеральной службы охраны России г. Орел, Россия, [email protected]
£
О
с
Ключевые слова:
анонимная сеть; веб-прокси; самомаршрутизация; активные данные; терминальные программы; луковая маршрутизация; чесночная маршрутизация.
При решении ряда задач возникает необходимость использования удаленного доступа к информационным ресурсам сети Интернет в условиях сохранения анонимности. Такие задачи могут возникать при проведении оперативно-розыскных мероприятий, осуществления операций под прикрытием, а также реализацию права на «тайну переписки» и активно обсуждаемое в настоящее время на государственном уровне праве граждан «на забвении» с сохранением в тайне персональных данных пользователей сети Интернет, а также других сведений, которые в той или иной степени могут затрагивать личную жизнь пользователей (информацию о посещаемых адресах, пользовательских именах и паролях, поисковых запросах и т.п.). Для обеспечения условий сохранения анонимности доступа к информационным ресурсам в настоящее время существуют технические решения, основанные на использовании анонимных сетей. Как правило, данные сети построены на основе прокси-серверов, однако в ряде случаев целесообразно использовать технологии веб-прокси. В работе рассмотрены основные понятия и классификация анонимных сетей, актуальных на сегодняшний день. Предложен концептуальный подход для реализации системы анонимного доступа к удаленным ресурсам на основе технологии веб-прокси. Показаны преимущества веб-прокси в отличие от классических прокси-серверов, наличие которых может быть существенно при построении анонимной сети. Приведена структурная схема типовой сети, обеспечивающей анонимный доступ к удаленным ресурсам на основе веб-прокси. Предложен подход по реализации концепции активных данных и терминальных программ для реализации задач самомаршрутизации с использованием анонимной сети на базе веб-прокси.
Современные условия удаленного доступа к информационным ресурсам позволяют говорить о том, что при обращении к сервисам на промежуточных узлах следования данных, в информационных ^-файлах провайдеров услуг связи, а также удаленных базах данных и программном обеспечении, остается множество «следов» такого обращения. Сложившаяся ситуация влечет за собой установления негласного тотального наблюдения за всеми пользователями глобальной сети, причем не со стороны организаций, которые могут иметь на то государственные полномочия, а со стороны производителей и поставщиков программного обеспечения и оборудования. Данное положение дел в определенной мере является недопустимым.
Необходимость находиться в сети анонимно без идентификации личности и местоположения может быть вызвана разными причинами, такими как: объективные потребности специальных служб во время проведения оперативно-розыскных и профилактических мероприятий; осуществление операций под прикрытием и внедрением своих информаторов и агентов в преступные сообщества; реализация права на «тайну переписки» и активно обсуждаемого в настоящее время на государственном уровне права граждан «на забвение» с сохранением в тайне персональных данных пользователей сети Интернет, а также других сведений, которые в той или иной степени могут затрагивать личную жизнь пользователей (информацию о посещаемых адресах, пользовательских именах и паролях, поисковых запросах и т.п.).
В специальных системах связи анонимные сети предоставляют широкие возможности для обеспечения сеанса связи и удаленного доступа к информационным ресурсам без разглашения местонахождения, а также принадлежности к определенной специальной категории пользователей, при этом не оставляя никаких следов использования информационных ресурсов, и обращения к промежуточным узлам сети.
Основой для построения анонимных сетей являются прокси-серверы, представляющие собой службу в компьютерных сетях, которая является промежуточным звеном между пользователем и удаленным информационным ресурсом. Классическая схема предоставления доступа к удаленному информационному ресурсу с использованием прокси-сервера представлена на рис. 1.
При организации анонимной сети вместо одного прокси-сервера между компьютером пользователя и удален-
ными информационными ресурсами находится сеть прокси-серверов. Прокси-серверы различаются по типу. Их классификация представлена на рис. 2.
Рис. 1. Схема предоставления доступа к удаленному информационному ресурсу с использованием прокси-сервера
Рис. 2. Классификация прокси-серверов по типу
HTTP/HTTPS - наиболее распространенный тип прокси-серверов, использующие номера портов HTTP-протокола: 80, 8080. Такие прокси-серверы могут, как скрывать IP-адрес пользователя и использование прокси, так и сообщать реальный IP-адрес клиента и использование им прокси-сервера.
SOCKS-прокси - прокси-сервер, который полностью передает запрос пользователя к ресурсу, не искажая и не добавляя никакой информации, по отношению к серверу, на котором расположен ресурс, SOCKS прокси является клиентом, что полностью делает пользователя, запросившего ресурс, анонимным.
FTP-прокси - предназначен для работы с файловым менеджером.
CGI-прокси или анонимайзер - веб-прокси, который позволяет анонимно перемещаться с одной web-страницы на другую. Пользователь указывает адрес анонимайзера, а после адрес ресурса, к которому необходимо получить доступ.
Управление анонимной сетью может быть как централизованным, так и децентрализованным, и может выполнять как узконаправленные задачи, так и предоставлять доступ к широкому перечню услуг. Классификация анонимных сетей по типу управления представлена на рис. 3.
В децентрализованной сети любая машина может установить соединение с другой, а также послать ей запрос на предоставление ресурсов. Каждая машина обрабатывает запросы от других в качестве сервера, отсылая и принимая запросы, а также выполняя другие вспомогательные и административные функции. Любой участник такой сети не обязан гарантировать постоянного соединения, и может разорвать его в любой момент времени. Но при достижении определённого размера сети в ней одновременно начинают существовать множество серверов с одинаковыми функциями.
В гибридных сетях существуют серверы, используемые для координации работы, поиска или предоставления информации о существующих машинах сети и их статусе. Гибридные сети сочетают скорость централизованных сетей и надёжность децентрализованных благодаря схемам с независимыми серверами индексации, синхронизирующими данные между собой. При выходе из строя одного или нескольких серверов, сеть продолжает функционировать.
Узкоспециализированные сети предназначены для ано-нимизации определенного типа трафика, например, только HTTP или только анонимная электронная переписка.
Рис. 3. Классификация анонимных сетей
Построение анонимных сетей на базе веб-прокси
Веб-прокси является отдельной категорией прокси-серверов, представляющей собой веб-приложение, установленное на веб-сервере. В основе технологии веб-прокси лежат веб-приложения, выполняемые на стороне сервера. Как правило, это Perl, Python, PHP-скрипты.
Использование веб-прокси в отличие от классических программно-аппаратных платформ имеет ряд преимуществ:
установка и настройка программного обеспечения веб-прокси не требует глубоких специальных знаний и позволяет в сжатые сроки получить работоспособный прокси-сервер;
существует большое количество доступных программно-аппаратных платформ - хостингов, которые могут быть использованы в качестве веб-прокси за сравнительно низкую плату или вовсе бесплатно.
может быть использована арендованная или бесплатная программно-аппаратная платформа, не требующая существенных материальных и временных затрат для развертывания.
Совокупность данных факторов предопределяет высокую доступность технологии веб-прокси, а современные технические возможности веб-серверов и серверных расширений, позволяющих обрабатывать Perl, Python, PHP и другие скрипты, предоставляют широкие возможности для разработчиков.
В настоящее время существует несколько готовых решений веб-прокси серверов, к которым относятся:
- CGIProxy (на базе CGI-скриптов и OpenSSL) [1];
- Glype Proxy (на базе PHP) [2];
- PHProxy (на базе PHP) [3];
- Zelune (на базе PHP);
- Cohula (на базе Java) [4].
Построение анонимных сетей на базе веб-прокси является достаточно тривиальной задачей, однако не получила широкого распространения в связи с рядом проблем, связанных с ограниченной функциональностью веб-серверов. К таким проблемам относятся:
- внесение адреса веб-сервера, на котором функционирует веб-прокси в список запрещенных, и, соответственно,
блокирование доступа к нему на уровне сети;
- низкая скорость соединения между веб-прокси и удаленными ресурсами (другими веб-прокси);
- наличие скриптов в коде удаленного информационного ресурса, которые исполняются на клиентской стороне и должны в «прозрачном» режиме передаваться через веб-прокси.
Данные ограничения в той или иной степени являются устранимыми, однако в то же время снижают привлекательность веб-прокси для массового использования.
Классическая схема доступа к удаленному информационному ресурсу посредством веб-прокси представлена на рис. 4. В данной схеме веб-прокси выступает в качестве посредника между пользователем и информационными ресурсами глобальной сети. Такой посредник позволяет решить частично решить задачу анонимного доступа к ресурсам или обойти ограничения локальной сети пользователя, однако он достаточно уязвим к обнаружению и блокированию как со стороны администраторов локальной сети пользователя, так и со стороны ресурсов глобальной сети.
Рис. 4. Классическая схема доступа к удаленным информационным ресурсам с использованием веб-прокси
В случае построения анонимной сети на базе веб-прокси повышается вероятность сохранения конфиденциальности доступа, а также вероятность раскрытия ее параметров. Схема доступа к удаленным ресурсам посредством анонимной сети на базе веб-прокси представлена на рис. 5.
Рис. 5. Схема доступа к удаленным информационным ресурсам с использованием анонимной сети на базе веб-прокси
Для построения анонимной сети необходимо решить задачу анонимного обмена данными через компьютерные сети. Одним из решений является реализация таких технологий как: луковая и чесночная маршрутизации.
Технологии луковой и чесночной маршрутизации
Технология луковой маршрутизации [5], реализована в сети Тог [6]. Сущность луковой маршрутизации заключается в том, что каждый маршрутизатор анонимной сети удаляет слой шифрования, чтобы открыть трассировочные инструкции и отослать сообщения на следующий маршрутизатор, где все повторяется. Таким образом, промежуточные узлы не знают источник, пункт назначения и содержание сообщения. Сообщения передаются от источника к получателю через последовательность прокси-серверов, которые перенаправляют сообщение в непредсказуемом направлении. Преимущество луковой маршрутизации в том, что отпадает необходимость доверия каждому участвующему узлу сети. Даже если один или несколько узлов подвергнутся взлому, анонимное соединение все равно сможет быть установлено, достигается это за счет того, что каждое сообщение зашифровывается на маршрутизаторе и передается на другой.
Структура пакета сетевого уровня при передаче по анонимной сети с использованием луковой маршрутизации представлена на рис. 6.
Зашифровано на открытом ключе (OK) узла №2
IP Зашифровано на OK узла № 3
IP z . IP Зашифровано на ОН узла № 4
для узла заголовок Зашифровано на OK получателя
№ 1 №2 заголовок для \ {ла «J ? для утла №4 II1 заголовок для получателя Данные приложения с HTTP и TCP шоловоком
Рис. 6. Структура пакета сетевого уровня при передаче по анонимной сети с использованием луковой маршрутизации
Для функционирования сети луковой маршрутизации необходима организация системы распределения криптографических ключей и, соответственно, наличие третьей доверенной стороны. Ее функции может выполнять центр сертификации, которому «доверяют» узлы анонимной сети. При этом следует заметить, что обеспечения конфиденциальность трассировочных инструкций внутри пере-
даваемых по анонимной сети данных является отдельной задачей, никак не связанной с криптографической защитой собственно самих данных.
У луковой маршрутизации есть несколько слабостей. С одной стороны, она не обеспечивает защиту против анализа синхронизации. Если злоумышленник наблюдает за относительно слабо загруженным луковым маршрутизатором, он может соединять входящие/исходящие сообщения путем просмотра того, как близко по времени они были получены и переправлены.
Луковая маршрутизация не в состоянии защитить данные, проходящие через выходные узлы, отдавая оператору полный доступ к передаваемому содержанию, и поэтому луковые сети не должны использоваться для передачи личной информации без использования конечной криптографии, такой как SSL.
При необходимости технология луковой маршрутизации может быть усилена за счет дробления пакетов и передачи их разными маршрутами. Такая технология была реализована в анонимной сети I2P [7] и является одним из расширения сети Тог.
В чесночной маршрутизации, взята за основу технология лукой маршрутизации, заключается она в том, что использование многослойного шифрования, позволяет единственному сообщению (так называемому «чесноку») содержать в себе множество «зубчиков» - полностью сформированных сообщений рядом с инструкциями для их доставки. В каждый «чеснок» в момент его формирования перед отправкой закладывается множество «зубчиков», как нашего узла, так и с чужого - транзитного. Никто не может узнать информацию о том, какой из «зубчиков» является нашим, а какой чужим транзитным сообщением, просто передающимся через нас. Такой информацией владеет только тот, кто создал «чеснок».
Структура пакета сетевого уровня при передаче по анонимной сети с использованием луковой и надстройкой из чесночной маршрутизации представлена на рис. 7.
Чесночная технология применяется тогда, когда нужно отправить зашифрованное сообщение через промежуточные узлы, у которых не должно быть доступа к этой информации.
Применение концепции активных данных
и технологий терминальных программ
при построении анонимной сети на базе веб-прокси
Технологии луковой и чесночной маршрутизации по созданию анонимной сети как системы защиты от раскрытия источника данных, как и любое средство защиты, обладают рядом слабых мест, поэтому продолжают совершенствоваться. Одним из направлений совершенствования таких механизмов защиты является использования концепции активных данных и так называемых терминальных программ, описанных в [8]. Активные данные, одновременно являясь терминальными программами, способны настраивать программно-определяемое оборудование, требуемое для их распространения, и могут управлять процессом своего распространения в коммуникационной среде.
Предоставление терминальным программам возможности производить активные действия как наустройствах-при-
[Р id головок для \тла № 1 Зашифровали па открытом ЕЛючг (ОК) учла№ 2
IP Заголовок для учла №3 Зашифровано на ОК \~ла № J
IP заголовок для учла №3 Заш||ф|Ч1вако на OK Vt.l.l № 4
IP 'заголовок для учла №4 Зашифровано на ОК пол\ чателя
1Р заголовок для ПолуШКел» TCP ча! оловок Данные приложения HTTP частя NOJ
[р
заголовок для ума № 1
Зашифровано на открыты ключе (OKI тала № 2
■Зашифровано Ha OK узла № 3
IP
заголовок -Хчя угла №2
IP заголовок льч учла №3 Зашифровано на (Ж учла № 4
IP ■заголовок для ума №4 Зашифровано на ОК Получателя
IP заголовок для получателя TCP заголовок Данные приложения HTTP чае I ь № 2
IP
заголовок для у зяа № I
Зашифровано на открытом ключе (ОК) учла № 2
IP
заголовок для утла №2
'Зашифровано на ( Ж ушл 3
IP
заголовок для узла № .1
Зашифровано на OK учла №
IP
заголовок дня уча №4
Зашифровано на ОК получателя
IP заголовок Для получателя TCP заголовок Данные приложения HTTP часть № 1
1
Часть № I
Чисть №2
Часть №N
Донные приложения HTTP
Рис. 7. Структура пакета сетевого уровня при передаче по анонимной сети с использованием луковой и надстройкой из чесночной маршрутизации
емниках, так и на всех промежуточных узлах, участвующих в процессе инфокоммуникации, расширяет возможности сетей передачи данных, делая их программно-определяемыми системами, что, в свою очередь, обеспечивает возможность динамически создавать специализированные сети передачи данных из устройств общего назначения. Одной из задач создания таких сетей является реализация функции самомаршрутизации, рассмотренной в работе [8]. Для реализации функций самомаршрутизации (функции, при которой пакет, попав на промежуточный узел сети, принимает решение о маршруте своего дальнейшего перемещения на основе текущих данных об инфокоммуникационном окружении) [8] должен предоставляться список «ближних соседей»
- устройств, с которыми соединение уже установлено или может быть установлено непосредственно. Такой список может формироваться и обновляться в реальном времени за счет функции мониторинга коммуникационного ресурса.
Технологии веб-прокси являются подходящим инструментом, не требующим разработки дополнительных механизмов реализации концепции терминальных программ. Иными словами, при передаче данных по анонимной сети на базе веб-прокси в качестве полезной нагрузки в данных приложения HTTP могут быть заложены инструкции в виде скрипта. Такой скрипт, попав на i-й удаленный узел
- веб-прокси, после его исполнения может решать ряд за-
дач, позволяющих существенно усилить защищенность анонимной сети, например:
- сгенерировать новый маршрут следования передаваемых данных;
- сгенерировать новый исполняемый скрипт с необходимыми функциями;
- выполнить запрос к удаленному узлу(ам) или осуществить информационный обмен со сменой протокола доступа (например, по протоколу Telnet, SSH и др.).
Таким образом, при решении задачи построения анонимной сети на базе веб-прокси может использоваться комплекс подходов, таких как луковая и чесночная маршрутизация, шифрование вложенных данных уровня приложений, исполнение вложенных данных на промежуточных узлах при реализации функций самомаршрутизации, что позволит обеспечить необходимую конфиденциальность и скрытность источника запроса. Однако в то же время необходимо решить ряд проблем, связанных с особенностями использования технологий веб-прокси, связанных в первую очередь с ограничениями, накладываемыми вебсервером на выполнение скриптов, а также с устойчивость соединения, которое может включать несколько промежуточных узлов. Кроме того, существенным фактором является защищенность от раскрытия параметров такой сети и надежность установленного удаленного соединения.
Литература
1. CGIProxy 2.1.14. URL: http://www.jmarshall.com/ tools/cgiproxy/ (дата обращения 08.10.2015).
2. Glype Proxy Script. URL: https://www.glype.com/. (дата обращения 08.10.2015).
3. PHProxy. URL: http://sourceforge.net/projects/poxy/. (дата обращения 08.10.2015).
4. Cohula Веб-прокси Cohula - альтернатива Glype. URL: http://cohula.com/ru/. (датаобращения08.10.2015).
5. Patent USA US6266704 Bl. Onion routing network for securely moving data through communication networks.
Reed M.G., Syverson P.F., Goldschlag D.M. Declared 29.05.1998. Published 24.07.2001. Bulletin No. US 09/086,541.
6. The Tor Project, Inc. Tor Project: Anonymity Online . URL: https://www.torproject.org/index.html.en. (дата обращения 08.10.2015).
7. Garlic Routing Garlic Routing and "Garlic" Terminology. URL: https://geti2p.net/en/docs/how/garlic-routing. (дата обращения 08.10.2015).
8. Кулешов C.B., Цветков О.В. Активные данные в цифровых программно-определяемых системах // Информационно-измерительные и управляющие системы. 2014. №6. С. 12-19.
Для цитирования:
Галкин А.С., Архипов П.А., Маркин Д.О. Организация анонимного доступа к удаленным ресурсам на основе технологии веб-прокси // Наукоемкие технологии в космических исследованиях Земли. 2016. Т. 8. № 5. С. 44-49.
ANONYMOUS ACCESS TO REMOTE RESOURCES BASED ON WEB PROXY TECHNOLOGY
Aleksey S. Galkin,
Oryol, Russia
Pavel A. Arhipov,
Oryol, Russia
Dmitriy O. Markin,
Oryol, Russia, [email protected]
Abstrart
Article is devoted to possibility of realization in systems of the Solutionsome problems demands using remote access to information resources of the Internet in the conditions of anonymity preservation. Such tasks arise during carrying out operational search actions, implementation of operations under cover, and also realization of the right for "correspondence secrecy". Right for "correspondence secrecy" demands preservation in secret of Internet users personal information, and also other data which can affect users^ private life. To provide information access anonymity there are some technical solutions based on using anonymous networks. As a rule, these networks construction based on proxy servers. However in some cases it is expedient to use technologies of a web proxy. This article presents development of basic concepts and classification of the anonymous networks. Conceptual approach for realization of anonymous access system to remote resources based on web proxy technology is offered. The athors completed comparative analysis of web proxy and classical proxy servers. The standard network structure of anonymous access system based on web proxy is provided. The article contains description of active data and terminal programs concept implementation for realization self-routing
using anonymous network based on web proxy. Keywords: anonymous network; web proxy; self-routing; active data; terminal programs; onions routing; garlick routing.
References
1. CGIProxy 2.1.14. URL: http://www.jmarshall.com/tools/ cgiproxy/ (date of access 08.10.2015).
2. Glype Proxy Script. URL: https://www.glype.com/ Access Date: 08.10.2015.
3. PHProxy. URL: http://sourceforge.net/projects/poxy/ (date of access 08.10.2015).
4. Cohula Web proxy Cohula. URL: http://cohula.com/ru/ (date of access 08.10.2015.
5. Patent USA US6266704 B1. Onion routing network for securely moving data through communication networks. Reed M.G., Syverson P.F., Goldschlag D.M. Declared 29.05.1998. Published 24.07.2001. Bulletin No. US 09/086,541.
6. The Tor Project, Inc. Tor Project: Anonymity Online. URL: https://www.torproject.org/index.html.en. (date of access 08.10.2015).
7. Garlic Routing Garlic Routing and "Garlic". URL: https://geti2p. net/en/docs/how/garlic-routing (date of access 08.10.2015).
8. Kuleshov S.V., Cvetkov O.V. Active data in digital software-defined systems. Informatsionno-izmeritelnye i upravlyayushchie sistemy. 2014. No. 6. Pp. 12-19. (In Russian).
Information about authors:
Galkin A.S., employer, Academy of Federal Guard Service of Russia;
Arhipov P.A., employer, Academy of Federal Guard Service of Russia;
Markin D.O., employer, Academy of Federal Guard Service of Russia.
For citation:
Galkin A.S., Arhipov P.A., Markin D.O. Anonymous access to remote resources based on web proxy technology. H&ES Research. 2016. Vol. 8. No. 5. Pp. 44-49.