Статья Блокируем утечку трафика на винде при разрыве соединения с VPN

  • Автор темы Bypass
  • Дата начала
Bypass

Bypass

Well-known member
02.02.2018
451
561
Вступительная статья

Боремся с утечкой трафика на винде.

Продолжение:

И так в первой статье мы настроили файрвол по феншую, пришло время задуматься - если мы будем пользоваться VPN или другими средствами безопасности то неплохо было бы добавить в правила файрвола один единственный адрес или диапазон адресов от нашего сервера VPN, чтобы весь наш разрешенный софт ходил строго c IP VPN и при обрыве трафик не пошел с IP адреса на который мы одеваем VPN, последствия утечки трафика приводит к деанонимизации.
Если вы внимательны изучили мою первую статью то это решение строиться очень просто, в тот же момент оно очень надежно (только для уверенных пользователей) без всяких дополнительных утилит (которые могут применять неуверенные пользователи).

Пример показан на вин 7, (если на 10 не забудьте почистить правила) клиент openvp и халявного конфига от whoer.net

Нам нужно прописать всего два правила

1) Разрешить openvpn.exe
2) Прописать разращенный адрес (или диапазон) vpn сервера(ов)

В входящих соединениях прописывать ничего ненужно это на случай если к вам нужно будет подключаться удаленно

В исходящих скидываю на примере:

Намба ван

Screenshot1.png


Намба ту

Screenshot2.png


Обратите внимание при создании правила VPN_PROTECT выбраны все программы. Все программы которые будут у вас разрешены, в моем примере это один Firefox, во вкладке область добавляете ip (если у вашего впн динамический адрес то диапазон) у вхоера он статический поэтому я добавил один. В общем на скрине все будет понятно.
Таким нехитрым действием мы добились того, что все ваши разрешенные программы в файрволе, моментально будут заблокированы при внезапном разрыве с VPN, соединение с интернетом будет возможно только при повторном соединении к серверу VPN.

Проверяем

Делаем батник который попытается выбить процесс клиента, тем самым произойдет разрыв сети. клиент нам об этом сообщит
Код:
ping -n 5 127.0.0.1>nul
taskkill /f /im openvpn.exe
Запускаем и получаем разрыв с VPN

vvv.PNG


До этого можно запустить любой пакетный снифер и убедиться что передача пакетов останавливается моментально.

Например: вы сидите в VK, залогинены через впн если впн отвалиться и переподключиться то не один пакет трафика на сервера VK в обход VPN не пройдет.


Иногда происходят трудности с выдачей разрешения узнать можно через журнал но мне в нем неудобно, мне в этом деле помогает утилита Process Hacker в ней есть плагин Firewall

Screenshot.png


в котором выделяется красным цветом то что пытается достучаться в инет. по процессу находим исполняемый фаил и вносим его в правила.

Например на днях установил эмулятор андройда там нужно было нескольким exe дать доступ иначе он не запускался. Запустил софт, запустил утилиту узнал какие исполнительные файлы усердно ломятся в инет, добавил в файрвол, софт завелся, профит. Главное успеть отловить его попытки коннекта ) виндовые сервисы кстати постояно долбят стену в надежде пролезть через нее и слить дампы на сервера мелкомягких где индусы будут это все разгребать. Если запускать тулзу там видно как svhost чекает адреса ищет куда ему пролезть хех ) Половина шахтеров я
все таки отвадил, повырезал их нафиг с системы. На системе стало более менее поспокойнее
часть троянов придушил )

На этом пожалуй все. Задаем вопросы. Комментируем.
 
V

Valkiria

Задаем вопросы. Комментируем.
Выкладывай сюда свой файл конфигурации *.ovpn или его содержание.
Только не трать время на рассказы о том, что каждый может получить этот файл бесплатно, заполнив форму на сайте whoer.net... Хоть что-нибудь сделай молча, без лишней суеты ))
Тогда будут комментарии ))

Сразу вопросы.
  1. Как ты узнал, что при обрыве трафика не происходит утечки ? После прочтения статьи я поняла. что твоё заявление голословно, так как ты обрываешь трафик на локальном компьютере. Это абсолютно надуманная ситуация, чаще всего соединение обрывается по вине провайдера, либо на стороне сервера.
  2. Почему для борьбы с утечкой трафика ты пользуешься этим дырявым брандмауэром? Ведь существуют другие способы.

И напоследок пожелание.
  1. Старайся разделять предложения точками, чтобы не приходилось по нескольку раз перечитывать их в поисках заложенного смысла.

P.S. Каким эмулятором Андроида ты пользуешься ?
 
Последнее редактирование модератором:
  • Нравится
Реакции: serseryoga и dominikanec
Bypass

Bypass

Well-known member
02.02.2018
451
561
Выкладывай сюда свой файл конфигурации *.ovpn или его содержание.
Только не трать время на рассказы о том, что каждый может получить этот файл бесплатно, заполнив форму на сайте whoer.net... Хоть что-нибудь сделай молча, без лишней суеты ))
Тогда будут комментарии ))

Сразу вопросы.
  1. Как ты узнал, что при обрыве трафика не происходит утечки ? После прочтения статьи я поняла. что твоё заявление голословно, так как ты обрываешь трафик на локальном компьютере. Это абсолютно надуманная ситуация, чаще всего соединение обрывается по вине провайдера, либо на стороне сервера.
  2. Почему для борьбы с утечкой трафика ты пользуешься этим дырявым брандмауэром? Ведь существуют другие способы.

И напоследок пожелание.
  1. Старайся разделять предложения точками, чтобы не приходилось по нескольку раз перечитывать их в поисках заложенного смысла.

P.S. Каким эмулятором Андроида ты пользуешься ?
А причем конфиг? конфиг юзался для примера любой конфиг можно, брандмауер не дырявый ты не умеешь просто его настраивать и правельно снифать траф. Без разницы где оборвется соединения трафик порежется мгновенно так как он может ходить только через сервер впн. Я уже устал с тобой спорить бессмысленно я вообще не любитель доказывать, методы всем доступны можно самим все проснифать. Ты просто не хочешь признать факт того что спешишь очень в своих выводах. Вот думаю записывать ли видео как нужно правильно снифать. Видео не для тебе, если мемберы попросят которые не в состоянии это сделать то запишу.

Конфиг не выложу что это еще за цыганский подход на условиях ))

"сделай молча, без лишней суеты ))
Тогда будут комментарии ))"
ахаха
 

Вложения

Последнее редактирование:
V

Valkiria

Вот думаю записывать ли видео как нужно правильно снифать.
Не думай, записывай.
Вместе посмеёмся ))

---- Добавлено позже ----

Без разницы где оборвется соединения трафик порежется мгновенно так как он может ходить только через сервер впн
Огромная разница, где обрывается соединение.
Как у тебя может произойти утечка трафика, если ты обрываешь соединение на локальном компе ?
В любом случае утечки не будет, хоть через VPN, хоть не через VPN.
Если ты не понимаешь такой истины, то тебе нужно пересмотреть свои взгляды ))

Оборви соединение на сервере и проследи утечку трафика с локального компа.
Либо оборви его на каком-нибудь ином транзитном компьютере и рассуждай об утечках.


Я не могу судить об утечках IP описанным тобою способом.
Заметь, при подключении через vpn-сервер важно вести речь об утечках IP -адреса, а не трафика.
Так вот: в твоём случае о твоём Ipбудет знать компания Майкрософт.
Твой способ анонимизации яйца выеденного не стоит.

Если хочешь бороться с утечкой Ip при VPN-соединении, то назначай VPN-сервер шлюзом для выхода в инет.
Такой способ - более правильный. При обрыве связи в любой точке - утечки Ip не произойдёт.
Наивный ребёнок ты ещё, учись у Валькирии.
 
Последнее редактирование модератором:
  • Нравится
Реакции: serseryoga
Bypass

Bypass

Well-known member
02.02.2018
451
561
Не думай, записывай.
Вместе посмеёмся ))

---- Добавлено позже ----


Огромная разница, где обрывается соединение.
Как у тебя может произойти утечка трафика, если ты обрываешь соединение на локальном компе ?
В любом случае утечки не будет, хоть через VPN, хоть не через VPN.
Если ты не понимаешь такой истины, то тебе нужно пересмотреть свои взгляды ))

Оборви соединение на сервере и проследи утечку трафика с локального компа.
Либо оборви его на каком-нибудь ином транзитном компьютере и рассуждай об утечках.


Я не могу судить об утечках IP описанным тобою способом.
Заметь, при подключении через vpn-сервер важно вести речь об утечках IP -адреса, а не трафика.
Так вот: в твоём случае о твоём Ipбудет знать компания Майкросолфт.
Твой способ анонимизации яйца выеденного не стоит.

Если хочешь бороться с утечкой Ip при VPN-соединении, то назначай VPN-сервер шлюзом для выхода в инет.
Такой спопоб - более правильный. При обрыве связи в любой точке - утечки Ip не произойдёт.
Наивный ребёнок ты ещё, учись у Валькирии.
Если через шлюз юзать при плохом коннекте нужно перерубать постоянно можно конечно батником сделать но в моих задачах это не удобно.
Ты опять в суть не въезжаешь есть много разных способов блокировки трафа при обрыве, за счет файрвола это одно из них. Если не можешь судить об утечках IP описанным мною способом, видео мое посмотришь, снифер в руки и вперед с песней. Видяха заливается... Специально для тебя делал может разберешься нормально потом. Мне на самом деле все равно кто как считает я делаю свое дело, и я знаю как это делать а на остальное глубоко п ... (жаль мат нельзя) мой словарный запас иссяк )

---- Добавлено позже ----

Залил видяху в облоко на мегу если кто что недопонимал.

>>> <<<
 
Последнее редактирование:
  • Нравится
Реакции: ztystra
A

ANR

Well-known member
12.12.2017
54
35
смысл то статьи понятен - создать одно глобальное правило для всех программ с коннектом на один ip сервера vpn
но как это сработает если firefox у тебя прописан отдельным разрешенным правилом? т.е получается что firefoxy разрешен коннект к любому удаленному ip.
на whoer.net вроде платный vpn? подскажи как бесплатный конфиг там получить, если не сложно

---- Добавлено позже ----
а, ясно понятно.. профиль то на полную исходящую блокировку..

---- Добавлено позже ----

и все равно не понятно.
даже если полная исходящая блокировка, то правило для firefox, все равно разрешает ему коннектится к любому адресу.
а глобальное правило к ip серверу vpn разрешает коннект для всех программ.
вообщем какая то муть в стиле майкрософт типа: включить отключенное состояние..

---- Добавлено позже ----

и все равно не понятно.
даже если полная исходящая блокировка, то правило для firefox, все равно разрешает ему коннектится к любому адресу.
а глобальное правило к ip серверу vpn разрешает коннект для всех программ.
вообщем какая то муть в стиле майкрософт типа: включить отключенное состояние..
смысл то статьи понятен - создать одно глобальное правило для всех программ с коннектом на один ip сервера vpn
но как это сработает если firefox у тебя прописан отдельным разрешенным правилом? т.е получается что firefoxy разрешен коннект к любому удаленному ip.
на whoer.net вроде платный vpn? подскажи как бесплатный конфиг там получить, если не сложно

---- Добавлено позже ----
а, ясно понятно.. профиль то на полную исходящую блокировку..
 
Последнее редактирование:
  • Нравится
Реакции: serseryoga и arm_n
Bypass

Bypass

Well-known member
02.02.2018
451
561
смысл то статьи понятен - создать одно глобальное правило для всех программ с коннектом на один ip сервера vpn
но как это сработает если firefox у тебя прописан отдельным разрешенным правилом? т.е получается что firefoxy разрешен коннект к любому удаленному ip.
на whoer.net вроде платный vpn? подскажи как бесплатный конфиг там получить, если не сложно

---- Добавлено позже ----
а, ясно понятно.. профиль то на полную исходящую блокировку..

---- Добавлено позже ----

и все равно не понятно.
даже если полная исходящая блокировка, то правило для firefox, все равно разрешает ему коннектится к любому адресу.
а глобальное правило к ip серверу vpn разрешает коннект для всех программ.
вообщем какая то муть в стиле майкрософт типа: включить отключенное состояние..

---- Добавлено позже ----

и все равно не понятно.
даже если полная исходящая блокировка, то правило для firefox, все равно разрешает ему коннектится к любому адресу.
а глобальное правило к ip серверу vpn разрешает коннект для всех программ.
вообщем какая то муть в стиле майкрософт типа: включить отключенное состояние..
Смысл в том правила работает на запрет всего кроме того что разрешено, впн разращенный адрес единственный получается там по барабану какие программы он имеет первый приоритет глобальный а далее уже файрфокс и другой софт который ты пропишешь ныряет под это правило и файрфокс будет весь свой траф заворачивать только по адресу vpn что и дает эффект блокировки при разрыве с впн. По идее да, мутновато выглядит но зато гибко настроить можно, почему любые программы сделал, это для того чтобы в это правило не добавлять свой разращенный софт, что позволит мне каждую софтинку настроить очень гибко вплоть до портов и типа трафа и не юзать для них глобальное правило. Вхоер дается бесплатный только один сервер - Нидерланды, там почту вбиваешь и конфиг вложением на почту приходит. - попробовать vpn жми и вбивай почту.
 
Последнее редактирование:
A

ANR

Well-known member
12.12.2017
54
35
1. глобальное правило - запрет всего, что не разрешено
2. firefox числится в разрешенных на любой адрес
3. VPN_PROTECT(все программы, в данном случае firefox) разрешен на один ip
почему правило VPN_PROTECT в случае разрыва соединения отменяет права firefox на коннект к любому адресу когда эти правила равнозначны и не глобальны?
при потери соединения с сервером vpn, пойдет подключение к обычной сети, (т.к. будет действовать первое глобальное правило) и firefox легко законнектится на любой адрес по уже своему правилу.
 
Bypass

Bypass

Well-known member
02.02.2018
451
561
1. глобальное правило - запрет всего, что не разрешено
2. firefox числится в разрешенных на любой адрес
3. VPN_PROTECT(все программы, в данном случае firefox) разрешен на один ip
почему правило VPN_PROTECT в случае разрыва соединения отменяет права firefox на коннект к любому адресу когда эти правила равнозначны и не глобальны?
при потери соединения с сервером vpn, пойдет подключение к обычной сети, (т.к. будет действовать первое глобальное правило) и firefox легко законнектится на любой адрес по уже своему правилу.
если произойдет разрыв vpn то файрфокс не может никуда конектится так как инет будет отрублен полностью заблокирован.
VPN_PROTECT это глобальное правило оно рулит всей сетевой активностью полностью
фаерфокc никогда не сможет выйти инет пока не будет подключения по адресу VPN никто из разрешенного списка не сможет.
Можно отдельно каждую программу настроить кто то будет заблокирован а кто то нет.
Я предпочитаю не замарачиваться а блочить всех + такая возможность имеет плюс это автопереподключение если в клиенте есть эта опция. Например если мы находимся под цепочкой впн тор впн и тор начнет внезапно переподключаеться то происходит разрыв тор и пвн, клиент впн в это время будет пытаться конектится, после того как тор переподключится тогда пройдет успешное соединение впн с тором и траф пойдет далее. Независимо где обрыв будет от провайдера до первого впн или от впн до тора или от тора до впн. На конце мы и байта от тора не пропустим. Что дает нам жесткий анон IP. ведь конечная нода может снифаться и если траф пройдет к адресу без впн на ноде будет видно куда прошел конект на какой сервер в инете.
 
Последнее редактирование:
A

ANR

Well-known member
12.12.2017
54
35
если произойдет разрыв vpn то файрфокс не может никуда конектится так как инет будет отрублен полностью заблокирован.
VPN_PROTECT это глобальное правило оно рулит всей сетевой активностью полностью
фаерфокc никогда не сможет выйти инет пока не будет подключения по адресу VPN никто из разрешенного списка не сможет.
Можно отдельно каждую программу настроить кто то будет заблокирован а кто то нет.
Я предпочитаю не замарачиваться а блочить всех + такая возможность имеет плюс это автопереподключение если в клиенте есть эта опция. Например если мы находимся под цепочкой впн тор впн и тор начнет внезапно переподключаеться то происходит разрыв тор и пвн, клиент впн в это время будет пытаться конектится, после того как тор переподключится тогда пройдет успешное соединение впн с тором и траф пойдет далее. Независимо где обрыв будет от провайдера до первого впн или от впн до тора или от тора до впн. На конце мы и байта от тора не пропустим. Что дает нам жесткий анон IP. ведь конечная нода может снифаться и если траф пройдет к адресу без впн на ноде будет видно куда прошел конект на какой сервер в инете.
извини почему VPN_PROTECT глобальное правило? глобальное правило это запрет всего, что не разрешено.
VPN_PROTECT это как то самое что разрешено. как и правило для лисы.
 
Bypass

Bypass

Well-known member
02.02.2018
451
561
извини почему VPN_PROTECT глобальное правило? глобальное правило это запрет всего, что не разрешено.
VPN_PROTECT это как то самое что разрешено. как и правило для лисы.
глобально разрещенное где указан единственный ip по которому возможна работа интернета
а лиса зависит от него ведь впн протект рулит ip адресом которое разрешено, лиса ссылается автоматически под это правило хочет она этого или нет.
то есть при разрыве происходит в политике блокировка всего интернета лиса в этот момент становиться как бы не разрешенной ибо нет конекта к IP vpn а нет конекта нет и интернета тогда никому.
 
Последнее редактирование:
Bypass

Bypass

Well-known member
02.02.2018
451
561
Жаль нельзя редактировать статью добавил бы еще туда как Process Monitor'ом вылавливать жаждущих подключиться, фильтр у него удобный гибкий.
 
Глюк

Глюк

Red Team
03.01.2018
1 029
1 792
Жаль нельзя редактировать статью добавил бы еще туда как Process Monitor'ом вылавливать жаждущих подключиться, фильтр у него удобный гибкий.
Добавь отдельной статьёй. Интересно же всё таки...
 
  • Нравится
Реакции: Bypass
mrOkey

mrOkey

Red Team
14.11.2017
668
737
Жаль нельзя редактировать статью добавил бы еще туда как Process Monitor'ом вылавливать жаждущих подключиться, фильтр у него удобный гибкий.
Напиши @WebWare Team в личку текст и ссылку на стать
 
  • Нравится
Реакции: Bypass
Bypass

Bypass

Well-known member
02.02.2018
451
561
На первом скрине пример фильтра для отлова процесса который пытается подключиться в интерент. В моем случае это запущенная но не добавленная в правила портабельная лиса, у нее в папке несколько исполняемых файлов firefox.exe плюс updater если допустим обновление не пройдет и нужно понять почему так произошло, его можно будет всегда отловить и прописать в правила, чтобы узнать какому именно файлу нужно дать доступ, в столбике операция смотрим кто именно ломиться в инет и на какие адреса, в свойствах копируем пути и размещаем ее в файрвол, лиса заводиться. Очень удобно отлавливать процессы когда ты установил софт и точно не можешь определить кому необходимо выдать доступ в интернет.
Screenshot.png


На втором скрине пример как мониторить отдельный процесс, в моем примере виртуалбокс с вин 10 с включенным и настроенным файрволом, как видим винда пытается пробиться на свои сервера но происходит отключение, если все таки она прокинет траф игнорируя файрвол, то в операциях зафиксируется TCP передача.

2.png



Напиши @WebWare Team в личку текст и ссылку на стать
Этот пользователь ограничил доступ к своему профилю.
@WebWare Team просьба дополнить первый пост. Благодарю.
 
Последнее редактирование:
B

_Bullet_

У меня вопрос. Кроме фаервола, как сделать, чтобы при обрыве инет отрубался? Чтобы постоянно не менять ничего... У меня этот способ на 10-ке не пашет. На 7-ке попробовал, всё работает. Но я иначе всё делал. Без лишних правил. Просто запретил все исходящие подключения и добавил exe vpn. Никаких айпи не вводил и всё работает

---- Добавлено позже ----

Почему для борьбы с утечкой трафика ты пользуешься этим дырявым брандмауэром? Ведь существуют другие способы.
Какие более лучшие способы существуют кроме фаервола? Из мануалов гуугла, кроме фаервола, ничего толком не работает
 
Последнее редактирование модератором:
Bypass

Bypass

Well-known member
02.02.2018
451
561
У меня вопрос. Кроме фаервола, как сделать, чтобы при обрыве инет отрубался? Чтобы постоянно не менять ничего... У меня этот способ на 10-ке не пашет. На 7-ке попробовал, всё работает. Но я иначе всё делал. Без лишних правил. Просто запретил все исходящие подключения и добавил exe vpn. Никаких айпи не вводил и всё работает

---- Добавлено позже ----


Какие более лучшие способы существуют кроме фаервола? Из мануалов гуугла, кроме фаервола, ничего толком не работает
Для тех кто не хочет вникать есть софтинки , попробуй может поможет.
 
  • Нравится
Реакции: serseryoga и _Bullet_
Мы в соцсетях: