Share một VPN bé bỏng

TyE · January 26, 2020, 9:32am

Chào mọi người, hà mã tím đáng yêu thấy hiện tại các nhà mạng đang chặn web xxx mạnh. Đã có nhiều hà mã béo ngậy trong đàn bị chết vì dư sữa.

Không phải chặn dạng khóa IP như ngày xưa họ chặn Facebook nữa, vì nếu chặn như thế chỉ cần đổi DNS là xong.

Hiện tại họ chặn ở mức nghe lén gói tin, vì vậy xâm phạm nghiêm trọng bí mật cá nhân. Và sắp tới chắc chắn họ sẽ được nước làm tới, nghe lén ngày càng nhiều.

Và việc chặn xxx cũng là xâm phạm nghiêm trọng quyền tự do mưu cầu hanh phúc của hơn 20 triệu thanh niên.

Hiểu được sự kham khổ của mọi người khi các VPN app cũng đang tranh thủ hút máu, mình có mở 1 máy chủ VPN riêng ở Singapore để các bạn sử dụng.

Thông tin kết nối như sau:

IP: 52.77.111.184
Usename/Password/IPSec preshare-key: vpn

Các bạn chỉ cần tạo VPN mới như ảnh và kết nối với thông tin như trên là được.
P.s: chỉ một thiết bị trên mỗi IP được kết nối, vì vậy bạn chỉ được dùng 1 thiết bị cho mỗi wifi nhé

Dao_An · November 24, 2019, 4:56pm

https thì cần gì vpn để chống nghe lén nữa nhỉ ? chứ ae xem 4k thì chẳng mấy chốc hết băng thông ;))

thaipt · November 25, 2019, 2:04am

@Dao_An: Bạn nhầm lẫn giữa hai khái niệm mã hóa bằng SSL/TLS (https) và qua VPN rồi. Với TLS, mọi dữ liệu trao đổi giữa client và server được mã hóa. Tuy nhiên, các server nằm trên đường đi giữa client và server vẫn biết được target IP address của gói dữ liệu. Và trong thực tế, hình thức này không bảo đảm đủ tính bảo mật vì các server trung gian vẫn có thể giải mã các dữ liệu trung gian và mã hóa lại bằng các certificate của chính nó. Ví dụ như sau:

Giao tiếp dùng https theo lý thuyết:

Client ==> Proxy ==>  Destination Server

Thực tế:

Client ==> Proxy <== Destination Server

Thành ra cả Client và Destination Server đều nghĩ là thông tin của mình được giao và nhận đúng nơi, nhưng thật ra là nó chỉ giao tiếp với Proxy ở giữa, Proxy thay thế certificate của Destination Server bằng certificate của riêng nó và làm cho end user có cảm giác rằng dữ liệu của mình vẫn an toàn. Nhưng thực ra nội dung của nó hoàn toàn có thể bị lộ tại Proxy Server (Tôi đã thấy qua cách thiết lập này và nếu không để ý đến các certificate - đại đa số người dùng không ai để ý đến cái này - thì bạn không nhận ra là dữ liệu của mình đã đi qua Proxy. Và thực ra nếu có để ý đi nữa nhưng lỡ lần đầu bạn cho trình duyệt của bạn trust cái certificate của Proxy thì kết quả cũng vậy)

Đó là lý do bạn cần thêm dịch vụ VPN, VPN sẽ mã hóa toàn bộ dữ liệu giữa Client và Destination Server, kể cả target IP address. Vì vậy, cho dù có các Proxy thì chúng cũng chỉ biết có việc trao đổi dữ liệu giữa Client và VPN Server mà thôi. Vì vậy, việc Client truy cập Server nào chỉ được biết bởi VPN Server, còn các Proxy Server không thể biết được. Đây là khái niệm gọi là tunneling của VPN.

Tuy nhiên, tôi cũng không nghĩ rằng cách làm của bạn @TyE là tốt vì các lý do sau đây: Bạn tạo VPN để mọi người truy cập Web đen, tôi nghĩ là chúng ta không nên khuyến khích việc này. Thứ nữa là trong thực tế thì một server của bạn có lẽ đủ cho bạn dùng trong một số trường hợp, nhưng nếu có nhiều người dùng và nhu cầu băng thông cao thì server của bạn có lẽ sẽ chết sớm và không giải quyết được vấn đề như bạn @Dao_An đã nói.

Bui_Trung_Thong · November 25, 2019, 3:27am

chưa test tốc độ của thớt nhưng cũng cảm ơn thớt, thớt có thể chia sẻ gói của thớt và nhà cung cấp ko ? Lâu lâu mới cần vpn nên lười mua vì hơi phí, nhưng xài free thì ko tốc độ không tưởng quá. Nhưng mới cài cái app VPN Proxy Master trên android tuy free nhưng nó mạnh gần như ngang ngửa khi ko cần connect luôn, ko biết có đáng tin cậy ko vì thấy hơi ảo :))

TyE · November 25, 2019, 5:56am

có một chút credits nên mình mở ec2 của amazon để dùng và share cho anh em dùng chứ tính ra là tốn phí tính theo hours.
openvpn không hỗ trợ PSK và limit 2 devices bản free, bản paid tính 15$/devices/year nên mình thấy phí nên mình dùng vpn server khác.
về tốc độ thì bị giới hạn bởi bandwidth của ec2 nhưng cũng thuộc dạng đáp ứng được cho anh em: https://www.speedtest.net/result/8793690386.png

TyE · November 25, 2019, 6:00am

đúng như bạn nói, vpn cho người dùng xem phim xxx là không tốt và rất phí vì cần server to và băng thông lớn, mình tán thành.
nhưng mình nghĩ xxx chỉ là một khía cạnh nhỏ, trắng ra là màn che để biện minh cho thao tác nghe lén vì vậy mình mới mở vpn non-profit

Dao_An · November 25, 2019, 6:24am

M thấy sử dụng VPN lại cho 1 thằng thứ 3 biết đến giữ liệu thì lại có nguy cơ lộ nhiều hơn , ae nào thích tự setup mà dùng, chứ theo mình biết đc ip target thì cũng chả để làm gì, nhiều web còn sài cloudflare (như daynhauhoc) thì ISP cũng ko biết m vào trang nào với trang nào luôn. Dùng lướt web ko từ trưa đến giờ, ae nào xem phim chắc gấp chục lần băng thông.

Dao_An · November 25, 2019, 6:36am

Theo m thấy nếu ko chặn web đen mà mở hết ra rồi lén lút nghe lén có phải nghe đc nhiều hơn ko ? Chứ ko lại có 1 thành phần ko theo dõi đc rồi ?

Bui_Trung_Thong · November 25, 2019, 10:08am

đúng là mình nghĩ dù tính phí hay ko thì chắc thằng vpn server đều collect data để bán cả, dù privacy nó bảo là ko mình thì cần dùng khi thử một số service ko support VN hoặc lâu lâu lội vào dark chơi cho an tâm

doanguyen · November 25, 2019, 9:58pm

Vế 1 của b là không hoàn toàn chính xác, dữ liệu thông qua https protocol không thể bị giải mã nếu không có private key của server. Các server hay isp trung gian có thể lấy được nội dung của package nhưng không thể giải mã.

thaipt · November 25, 2019, 10:20pm

Như tôi đã nói, nếu bạn để ý và không để trình duyệt của bạn trust các certificate từ Proxy thì không sao cả. Nhưng nếu bạn không để ý khi trình duyệt cảnh báo về các certificate không phải là các root certificate và bạn bỏ qua - điều vẫn thường thấy đối với đa số user bình thường, họ chỉ quan tâm đến việc có vào Web site được hay không - và chấp nhận cho trình duyệt của bạn trust các certificate này thì dữ liệu giữa trình duyệt của bạn và Web server hoàn toàn có thể bị giải mã. Bạn đã bao giờ thử chức năng này trên Fiddler chưa?

https://www.fiddlerbook.com/fiddler/help/httpsdecryption.asp

doanguyen · November 25, 2019, 11:29pm

Mình phản biện ý này, chứ không nói tới kiểu MITM attack theo vế sau của bạn. Trong comment trước của m có nói là message không thể bị decrypt nếu không có private key (https), trong trường hợp bạn nêu thì attacker đã có private key rồi.

Theo cùng suy luận đó thì dù có VPN hay thể loại gì cũng vậy, ví dụ như bạn sử dụng VPN do chính … attacker cung cấp thì mức độ bảo mật cũng tương tự bạn “trust” các untrusted certificates.

thaipt · November 26, 2019, 1:13am

Tôi không hiểu bạn đang phản biện ý nào. Đoạn trích bạn đưa ra có 3 câu. Câu đầu ý của tôi là việc mã hóa trên TLS và trên VPN có tác dụng khác nhau. Câu thứ hai tôi nói rằng dù mã hóa qua TLS thì các server nằm trên đường truyền vẫn nắm được target IP của gói dữ liệu, có nghĩa là vẫn có thể biết được bạn đang truy cập địa chỉ nào. Và câu thứ ba nói về hình thức tấn công MITM (Man In The Middle) có thể vô hiệu hóa hình thức mã hóa TLS nếu bạn không để ý. Theo bạn thì câu nào không đúng?

tntxtnt · November 26, 2019, 2:15am

ko bị giải mã ko có nghĩa là ko bị cấm truy cập. Xài https nhưng ISP vẫn có thể nhìn thấy được tên miền bạn truy cập tới là gì, vì TLS hiện tại xài SNI (server name indication) ko có encrypt tên miền truy cập :V Ví dụ truy cập tới trang bậy bạ tuy đổi địa chỉ IP liên tục, vẫn bị bước 1 chặn DNS, ko truy cập được tới IP thay đổi liên tục, cách chống là xài DNS over TLS, nhưng thậm chí nếu xài DNS over TLS vẫn bị chặn bước 2 ở TLS SNI, vì 1 địa chỉ IP có thể serve nhiều cert cho nhiều tên miền khác nhau nên TLS cần có server name trong request của nó, mà TLS SNI ko encrypt server name này, nên ISP vẫn thấy được địa chỉ tên miền vào lúc TLS handshake, và chặn truy cập này :V

à mà ngoài server name ISP cũng thấy được cert của tên miền bạn truy cập tới, vì đa số TLS hiện tại là TLS 1.2, vậy là ISP xem được cert mình nhận lại từ server, và kiểm tra server name trong cert đó, nếu nằm trong blacklist của ISP cũng bị chặn luôn :V

TLS 1.3 sẽ mã hóa server certificate, và ESNI sẽ encrypt SNI. Bạn có thể vào https://www.cloudflare.com/ssl/encrypted-sni/ mà check xem trình duyệt có hỗ trợ ESNI ko :V Bảo đảm là ko :V

máy mình hiện tại xài firefox, ko cấu hình DNS :V :V

dòm cái thứ tư bên phải, ko có ESNI nghĩa là ISP có thể thấy rõ tên miền bạn truy cập. Ví dụ ISP sẽ thấy mình đang truy cập DNH, và nếu DNH chứa link xxx này nọ có thể bị cấm ko truy cập được :V Vì vậy mới cần dịch vụ VPN gì gì đó :V

tntxtnt · November 26, 2019, 2:23am

sở dĩ Google đẩy mạnh HTTPS cho các website là vì sợ ISP thay đổi nội dung website, xóa qc của ảnh thay bằng qc của ISP :V Chứ mục đích của anh Gồ có phải là giúp user chống nghe lén xem trộm gì đâu (Chrome, google-analytics của ảnh của ảnh chúa nghe lén theo dõi), mặc dù https chống nghe lén, nhưng anh Gồ chỉ cần chống thay đổi nội dung thôi :V

sẵn tiện chửi luôn thằng Brave, đọc “lén” trắng trợn xóa qc thay bằng qc của nó, mặc dù ko bắt buộc “tính năng” này :V

TyE · November 26, 2019, 3:11am

nếu bạn làm việc sai trái một cách lén lút thì bạn sẽ gặp nguy cơ lớn
nhưng nếu bạn có 1 lí do đã được tuyên bố trước để dựa vào thì tốt hơn

Dao_An · November 26, 2019, 3:38am

Chính phủ mà muốn thu thập nếu có bị lộ thì đổ cho nhà mạng xong phạt tiền như facebook thôi, tự nhiên mất chắc phải 2/3 khách hàng nam rồi :)).
VPN hay tor mà phạm pháp cũng bị truy ngược thôi

doncoi · November 26, 2019, 3:55am

Ko biết thớt có để ý ko nhưng mà mình thấy thằng EC2 của amazon, nó tính phí lưu lượng chuyển vùng, mình chỉ dám đùng để fake chơi game, còn bác public cho nhiều ng load web chắc tốn cũng khá >.<

tntxtnt · November 26, 2019, 4:17am

tốn kha khá nhưng em nào gõ credit card vào thì chủ hụi à ko chủ VPN trúng lớn thôi

ko có hợp đồng dịch vụ thế nào ai gõ password, login bằng cookies, gõ credit card vào chết ráng chịu

TyE · November 26, 2019, 4:31am

mình dùng aws lâu rồi không phải riêng ec2 nên biết điều đó.
mình còn khoảng 100 triệu tiền tín dụng nên mới mở dịch vụ chia sẻ cho mọi người, trước đây mình cũng từng mở 1 api.