Discussione e sondaggio sulle VPN e secondariamente su specifico fornitore

kRel · 2020-07-17T10:20:11+00:00

Salve a tutti, Anche se l'argomento non riguarda specificatamente la fibra ma riguarda alcuni disagi da me subiti, vorrei condividerli ed assieme sapere se...

[cancellato]

kRel Mai scritto bicicletta o anche parlato in chat di biciclette (è successo a me per davvero) e ricevere due ore dopo pubblicità sulle biciclette ?

Per quello devi bloccare cosa gira nel tuo browser... evitare di avere account Google, Facebook, ecc. e fare una gran pulizia dei cookie. L'IP lo usano, ma sanno che non è sufficientemente affidabile. Basta un NAT. Si affidano a sistemi di tracking molto più invasivi.

kRel La VPN end-to-end da quel che so (e so molto poco) è complesso metterla su....

End-to-end in questo caso significa una VPN direttamente fra la sorgente e la destinazione, senza mai uscire su nodi intermedi. Può essere una site-to-site o no. Se intendi una site-to-site, questa è tipicamente una VPN fra due router che collegano due (o più) reti in modo trasparente ai client. Dal punto di vista della sicurezza dei dati l'unica differenza è che sulle due reti i dati non sono protetti dalla VPN. Il vantaggio è che basta una singola VPN per accedere a tutte le macchine sui due lati. Se fai una VPN end-to-end fra due macchine invece è tutto crittografato, però devi avere una VPN separata per ogni end point.

kRel Tuttavia non sono sicuro che il cloud veda il mio IP sorgente.

Senza VPN sì - almeno quello del router internet, e a meno di CG-NAT o simili fatti dall'ISP. TCP/IP è end-to-end, i router intermedi non modificano l'indirizzo di origine di un pacchetto (anche perché non tengono traccia dei pacchetti che smistano), a meno appunto che non usi NAT, VPN, ecc. che però devono mantenere in memoria gli stati necessari per ri-smistare i pacchetti di ritorno.

kRel Dei fornitori di contenuti, come ho scritto non mi importa nulla.

Era per spiegare perché c'è chi ha validi motivi per rifiutare o considerare sospetto certo traffico VPN.

kRel

Rieccomi . . .

Accidenti, non immaginavo tutta questa partecipazione. Grazie a tutti.

Come ho detto più su almeno un paio di volte, sono abbastanza ignorante sull'argomento e infatti ho anche capito poco di quanto detto negli ultimi interventi 😄😄

Mi dispiace di aver innervosito qualcuno, portate pazienza....

Riassumendo, il parere generale è che una VPN commerciale, almeno quella che ho scelto, non è il miglior metodo per garantire privacy e sicurezza.

Ho anche capito che la connessione https, tra i miei due punti - peraltro attiva per default - è di per se già sufficiente a garantire sicurezza. Ne terrò conto.

Per il resto tornerò ad affidarmi ai noti metodi e sopratutto cercherò di abbandonare l'abitudine o meglio la schiavitù a Chrome, anche se in un recente passato avevo letto che era il browser che offrisse maggior sicurezza, mentre Firefox era indietro di diverse lunghezze, anche a causa degli infrequenti aggiornamenti e patches.

edofullo : chiederò di cambiare server, DoH abilitato anche se lore20 afferma che i nomi di dominio dei siti visitati sono comunque accessibili. Ok per il resto.
[cancellato] una VPN tra sorgente e destinazione l'avevo in funzione più di un anno fa, ma nel mio caso, con le mie macchine, limitava alcune funzioni che mi erano necessarie. Così ho dovuto disabiltarla causa forza maggiore.
Ti confermo che il cloud non vede l'IP sorgente che conosco bene, anzi, ad ogni nuova connessione ne rileva uno diverso. Causa appunto VPN.
lore20 il client è ben configurato ed è impossibile una manomissio del server dal momento che solo io ho accesso. Salvo una manomissione con scasso 😀.
Pensa che l'IP pubblico statico sono stato proprio io a richiederlo per avere meno problemi col sistema di videosorveglianza...
[cancellato] Ok recepito.
edofullo non ciò capito niente 😁😁 fà nulla . . .

saluti

lore20

edofullo La VPN ti serve soltanto se vuoi nascondere al tuo operatore (o al proprietario della rete se sei su una rete pubblica) quali siti visiti (ma puoi anche usare DNS over HTTPS per quello) oppure nascondere al sito chi sei (ma se fai il login sei punto a capo) oppure bypassare restrinzioni messe da datore di lavoro / genitori / scuola eccetera.

Una piccola importante precisazione:

Anche con HTTPS + DNS over HTTPS il fornitore di servizi (che sia il tuo provider fisico, il tuo fornitore di VPN, l'exit-node di un circuito Tor) ha accesso al nome di dominio dei siti visitati.

Questo viene infatti trasmesso non cifrato negli header TLS (SNI).
Fino a che le specifiche encrypted-SNI non saranno largamente adottate da browser e servizi di hosting è impossibile nascondere a chiunque il nome di dominio dei siti visitati, puoi solo scegliere in chi riporre la tua fiducia.

Detto questo l'unico rischio rilevante che vedo nell'archiviare dati "sensibili" in un servizio cloud (ammesso che il proprio client sia configurato bene per usare e verificare sempre connession TLS) è quello di una compromissione dei server del servizio Cloud o un deliberato uso malevolo dei tuoi dati da parte loro. L'unica strada percorribile in tal senso è cifrare tutti i tuoi dati prima di inviarli e non mettere mai in rete la chiave crittografica.

P.S.: ho avuto per anni con Fastweb un indirizzo ip pubblico statico (mai richiesto - a quanto pare fa/faceva parte del servizio base adsl) e devo ammettere che qualche scomodità/rischio lo potrebbe causare. Infatti se tu dovessi ricevere un ban a livello di IP da parte di comunità online (Wikipedia, forum, server di chat IRC) non sarebbe sufficiente staccare/riattaccare il router per poter accedere nuovamente a detti servizi - e vpn e proxy potrebbero non esserti molto d'aiuto visto che sono blacklistati.

edofullo

lore20 Fino a che le specifiche encrypted-SNI non saranno largamente adottate da browser e servizi di hosting è impossibile nascondere a chiunque il nome di dominio dei siti visitati, puoi solo scegliere in chi riporre la tua fiducia.

Vero, ma si arriverà anche a quello.
E sinceramente dubito che gli admin di rete di un hotel (o anche gli ISP) tengano traccia degli SNI o facciano blocchi in base allo SNI
Pure i siti che vengono oscurati per motivi legali alla fine l'unica cosa che fanno è impedire la risoluzione dei nomi di dominio.

PS: Encrypted SNI è abilitabile su firefox da about:config mettendo network.security.esni.enabled su true (ovviamente per i siti che lo usano)

lore20 dovessi ricevere un ban a livello di IP da parte di comunità online (Wikipedia, forum, server di chat IRC) non sarebbe sufficiente staccare/riattaccare il router per poter accedere nuovamente a detti servizi

Peggio ancora, se ti trovi un IP già bannato oppure in qualche blacklist sono bestemmie

[cancellato]

kRel La maggiore sicurezza è partire dal tuo pc in https verso il servizio cloud su cui vuoi caricare i dati.

Quando usi una vpn il gestore della vpn potrebbe fare packet inspection e rubarti i dati quindi hai solo peggiorato la tua sicurezza.

matteocontrini

[cancellato] ho rimosso una parte offensiva dal tuo messaggio. Non ti è dato il diritto di mancare di rispetto alle persone se non sei d'accordo, soprattutto considerando che le persone vengono qui a chiedere aiuto proprio per le cose di cui non sono esperte.

La prossima volta è una sospensione

[cancellato]

edofullo E sinceramente dubito che gli admin di rete di un hotel (o anche gli ISP) tengano traccia degli SNI o facciano blocchi in base allo SNI

Heeeeeeee.... 🙂

Gli apparati firewall "enterprise" possono consentire o bloccare per "categorie", che vedono match su IP, porte, protocolli e anche nomi host, e li estraggono proprio dall'SNI.

edofullo

[cancellato] Gli apparati firewall "enterprise" possono consentire o bloccare per "categorie", che vedono match su IP, porte, protocolli e anche nomi host, e li estraggono proprio dall'SNI.

Lo sapevo che sarei stato smentito e infatti ho scritto "dubito" 😂😂
A questo punto però mi chiedo perchè non blocchino i siti oscurati con lo SNI al posto di restituire 127.0.0.1 nelle query del DNS...

[cancellato]

matteocontrini Addirittura e che avrò mai detto non mi sembrava di essere stato offensivo.

Comunque capito il messaggio anche se non sono d'accordo, ma le regole le fai tu e non io.

matteocontrini

[cancellato] appariva offensivo, mi posso basare solo su quello che ho letto 🙅‍♂️

[cancellato]

edofullo Infatti i firewall enterprise ti troncano proprio la connessione.
Il trucco di cambiare l'host in risposta al DNS (al di là che invalida le firme DNSSEC) è appunto un barbatrucco economico per filtrare le richieste più stupide, nato e diffuso soprattutto per limitare le pubblicità o comunque fare un blando filtraggio nelle reti in cui è difficile metter dei paletti o andare ad analizzare tutto il traffico (ci vuole birra).
Filtraggi più seri vengono fatti dove il costo degli apparati, licenze e gestione viene giustificato dai risultati.

Nelle aziende più sensibili i firewall perimetrali operano sostanzialmente come dei full-proxy, con tanto di SSL decryption e analisi del traffico che era cifrato. Chiaro che questo ha ripercussioni sia sui sistemi, sugli utenti e sul trattamento dei dati personali in transito.

kRel non ciò capito niente 😁😁 fà nulla . . .

Lo SNI è un'estensione del protocollo TLS che trasmette in chiaro (a meno delle ultime proposte per cifrare anche quello) nel pacchetto di inizio connessione il nome host cui ti vuoi collegare, per permettere al server di selezionare il certificato e il profilo corretto qualora dietro lo stesso IP vi siano più servizi diversi.
Analizzando i pacchetti in transito, non si può vedere il contenuto perché ovviamente cifrato, ma è possibile stabilire che ti stai collegando all'host www.example.com ad esempio, e ciò permetterebbe le stesse indagini statistiche possibili ad esempio "sniffando" le query DNS. 😉

matteocontrini

kRel afferma che i nomi di dominio dei siti visitati sono comunque accessibili

Questo è vero, però secondo me è un problema quasi trascurabile. Se l'operatore o chi di turno vuole sapere che siti visiti fa molto prima a intercettare il traffico DNS, dato che le varianti più "sicure" di DNS non le uso al momento quasi nessuno

[cancellato]

kRel mentre Firefox era indietro di diverse lunghezze, anche a causa degli infrequenti aggiornamenti e patches.

Rilascia una nuova versione ogni sei settimane.... più eventuali patch intermedie. Poi c'è la ESR per chi non vuole una cadenza di release così frequenti. Google comunque fa di tutto per far credere che Chrome è meglio del cioccolato...

kRel ma nel mio caso, con le mie macchine, limitava alcune funzioni che mi erano necessarie.

Strano. Magari dipendeva dal tipo di VPN. Se sei in VPN non vedi appunto l'IP sorgente, ma diventa anche difficile fare blocchi o autorizzazioni basati sugli IP sorgente. Per dire, il mio server di posta remoto sa che non deve bloccare mai certi IP, per evitare di tagliarmi fuori inavvertitamente.

alan-reinaudo

kRel io comunque uso expressvpn ed ho meno problemi rispetto alla tua vpn che rende la navigazione più lenta e sovente più bloccata ... solo per tua opportuna info

edofullo

kRel chiederò di cambiare server

Come chiederò? Di solito il server lo puoi scegliere tu autonomamente.

kRel il client è ben configurato ed è impossibile una manomissio del server dal momento che solo io ho accesso

Eh si buonanotte, basta che un solo applicativo esposto su Internet abbia una falla di sicurezza e tutto il sistema (e anche la rete) è compromesso

Mai pensare che un computer/server sia "inespugnabile"

kRel non ciò capito niente 😁😁 fà nulla . . .

Non è un problema, rispondevo a lore20
Long story short: anche il problema che diceva lui sul fatto che i nomi di dominio sono comunque visibili è risolvibile.
Su Firefox si può attivare lo SNI criptato ma funziona solo con pochi siti web che lo supportano (e penso pure solo con determinati server DNS)
Oggi come oggi non è diffuso, ma magari lo diventerà in futuro

E comunque gestire pacchetti guardando lo SNI non è facile (computazionalmente) come bloccare query DNS o tenere un log delle stesse.

kRel

Grazie a tutti. alcuni interventi ho difficoltà a seguirli. Ma il succo è che ho mal riposto la mia fiducia.

A questo punto forse la scelta migliore è disabilitare la VPN e amen. Ho capito che serve a poco nel migliore dei casi.

Per le piccole cose torno ai vecchi metodi e riabilito OpenVPN punto-punto tra PC e server. E pazienza se emergono piccole incompatibilità e disfunzioni.

edofullo Eh si buonanotte, basta che un solo applicativo esposto su Internet abbia una falla di sicurezza e tutto il sistema (e anche la rete) è compromesso

Mai pensare che un computer/server sia "inespugnabile"

Vabbe... ma se l'accesso al sistema è in doppia chiave e gli applicativi comunicano con un solo IP preimpostato, non capisco come si possa violare il sistema.
E se pure accadesse, alla fine sarebbe tanta fatica per poca o nessuna remunerazione....

Siete in gamba . . . (pure troppo 😅)

Un saluto a tutti.

mb334

Io utilizzo sporadicamente Pure VPN. Lo usavo per vedere la Formula 1 sulla TV pubblica Svizzera (Ho l'abbonamento a Now TV ma per il fatto dei dispositivi da registrare è un delirio). Ultimamente lo sto usando per scaricare da Mega, siccome non ho account premium limitano la quantità di dati scaricabile. Onestamente non saprei dire gli orari precisi, ma nel dopo cena ho banda quasi piena, tra i 50 ed i 55 mega su server tedesco. Senza VPN saturo la connessione arrivando a 60/65 mega.

Sui siti di streaming è praticamente inutile. Lato sicurezza non saprei, secondo me è quasi impossibile che non tengano traccia di nulla.

matteocontrini

Solo per dire...

“Zero logs” VPN exposes millions of logs including user passwords, claims data is anonymous

GabiPson9

Non riesco a trovare una risposta per me stesso su come proteggere adeguatamente i miei dati su Internet, tutte queste storie sono così disgustose per me, dove chiunque può trovare i propri dati in alcuni database vaghi, fino al numero della carta

GabiPson9

Salve, da qualche anno lavoro con il mio blog di viaggi e per questo ho anche la possibiltá di lavorare in qualsiasi parte del mondo con il mio laptop e il mio gatto Attila :-) Ultimamente sono stato un po bloccato per via di questa maledetta pandemia e negli ultimi due anni gli spostamenti sono stati davvero pochi, tipo sono riuscito ad andare soltanto a Madrid e in Portogallo, poi sono tornato a Macerata dove é la mia base. A discapito della mia creativitá nel scrivere articoli e fare fotografie non sono molto bravo con "cose" di informatica e protezione dei dati. Da vero e proprio pivello peró devo dire che molte informazioni utili le ho trovate su: [rimosso] Credo che per capire qual'é la vpn migliore in termini di velocitá e anche avere un servizio di consulenza sulla privacy e sulla sicurezza informatica per grandi e piccole imprese questo sia il posto giusto. Rivolgersi a specialisti in analisi di rete e reti private virtuali credo sia fondamentale per quelli come me che non hanno nozioni e skill specifiche.

matteocontrini

GabiPson9 ciao, questo tipo di interventi di utenti appena iscritti che fanno necrobumping con link sconosciuti sono considerati spam, per cui il link è stato rimosso

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile