مسئله فقط فیلترینگ نیست!

ما کاربران اینترنت ایران، از یک طرف با فیلترینگ گسترده‌ای روبه‌رو هستیم که در بسیاری از موارد بدون توجه به محتوا اعمال می‌شود، و از طرفی دیگر با تحریم‌های سایت‌ها و سرویس‌های خارجی طرف هستیم که اجازه‌ی استفاده از سرویس‌های خود را به کاربران اینترنت ایران نمی‌دهند. در گذشته محدودیت‌ها به این شدت نبود، اما امروز وضع به جایی رسیده که اینترنت بدون استفاده از ابزاری که فیلترینگ را دور بزند تقریبا غیر قابل استفاده است. نیاز ما برای رهایی از این محدودیت‌ها باعث شده ابزارهای گوناگونی برای این هدف ساخته شوند و مورد استفاده قرار گیرند. مشکلاتی همچون سرعت پایین، قطعی‌های مکرر و یا از کار افتادن سرویس‌ها، مواردی هستند در اغلب راه‌های گذر از فیلترینگ وجود دارند، شما با این مشکلات آشنا هستید، فرض کنید راهی برای گذر از فیلترینگ پیدا کردید که از سرعت خوبی برخوردار بود، دچار قطعی نمیشد و به خوبی کار میکرد. این ویژگی‌ها انتظارات بسیاری از کاربران را برآورده می‌کنند، اما جنبه‌ای از این مسئله هست که هنوز نادیده گرفته می‌شود، امنیت و حریم‌خصوصی شما.

کمی از طرز کار اینترنت، تا بفهمیم چطور ناامن است

اینترنت را به عنوان یک سازمان جهانی پست در نظر بگیرید. فرض کنید تمامی اطلاعات ارسالی و دریافتی شما در اینترنت نامه‌هایی باشند که در این سیستم پستی جابه‌جا می‌شوند. آدرس آی‌پی شما در این تمثیل کد پستی شما خواهد بود، که اداره‌ی پست کشور آن را به شما اختصاص داده، و در نتیجه می‌داند این آدرس پستی برای چه کسی است و او در کجا زندگی می‌کند. مسئله‌ای که در اینجا مطرح می‌شود این است که هر کسی که به مسیر انتقال نامه‌های شما دسترسی داشته باشد، مثل پستچی یا اداره‌ی پست، می‌تواند ببیند که شما در چه زمانی به چه آدرسی نامه فرستاده یا دریافت کرده‌اید، و حتی اگر بخواهد می‌تواند بداند که محتوای هر نامه چه بوده است. در اینترنت نیز وضعیت مشابهی وجود دارد. هر کسی که به شما اینترنت می‌دهد و به اتصال اینترنت شما دسترسی دارد، می‌تواند بفهمد شما چه زمانی از چه سایت‌هایی بازدید می‌کنید، از چه سرویس‌هایی استفاده می‌کنید، چه میزان اطلاعات ارسال و دریافت می‌کنید، و در بسیاری از موارد این امکان وجود دارد که بداند محتوای اطلاعات ارسالی و دریافتی شما چیست.

HTTPS به‌جای HTTP، با کمک رمزنگاری امنیت بیشتری می‌آورد

برای حل این مسئله در اینترنت، اطلاعات حساس (مثلا رمزعبور شما برای ورود به حساب‌کاربری خود در یک سایت) معمولا رمزگذاری می‌شوند، این عمل در تشبیه ما مثل نوشتن نامه به یک زبان رمزی است که فقط ما و شخص گیرنده در مقصد نحوه‌ی رمزگشایی آن را می‌دانیم. در نتیجه با وجود ناامن بودن مسیر، محتوای نامه‌های ما از خوانده شدن توسط هر شخصی غیر از گیرنده محافظت می‌شود. اگر به ابتدای هر آدرس اینترنتی که در مرورگر می‌بینید توجه کنید، متوجه می‌شوید که با http شروع شده، هنگامی که حرف s به http اضافه شده باشد، یعنی آدرسی که در مرورگر دیده میشود با https شروع شده باشد، ارتباط شما و آن سایت رمزگذاری شده و امن است. در غیر این صورت هر کسی که به مسیر اتصال اینترنت شما دسترسی داشته باشد به تمام اطلاعات ارسالی و دریافتی شما هم دسترسی خواهد داشت. از کسانی که به همان اتصال اینترنتی وصل هستند که شما وصل هستید (مثل یک اتصال وای‌فای که چند نفر به صورت مشترک از آن استفاده می‌کنند) گرفته تا سرویس‌دهنده‌ی اینترنت شما و بالاتر.

مسئله‌ی گواهی‌های جعلی SSL

اتصال از طریق https فقط زمانی امن است که گواهی SSL آن معتبر باشد، کاربران اینترنت ایران تا به حال زیاد شاهد گواهی‌های جعلی برای سایت‌هایی از جمله سرویس جی‌میل بوده‌اند که به جای گواهی اصلی قرار گرفته و مرورگر به کاربر هشدار می‌دهد که این گواهی معتبر نیست، در صورتی که کاربر این هشدار را نادیده بگیرد یا حتی بدتر از آن، این گواهی جعلی را به لیست گواهی‌های مورد اعتماد مرورگر نیز اضافه نماید، مسیر ارتباط کاربر با آن سایت (اگر آن گواهی برای سایت‌های دیگری هم استفاده شود، همینطور برای آن سایت‌ها) ناامن خواهد بود و هر اطلاعاتی که از این مسیر منتقل شود (هر اطلاعاتی، از جمله پسوردی که برای ورود به حساب‌کاربری خود وارد می‌کنید و تمام محتوای ارسالی و دریافتی شما) چون با گواهی جعلی رمزگذاری شده است، پس می‌تواند توسط صاحب این گواهی جعلی، که آن را به‌جای گواهی اصلی قرار داده، رمزگشایی شود. در تمثیلی که داشتیم، رمزگذاری ارتباط ما با یک سایت همانند نوشتن نامه به زبان رمزی‌ای بود که فقط ما و گیرنده‌ی نامه نحوه‌ی رمزگشایی آن را می‌دانستیم، پس در مسیر انتقال نامه کسی نمی‌توانست محتوای نامه‌ی ما را بفهمد؛ استفاده از یک گواهی جعلی، در این مثال همانند این است که کسی که قصد خواندن محتوای نامه در بین راه رسیدن به مقصد آن را دارد، خودش به ما بگوید از چه زبان رمزی‌ای استفاده کنیم، تا خودش نیز بتواند متوجه محتوای آن شود. در نتیجه، با این که ارتباط ما رمزگذاری شده است و در ابتدای آدرس در مرورگر https وجود دارد، اما چون با یک گواهی جعلی رمزنگاری شده، مسیر ارتباط ما با سایت مقصد و هر آن‌چه که در این مسیر منتقل می‌شود امن نیست.

مسئله‌ی امنیت متادیتاها

حال فرض می‌کنیم که مسیر انتقال اطلاعات کاملا امن است. یعنی محتوای نامه‌های ما توسط کسی جز گیرنده خوانده نمی‌شود. جدای از اطلاعات داخل نامه، اطلاعات دیگری نیز وجود دارند، مثل آدرس فرستنده و گیرنده. اداره‌ی پست یا هر کسی که در مسیر انتقال نامه‌ی شماست حتی اگر به محتوای نامه‌ها دسترسی نداشته باشد، باز می‌تواند اطلاعاتی مثل این که شما در چه زمانی از چه جایی به چه کسی نامه فرستادید را بداند. به این اطلاعات Metadata می‌گویند. این اطلاعات در حالت عادی نمی‌توانند محافظت شوند. البته لازم به ذکر است در جاهایی که از https استفاده می‌شود، دومین اصلی سایت محافظ شده نیست (مثلا www.google.com) اما ادامه‌ی آدرس، رمزگذاری می‌شود. میبینیم در هر صورت هر کسی که به مسیر اتصال اینترنت شما دسترسی دارد، حتی اگر محتوای ارسالی و دریافتی شما رمزگذاری شده باشند، و گواهی رمزگذاری آن نیز جعلی نباشد، باز هم می‌تواند در مورد متادیتا‌های شما بداند، مثلا این که شما در چه زمانی از کجا به چه سایتی مراجعه کردید و یا حجم اطلاعات دریافتی و ارسالی بین شما و آن سایت چقدر بوده است.

راه حل: استفاده از یک وی‌پی‌ان امن، ما دست به کار شدیم

تا اینجا ما به برخی از موارد مهمی که اکثر کاربران از آن مطلع نیستند اشاره کردیم. حال وقت آن رسیده که بپرسیم چه راه حلی وجود دارد؟ چه راه حلی وجود دارد که این موارد را نیز در نظر گرفته باشد؟ این سؤالی بود که ما نیز در پی جواب آن بودیم. ما به دنبال ابزاری بودیم که بتواند در کنار امنیت، سرعت را نیز حفظ کرده، ترجیحا در هر سیستم‌عامل و دستگاهی قابل استفاده باشد، و مسدودیت آن به راحتی مقدور نباشد. با جستجو، مطالعه و بررسی‌هایی که داشتیم، بین ابزارهای موجود، نرم‌افزار اوپن‌سورس OpenVPN از چندین نظر نسبت به ابزارهای مشابه خود عملکردی بهتر داشت و از پتانسیل بسیار بسیار بالاتری برخوردار بود. اوپن‌وی‌پی‌ان ابزاری است جهت ایجاد شبکه‌های مجازی خصوصی (VPN) رمزگذاری شده، ابزاری که از قابلیت‌های زیادی پشتیبانی می‌کند، قابلیت‌هایی که ما به دنبال آن بودیم، و همچنین در سمت سرور بسیاری از چیزها در آن قابل تنظیم است، این انعطاف‌پذیری در تنظیمات باعث می‌شود بتوانیم متناسب با شرایط و نیازهای لازم آن را تنظیم کنیم. بدون یک کانفیگ مناسب، اوپن‌وی‌پی‌ان هم می‌تواند ناامن باشد، اگر در بستر مناسبی راه‌اندازی نشده باشد و یا به درستی مدیریت نشود عملکرد مطلوب را نخواهد داشت. ما وقت زیادی صرف کردیم تا بهترین و مناسب‌ترین کانفیگ را داشته باشیم.

این وی‌پی‌ان چطور کار می‌کند؟ چطور می‌تواند به کاربران کمک کند؟

همان‌طور که تصویر بالا نشان می‌دهد، وی‌پی‌ان به‌عنوان یک واسط برای ارسال ترافیک شما به مقصد عمل می‌کند. با اتصال به یک وی‌پی‌ان امن که از رمزنگاری استفاده می‌کند، تمام اطلاعات ارسالی و دریافتی شما توسط وی‌پی‌ان در مبداء رمزگذاری شده، و در مقصد رمرگشایی می‌گردد، و در طول مسیر از آن‌جایی که رمزگذاری شده است، جز شما برای هیچ‌کس قابل دسترسی نیست.

کلیه‌ی متادیتاها از دسترس افرادی که به اتصال اینترنت شما دسترسی دارند محافظت شوند، چون تمام ترافیک شما رمزگذاری شده و ابتدا به سرور وی‌پی‌ان منتقل می‌شود، آن‌ها فقط می‌توانند بفهمند که شما به یک سرور وصل شدید، و نمی‌توانند بدانند مقصد این ترافیک کجاست.

از آن‌جایی که سرور وی‌پی‌ان در خارج از ایران واقع شده و ترافیک شما از طریق این سرور به مقصد می‌رسد، هویت ایرانی شما مخفی شده و در نتیجه تحریم‌هایی که برای کاربران اینترنت ایران وجود دارند، برای شما وجود نخواهند داشت.

اینترنت شما از نظر فیلترینگ تفاوتی با کشوری که سرور وی‌پی‌ان در آن وجود دارد نخواهد داشت، و از آن‌جایی که سرورهای ما در کشور هلند واقع شده‌اند، دیگر درگیر فیلترینگ نخواهید بود.

مشخصات کانفیگ استفاده شده توسط ما

امنیت و محافظت از حریم خصوصی کاربران برای ما بیشتر از هر چیز اهمیت دارد. از این رو در کانفیگ سرور حالت‌های پیش‌فرض را به نفع امنیت بیشتر تغییر دادیم. برای رمزگذاری داده‌ها از الگوریتم AES با کلیدهای ۲۵۶ بیتی بهره بره‌ایم. برای اصلت‌سنجی داده‌ها از استاندارد SHA-2 نوع ۵۱۲ بیتی در HMAC استفاده کردیم. برای احراز هویت (Authentication) علاوه بر یوزرنیم و پسورد از جفت کلیدهای نامتقارن ۴۰۹۶ بیتی با الگوریتم RSA بهره بردیم. فایل کانفیگ اوپن‌وی‌پی‌ان سمت سرور، در اینجا برای شما قابل مشاهده است.

شدوساکس، در کنار اوپن‌وی‌پی‌ان آماده به کار است

استفاده از پورت ۴۴۳ برای اوپن‌وی‌پی‌ان، پکت‌های رمزنگاری شده‌ی اوپن‌وی‌پی‌ان را در بین پکت‌های رمزنگاری شده‌ی SSL قرار می‌دهد و این باعث می‌شود که ترافیک رمزنگاری شده‌ی اوپن‌وی‌پی‌ان به نوعی استتار شود. استفاده از این روش باعث شده تا تنها با استفاده از تکنولوژی Deep Packet Inspection بتوان ترافیک اوپن‌وی‌پی‌ان را بلاک کرد. متاسفانه ما شاهد این اتفاق در ایران نیز بوده‌ایم. به همین دلیل، در کنار اوپن‌وی‌پی‌ان، از Shadowsocks نیز استفاده می‌کنیم تا اگر زمانی کاربر قادر به استفاده از اوپن‌وی‌پی‌ان نبود، باز هم ابزاری امن، سریع، که در هر پلتفرمی قابل استفاده است، در دسترس داشته باشد. شدوساکس نیز طوری کانفیگ شده که از رمزنگاری ۲۵۶ بیتی AES استفاده کند.

سرورها

سرورهایی که Private Path در بستر آن‌ها راه اندازی شده مستقیما از شرکت Leaseweb، شرکتی که میزبان ویکیپدیا در اروپاست، تهیه شدند و در دیتاسنترهای این شرکت در هلند قرار دارند. سرورهای ما به پورت یک گیگابیت در ثانیه متصل هستند. در تست‌های متعددی که انجام دادیم سرعت روی ۱۱۶ مگابایت بر ثانیه پایدار بود. ما هر سرور را به کمتر از ۵۰ کاربر اختصاص می‌دهیم، در نتیجه با این که از بالاترین سطح رمزنگاری استفاده کردیم، کاربران تغییری در سرعت خود حس نمی‌کنند.

هزینه‌های دیگران: هزینه‌ی واقعی سرویس‌های رایج وی‌پی‌ان چقدر است؟

با کمی جستجو، میتوان دید که هزینه‌ی معمول خرید اشتراک وی‌پی‌ان از سایت‌های مختلف داخلی، چیزی حدود پنج هزار تومان در ماه است، برای سرویسی که اغلب جایگاهی برای حریم‌شخصی شما قائل نیست، سرعت اینترنت شما را پایین می‌آورد، قطعی‌های مکرر دارد، ده‌ها سرور و ابزار در اختیار شما قرار می‌دهند اما هر بار باید سرورهای مختلف و ابزارهای مختلف آن را تست کنید بلکه یکی از آن‌ها به‌خوبی کار کند. علت این مشکلات این است که معمولا سرورهایی با منابع و پهنای باند نامناسب، به تعداد بالایی از کاربرها اختصاص داده می‌شوند، به خوبی مدریت نمی‌شوند و کانفیگ مناسبی ندارند. لازم است بدانید هزینه‌ی تمام شده‌ی سرویسی که تقریبا بهترین وضعیت ممکن را از نظر سرعت، پایداری اتصال، و محافظت از حریم‌شخصی کاربر را داشته باشد، زیر هزار تومان در ماه خواهد بود، و در مورد سرویس‌های رایج، از آن‌جایی که هر سرور به تعداد بسیار زیادی از کاربران اختصاص داده می‌شود، چیزی بین ۱۰۰ تا ۳۰۰ تومان برای هر کاربر در ماه است. به عقیده‌ی ما نه چنین کیفیتی شایسته است و نه چنین سودی عادلانه. ما ترجیح می‌دهیم در مورد هزینه‌های سرویس خود نیز شفاف باشیم. برای همین در این قسمت با ذکر جزئیات توضیح خواهیم داد که در سرویس‌های ما چه میزان از هزینه‌ی دریافت شده از هر کاربر صرف چه مواردی می‌شود.

هزینه‌های ما: کمی حساب کتاب

هزینه‌ی سرورهای پکیج S شرکت Leaseweb، پنج یورو در ماه است، که خرید آن حدود ۳۰۰۰۰ تومان هزینه خواهد داشت. هر سرور می‌تواند به راحتی پاسخگوی ۵۰ کاربر باشد به‌طوری که حتی اگر تمام کاربران همزمان با سرعت ۲ مگابایت (۱۶ مگابیت) بر ثانیه در حال دانلود باشند باز هم تغییری در سرعت حس نشود. با تقسیم کردن هزینه‌ی ۳۰۰۰۰ تومانی بر ۵۰ کاربر، هزینه‌ی تمام شده‌ی هر کاربر در ماه ۶۰۰ تومان خواهد بود. وقتی هزینه‌ی مربوط به سیستم‌ادمین‌هایی که وظیفه‌ی راه‌اندازی سرورهای جدید و نگهداری از سرورها و مدیرت آن‌ها را به عهده دارند به هزینه‌ی اجاره‌ی سرورها اضافه کنیم، در مجموع هزینه‌ی تمام شده برای هر سرور که میزبان حدود ۵۰ کاربر است، تقسیم بر تعداد کاربران آن، برای هر کاربر حدود دو هزار تومان در ماه خواهد بود، که به صورت ماهانه از کاربران دریافت می‌شود.

پیوستن به جامعه‌ی کاربران ما

متاسفانه در حال حاضر پیوستن به جامعه‌ی کاربران ما و امکان خرید اشتراک سرویس‌ها تنها از طریق دعوت شما توسط کاربران فعلی ما ممکن است. به هر کاربر بعد از یک دوره اشتراک، دو کد معرفی تعلق می‌گیرد، که به وسیله‌ی آن‌ها می‌تواند دو نفر از اشخاص مورد اعتماد خود را به جامعه‌ی کاربران ما دعوت کرده و با این کار دوره‌ی بعدی اشتراک خود را نیز رایگان تمدید کند. ما همیشه در دسترس شما هستیم، تا پاسخگوی سوالات شما باشیم و به شما کمک کنیم.