Хотите в ближайшее время посетить Китай или обосноваться там на ПМЖ? Помните о высоком уровне цензуры сети Интернет в КНР! Для того, чтобы продолжать пользоваться привычными соцсетями, сайтами и приложениями Вам потребуется надёжный VPN. Однако, стоит учитывать, что правительство Поднебесной в последние годы активно борется с пользователями VPN, и далеко не все виртуальные сервисы функционируют на территории КНР.

Усовершенствованная китайская система Интернет-цензуры, также называемая Великий китайский файрвол (или «Золотой щит»), сделала КНР одним из самых проблемных мест для тех, кто привык пользоваться VPN. И мигранты, и коренные китайцы прибегают к услугам VPN-сервисов при обходе блокировок таких сайтов как Facebook, Gmail, Google, YouTube, Netflix и пр.

Таким образом, любому посетителю или жителю Поднебесной для комфортной работы во всемирной паутине необходимо сначала найти лучший VPN для Китая, который обходил бы Великий китайский файрвол.

Как работает Великий китайский файрвол?

«Золотой щит» не совершенен — невозможно постоянно скрывать всю исходящую и входящую от китайских пользователей информацию и подвергать цензуре все подряд. Хотя Китай, безусловно, хочет это делать. От применения неофициальных терминов, которые не блокируются файрволом, до использования VPN для туннелирования через брандмауэр, можно обойти даже самый строгий режим Интернет-цензуры.

Рассмотрим основные принципы работы Великого китайского файрвола

• Метод DNS-спуфинга (также известный как «отравление кэша»). Когда вы пытаетесь зайти на веб-сайт, такой как, к примеру, twitter.com, Ваш персональный компьютер держит связь со своими DNS-серверами и отправляет запрос на получение IP-адреса, который непосредственно связан с этим сайтом. В случае неверного ответа поиск запрашиваемого сайта будет проходить совершенно не там и не даст положительного результата. Китай целенаправленно посылает свои DNS ошибочными адресами для многих сайтов, включая Twitter, и делает их недоступными для многих пользователей.

• Доступ к определенным IP-адресам также может быть заблокирован с помощью “Золотого щита”. Китай с легкостью блокирует доступ к IP-адресу серверов Twitter. В такой блок отправляются все сайты, которые используют совместный хостинг.

• Алгоритм анализа и фильтрацию URL-адресов. «Золотой щит» может сканировать URL-адреса и блокировать подключения, если они содержат в себе конфиденциальные ключевые слова. Например, веб-сайт Pulse показывает нам, что доступен из Китая, но wiki/Internet_censorship_in_the_People’s_Republic_of_China недоступен — брандмауэр просматривает URL-адрес и принимает решение заблокировать веб-страницы, которые, как представляется, не разрешены на территории Поднебесной.

• Проверка и фильтрация пакетов: «Глубокая проверка пакетов» может включать проверку пакетов, которые не шифруются. Такие пакеты проверяются на наличие секретной информации. К примеру, введя в поиске браузера определенный поисиковый запрос, ответ может завершится ошибкой. Это случается в случае использования политически спорных ключевых слов. Такие пакеты с определенным списком запросов проверяются и блокируются.

• Сброс соединений. Специалисты, изучающие алгоритм работы «Золотого щита» утверждать, что после того, как он блокирует пакеты, он на какое-то время блокирует и связь между двумя отдельными компьютерами. Китайский брандмауэр делает это посредством отправки «пакет сброса». Иными словами, он по сути «лжет» обоим компьютерам и сообщает им, что соединение было сброшено, чтобы они не могли общаться друг с другом.

• Блокировка VPN: С конца 2012 года разработчики «Золотого щита» предпринимают неоднократные попытки блокировки отдельных виртуальных служб в Интернет-пространстве КНР. Великий китайский файрвол учится определять, как выглядит зашифрованный виртуальный трафик, и в случае каких-либо подозрений, ликвидирует VPN-соединение.

Топ 3 VPN сервисов для использования на территории Китая

Исходя из того, что китайская цензура использует в своих целях наиболее передовые Интернет-технологии, мы выбрали для Вас наиболее эффективные виртуальные сервисы, способные обойти «Золотой щит» именно за счет инновационных алгоритмов шифрования и анонимизации трафика.

1. ExpressVPN, возможно, наиболее распространённый VPN-сервис в КНР на текущий момент. Он имеет огромный диапазон местоположений серверов, высокую и стабильную скорость, разрешает пять одновременных подключений, предлагает круглосуточную поддержку в чате и предоставляет пользователям 99,9% времени безотказной работы.

Приложение ExpressVPN работает на всех основных настольных и мобильных платформах и очень просто в использовании. Использование торрентов разрешен на всех VPN-серверах, и ExpressVPN обычно имеет несколько серверов, которые работают с Netflix.

2. PrivateVPN работает в Китае со специальной функцией под названием «Режим невидимости», включаемой в настройках приложения. Это добавляет слой анонимности в Ваше соединение, чтобы зашифрованный трафик выглядел незашифрованным. Все это затрудняет обнаружение VPN-соединения для «Золотого щита». PrivateVPN не хранит журналы посещений и метаданных пользователей в Интернете. Приложение доступно для Windows, MacOS, iOS и Android. Вы можете подключить до шести устройств одновременно.

3. Astrill VPN. Данный виртуальный сервис очень популярен у российских студентов и туристов, посещающих Китай. Это отличное приложение, позволяющее пользователям подключиться к простому HTTP-прокси за пару секунд или же использовать полностью зашифрованное VPN-соединение. Скорость загрузки достаточно высока и подходит для потоковой передачи видео. Подписчики получают много местоположений серверов на свой выбор.

Если Вы намереваетесь в ближайшее время посетить Поднебесную, но при этом у Вас нет желания отказываться от любимых сайтов и социальных сетей, то мы рекомендуем Вам перед поездкой сначала найти лучший VPN для Китая, который обходил бы Великий китайский файрвол. Возможно, Вам подойдет что-то из предложенного нами списка виртуальных сервисов.

Коды состояния HTTP: почему вы их получаете и как с ними бороться

Ваши операции по сбору прекращаются, и вы не знаете, почему? Просто узнав, что означают коды ошибок, вы можете легко автоматизировать настройки IP и стать мастером очистки. Навигация в Интернете должна быть простой, однако, если вы неправильно управляете прокси-серверами при сканировании или очистке, многие ошибки могут привести к неудачным запросам. Когда запрос не выполняется, он возвращается с соответствующим кодом ошибки HTTP, который раскрывает причину, по которой запрос был неудачным.

Если у вас еще нет прокси сервера, то его можно заказать тут, актуальные тарифные планы на списки прокси США, России, Европы и других стран.

Понимание природы кодов ошибок является первым шагом к их преодолению.

Давайте начнем с того, что означают некоторые коды состояния HTTP

200 код состояния является ответом вы хотите достичь, это означает, что все в порядке, и запрос был получен целевой сайт.

Код ошибки 3XX означает, что вы были перенаправлены, потому что ваш запрос имеет несколько ответов. Например, код ошибки 301 означает, что страница была перемещена навсегда, и поэтому вы были перенаправлены на новый URL-адрес. Если перенаправление происходит из-за недостатка информации в самом запросе, это можно легко настроить или преодолеть, указав user-agent в настройках прокси-сервера. Выбор конкретного пользовательского агента предоставляет более подробную информацию в запросе, что означает, что меньше места для неправильного толкования и меньше вероятность перенаправления запроса.

Если получена ошибка 4XX, то это на стороне клиента, когда запрос вы послали на сервер был неправильно или неточно, в результате чего на странице невозможности загрузки. A 401 код ошибки означает, что вы не имеете права доступа к целевому сайту, и поэтому страница не будет загружаться. Примером этого является попытка получить доступ к определенному профилю на сайте социальной сети, когда вы не вошли в систему.

Код 403 ошибок, однако, означает, что ваш доступ к сайту запрещен, запрос был понят, но сайт не хочет предоставлять допуск. В некоторых случаях сайт предоставит объяснение, но сайт может просто ответить кодом ошибки 403 без объяснения причин. Сайт может также ответить кодом ошибки 404, что означает «Не найдено» и обычно возникает, когда сервер не хочет разглашать причину отказа в доступе.

Код ошибки 407 указывает на сбой туннельного соединения или требуется проверка подлинности прокси. При использовании прокси-сервера это означает, что предоставленные вами учетные данные являются неточными, в вашем запросе отсутствуют данные авторизации или используемый сканер не был аутентифицирован прокси-провайдером. Другая причина ошибки 407 находится в настройках прокси-сервера, таких как необходимый IP-адрес, который не был ранее занесен в белый список, или определенная зона, которую вы пытаетесь использовать, будучи неактивной. Просто обновите настройки прокси-сервера, чтобы включить все IP-адреса, обращающиеся к сети, в ваш белый список. Убедитесь, что все учетные данные для проверки подлинности прокси-сервера совпадают с данными на странице вашей зоны и что отправляемые запросы (особенно через API) содержат всю необходимую информацию.

Если на сайте, к которому вы пытаетесь получить доступ, установлено ограничение по скорости, вы можете столкнуться с кодом ошибки 429, который означает, что вы пытались отправить слишком много запросов слишком быстро с того же IP-адреса. Сайты обычно реализуют эти ограничения, чтобы защитить себя от атак или гарантировать, что их серверы не перегружены. При использовании прокси-сервера просто чередуйте IP-адреса более последовательно или устанавливайте ограничения на количество запросов, отправляемых на IP-адрес, за определенный период времени.

5XX внутренняя ошибка на стороне сервера или сервер сайта оказывает вопрос и он не в состоянии определить. Когда дело доходит до использования прокси-провайдера, 502 является наиболее часто полученным кодом состояния и относится к ошибке неверного шлюза или тайм-ауту, когда один сервер получил неверный ответ от другого. Ответ такого типа может быть возвращен из-за множества проблем, в том числе из-за того, что супер-прокси отказали в соединении, IP-адреса недоступны для выбранных настроек или отправленные запросы были обнаружены как бот.

Самые быстрые качественные проки-серверы, купить прокси для совершения большого объема операций в интернете со множества различных IP-адресов.

Чтобы преодолеть 502, предлагается повернуть IP-адрес, однако может потребоваться изменить тип IP-адреса или используемую вами сеть прокси. Например, если вы используете IP-адрес ЦОД и получаете ошибку 502, скорее всего, сайт, к которому вы пытаетесь получить доступ, блокирует IP-адреса ЦОД в целом, что является распространенным методом блокировки. В этих случаях простого поворота IP было бы недостаточно.

Понимание кодов ошибок, которые вы получаете и почему вы их получаете, является первым шагом в их преодолении.

Lynis — ещё одна очень хорошая утилита для аудита
безопасности. Анализатор выполняет проверку всех компонентов системы,
выявляет её слабые места и очевидные проблемы, формирует отчёт для
администратора в котором содержатся предупреждения и рекомендации по
увеличению уровня безопасности на сервере. Интересно что в ходе
проверки, Lynis вычисляет некий индекс защищённости, на который можно
ориентироваться при выполнении тех или иных рекомендаций.

Hardening index : 75 [############### ]
Tests performed : 226
Plugins enabled : 0

Кроме этого, в Lynis предусмотрена система плагинов, которыми можно
расширить возможности анализатора при проверке севера. Плагины можно
написать самому, а можно воспользоваться тем, что уже подготовлено
участниками сообщества.

Для установки разработчики подготовили собственные репозитории, в которых доступны пакеты для всех операционных систем. Я работаю с Ubuntu, так что и ставить утилиту буду соответствующим образом.

Установка репозитория Lynis

Репозиторий программного обеспечения Lynis использует протокол HTTPS, поэтому сначала нужно убедиться, что менеджер пакетов поддерживает HTTPS. Используйте для этого следующую команду:

dpkg -s apt-transport-https | grep -i status

Если менеджер поддерживает HTTPS, команда выведет:

Status: install ok installed

В противном случае установите поддержку протокола с помощью команды:

sudo apt install apt-transport-https

Сначала добавьте ключ репозитория:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C80E383C3DE9F082E01391A0366C67DE91CA5D5F

Если ключ добавлен успешно, вы увидите:

Executing: /tmp/tmp.AnVzwb6Mq8/gpg.1.sh --keyserver
 keyserver.ubuntu.com
 --recv-keys
 C80E383C3DE9F082E01391A0366C67DE91CA5D5F
 gpg: requesting key 91CA5D5F from hkp server keyserver.ubuntu.com
 gpg: key 91CA5D5F: public key "CISOfy Software (signed software packages) <software@cisofy.com>" imported
 gpg: Total number processed: 1
 gpg:               imported: 1  (RSA: 1)

Добавьте репозиторий Lynis в список доступных репозиториев пакетного менеджера:

sudo echo "deb https://packages.cisofy.com/community/lynis/deb/ stable main" | sudo tee /etc/apt/sources.list.d/cisofy-lynis.list

Обновите индекс пакетов:

sudo apt update

Устанавливаем Lynis на Ubuntu Server 18.04:

Теперь можно приступать к установке Lynis.

sudo apt install lynis

Загрузка Lynis с GitHub

В репозитории разработчика который мы устанавливали выше, находится старая версию программы Lynis. Если вы хотите версию посвежее то необходимо скачать ее с GitHub:

wget https://github.com/CISOfy/lynis/archive/master.zip

Распаковываем архив и переходим в директорию Lynis:

unzip master.zip && cd lynis-master

Запускаем анализ сервера

Перед выполнением аудита всегда полезно проверить, доступна ли новая
версия Lynis: так вы получите доступ к новым функциям и соберёте больше
информации. Выполните следующую команду, чтобы проверить наличие
обновлений:

lynis update info

Если вы получили такой вывод, вы используете последнюю версию Lynis

== Lynis ==
 Version            : 3.0.0
   Status             : Up-to-date
   Release date       : 2019-07-14
   Project page       : https://cisofy.com/lynis/
   Source code        : https://github.com/CISOfy/lynis
   Latest package     : https://packages.cisofy.com/
 2007-2019, CISOfy - https://cisofy.com/lynis/

Также для проверки обновлений можно использовать команду:

lynis update check

Она вернёт одну строку:

status=up-to-date

Для запуска аудита системы используйте следующую команду:

sudo lynis audit system

Для запуска ауита из GitHub воспользуемся следующей командой:

sh ./lynis audit system

Выглядеть всё будет примерно так:

В отчёте довольно таки много информации, на которую сканер обращает внимание администратора — проверяются настройки загрузки, настройки ядра, фаервола, параметры сети, активные порты, установленное ПО, доступные и запущенные сервисы… В зависимости от того какой набор ПО установлен на сервере, Lynis даст необходимые рекомендации по тому, что стоит проверить или изменить в настойках системы.

Пользовательская настройка аудита Lynis

Этот раздел научит вас создавать пользовательские списки тестов аудита Lynis и исключать ненужные тесты.

Профили, которые управляют аудитом, определяются в файлах с
расширением .prf в каталоге /etc/lynis. Профиль по умолчанию называется
default.prf. Не редактируйте этот профиль по умолчанию напрямую. Любые
изменения, которые вы хотите внести в аудит, добавляются в файл
custom.prf в том же каталоге.

Создайте файл /etc/lynis/custom.prf:

sudo nano /etc/lynis/custom.prf

Для GitHub создайте файл в директории lynis-master/

В этом файле можно определить список тестов, которые нужно исключить из аудита Lynis. Например:

• FILE-6310: проверка разделов.
• HTTP-6622: тест установки Nginx.
• HTTP-6702: тест установки Apache. Этот и предыдущий тест выполняются
  по умолчанию. Если вы используете Nginx, отключите тест Apache (и
  наоборот).
• PRNT-2307 и PRNT-2308: тесты принт-сервера.
• TOOL-5002: тест инструментов автоматизации (типа Puppet и Salt).
  Если вы не пользуетесь такими инструментами, исключите этот тест.

Чтобы исключить тест, используйте директиву skip-test и укажите ID теста. Добавьте в файл custom.prf такие строки:

# Lines starting with "#" are comments
 # Skip a test (one per line)
 # This will ignore separation of partitions test
 skip-test=FILE-6310
 # Is Nginx installed?
 skip-test=HTTP-6622
 # Is Apache installed?
 skip-test=HTTP-6702
 # Skip checking print-related services
 skip-test=PRNT-2307
 skip-test=PRNT-2308
 # If a test id includes more than one test use this form to ignore a particular test
 skip-test=SSH-7408:tcpkeepalive

Сохраните и закройте файл.

Во время следующего аудита Lynis пропустит тесты, указанные в
пользовательском профиле. Тесты будут исключены из результатов аудита, а
также из раздела предложений.

Актуальную версию плагинов от сообщества, можно скачать с соответствующей страницы на сайте.

При необходимости, можно настроить регулярную проверку сервера по крону, делается это, вот таким скриптом:

sudo nano /etc/cron.daily/lynis

#!/bin/sh

AUDITOR="automated"
DATE=$(date +%Y%m%d)
HOST=$(hostname)
LOG_DIR="/var/log/"
REPORT="$LOG_DIR/report-${HOST}.${DATE}"
DATA="$LOG_DIR/report-data-${HOST}.${DATE}.txt"

/usr/bin/lynis audit system --auditor "${AUDITOR}" --cronjob > ${REPORT}
if [ -f /var/log/lynis-report.dat ]; then
 mv /var/log/lynis-report.dat ${DATA}
fi

Возможно пути до директории с lynis и логами будут отличаться в зависимости от ОС.

Вместо заключения… Lynis — удобный и функциональный
инструмент для аудита безопасности системы. Со своими задачами
справляется отлично. В рабочем процессе использую его вместе с такими
утилитами как rkhunter и chkrootkit и, рекомендую его к использованию
другим администраторам.