VPN: детальная инструкция от создателей защищенных сетей. Хотите "спрятаться"?

Здравствуйте! Меня зовут Максим Кульгин, моя компания xmldatafeed занимается парсингом много лет. Для работы нам приходится поднимать не только виртуальные сети (редко) и прокси (часто), но и конструировать вполне себе реальные, физические — как на иллюстрации ниже (только немного попроще) . Расскажу в деталях, как же работает VPN и чем он отличается от прокси.

Помимо создания своих сложных решений, мы пользуемся и готовыми сервисами зарубежных и российских компаний. У меня часто спрашивают совета по выбору и использованию VPN в повседневной жизни. Этой статьей я хочу ответить на самые часто возникающие вопросы и обратить внимание на малозаметные моменты.

Можно подумать, что практически все сейчас пользуются VPN, чтобы и добираться до «запретного контента», и защищаться от непредсказуемого вторжения в личную жизнь.

Термин VPN (Virtual Private Networks, дословно «виртуальные частные сети») уже стал синонимом онлайн-безопасности в наши дни.

Такие сети скрывают ценную персональную информацию от посторонних и чрезмерно любопытных глаз. Трафик пользователя «заворачивается» в зашифрованный канал и отправляется на специальный сервер, расположенный где-то в интернете.

Кроме сокрытия своего трафика от нежелательного наблюдения VPN позволяет добраться до заблокированных ресурсов, спокойно пользоваться торрент-сетями и вообще оставаться анонимным при посещении сайтов.

Когда говорят «VPN», то подразумевают не просто соединение с неким удаленным сервером. К этому добавляется ещё и непростой выбор правильного VPN-провайдера, а также понимание некоторых основ, без чего все усилия могут оказаться напрасными.

Итак.

Для лучшего понимания следует начать с самого термина. Что означают слова: «виртуальная», «частная», «сеть»?

«Виртуальная» означает, что это цифровой сервис: нет никаких отдельных кабелей или оборудования (в отличие от физической сети, такой как на иллюстрации выше) .

«Частная» — потому что зашифровывает соединение пользователя и делает его недоступным для «прослушивания» провайдерами, правительственными учреждениями, кибер-преступниками и прочими любопытствующими.

Наконец, «сеть»: пользователь выстраивает свою маленькую сеть, которая соединяет его устройства, VPN-серверы и остальной интернет.

Сейчас не осталось практически никого, кто не знает (хотя бы в общих чертах) что такое VPN.

Но так было не всегда.

Идея о необходимости виртуальных сетей возникла почти одновременно с созданием знаменитой arpanet (Advanced Research Projects Agency Network) — первой версией, прообразом той сети сетей, которую мы привыкли называть интернетом.

Именно arpanet подстегнула развитие TCP/IP (Transfer Control Protocol/ Internet Protocol) — протоколов, которые составляют основу современного интернета. TCP/IP позволило устройствам и локальным сетям объединяться в общую сеть. Но это и привнесло новые риски кибер-безопасности, поскольку дало возможность подключаться к внутренним сетевым устройствам извне.

Исследователи AT&T Bell Labs (в те времена она называлась именно так) и Колумбийского Университета в 1993 году разработали первую VPN и протокол swIPe (Software IP encryption) , позволивший, как ясно из названия, применять шифрование для соединений.

Началась эпоха.

В 1994-ом Wei Xu создал IPSec (IP Security) , а в 1996-ом Gurdeep Singh-Pall (работавший тогда в Microsoft) представил PPTP (Peer-to-Peer Tunneling Protocol) .

На протяжении «нулевых» использование VPN было характерно, в основном, для правительств и организаций, а начиная с последующего десятилетия и простые пользователи стали применять эту технологию.

VPN полезен тем, кто:

Вот три самые распространенные причины, побуждающие людей прибегать к технологии VPN:

Конечно, эти цифры будут сильно разниться от страны к стране, да и сам способ получения достоверных сведений об использовании VPN не так прост, как может показаться на первый взгляд. При социологических опросах люди не всегда хотят отвечать честно, особенно когда от вопросов пробегает холодок по спине.

В некоторых странах использование VPN запрещено или ограничено в той или иной степени: Китай, Ирак, Северная Корея, Российская Федерация, Турция, Беларусь, Туркменистан, Уганда, ОАЭ, Оман.

Рассмотрим для примера Российскую Федерацию.

29 июля 2017 года вступили в силу поправки в 276-ФЗ «Об информации, информационных технологиях и о защите информации». С этого момента владельцы анонимайзеров и VPN-сервисов обязаны сотрудничать с властями и ограничивать доступ к запрещённым на территории страны материалам.

В марте 2019 года Федеральная служба по надзору в сфере массовых коммуникаций (РосКомНадзор) начала требовать от владельцев VPN-сервисов подключиться к реестру запрещённых сайтов.

В начале 2022 года иностранным VPN-провайдерам было предписано внести в чёрный список сайты, признанные в РФ экстремистскими. После чего многие зарубежные сервисы, не привыкшие работать вне правового поля, прекратили предоставление услуг.

Интересно, что согласно «Постановлению правительства № 1279», само существование VPN в РФ не запрещено. А вот действия, которые осуществляются посредством VPN — например, доступ к материалам, запрещённым Роскомнадзором — являются незаконными. Опять-таки, ответственность не возлагается на простого пользователя. Пока.

В подавляющем же большинстве стран использование VPN считается законным без всяких ограничений. Это разумеется, в свою очередь, не означает, что можно совершать преступления или скрывать свою сетевую активность от правоохранительных органов.

VPN — для безопасности, а не для вредительства.

Говоря о законности, надо не забывать о правилах, устанавливаемых владельцами сетевых ресурсов (ToS, Terms of Service) . К примеру, если стриминговый сервис (такой как Netflix или Hulu) поймает на использовании VPN, то можно запросто лишиться аккаунта или попасть в бан.

Как правило, это связано с тем, что жителям разных стран услуги предоставляются разные и по разным ценам. При использовании VPN и подмене страны пользователя вдребезги разлетается сложная бизнес-модель, основанная на дискриминационных мерах, что ведет к недополучению прибыли.

VPN — это не что-то единое или одинаковое. Главная идея — одна, но способов реализации много.

1. VPN на стороне клиента. Это и есть тот самый набор инструментов, который приходит в голову, когда говорят «VPN». В этом случае создается частная сеть вокруг одного пользователя, а подключение осуществляется с помощью расширения браузера или специальной программы.

2. VPN, основанный на SSL. Организации и предприятия с персоналом, перемещающимся по миру, используют в основном именно эту модель. Здесь задача — дать работникам удаленный доступ к файлам и другим ресурсам независимо от того, где они оказались. Такие сети часто требуют подключения со специальных устройств, выданных или зарегистрированных в компании, чтобы не полагаться на работников в их навыках безопасного пользования сетью.

3. VPN по принципу «Site-to-Site».При таком способе вокруг локальной сети создается непроницаемый барьер, преодолеть который могут только авторизованные сети. Такой подход характерен прежде всего для больших организаций, с множеством филиалов, разбросанных по миру, но которые должны иметь возможность подключаться к ресурсам друг друга.

VPN всем хорош!

Сокрытие действий в интернете

Ни интернет-провайдер, ни вездесущие поисковые монстры, отслеживающие всё до чего могут дотянуться — никто не узнает, кто где был и что смотрел. Никто не предложит персонифицированную рекламу, не сделает торговых предложений, основанных на выпотрошенной истории посещений и не перепродаст чью-то личную жизнь другим добрым, светлым, искренним людям.

Надо иметь ввиду, что вход в аккаунт в любом из интернет-сервисов полностью нивелирует действие VPN: это то же самое, что самому представиться — а они и дальше будут легко узнавать свою жертву, пока сохраняются cookie-файлы. Здесь ключевое слово, на которое стоит обратить внимание — «легко». Ведь…

Технология слежки за пользователями не ограничивается лишь одними несчастными cookie-файлами, которые — да! — легко удаляются штатными средствами браузера.

Версия операционной системы, размер экрана, местное время, настройки… — это всё можно узнать с помощью JavaScript и увязать с аккаунтом пользователя. Такой набор идентифицирующих параметров на языке специалистов называется fingerprints. И, в отличие от безобидных cookie-файлов, эти данные так просто «вычистить» не получится.

У простых людей часто встречается мнение, что никто не будет ими заниматься, что это сложно. Ошибка! Это тиражируемый подход: алгоритмы уже разработаны, а всю черную работу выполняют компьютеры, не знающие что такое лень или усталость.

Уход от трэкеров и вредоносных программ

Многие кибер-преступники пользуются уязвимостями публичных WiFi-сетей. Устройства заражаются вредоносными программами, которые в подавляющем большинстве случаев себя никак не проявляют, не наносят вреда, а лишь аккуратно перехватывают и отправляют куда надо все нажатия (включая ввод паролей) и прочие данные.

Злоумышленники могут просто считывать незащищенный трафик публичной сети, а уже затем использовать накопленные данные для выбора жертв.

Когда задействовано VPN-приложение, всё взаимодействие между устройством пользователя и VPN-сервером зашифровано и недоступно для мошенников. Они вынуждены будут заняться кем-то другим.

Шифрование личных данных

VPN-сервисы шифруют все данные, передаваемые в рамках текущей веб-активности. Это делает невозможным шпионаж как со стороны правительственных, так и коммерческих структур.

После получения первоначальных представлений о VPN, люди часто начинают идеализировать все альтернативные сервисы, декларирующие уважение свобод пользователя и прочие либеральные ценности.

Соответственно, часто можно услышать: является ли DuckDuckGo VPN-сервисом или нет? Прежде чем ответить на такой вопрос от более знающих пользователей, пожалуй, стоит развеять лёгкое недоумение тех, кто сейчас вообще сморщил лоб: «Что ещё за DuckDuckGo такой?»

DuckDuckGo — это ещё одна поисковая система (аналогичная Google или Yandex) . Её существенные отличия от коммерческих поисковых систем:

Вообще DuckDuckGo разрабатывает много решений в сфере защиты конфиденциальности — это тема для отдельной статьи.

Но DuckDuckGo — всё-таки не VPN. Даже несмотря на то, что их команда предлагает похожие решения, а направление их деятельности из области защиты прав и интересов пользователя.

Защита от кражи идентичности

«Кража идентичности» — всё более усиливающаяся угроза. Бессмысленно приводить рост ущерба «в процентах» или «миллиардах» долларов — он огромен.

Привычки, поведенческие паттерны, финансовые данные, доступ к управлению банковскими активами, паспортные данные… — это всё воруется ежегодно в масштабах, непостижимых для простого обывателя.

Разумеется, каналов утечки данных много, а использование VPN защитит только от угроз, вызванных перехватом интернет-трафика. Но и это уже не мало!

Появляется возможность сказать «Нет!» ценовой дискриминации

Много коммерческих веб-сайтов отслеживает пользователей с помощью cookie-файлов — их местонахождение, язык, половую принадлежность, привычки. Это позволяет им менять цену на товары или услуги оптимальным образом. (Оптимальным не для клиента, конечно.) Ценовая дискриминация повсеместна: билеты на самолеты, книги, отели, технологии… — да что угодно!

Использование VPN спасет жертву от жадных капиталистов.

Защита от атак

Если кто-то знает IP-адрес, то уже можно организовать атаку. Конечно, простые пользователи редко служат мишенью по сравнению с серверами, но тем не менее…

Представьте игромана или стримера. Для такого человека критически важно не попасть под атаку типа DDoS (Distributed Denial of Service, распределенная атака для вызова отказа в обслуживании) . Она разрушит обмен данными через соединение, а вместе с тем и все мечты выиграть в казино или покрасоваться перед зрителями.

Безопасная работа из дома

Для каждой организации, сотрудники которой работают удалённо, важно чтобы не произошло никаких утечек данных и при этом для каждого участника был обеспечен бесперебойный доступ ко всем необходимым корпоративным файлам. И здесь VPN моментально решает все проблемы.

Доступ к закрытому контенту

Поскольку VPN позволяет выходить в интернет как бы из любой точки мира на выбор (а не только из своей страны) , появляется возможность получить доступ к страницам, заблокированным и «отсюда», и «оттуда».

Прощай, цензура!

Блокировать доступ к сайтам или их отдельным частям может кто угодно: работодатель, провайдер, правительство. Ограничение обычно работает на уровне локальной сети или на определенной территории. VPN позволяет совершить побег за эти флажки и помахать ручкой всем «ограничителям».

Перво-наперво нужно завести аккаунт у хорошего VPN-провайдера и установить необходимое программное обеспечение. Игра началась, правила ниже.

Шаг 1. Соединиться с VPN-сервером.

Как правило, всё, что для этого требуется — нажать на кнопочку в приложении. Далее всё произойдет само-собой: будет установлено соединение с VPN-сервером — своеобразный «туннель», через который пойдут все данные и через который будут осуществляться соединения со всеми остальными серверами в интернете.

Многие VPN-провайдеры позволяют выбирать страну или город, где находится промежуточный сервер, через который будет осуществляться выход в интернет.

Шаг 2. Туннелирование.

После установления соединения на предыдущем шаге, зашифровываются все данные, куда бы они не отправлялись. Шифрование передаваемых данных — это и есть туннель, в который ничто не проникнет извне, и из которого ничего не утечет изнутри.

Расшифровывание происходит на концах туннеля: сервером, от имени которого происходит доступ в интернет (с одного конца) , и VPN-приложением, которое было установлено (с другого конца) .

Туннель по-прежнему пролегает через интернет провайдера. Тот, конечно, понимает: что-то передаётся туда-сюда, но что именно спрятано в туннеле — узнать ему не дано. В равной степени это можно сказать и о всех других серверах, через которые прошел туннель.

Не существует единственно правильного способа шифрования данных и единственно правильной технологии, служащей технической базой для сервиса. Каждый VPN-сервис волен придерживаться предпочитаемой технологии, наиболее популярные из которых:

Шаг 3. Шифровка, передача, расшифровка.

При доступе к интересующему сайту VPN-сервер сначала загружает с этого сайта данные, предназначенные пользователю, и шифрует их. Затем зашифрованная информация передаётся на компьютер пользователя в установленное VPN-приложение. Только VPN-приложение знает, как расшифровать полученные данные. Наконец, пользователь видит всё так, как если бы он подключался напрямую к целевому сайту.

Много VPN-сервисов используют специальную инкапсуляцию, чтобы «завернуть» отдельные пакеты данных в пакеты, создаваемые VPN-сервером. Это приводит к тому, что провайдер даже и не подозревает, что используется VPN.

Конечно, подобная вычислительная нагрузка создает некоторую дополнительную задержку по времени, но она не превышает и доли секунды.

И компьютер пользователя, и VPN-сервер будут неустанно осуществлять этот трёхступенчатый ритуал снова и снова, пока пользователь находится в интернете.

Выбор VPN-сервиса, отвечающего всем ожиданиям, в первый раз может показаться сложным или чересчур ответственным делом. Всё намного проще, если есть алгоритм.

Шаг 1. Масштаб.

Прежде всего надо научиться различать провайдеров по их предназначению. Одни предназначены для обслуживания крупных организаций, образовательных учреждений, компаний. Другие как раз ориентированы на работу с отдельными пользователями.

Шаг 2. Возможности.

Следующее, что надо сделать — взять ручку и выписать всё, что требуется от VPN-сервиса. Так будет удобно сравнивать между собой различные варианты. Наиболее часто встречающиеся требования следующие.

1. Отсутствие журналирования: VPN-провайдер не собирает, не отслеживает, не записывает и не хранит активность пользователей.

Единственное, что хранит VPN-провайдер — это данные учетных записей, такие как: имя, почта, состояние счёта — всё то, без чего платный сервис не сможет различать клиентов и предоставлять услуги — но ничего о жизни в онлайн.

Большинство VPN-сервисов придерживаются политики «не журналировать» сетевую активность пользователя.

2. Блокировка рекламы предотвращает появление раздражающих всплывающих объявлений, а также демонстрацию рекламы в поисковой системе и на сайтах.

(Это никак не защитит от необходимости соглашаться на использование cookie-файлов, от необходимости отказываться от получения уведомлений и множества других информационных помех, до которых додумались или ещё додумаются маркетологи.)

Можно недооценить важность борьбы с рекламой: мол, это всё маркетинговая чепуха.

Нет, это не чепуха!

Кибер-преступники во всю пользуются рекламой: они пытаются спровоцировать посетителя перейти на вредоносный (или скомпрометированный) сайт, чтобы либо заразить систему, либо обхитрить пользователя, используя методы социальной инженерии.

Для кого-то это станет неожиданностью, но блокировка рекламы радикально повысит и скорость загрузки страниц, и их отзывчивость. Исследования показывают, что по скорости загрузки в среднем получается примерно двукратная разница.

3. Наличие рубильника — специальной функции, которая отрубит интернет-соединение едва только VPN-сервис по каким-то причинам перестанет работать.

Чрезвычайно полезная вещь!

Во-первых, при невозможности установления соединения с VPN-сервером система может тут же, без предупреждения, установить соединение с целевым сайтом напрямую. Да, маркетологи позаботились, чтобы пользователь не заскучал, уткнувшись в сообщение об ошибке соединения.

Во-вторых, можно запросто забыть включить VPN и раскрыть свои данные.

Мы уже говорили выше, что сайты безошибочно идентифицируют пользователя по cookie-файлам. Предположим, вы завели аккаунт на каком-то сайте и представились жителем одной страны. Как только вы зайдете на этот сайт без использования VPN — истинное географическое положение будет тут же установлено и записано в базу данных. Теперь уже бесполезно будет включать VPN: они знают откуда вы на самом деле! Поможет только удаление cookie-файлов и создание нового аккаунта (с включенным VPN, конечно) .

4. Разделяемый IP-адрес — функция, смысл которой на первый взгляд непонятен. На самом же деле — это довольно хитрый ход: так как люди пользуются интернетом одновременно, то становится невозможно определить кто именно что делает с одного и того же IP-адреса.

VPN-сервер, который дает клиентам один IP-адрес, различает их: никаких недоразумений или путаницы не произойдет. К тому же каждое соединение зашифровано (помните? про туннель выше?) и никто не сможет проникнуть в него: ни намеренно, ни случайно.

Шаг 3. Особенности.

Поскольку зачастую каждому нужен «свой VPN», со своим особенным функциональным перечнем, то наилучшим подходом будет исследовать рынок, уже имея перед собой список насущных вопросов:

Можно ли использовать разные устройства?

В каждой семье сейчас несколько устройств, которые могут нуждаться в защите посредством VPN. В разных точках земного шара этот показатель разнится, но на одного человека в среднем приходится два устройства. Семья из трёх человек — и вот уже шесть больших и маленьких компьютеров лезут в интернет.

Если уж использовать VPN — то сразу на всех устройствах!

VPN-провайдеры это понимают и ограничивают количество точек, которые могут одновременно пользоваться их услугами на экономных тарифных планах. Так что, выбирая VPN-провайдера, нужно внимательно смотреть: сколько устройств обслуживается и на каких условиях.

Не надо выбирать тарифные планы, где за каждый смартфон приходится «платить по полной».

Есть ограничения на трафик?

Поддерживать работу серверов недешево. Ограничения, накладываемые VPN-провайдерами на пропускную способность линии (или на общий объем передаваемых данных в единицу времени) оправданы экономически.

Особенно это характерно для небольших провайдеров: ведь чем меньше покупается трафика у магистральных провайдеров более высокого уровня — тем дороже этот трафик обходится.

Любителям слушать музыку на YouTube стоит смотреть эти условия договора в первую очередь.

Где географически находятся серверы?

Если требуется осуществлять действия в сети из определённой страны, то нужно убедиться, что VPN-провайдер имеет в ней серверы.

Здесь всё не так просто, как может показаться на первый взгляд. Заявленные страны — это одно, а действительная точка выхода может оказаться другой. Бывает, что устанавливаете регион «Великобритания», а выходите в интернет — и всё по-французски.

Каждый VPN-провайдер предлагает некоторый период бесплатного тестирования. Нужно обязательно воспользоваться этим и убедиться, что всё работает как ожидалось.

Поддерживаются ли мобильные устройства?

Доля мобильного трафика год от года растет, и принцип «Mobile first!» будет распространяться на всё новые сферы деятельности. VPN-провайдеры это понимают и вряд ли сейчас найдется тот, кто не поддерживает мобильные устройства.

И тем не менее, надо проверять: а работает ли их приложение корректно? Совместимо ли оно с версией мобильного телефона и прошивкой?

Поддерживается ли операционная система?

Как и в случае с мобильными устройствами надо не забыть убедиться, что имеющаяся операционная система поддерживается. Здесь, как правило, сложностей не возникает: или поддерживается и всё работает, или нет.

Какова скорость и надежность?

Ключевой фактор выбора VPN-провайдера — это скорость и надежность его серверов.

Надежность, если и можно проверить, то только по отзывам.

А вот скорость легко определяется специальными инструментами (важно, чтобы это были сторонние инструменты, а не предоставляемые VPN-сервисом) . Провайдеры и так склонны преувеличивать свои способности, а тут ещё добавляются не зависящие от них факторы.

Путешествие информации по длинному туннелю, идущему на другую сторону планеты, всегда отражается на скорости. Надо чтобы это ухудшение было или вообще незаметным, или хотя бы приемлемым.

Удастся ли воспользоваться?

Последнее, что приходится иметь ввиду — подходит ли поставщик услуг по критерию доступности? Не проводит ли дискриминационную политику? Идёт ли навстречу в преодолении банковских сложностей, возникших за последний год?

Многие VPN-сервисы принимают криптовалюту для оплаты услуг и не ограничивают географию работы. А есть и такие, которые, можно сказать, вычеркнулись из списка. Выше, при рассмотрении законности, уже рассматривался пример, когда некоторые VPN-провайдеры ушли с нашего рынка, отказавшись подчиниться новым требованиям российского законодательства.

Теперь способом «номер один» при составлении списка VPN-сервисов становится старое доброе «сарафанное радио».

Какой VPN-сервис по-вашему лучше? Есть достойные бесплатные варианты? С чем столкнулись? Давайте обсудим в комментариях!

Также напоминаю, что веду личный Телеграм-канал «Русский ИТ бизнес» — там пишу всю «изнанку», с чем сталкиваемся в процессе работы, без приукрашивания.