Интересно Обзор VPN

[daddydwarf]

В интернете широко используются протоколы шифрования, такие как HTTPS, поэтому ваши провайдер, надзорный орган и черный ящик для отслеживания трафика могут не видеть, что именно вы пишете или читаете, но могут получить представление о доменах, которые вы запрашиваете и на которые переходите. Далее эти данные можно использовать для составления профиля пользователя и для блокировок нежелательных ресурсов.

VPN может помочь с этим, поскольку он перенаправляет весь трафик через сервер(ы) в другой точке мира. В результате провайдер видит только то, что вы подключены к VPN, и ничего о деятельности, которую вы ведете через VPN.

Стоит ли мне использовать VPN?​

Да, если только вы уже не используете Tor. VPN делает две вещи: перекладывает риски/доверие с вашего интернет-провайдера на себя и скрывает ваш IP от сторонних служб.

Учтите, что VPN не может шифровать данные за пределами соединения между вашим устройством и VPN-сервером. Провайдеры VPN могут видеть и изменять ваш трафик так же, как и ваш интернет-провайдер. И нет никакого способа проверить политику VPN-провайдера "без ведения логов", если только не вы сами настроили сервер.

Однако VPN действительно хороши в сокрытии вашего реального IP-адреса от сторонних служб. Они помогают вам слиться с другими и усложнить отслеживание по IP.

Когда не стоит использовать VPN?​

Использование VPN в случаях, когда вы используете известную вам личность, полезно только тогда, когда вы хотите обойти блокировки. В ином случае это может привести к срабатыванию систем обнаружения спама и мошенничества, например, если вы заходите на сайт своего банка. Особенно VPN не любят относительно небольшие конторы, вроде Qiwi.

Что насчет шифрования?​

Шифрование, предлагаемое VPN-провайдерами, осуществляется между вашими устройствами и их серверами. Оно гарантирует, что эта конкретная связь безопасна. Это шаг вперед по сравнению с использованием незашифрованных прокси-серверов, где противник может перехватить обмен данными между вашими устройствами и прокси-серверами и изменить их. Однако связь между вашими приложениями или браузерами и поставщиками услуг не обрабатывается этим шифрованием.

Чтобы сохранить конфиденциальность и безопасность того, что вы делаете на посещаемых веб-сайтах, необходимо использовать HTTPS. Это позволит сохранить ваши пароли, маркеры сеансов и запросы в безопасности от провайдера VPN. Подумайте о включении функции "HTTPS everywhere" в вашем браузере, чтобы смягчить такие атаки, как SSL Strip.

Должен ли я использовать зашифрованный DNS с VPN?​

Если только ваш VPN-провайдер или вы сами размещаете у себя зашифрованные DNS-серверы. В иных случаях – нет. Использование DOH/DOT (или любой другой формы зашифрованного DNS) со сторонними серверами просто добавит больше сущностей, которым нужно доверять, и абсолютно ничего не сделает для улучшения вашей конфиденциальности/безопасности. Ваш VPN-провайдер все равно может видеть, какие сайты вы посещаете, основываясь на IP-адресах и других методах. Вместо того чтобы доверять только своему VPN-провайдеру, вы теперь доверяете и VPN-провайдеру, и DNS-провайдеру.

Распространенная причина, по которой рекомендуется использовать зашифрованный DNS, заключается в том, что он помогает бороться с подменой DNS. Однако ваш браузер уже должен проверять наличие сертификатов TLS при использовании HTTPS и предупреждать вас об этом. Если вы не используете HTTPS, то злоумышленник все равно может довольно просто изменить что угодно, кроме ваших DNS-запросов, а конечный результат будет мало отличаться.

Вы также не должны использовать зашифрованный DNS с Tor. Это направит все ваши DNS-запросы через одну цепь и позволит провайдеру зашифрованного DNS деанонимизировать вас.

Вообще, DNS – это отдельная глубокая тема, о которой мы поговорим отдельно в будущем.

Следует ли мне использовать Tor и VPN?​

Используя VPN вместе с Tor, вы создаете постоянный узел входа. Это не дает вам никаких дополнительных преимуществ, но при этом значительно увеличивает поверхность атаки вашего соединения. Если вы хотите скрыть использование Tor от провайдера или кого-то еще, в Tor есть встроенное решение для этого: Tor bridges. Читайте подробнее о мостах Tor и о том, почему использование VPN необязательно.

Что, если мне нужна анонимность?​

VPN не может обеспечить анонимность. Ваш VPN-провайдер все равно будет видеть ваш реальный IP-адрес, и часто у него есть денежный след, который может быть связан непосредственно с вами. Вы не можете рассчитывать на то, что политика "запрета на ведение логов" защитит ваши данные. Вместо этого лучше использовать Tor.

Что насчет VPN-провайдеров, которые предоставляют Tor-узлы?​

Не пользуйтесь этой функцией. Смысл использования Tor заключается в том, что вы не доверяете своему VPN-провайдеру. В настоящее время Tor поддерживает только протокол TCP. UDP (используемый в WebRTC для передачи голоса и видео, новый протокол HTTP3/QUIC и т.д.), ICMP и другие пакеты будут отбрасываться. Чтобы компенсировать это, VPN-провайдеры обычно направляют все пакеты, не относящиеся к TCP, через свой VPN-сервер – ваш первый хоп (узел). Так обстоит дело с ProtonVPN. Кроме того, при использовании настройки Tor over VPN вы не сможете контролировать другие важные функции Tor, такие как "Изолированный адрес назначения" (использование отдельной цепочки Tor для каждого посещаемого вами домена).

Эту функцию следует рассматривать как удобный способ доступа к сети Tor, а не для сохранения анонимности. Для обеспечения анонимности используйте Tor Browser, TorSocks или шлюз Tor.

Когда VPN полезны?​

VPN может быть полезен вам в следующем:

1. Сокрытие вашего трафика только от вашего интернет-провайдера.
2. Скрытие ваших загрузок (например, торрентов) от вашего интернет-провайдера и антипиратских организаций.
3. Сокрытие вашего IP от сторонних веб-сайтов и служб, предотвращение отслеживания по IP.

Однако использование VPN-провайдера все равно означает, что вы доверяете провайдеру. В любом другом случае лучше использовать безопасный инструмент, такой как Tor.

Резюмируем:

VPN-сервисы не обеспечивают анонимность. Использование VPN не защитит вас от ваших привычек просмотра веб-страниц и не обеспечит дополнительную безопасность небезопасного (https) трафика. VPN также не поможет вам в незаконной деятельности. Не полагайтесь на политику "без логов". Если вы ищете анонимность, вам следует использовать браузер Tor вместо VPN. Если вам нужна дополнительная безопасность, всегда проверяйте, что вы подключаетесь к веб-сайтам с использованием HTTPS.

Сервисы VPN​

Критерии​

Обратите внимание, что мы не связаны ни с одним из рекомендуемых ниже провайдеров. В критерии хорошего VPN-сервиса входят: надежное шифрование, независимый аудит безопасности, современные технологии, а также многое другое. Рекомендуем вам ознакомиться с этим списком перед выбором VPN-провайдера, а также провести собственное исследование, чтобы убедиться, что выбранное вами коммерческое решение заслуживает максимального доверия.

Технологии​

Минимальные требования:

• Поддержка открытых и современных протоколов, таких как WireGuard и OpenVPN.
• Встроенный в клиент Killswitch.
• Поддержка мультихопа. Это важно для сохранения конфиденциальности данных в случае компрометации одного узла.
• Частные VPN-клиенты должны быть с открытым исходным кодом. Доступность исходного кода обеспечивает бóльшую прозрачность того, что на самом деле делает приложение.

Идеал:

• Поддержка WireGuard и OpenVPN.
• Killswitch с широкими возможностями настройки (включение/выключение в определенных сетях, при загрузке и т.д.)
• Простые в использовании VPN-клиенты
• Поддержка IPv6
• Возможность удаленного перенаправления портов помогает создавать соединения при использовании программного обеспечения для обмена файлами P2P (Peer-to-Peer) или хостинга сервера.

Приватность​

Провайдеры должны собирать как можно меньше данных. Отсутствие сбора личной информации при регистрации и прием анонимных форм оплаты являются обязательными условиями.

Минимум:

• Анонимная криптовалюта или возможность оплаты наличными.
• Для регистрации не требуется никакой личной информации: только имя пользователя, пароль и электронная почта, не более.

Идеал:

• Принимает несколько анонимных вариантов оплаты.
• Никакая личная информация не принимается (автогенерируемое имя пользователя, не требуется электронная почта и т.д.).

Безопасность​

VPN не имеет смысла, если он даже не может обеспечить адекватную безопасность. В идеальном случае провайдеры должны по умолчанию использовать передовые сложные методы шифрования. Еще одно важное требование – независимая третья сторона должна проводить аудит безопасности провайдера, желательно на повторяющейся (ежегодно) основе.

Минимум:

• Сильные методы шифрования: OpenVPN с аутентификацией SHA-256; хэндшейк RSA-2048 или лучше; шифрование данных AES-256-GCM или AES-256-CBC.
• Perfect Forward Secrecy (PFS).
• Опубликованные аудиты безопасности от авторитетной сторонней фирмы.

Идеал:

• Самое сильное шифрование: RSA-4096.
• Perfect Forward Secrecy (PFS).
• Всесторонний опубликованный аудит безопасности от авторитетной сторонней фирмы.
• Программы "bug-bounty" и/или скоординированный процесс раскрытия информации об уязвимостях.

Доверие​

Провайдеры должны публично освещать свою деятельность и иметь публичное руководство. Еще один хороший критерий: регулярные прозрачные отчеты, как обрабатываются правительственные запросы.

Маркетинг​

Нормальный провайдер не вводит пользователей в заблуждение лживой рекламой.

Минимум:

• Должен самостоятельно проводить аналитику (т.е. не использовать Google Analytics). Сайт провайдера также должен соответствовать требованиям DNT (Do Not Track) для тех, кто захочет отказаться от использования.

Не должно быть безответственного маркетинга:

• "Предоставление гарантий защиты анонимности на 100%" – это ложь, потому что анонимность не на 100% зависит от провайдера VPN и может быть нарушена самим пользователем.
• Утверждение, что VPN с одним сервером "более анонимен", чем Tor, который представляет собой цепь из трех или более нод, которые регулярно меняются.

Адекватный маркетинг:

• Прозрачные формулировки. Недобросовестные сервисы пишут "устройство подвержено риску", "уязвимо" или "скомпрометировано", а не "VPN отключен" или "не подключен". Можно сказать, что VPN "отключен" или "не подключен", но утверждать, что кто-то "подвержен", "уязвим" или "скомпрометирован" – это ненужное использование тревожных формулировок.

Идеал:

• Точное описание того, когда следует использовать Tor вместо рекламируемого VPN.
• Доступность веб-сайта поставщика VPN через сервис .onion

Дополнительные функциональные возможности​

К этому относятся функциональность блокировки рекламы/трекеров, многохоповые соединения, качественная поддержка клиентов, количество разрешенных одновременных подключений и т.д.

Рекомендуемые провайдеры​

IVPN​

IVPN – премиум-провайдер VPN, работающий с 2009 года. Базируется в Гибралтаре.

Достоинства

• 35 локаций. IVPN имеет серверы в 35 странах (16/09/22). Выбирая VPN-провайдера с ближайшим к вам сервером, вы уменьшите пинг (задержку) трафика.
• Независимый аудит. Компания IVPN прошла аудит Cure53, который подтвердил, что IVPN не ведет логи. IVPN прошла комплексный пентест Cure53 в январе 2020 года. IVPN также заявила, что в будущем планирует предоставлять ежегодные отчеты. Еще один обзор был проведен в апреле 2022 года и был опубликован Cure53 на их сайте.
• Клиенты с открытым исходным кодом. С февраля 2020 года приложения IVPN стали с открытым исходным кодом. Исходный код можно получить в их репозитории на GitHub.
• Принимает наличные и Monero. В дополнение к приему кредитных/дебетовых карт и PayPal, IVPN принимает Bitcoin, Monero и наличные/местную валюту (на годовых планах) в качестве анонимных форм оплаты.
• Поддержка WireGuard. IVPN поддерживает протокол WireGuard. WireGuard – это простой и производительный протокол, в котором используется самая современная криптография. IVPN рекомендует использовать WireGuard, и поэтому этот протокол используется по умолчанию во всех приложениях компании. IVPN также предлагает генератор конфигураций для использования их VPN в оригинальных приложениях WireGuard.
• Удаленная переадресация портов. Удаленная переадресация портов возможна при использовании тарифного плана Pro. Переадресация портов может быть активирована в клиентской зоне. Перенаправление портов доступно только в IVPN при использовании протоколов WireGuard или OpenVPN и отключено на серверах США.
• Мобильные клиенты. Помимо предоставления стандартных файлов конфигурации OpenVPN, IVPN имеет мобильные клиенты для App Store, Google Play и GitHub, позволяющие легко подключаться к их серверам.
• Дополнительная функциональность. Клиенты IVPN поддерживают двухфакторную аутентификацию (клиенты Mullvad не поддерживают). IVPN также предоставляет функцию "AntiTracker", которая блокирует рекламные сети и трекеры на сетевом уровне.

Mullvad​

Mullvad – это быстрый и недорогой VPN с акцентом на прозрачность и безопасность. Работают с 2009 года. Mullvad базируется в Швеции и не имеет бесплатной пробной версии.

Достоинства

• 41 локация. Mullvad имеет серверы в 41 стране (19.01.23).
• Независимый аудит. VPN-клиенты Mullvad были проверены компаниями Cure53 и Assured AB в отчете о пентесте, опубликованном на сайте cure53.de, исследователи безопасности заключили:

"Cure53 и Assured AB довольны результатами проверки, и программное обеспечение оставляет в целом положительное впечатление. Учитывая преданность делу безопасности внутренней команды в комплексе Mullvad VPN, проверяющие не сомневаются в том, что проект находится на правильном пути с точки зрения безопасности."

В 2020 году было объявлено о проведении второго аудита, а окончательный отчет об аудите был размещен на сайте Cure53:

"Результаты тестирования, проведенного в мае-июне 2020 года и направленного на комплекс Mullvad, весьма позитивны. [...] Общая экосистема приложений, используемая компанией Mullvad, оставляет хорошее и структурированное впечатление. Общая структура приложения позволяет легко внедрять исправления и дополнения". Более того, находки, обнаруженные Cure53, демонстрируют важность постоянного аудита и переоценки текущих векторов утечек, чтобы всегда обеспечивать конфиденциальность конечных пользователей. При этом Mullvad отлично справляется со своей работой, защищая конечных пользователей от распространенных утечек PII и рисков, связанных с конфиденциальностью."

В 2021 году было объявлено о проведении аудита инфраструктуры, а окончательный отчет об аудите был размещен на сайте Cure53. Еще один отчет был заказан в июне 2022 года и доступен на сайте компании Assured.

• Клиенты с открытым исходным кодом. Mullvad предоставляет исходный код для своих настольных и мобильных клиентов в своем репозитории на GitHub.
• Принимает наличные и Monero. Mullvad, в дополнение к приему кредитных/дебетовых карт и PayPal, принимает Bitcoin, Bitcoin Cash, Monero и наличные/местную валюту в качестве анонимных форм оплаты. Они также принимают Swish и банковские переводы.
• Поддержка WireGuard. Mullvad рекомендует использовать WireGuard со своими услугами. Это протокол стоит по умолчанию в приложениях Mullvad для Android, iOS, macOS и Linux, но в Windows вам придется включить WireGuard вручную. Mullvad также предлагает генератор конфигурации WireGuard для использования в официальных приложениях WireGuard.
• Поддержка IPv6. Их сеть позволяет получить доступ к услугам, размещенным на IPv6, в отличие от других провайдеров, которые блокируют соединения IPv6.
• Удаленная переадресация портов. Удаленная переадресация портов разрешена для клиентов, которые делают разовые платежи, но не разрешена для счетов с подписным способом оплаты. Это сделано для того, чтобы Mullvad не смог идентифицировать вас на основании использования вами портов и сохраненной информации о подписке. Более подробную информацию смотрите в разделе "Перенаправление портов" в Mullvad VPN.
• Мобильные клиенты. Mullvad опубликовал клиенты в App Store и Google Play, оба поддерживают простой в использовании интерфейс, не требуют ручной настройки соединения WireGuard. Клиент для Android также доступен на GitHub.
• Дополнительная функциональность. Компания Mullvad прозрачна в отношении того, какими узлами она владеет или арендует. Они используют ShadowSocks в своей конфигурации ShadowSocks + OpenVPN, что делает их более устойчивыми к фаерволам с Deep Packet Inspection, пытающимся блокировать VPN. Сайт Mullvad также доступен через Tor по адресу o54hon2e2vj6c7m3aqqu6uyece65by3vgoxxhlqlsvkmacw6a7m7kiad.onion.

Proton VPN​

Proton VPN. Работает с 2016 года. Proton AG базируется в Швейцарии и предлагает ограниченный бесплатный уровень, а также более функциональный премиум вариант.

Достоинства

• 67 локаций. Proton VPN имеет серверы в 67 странах (16.09.23).
• Независимый аудит. По состоянию на январь 2020 года Proton VPN прошел независимый аудит SEC Consult. SEC Consult обнаружила несколько уязвимостей среднего и низкого риска в приложениях Proton VPN для Windows, Android и iOS, все из которых были "должным образом исправлены" Proton VPN до публикации отчетов. Ни одна из выявленных проблем не предоставила бы злоумышленнику удаленный доступ к вашему устройству или трафику. Вы можете просмотреть отдельные отчеты по каждой платформе на сайте protonvpn.com. В апреле 2022 года Proton VPN прошел еще один аудит, отчет был подготовлен компанией Securitum. Аттестационное письмо для приложений Proton VPN было предоставлено 9 ноября 2021 года компанией Securitum.
• Клиенты с открытым исходным кодом. Proton VPN предоставляет исходный код для своих настольных и мобильных клиентов в своем репозитории на GitHub.
• Принимает наличные. Proton VPN, помимо приема кредитных/дебетовых карт, PayPal и Bitcoin, также принимает наличные/местную валюту в качестве анонимной формы оплаты.
• Поддержка WireGuard. Proton VPN в основном поддерживает протокол WireGuard. Proton VPN рекомендует использовать WireGuard со своим сервисом. В приложениях Proton VPN для Windows, macOS, iOS, Android, ChromeOS и Android TV, WireGuard является протоколом по умолчанию. В приложении для Linux поддержка этого протокола отсутствует.
• Удаленная переадресация портов. Proton VPN в настоящее время поддерживает удаленную переадресацию портов только в Windows, что может повлиять на некоторые приложения. Особенно это касается приложений Peer-to-peer, таких как Torrent-клиенты.
• Мобильные клиенты. Помимо предоставления стандартных файлов конфигурации OpenVPN, Proton VPN имеет мобильные клиенты для App Store, Google Play и GitHub, позволяющие легко подключаться к их серверам.
• Дополнительная функциональность. Клиенты Proton VPN поддерживают двухфакторную аутентификацию на всех платформах, кроме Linux. Proton VPN имеет собственные серверы и ЦОД (центры обработки данных) в Швейцарии, Исландии и Швеции. Они предлагают блокировку рекламы и блокировку известных вредоносных доменов с помощью своего DNS-сервиса. Кроме того, Proton VPN также предлагает "Tor-серверы", позволяющие легко подключаться к onion сайтам. Но лучше использовать для этих целей официальный Tor Browser.

Недостатки

• Функция Killswitch не работает на компьютерах Mac на базе Intel. При использовании VPN killswitch на компьютерах Mac на базе Intel возможны системные сбои. Если вам необходима эта функция, и вы используете Mac с чипсетом Intel, вам следует рассмотреть возможность использования другой службы VPN.

---

Адаптировано Vergil