راهنماها·۲۲ اردیبهشت ۱۴۰۵·9 دقیقه مطالعه

VPN چیست؟ راهنمای کامل

زبان: English العربية Deutsch Español Français हिन्दी Bahasa Indonesia Italiano 日本語 한국어 Polski Português Русский ไทย Türkçe Українська Tiếng Việt 简体中文繁體中文

شبکه خصوصی مجازی — VPN — سرویسی است که ترافیک اینترنتی دستگاه را از طریق یک تونل رمزگذاری‌شده به سروری که توسط ارائه‌دهنده اداره می‌شود هدایت می‌کند. این راهنما توضیح می‌دهد که VPN در سطح فنی چگونه کار می‌کند، چه چیزهایی را می‌تواند و نمی‌تواند برای حریم خصوصی و امنیت انجام دهد، و چگونه می‌توان گزینه‌های موجود را ارزیابی کرد.

VPN واقعاً چه کاری انجام می‌دهد

یک برنامه VPN یک تونل شبکه‌ای بین دستگاه کاربر و یک سرور راه دور ایجاد می‌کند. تمام ترافیک اینترنتی دستگاه در این تونل کپسوله و رمزگذاری شده و به سرور ارسال می‌شود، که سپس ترافیک را به مقصد خود در اینترنت عمومی هدایت می‌کند. ترافیک برگشتی همین مسیر را به صورت معکوس طی می‌کند.

دو تغییر عملی از این ترتیب ناشی می‌شود. اول، شبکه‌های بین دستگاه و سرور VPN — از جمله Wi-Fi محلی، ارائه‌دهنده خدمات اینترنت، و هر شبکه ترانزیتی — فقط ترافیک رمزگذاری‌شده بین دستگاه و سرور VPN را مشاهده می‌کنند. دوم، اینترنت عمومی درخواست‌ها را از آدرس IP سرور VPN می‌بیند، نه از آدرس واقعی دستگاه.

بنابراین، VPN تغییر می‌دهد که چه کسی می‌تواند ترافیک را مشاهده کند و چه آدرسی برای سرویس‌های راه دور قابل مشاهده است. این به خودی خود یک اتصال را ناشناس نمی‌کند و همه اشکال ردیابی را حذف نمی‌کند.

نحوه عملکرد VPN

مکانیزم اصلی کپسوله‌سازی همراه با رمزگذاری است. هنگامی که کلاینت VPN فعال است، سیستم‌عامل بسته‌های خروجی را از طریق یک رابط شبکه مجازی که توسط برنامه VPN ایجاد شده هدایت می‌کند. هر بسته داخل یک بسته جدید پیچیده — کپسوله — و با استفاده از یک کلید جلسه که هنگام برقراری اتصال مذاکره شده رمزگذاری می‌شود.

تونل‌سازی

کپسوله‌سازی به این معنی است که بسته اصلی — شامل آدرس مقصد و محتوای آن — به محتوای یک بسته بیرونی تبدیل می‌شود که به سرور VPN آدرس‌دهی شده است. بسته بیرونی از طریق اینترنت عمومی به سرور می‌رود، که محتوا را رمزگشایی کرده و بسته اصلی را به جلو ارسال می‌کند.

رمزگذاری

پروتکل‌های VPN مدرن از الگوریتم‌های رمزگذاری احراز هویت‌شده مانند ChaCha20-Poly1305 یا AES-GCM استفاده می‌کنند. کلیدهای جلسه در زمان اتصال با استفاده از پروتکل‌های تبادل کلید مبتنی بر رمزنگاری کلید عمومی مذاکره می‌شوند. این اطمینان می‌دهد که یک ناظر در وسط اتصال نمی‌تواند ترافیک کپسوله‌شده را بخواند یا بدون شناسایی آن را تغییر دهد.

مسیریابی و DNS

فراتر از رمزگذاری، برنامه VPN جدول مسیریابی سیستم‌عامل را نیز مجدداً پیکربندی می‌کند تا همه ترافیک — یا در برخی پیکربندی‌ها، فقط مقصدهای خاص — از طریق تونل ارسال شود. درخواست‌های DNS نیز معمولاً از طریق VPN هدایت می‌شوند تا از نشت به شبکه محلی جلوگیری شود.

موارد رایج استفاده

VPN اهداف متعدد و متمایزی دارد و پیکربندی مناسب ارائه‌دهنده بستگی به این دارد که کدام یک از اینها انگیزه اصلی است.

حریم خصوصی در برابر شبکه‌های محلی. اتصالات Wi-Fi عمومی — کافه‌ها، هتل‌ها، فرودگاه‌ها — می‌توانند ترافیک رمزگذاری نشده را در معرض دید سایر کاربران همان شبکه قرار دهند. یک فیلتر شکن این افشا را از بین می‌برد زیرا ترافیک قبل از خروج از دستگاه رمزگذاری می‌شود.
حریم خصوصی در برابر ارائه‌دهندگان خدمات اینترنت. ISP می‌تواند مقصدهای جستارهای DNS رمزگذاری نشده و متادیتای اتصالات TLS را مشاهده کند. یک VPN این دید را از ISP به ارائه‌دهنده VPN منتقل می‌کند.
انتخاب موقعیت جغرافیایی. برخی سرویس‌ها دسترسی را بر اساس آدرس IP کاربر محدود می‌کنند. دور زدن فیلترینگ با VPN به کاربر این امکان را می‌دهد که به نظر برسد از کشوری که سرور VPN در آن واقع است اتصال برقرار می‌کند.
دسترسی به شبکه برای سازمان‌ها. VPN‌های سازمانی برای دسترسی کارکنان از راه دور به سرویس‌های داخلی خصوصی که در اینترنت عمومی در دسترس نیستند استفاده می‌شوند.

پروتکل‌ها در VPN‌های مدرن

پروتکل تعیین می‌کند که تونل چگونه برقرار می‌شود، از چه الگوریتم‌های رمزنگاری استفاده می‌شود، و اتصال در شرایط از دست دادن بسته یا تغییرات شبکه چگونه رفتار می‌کند. پروتکل‌هایی که بیشترین مواجهه را در سرویس‌های VPN مصرف‌کننده دارند WireGuard، OpenVPN، و IKEv2/IPsec هستند.

WireGuard جدیدترین از این سه است. از مجموعه کوچکی از اولیه‌های رمزنگاری مدرن استفاده می‌کند، در حدود چهار هزار خط کد جا می‌گیرد، و در کرنل Linux و همچنین اکثر سیستم‌عامل‌های مصرف‌کننده یکپارچه شده است. طراحی آن سادگی، عملکرد، و سطح حسابرسی کوچک را ترجیح می‌دهد.

OpenVPN قدیمی‌تر و به مراتب انعطاف‌پذیرتر است: از مجموعه‌های رمز، انتقال‌ها و گزینه‌های پیکربندی متعددی پشتیبانی می‌کند. این انعطاف‌پذیری به قیمت پیچیدگی تمام می‌شود. OpenVPN به‌ویژه در محیط‌های سازمانی به‌طور گسترده‌ای مستقر می‌شود.

IKEv2/IPsec در iOS، macOS، و Windows تعبیه شده است. عملکرد خوبی روی دستگاه‌های موبایل دارد و تغییرات شبکه — برای مثال، جابجایی بین Wi-Fi و سلولی — را به خوبی مدیریت می‌کند.

مقایسه تفصیلی دو پروتکل رایج مصرف‌کننده در مقایسه WireGuard و OpenVPN ما موجود است.

VPN در مقابل پروکسی و Tor

VPN گاهی با پروکسی‌ها و شبکه Tor اشتباه گرفته می‌شود. مکانیزم‌ها و مدل‌های تهدید متفاوتند.

یک سرور پروکسی ترافیک برنامه خاص — معمولاً HTTP — را به مقصدی از طرف کاربر ارسال می‌کند. پروکسی‌ها معمولاً ترافیک را به خودی خود رمزگذاری نمی‌کنند و در سطح برنامه به جای سطح شبکه عمل می‌کنند.

Tor یک شبکه ناشناسی است که ترافیک را از طریق سه رله انتخاب‌شده از مجموعه‌ای با عملکرد داوطلبانه هدایت می‌کند و هر هاپ را جداگانه رمزگذاری می‌کند. Tor در برابر شبکه ناشناسی ارائه می‌دهد — هیچ رله واحدی نمی‌تواند هم مبدأ و هم مقصد را ببیند — اما نسبت به VPN کندتر است و برای وظایف پرسرعت مناسب نیست.

یک VPN در برابر شبکه محلی رمزگذاری ارائه می‌دهد و آدرس IP قابل مشاهده را تغییر می‌دهد، اما اعتماد را به ارائه‌دهنده VPN منتقل می‌کند که آدرس واقعی کاربر و مقصدهایی که کاربر به آنها دسترسی دارد را می‌بیند.

محدودیت‌هایی که باید بدانید

VPN یک جزء از یک وضعیت حریم خصوصی گسترده‌تر است و نباید به عنوان یک راه‌حل کامل در نظر گرفته شود. چندین محدودیت مهم وجود دارد.

ارائه‌دهنده VPN یک نقطه اعتماد جدید است. جایی که قبلاً ISP دید اتصالات را داشت، اکنون ارائه‌دهنده VPN دید معادلی دارد. بنابراین اعتبار سیاست عدم ثبت گزارش و طراحی زیرساخت ارائه‌دهنده اهمیت پیدا می‌کند. راهنمای ما در مورد سیاست‌های VPN بدون ثبت گزارش توضیح می‌دهد که چنین ادعاهایی واقعاً به چه معنایی هستند.

امنیت نقطه پایانی تغییر نمی‌کند. یک VPN در برابر بدافزار در حال اجرا روی دستگاه، حملات فیشینگ، افزونه‌های مرورگر در معرض خطر، یا ردیابی توسط برنامه‌هایی که قبلاً دسترسی به داده‌های کاربر اعطا شده حفاظت نمی‌کند.

ردیابی در سطح وب‌سایت ادامه می‌یابد. یک VPN آدرس IP قابل مشاهده برای سرویس‌های راه دور را تغییر می‌دهد اما کوکی‌ها، اثر انگشت مرورگر، یا حساب‌هایی که کاربر وارد آنها شده را تحت تأثیر قرار نمی‌دهد.

انتخاب یک ارائه‌دهنده

هنگام ارزیابی سرویس‌های VPN، چندین عامل ارزش بررسی دارند.

پشتیبانی از پروتکل. ارائه‌دهندگان مدرن باید از WireGuard یا IKEv2/IPsec پشتیبانی کنند. OpenVPN برای سازگاری گزینه معقولی باقی می‌ماند.
سیاست حریم خصوصی و سابقه حسابرسی. یک سیاست حریم خصوصی کوتاه و مشخص با نتایج حسابرسی مستقل از متن بازاریابی که ادعا می‌کند «رمزگذاری درجه نظامی» بدون جزئیات بیشتر معتبرتر است.
الزامات حساب کاربری. سرویس‌هایی که بدون حساب کاربری فعالیت می‌کنند داده کمتری نگه می‌دارند و حجم اطلاعاتی را که در صورت نقض ممکن است در معرض خطر قرار گیرد کاهش می‌دهند.
پیاده‌سازی کلید قطع. یک کلید قطع کارآمد از افشای ترافیک در صورت قطع تونل جلوگیری می‌کند. بررسی کلی ما از کلیدهای قطع VPN توضیح می‌دهد که چگونه بررسی کنید که آیا یکی به درستی کار می‌کند.
حوزه قضایی. کشوری که ارائه‌دهنده در آن ثبت شده بر رژیم حقوقی که تحت آن فعالیت می‌کند تأثیر می‌گذارد.

Snap VPN بر اساس چندین اصل از این اصول ساخته شده است: یک پروتکل واحد، بدون حساب کاربری، کلید قطع فعال‌شده به‌طور پیش‌فرض، و یک شبکه سرور گزینش‌شده در سه منطقه به جای ده‌ها موقعیت کم‌استفاده. مراحل پیکربندی تفصیلی در راهنمای راه‌اندازی iPhone مستند شده‌اند.

The Snap VPN Team

Editorial