Co to jest VPN? Kompletny przewodnik

Wirtualna sieć prywatna — VPN — to usługa, która kieruje ruch internetowy urządzenia przez szyfrowany tunel do serwera prowadzonego przez dostawcę. Ten przewodnik wyjaśnia, jak VPN działa na poziomie technicznym, co może, a czego nie może zrobić dla prywatności i bezpieczeństwa, oraz jak ocenić dostępne opcje.

Co VPN naprawdę robi

Aplikacja VPN tworzy tunel sieciowy między urządzeniem użytkownika a zdalnym serwerem. Cały ruch internetowy z urządzenia jest kapsułkowany, szyfrowany i wysyłany przez ten tunel do serwera, który następnie przekazuje ruch do jego miejsca docelowego w publicznym internecie. Ruch powrotny podąża tą samą drogą w odwrotnym kierunku.

Z takiego układu wynikają dwie praktyczne zmiany. Po pierwsze, sieci między urządzeniem a serwerem VPN — w tym lokalne Wi-Fi, dostawca internetu i wszelkie sieci tranzytowe — widzą tylko szyfrowany ruch między urządzeniem a serwerem VPN. Po drugie, publiczny internet widzi żądania pochodzące z adresu IP serwera VPN, a nie z prawdziwego adresu urządzenia.

VPN zmienia więc to, kto może obserwować ruch i jaki adres jest widoczny dla zdalnych usług. Sam w sobie nie czyni połączenia anonimowym ani nie eliminuje wszystkich form śledzenia.

Jak działa VPN

Podstawowym mechanizmem jest kapsułkowanie połączone z szyfrowaniem. Gdy klient VPN jest aktywny, system operacyjny kieruje wychodzące pakiety przez wirtualny interfejs sieciowy utworzony przez aplikację VPN. Każdy pakiet jest opakowywany w nowy pakiet — kapsułkowany — i szyfrowany za pomocą klucza sesji uzgodnionego podczas nawiązywania połączenia.

Tunelowanie

Kapsułkowanie oznacza, że oryginalny pakiet — wraz z jego adresem docelowym i zawartością — staje się zawartością zewnętrznego pakietu zaadresowanego do serwera VPN. Zewnętrzny pakiet przemieszcza się przez publiczny internet do serwera, który odszyfrowuje zawartość i przekazuje oryginalny pakiet dalej.

Szyfrowanie

Nowoczesne protokoły VPN używają uwierzytelnionych algorytmów szyfrowania, takich jak ChaCha20-Poly1305 lub AES-GCM. Klucze sesji są uzgadniane w momencie połączenia za pomocą protokołów wymiany kluczy opartych na kryptografii klucza publicznego. Gwarantuje to, że obserwator znajdujący się w środku połączenia nie może odczytać kapsułkowanego ruchu ani zmodyfikować go bez wykrycia.

Routing i DNS

Poza szyfrowaniem aplikacja VPN przekonfigurowuje także tablicę routingu systemu operacyjnego, tak aby cały ruch — lub, w niektórych konfiguracjach, tylko określone miejsca docelowe — był wysyłany przez tunel. Zapytania DNS są zwykle również kierowane przez VPN, aby zapobiec wyciekom do sieci lokalnej.

Typowe zastosowania

VPN-y służą kilku odrębnym celom, a odpowiednia konfiguracja dostawcy zależy od tego, który z nich jest główną motywacją.

• Prywatność przed sieciami lokalnymi. Połączenia przez publiczne Wi-Fi — kawiarnie, hotele, lotniska — mogą wystawić niezaszyfrowany ruch na widok innych użytkowników tej samej sieci. VPN eliminuje to narażenie, ponieważ ruch jest szyfrowany, zanim opuści urządzenie.
• Prywatność przed dostawcami internetu. Dostawca internetu może obserwować miejsca docelowe niezaszyfrowanych zapytań DNS oraz metadane połączeń TLS. VPN przenosi tę widoczność z dostawcy internetu na dostawcę VPN.
• Wybór lokalizacji geograficznej. Niektóre usługi ograniczają dostęp na podstawie adresu IP użytkownika. VPN pozwala użytkownikowi sprawiać wrażenie, że łączy się z kraju, w którym znajduje się serwer VPN.
• Dostęp do sieci dla organizacji. Firmowe VPN-y są używane, aby umożliwić pracownikom zdalnym dotarcie do prywatnych usług wewnętrznych, które nie są udostępnione w publicznym internecie.

Protokoły w nowoczesnych VPN-ach

Protokół określa, jak nawiązywany jest tunel, jakie algorytmy kryptograficzne są używane oraz jak połączenie zachowuje się przy utracie pakietów lub zmianach sieci. Protokoły najczęściej spotykane w konsumenckich usługach VPN to WireGuard, OpenVPN i IKEv2/IPsec.

WireGuard jest najnowszym z tej trójki. Używa małego zestawu nowoczesnych prymitywów kryptograficznych, mieści się w mniej więcej czterech tysiącach linii kodu i jest zintegrowany z jądrem Linuksa oraz większością konsumenckich systemów operacyjnych. Jego projekt stawia na prostotę, wydajność i małą powierzchnię audytu.

OpenVPN jest starszy i znacznie bardziej elastyczny: obsługuje wiele zestawów szyfrów, transportów i opcji konfiguracji. Ta elastyczność odbywa się kosztem złożoności. OpenVPN pozostaje szeroko wdrażany, szczególnie w środowiskach korporacyjnych.

IKEv2/IPsec jest wbudowany w iOS, macOS i Windows. Dobrze sprawdza się na urządzeniach mobilnych i płynnie radzi sobie ze zmianami sieci — na przykład przy przełączaniu między Wi-Fi a siecią komórkową.

Szczegółowe porównanie dwóch najpopularniejszych protokołów konsumenckich znajdziesz w naszym porównaniu WireGuard i OpenVPN.

VPN a proxy i Tor

VPN-y bywają mylone z serwerami proxy oraz z siecią Tor. Mechanizmy i modele zagrożeń są różne.

Serwer proxy przekazuje określony ruch aplikacji — najczęściej HTTP — do miejsca docelowego w imieniu użytkownika. Serwery proxy zwykle same z siebie nie szyfrują ruchu i działają na poziomie aplikacji, a nie na poziomie sieci.

Tor to sieć anonimizująca, która kieruje ruch przez trzy węzły wybrane z zestawu prowadzonego przez wolontariuszy, szyfrując każdy etap osobno. Tor zapewnia anonimowość wobec sieci — żaden pojedynczy węzeł nie może zobaczyć jednocześnie źródła i miejsca docelowego — ale jest wolniejszy niż VPN i nie nadaje się do zadań wymagających wysokiej przepustowości.

VPN zapewnia szyfrowanie wobec sieci lokalnej i zmienia widoczny adres IP, ale przenosi zaufanie na dostawcę VPN, który widzi prawdziwy adres użytkownika oraz miejsca docelowe, do których użytkownik dociera.

Ograniczenia, które warto znać

VPN jest jednym z elementów szerszej postawy w zakresie prywatności i nie powinien być traktowany jako kompletne rozwiązanie. Obowiązuje kilka istotnych ograniczeń.

Dostawca VPN to nowy punkt zaufania. Tam, gdzie wcześniej dostawca internetu miał wgląd w połączenia, teraz dostawca VPN ma równoważny wgląd. Wiarygodność polityki braku logów oraz projektu infrastruktury dostawcy staje się więc istotna. Nasz przewodnik po politykach VPN bez logów wyjaśnia, co takie deklaracje naprawdę oznaczają.

Bezpieczeństwo urządzenia końcowego się nie zmienia. VPN nie chroni przed złośliwym oprogramowaniem działającym na urządzeniu, atakami phishingowymi, skompromitowanymi rozszerzeniami przeglądarki ani śledzeniem przez aplikacje, którym już przyznano dostęp do danych użytkownika.

Śledzenie na poziomie witryny trwa nadal. VPN zmienia adres IP widoczny dla zdalnych usług, ale nie wpływa na pliki cookie, odciski palca przeglądarki ani konta, do których użytkownik jest zalogowany.

Wybór dostawcy

Przy ocenie usług VPN warto przyjrzeć się kilku czynnikom.

• Obsługa protokołów. Nowocześni dostawcy powinni obsługiwać WireGuard lub IKEv2/IPsec. OpenVPN pozostaje rozsądnym wyborem ze względu na zgodność.
• Polityka prywatności i historia audytów.Krótka, konkretna polityka prywatności z wynikami niezależnych audytów jest bardziej wiarygodna niż treści marketingowe deklarujące „szyfrowanie klasy wojskowej” bez dalszych szczegółów.
• Wymagania dotyczące konta. Usługi, które działają bez kont użytkowników, przechowują mniej danych i zmniejszają ilość informacji, które mogłyby zostać ujawnione w razie naruszenia.
• Implementacja wyłącznika awaryjnego. Działający wyłącznik awaryjny zapobiega narażeniu ruchu, jeśli tunel zostanie rozłączony. Nasz przegląd wyłączników awaryjnych VPN wyjaśnia, jak sprawdzić, czy działa poprawnie.
• Jurysdykcja. Kraj, w którym dostawca jest zarejestrowany, wpływa na reżim prawny, w ramach którego działa.

Snap VPN jest zbudowany wokół kilku z tych zasad: jeden protokół, brak kont użytkowników, wyłącznik awaryjny włączony domyślnie oraz starannie dobrana sieć serwerów w trzech regionach zamiast dziesiątek rzadko używanych lokalizacji. Szczegółowe kroki konfiguracji opisano w przewodniku konfiguracji na iPhone.