Что такое VPN? Полное руководство

Виртуальная частная сеть — VPN — это сервис, который направляет интернет-трафик устройства через зашифрованный туннель к серверу провайдера. В этом руководстве объясняется, как работает VPN на техническом уровне, что он может и не может сделать для конфиденциальности и безопасности, а также как оценивать доступные варианты.

Что на самом деле делает VPN

Приложение VPN создаёт сетевой туннель между устройством пользователя и удалённым сервером. Весь интернет-трафик с устройства инкапсулируется, шифруется и отправляется через этот туннель на сервер, который затем пересылает трафик по назначению в публичный интернет. Обратный трафик следует по обратному пути.

Из этой схемы вытекают два практических следствия. Во-первых, сети между устройством и VPN-сервером — включая локальный Wi-Fi, интернет-провайдера и транзитные сети — видят только зашифрованный трафик между устройством и VPN-сервером. Во-вторых, публичный интернет видит запросы, исходящие с IP-адреса VPN-сервера, а не реального адреса устройства.

Таким образом, VPN изменяет то, кто может наблюдать за трафиком и какой адрес виден удалённым сервисам. Сам по себе он не делает соединение анонимным и не устраняет все формы отслеживания.

Как работает VPN

Основной механизм — инкапсуляция в сочетании с шифрованием. Когда VPN-клиент активен, операционная система направляет исходящие пакеты через виртуальный сетевой интерфейс, созданный приложением VPN. Каждый пакет оборачивается в новый пакет — инкапсулируется — и шифруется с использованием сеансового ключа, согласованного при установлении соединения.

Туннелирование

Инкапсуляция означает, что исходный пакет — включая адрес назначения и полезную нагрузку — становится полезной нагрузкой внешнего пакета, адресованного VPN-серверу. Внешний пакет передаётся по публичному интернету на сервер, который расшифровывает полезную нагрузку и пересылает исходный пакет дальше.

Шифрование

Современные VPN-протоколы используют алгоритмы аутентифицированного шифрования, такие как ChaCha20-Poly1305 или AES-GCM. Сеансовые ключи согласовываются при подключении с использованием протоколов обмена ключами на основе криптографии с открытым ключом. Это гарантирует, что наблюдатель посередине соединения не сможет прочитать инкапсулированный трафик или изменить его без обнаружения.

Маршрутизация и DNS

Помимо шифрования, приложение VPN также перенастраивает таблицу маршрутизации операционной системы так, чтобы весь трафик — или, в некоторых конфигурациях, только конкретные направления — передавался через туннель. DNS-запросы также обычно маршрутизируются через VPN, чтобы предотвратить утечки в локальную сеть.

Основные сценарии использования

VPN служит нескольким различным целям, и подходящая конфигурация провайдера зависит от того, какая из них является основной.

• Конфиденциальность в локальных сетях. Публичные Wi-Fi соединения — в кафе, гостиницах, аэропортах — могут раскрывать незашифрованный трафик другим пользователям той же сети. VPN устраняет эту уязвимость, поскольку трафик шифруется ещё до того, как покидает устройство.
• Конфиденциальность от интернет-провайдеров. ISP могут наблюдать за адресами назначения незашифрованных DNS-запросов и метаданными TLS-соединений. VPN перемещает эту видимость от ISP к VPN-провайдеру.
• Выбор географического расположения. Некоторые сервисы ограничивают доступ на основе IP-адреса пользователя. VPN позволяет пользователю казаться подключённым из той страны, где расположен VPN-сервер.
• Сетевой доступ для организаций. Корпоративные VPN используются для предоставления удалённым сотрудникам доступа к частным внутренним сервисам, не открытым для публичного интернета.

Протоколы в современных VPN

Протокол определяет, как устанавливается туннель, какие криптографические алгоритмы используются и как соединение ведёт себя при потере пакетов или смене сети. Наиболее распространённые протоколы в потребительских VPN-сервисах — WireGuard, OpenVPN и IKEv2/IPsec.

WireGuard — самый новый из трёх. Он использует небольшой набор современных криптографических примитивов, занимает примерно четыре тысячи строк кода и интегрирован в ядро Linux, а также в большинство потребительских операционных систем. Его архитектура отдаёт приоритет простоте, производительности и малой поверхности аудита.

OpenVPN старше и значительно гибче: он поддерживает множество наборов шифров, транспортов и параметров конфигурации. Гибкость достигается ценой сложности. OpenVPN по-прежнему широко используется, особенно в корпоративных средах.

IKEv2/IPsec встроен в iOS, macOS и Windows. Он хорошо работает на мобильных устройствах и корректно обрабатывает смену сети — например, переключение между Wi-Fi и мобильным интернетом.

Подробное сравнение двух наиболее распространённых потребительских протоколов доступно в нашем сравнении WireGuard и OpenVPN.

VPN, прокси и Tor

VPN иногда путают с прокси-серверами и сетью Tor. Механизмы и модели угроз у них различаются.

Прокси-сервер перенаправляет трафик конкретного приложения — чаще всего HTTP — к адресу назначения от имени пользователя. Прокси обычно не шифруют трафик самостоятельно и работают на уровне приложений, а не на сетевом уровне.

Tor — это анонимизирующая сеть, которая маршрутизирует трафик через три узла, выбранных из управляемого волонтёрами набора, отдельно шифруя каждый переход. Tor обеспечивает анонимность на уровне сети — ни один узел не может наблюдать одновременно источник и назначение — но работает медленнее VPN и не подходит для задач с высокой пропускной способностью.

VPN обеспечивает шифрование от локальной сети и изменяет наблюдаемый IP-адрес, но перемещает доверие к VPN-провайдеру, который видит реальный адрес пользователя и адреса назначения, к которым тот обращается.

Ограничения, которые нужно понимать

VPN — это один из компонентов более широкой защиты конфиденциальности, и его не следует рассматривать как комплексное решение. Существует ряд важных ограничений.

VPN-провайдер — новая точка доверия. Там, где раньше видимость в соединения имел ISP, теперь эквивалентная видимость есть у VPN-провайдера. Поэтому доверие к политике отсутствия логов провайдера и архитектуре его инфраструктуры становится важным. Наш материал о политиках VPN без логов объясняет, что такие заявления реально означают.

Безопасность конечного устройства не меняется. VPN не защищает от вредоносного программного обеспечения на устройстве, фишинговых атак, скомпрометированных расширений браузера или отслеживания приложениями, которым уже предоставлен доступ к данным пользователя.

Отслеживание на уровне веб-сайтов продолжается. VPN изменяет IP-адрес, видимый удалённым сервисам, но не влияет на файлы cookie, цифровые отпечатки браузера или аккаунты, в которые вошёл пользователь.

Выбор провайдера

При оценке VPN-сервисов стоит рассмотреть несколько факторов.

• Поддержка протоколов. Современные провайдеры должны поддерживать WireGuard или IKEv2/IPsec. OpenVPN остаётся разумным выбором для совместимости.
• Политика конфиденциальности и история аудитов. Краткая, конкретная политика конфиденциальности с результатами независимых аудитов вызывает больше доверия, чем маркетинговые тексты с заявлениями о «шифровании военного уровня» без подробностей.
• Требования к учётной записи. Сервисы, работающие без учётных записей пользователей, хранят меньше данных и сокращают объём информации, которая могла бы быть раскрыта в случае утечки.
• Реализация kill switch. Рабочий kill switch предотвращает утечку трафика при разрыве туннеля. Наш обзор VPN kill switch объясняет, как проверить его корректную работу.
• Юрисдикция. Страна, в которой зарегистрирован провайдер, определяет правовой режим, в котором он работает.

Snap VPN построен вокруг нескольких из этих принципов: единый протокол, отсутствие учётных записей, kill switch включён по умолчанию и тщательно отобранная серверная сеть в трёх регионах, а не десятки малоиспользуемых локаций. Подробные шаги настройки задокументированы в руководстве по настройке на iPhone.