Завантажити
Назад до блогу
Посібники··9 хв читання

Що таке VPN? Повний посібник

Мова: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeTiếng Việt简体中文繁體中文

Віртуальна приватна мережа — VPN — це сервіс, який спрямовує інтернет-трафік пристрою через зашифрований тунель до сервера, яким керує провайдер. Цей посібник пояснює, як VPN працює на технічному рівні, що він може й чого не може зробити для приватності та безпеки, і як оцінювати доступні варіанти.

Що насправді робить VPN

Застосунок VPN створює мережевий тунель між пристроєм користувача та віддаленим сервером. Увесь призначений для інтернету трафік пристрою інкапсулюється, шифрується й надсилається через цей тунель до сервера, який потім перенаправляє трафік до місця призначення в публічному інтернеті. Зворотний трафік проходить тим самим шляхом у зворотному напрямку.

З цього випливають дві практичні зміни. По-перше, мережі між пристроєм і сервером VPN — зокрема локальний Wi-Fi, інтернет-провайдер та будь-які транзитні мережі — бачать лише зашифрований трафік між пристроєм і сервером VPN. По-друге, публічний інтернет бачить запити, що походять з IP-адреси сервера VPN, а не з справжньої адреси пристрою.

Отже, VPN змінює те, хто може спостерігати за трафіком і яка адреса видима для віддалених сервісів. Сам собою він не робить з'єднання анонімним і не усуває всіх форм відстеження.

Як працює VPN

Основний механізм — це інкапсуляція в поєднанні з шифруванням. Коли клієнт VPN активний, операційна система спрямовує вихідні пакети через віртуальний мережевий інтерфейс, створений застосунком VPN. Кожен пакет загортається всередину нового пакета — інкапсулюється — і шифрується за допомогою сеансового ключа, узгодженого під час встановлення з'єднання.

Тунелювання

Інкапсуляція означає, що вихідний пакет — разом з його адресою призначення та вмістом — стає вмістом зовнішнього пакета, адресованого серверу VPN. Зовнішній пакет проходить через публічний інтернет до сервера, який розшифровує вміст і пересилає вихідний пакет далі.

Шифрування

Сучасні протоколи VPN використовують алгоритми автентифікованого шифрування, як-от ChaCha20-Poly1305 або AES-GCM. Сеансові ключі узгоджуються під час підключення за допомогою протоколів обміну ключами, побудованих на криптографії з відкритим ключем. Це гарантує, що спостерігач посередині з'єднання не зможе прочитати інкапсульований трафік або змінити його непомітно.

Маршрутизація та DNS

Окрім шифрування, застосунок VPN також переналаштовує таблицю маршрутизації операційної системи так, щоб увесь трафік — або, в деяких конфігураціях, лише певні призначення — надсилався через тунель. DNS-запити зазвичай теж спрямовуються через VPN, щоб запобігти витокам до локальної мережі.

Поширені сценарії використання

VPN слугують кільком різним цілям, і відповідна конфігурація провайдера залежить від того, яка з них є основною мотивацією.

  • Приватність від локальних мереж. Підключення до публічного Wi-Fi — кав'ярні, готелі, аеропорти — можуть розкривати незашифрований трафік іншим користувачам тієї самої мережі. VPN усуває це розкриття, бо трафік шифрується ще до того, як залишає пристрій.
  • Приватність від інтернет-провайдерів. Інтернет-провайдери можуть бачити призначення незашифрованих DNS-запитів і метадані TLS-з'єднань. VPN переносить цю видимість з інтернет-провайдера на провайдера VPN.
  • Вибір географічного розташування. Деякі сервіси обмежують доступ на основі IP-адреси користувача. VPN дає користувачеві змогу виглядати так, наче він підключається з країни, де розташований сервер VPN.
  • Доступ до мережі для організацій. Корпоративні VPN використовуються, щоб дати віддаленим працівникам доступ до приватних внутрішніх сервісів, які не доступні в публічному інтернеті.

Протоколи в сучасних VPN

Протокол визначає, як встановлюється тунель, які криптографічні алгоритми використовуються та як з'єднання поводиться при втраті пакетів чи зміні мережі. Протоколи, які найчастіше трапляються в споживчих сервісах VPN, — це WireGuard, OpenVPN та IKEv2/IPsec.

WireGuard — найновіший із трьох. Він використовує невеликий набір сучасних криптографічних примітивів, уміщається приблизно в чотири тисячі рядків коду й інтегрований у ядро Linux, а також у більшість споживчих операційних систем. Його дизайн віддає перевагу простоті, продуктивності та малій поверхні для аудиту.

OpenVPN старіший і значно гнучкіший: він підтримує багато наборів шифрів, транспортів і параметрів конфігурації. Ця гнучкість дається ціною складності. OpenVPN досі широко розгорнутий, особливо в корпоративних середовищах.

IKEv2/IPsec вбудований в iOS, macOS і Windows. Він добре працює на мобільних пристроях і коректно опрацьовує зміни мережі — наприклад, перемикання між Wi-Fi і мобільним зв'язком.

Детальне порівняння двох найпоширеніших споживчих протоколів доступне в нашому порівнянні WireGuard і OpenVPN.

VPN проти проксі та Tor

VPN іноді плутають із проксі та з мережею Tor. Механізми й моделі загроз відрізняються.

Проксі-сервер пересилає трафік конкретного застосунку — найчастіше HTTP — до призначення від імені користувача. Проксі зазвичай не шифрують трафік самостійно й працюють на рівні застосунку, а не на рівні мережі.

Tor — це мережа анонімності, яка спрямовує трафік через три вузли, обрані з набору, керованого волонтерами, шифруючи кожен перехід окремо. Tor забезпечує анонімність від мережі — жоден окремий вузол не може бачити одночасно й джерело, й призначення — але він повільніший за VPN і непридатний для завдань з високою пропускною здатністю.

VPN забезпечує шифрування від локальної мережі та змінює видиму IP-адресу, але переносить довіру на провайдера VPN, який бачить справжню адресу користувача та призначення, до яких користувач звертається.

Обмеження, які варто розуміти

VPN — це лише один компонент ширшого підходу до приватності, і його не слід вважати повноцінним рішенням. Діє кілька важливих обмежень.

Провайдер VPN — це нова точка довіри. Там, де раніше інтернет-провайдер мав видимість з'єднань, тепер провайдер VPN має рівнозначну видимість. Тому надійність політики без журналів і дизайну інфраструктури провайдера стає важливою. Наш посібник про політики VPN без журналів пояснює, що насправді означають такі заяви.

Безпека кінцевого пристрою не змінюється. VPN не захищає від зловмисного ПЗ, що працює на пристрої, фішингових атак, скомпрометованих розширень браузера чи відстеження застосунками, яким уже надано доступ до даних користувача.

Відстеження на рівні вебсайтів триває. VPN змінює IP-адресу, видиму для віддалених сервісів, але не впливає на файли cookie, відбитки браузера чи облікові записи, до яких користувач увійшов.

Вибір провайдера

Оцінюючи сервіси VPN, варто розглянути кілька чинників.

  • Підтримка протоколів. Сучасні провайдери мають підтримувати WireGuard або IKEv2/IPsec. OpenVPN залишається розумним вибором для сумісності.
  • Політика приватності та історія аудитів. Коротка, конкретна політика приватності з результатами незалежного аудиту викликає більше довіри, ніж маркетингові тексти про «шифрування військового рівня» без подальших деталей.
  • Вимоги до облікового запису. Сервіси, які працюють без облікових записів користувачів, зберігають менше даних і зменшують обсяг інформації, яка могла б опинитися під загрозою в разі витоку.
  • Реалізація аварійного вимикача. Робочий аварійний вимикач запобігає розкриттю трафіку, якщо тунель розривається. Наш огляд аварійних вимикачів VPN пояснює, як перевірити, що він працює правильно.
  • Юрисдикція. Країна, в якій зареєстровано провайдера, впливає на правовий режим, за яким він працює.

Snap VPN побудований навколо кількох із цих принципів: єдиний протокол, без облікових записів, аварійний вимикач, увімкнений за замовчуванням, і ретельно дібрана мережа серверів у трьох регіонах замість десятків малозавантажених локацій. Детальні кроки налаштування описані в посібнику з налаштування на iPhone.

The Snap VPN Team
Editorial