В 21 веке информационные технологии занимают неотъемлемое место в жизни практически любого человека. Даже 80-летняя бабушка из деревни, не знающая, как включить компьютер, косвенно связанна с ними. Базы данных, банковские счета, учетные записи в мессенджерах — все это требует высокого уровня безопасности. Интернет, разросшийся до глобальных масштабов, как и любой другой механизм, с усложнением конструкции — становится более уязвимым. Чтобы защитить конфиденциальную информацию, была изобретена технология VPN.
VPN подключение (от англ. Virtual Private Network — виртуальная частная сеть) — технология, позволяющая искусственно сформировать локальную сеть из участников сети интернет, не связанных физически прямым соединением. Это — надстройка над глобальной сетью, обеспечивающая между узлами связь, которая со стороны клиента кажется прямой.
Виртуальная сеть VPN работает по принципу установки фиксированного подключения. Связь может устанавливаться напрямую, между двумя узлами одного уровня (по принципу «сеть-сеть» или «клиент-клиент»), или (что более распространено) — между сетью и клиентом. Один из элементов (сервер-инициатор подключения) должен иметь статический (постоянный) адрес IP, по которому его будут находить другие узлы сети. На сервере создается точка доступа в виде шлюза, с доступом в интернет. К ней присоединяются другие участники сети, подключение выполняется в виде изолированного тоннеля.
Для всех узлов коммутации, через которые проходят пакеты данных, информация зашифрована. Она передается в виде неразборчивого потока, перехват которого не даст хакерам ничего. Ключи кодирования-декодирования у многих протоколов (например, OpenVPN) хранятся только на конечных устройствах. А без них злоумышленники не могут сделать с перехваченными данными ничего. Для максимальной безопасности, архив с сертификатами и ключами (без которых не получится поднять защищенный VPN) можно переслать в зашифрованном виде, или вручную передать на флешке. В таком случае вероятность постороннего проникновения в компьютеры сети сводится к нулю.
В сети интернет не имеет значения физическая дистанция между участниками и сложность маршрута, по которому они обмениваются данными. Благодаря IP-адресации и DNS узлам, получить доступ к другому компьютеру во всемирной паутине можно из любого уголка земного шара. Гораздо важнее уровень безопасности соединения, особенно, при обмене конфиденциальной информацией. Чем больше точек коммутации (маршрутизаторов, шлюзов, мостов, узлов) проходят данные — тем выше вероятность их перехвата злоумышленниками. Имея физические параметры ПК или сервера (например, его IP-адрес) — посредством уязвимых методов подключения хакеры могут проникнуть в него, взломав парольную защиту. Именно от таких посягательств призван защитить протокол VPN.
Вторая функция VPN-сетей — открытие доступа к заблокированным ресурсам. Если на территории страны, в том или ином виде, действует цензура интернета (как в Китае) — ее граждане могут быть ограничены в доступе некоторым ресурсам. Выход в сеть через зарубежные сервера VPN позволяет избежать угрозы репрессий представителям оппозиционных сил в тоталитарных странах. Гос. органы, препятствующие свободе слова (как в Китае или КНДР), не смогут предъявить обвинений в просмотре «идеологически вредных» ресурсов, даже если провайдеры предоставят им бэкап всех перехваченных данных.
Некоторые онлайн-сервисы могут блокировать доступ клиентам из стран и регионов, где они официально не представлены. Такое иногда делают онлайн-игры, международные платежные системы, торговые площадки, интернет-магазины, системы онлайн-дистрибьюции цифрового контента (музыки, фильмов, игр). VPN-сервер, базирующийся в стране, где доступ открыт, снимает такие ограничения и позволяет совершать покупки.
Еще одна причина, зачем нужно VPN подключение частным клиентам — удаленное администрирование. Если хочется максимально защитить сервер от посторонних вмешательств, можно создать «белый список» IP-адресов, имеющих доступ к нему. Когда один из них (адресов) принадлежит частному VPN-серверу — к администрируемому серверу можно безопасно подключиться из любой точки мира, используя шифрованную связь. Объект администрирования будет считать, что к нему подключились с разрешенного терминала, а администратор может не беспокоиться о риске взлома.
Протоколы VPN пользуются спросом в коммерческих структурах, работающих с деньгами и экономической тайной. Виртуальная защищенная сеть не дает хакерам взломать счета или выведать промышленные секреты и технологии. Сотрудники, которым по долгу службы необходимо поучить доступ к сетевым ресурсам компании из дому или в командировке, через VPN могут организовать подключение, не подвергая корпоративную сеть угрозе взлома.
Первое, что приходит в голову при упоминании VPN, - это анонимность и защищенность передаваемых данных. Так ли это на самом деле? Давай разберемся.
Когда необходимо получить доступ к корпоративной сети, безопасно передать важную информацию по открытым каналам связи, скрыть свой трафик от бдительного взора провайдера, скрыть свое реальное местоположение при проведении каких-либо не совсем законных (или совсем не законных) действий, обычно прибегают к использованию VPN. Но стоит ли слепо полагаться на VPN, ставя на кон безопасность своих данных и собственную безопасность? Однозначно - нет. Почему? Давай разбираться.
Виртуальная частная сеть, или просто VPN, - обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети, например интернета. Несмотря на то что коммуникации могут быть реализованы через публичные сети с неизвестным уровнем доверия, уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений). Как видишь, в теории все радужно и безоблачно, на практике же все несколько иначе. В этой статье мы рассмотрим два основных момента, которые обязательно нужно принимать во внимание, пользуясь VPN.
Первая проблема, связанная с виртуальными частными сетями, - это утечка трафика. То есть тот трафик, который должен быть передан через VPN-соединение в зашифрованном виде, попадает в сеть в открытом виде. Данный сценарий не является следствием ошибки в VPN-сервере или клиенте. Здесь все гораздо интереснее. Самый простой вариант - внезапный разрыв VPN-соединения. Ты решил просканировать хост или подсеть с помощью Nmap, запустил сканер, отошел на несколько минут от монитора, и тут VPN-соединение внезапно отвалилось. Но сканер при этом продолжает работать. И сканирование идет уже с твоего адреса. Вот такая неприятная ситуация. Но есть сценарии и интересней. Например, утечка VPN-трафика широко распространена в сетях (на хостах), поддерживающих обе версии протокола IP (так называемые dual-stacked сети/хосты).
Сосуществование двух протоколов - IPv4 и IPv6 - имеет множество интересных и тонких аспектов, которые могут приводить к неожиданным последствиям. Несмотря на то что шестая версия протокола IP не имеет обратной совместимости с четвертой версией, обе эти версии как бы «склеены» вместе системой доменных имен (DNS). Чтобы было понятней, о чем идет речь, давай рассмотрим простенький пример. Например, возьмем сайт (скажем, www.example.com), который имеет поддержку IPv4 и IPv6. Соответствующее ему доменное имя (www.example.com в нашем случае) будет содержать DNS-записи обоих типов: А и АААА. Каждая А-запись содержит один IPv4-адрес, а каждая АААА-запись содержит один IPv6-адрес. Причем для одного доменного имени может быть по несколько записей обоих типов. Таким образом, когда приложение, поддерживающее оба протокола, захочет взаимодействовать с сайтом, оно может запросить любой из доступных адресов. Предпочитаемое семейство адресов (IPv4 или IPv6) и конечный адрес, который будет использоваться приложением (учитывая, что их существует несколько для четвертой и шестой версий), будет отличаться от одной реализации протокола к другой.
Это сосуществование протоколов означает, что, когда клиент, поддерживающий оба стека, собирается взаимодействовать с другой системой, наличие А- и АААА-записей будет оказывать влияние на то, какой протокол будет использоваться для связи с этой системой.
Многие реализации VPN не поддерживают или, что еще хуже, полностью игнорируют протокол IPv6. При установке соединения программное обеспечение VPN берет на себя заботу по транспортировке IPv4-трафика - добавляет дефолтный маршрут для IPv4-пакетов, обеспечивая тем самым, чтобы весь IPv4-трафик отправлялся через VPN-соединение (вместо того чтобы он отправлялся в открытом виде через локальный роутер). Однако, если IPv6 не поддерживается (или полностью игнорируется), каждый пакет, в заголовке которого указан IPv6-адрес получателя, будет отправлен в открытом виде через локальный IPv6-роутер.
Основная причина проблемы кроется в том, что, хотя IPv4 и IPv6 - два разных протокола, несовместимых друг с другом, они тесно используются в системе доменных имен. Таким образом, для системы, поддерживающей оба стека протоколов, невозможно обеспечить безопасность соединения с другой системой, не обеспечив безопасность обоих протоколов (IPv6 и IPv4).
Рассмотрим хост, который поддерживает оба стека протоколов, использует VPN-клиент (работающий только с IPv4-трафиком) для подключения к VPN-серверу и подключен к dual-stacked сети. Если какому-то приложению на хосте нужно взаимодействовать с dual-stacked узлом, клиент обычно запрашивает и А-, и АААА-DNS-записи. Так как хост поддерживает оба протокола, а удаленный узел будет иметь оба типа DNS-записей (А и АААА), то одним из вероятных вариантов развития событий будет использование для связи между ними IPv6-протокола. А так как VPN-клиент не поддерживает шестую версию протокола, то IPv6-трафик не будет отправляться через VPN-соединение, а будет отправляться в открытом виде через локальную сеть.
Такой вариант развития событий подвергает угрозе передаваемые в открытом виде ценные данные, в то время как мы думаем, что они безопасно передаются через VPN-соединение. В данном конкретном случае утечка VPN-трафика является побочным эффектом использования ПО, не поддерживающего IPv6, в сети (и на хосте), поддерживающей(ем) оба протокола.
Атакующий может преднамеренно вызвать подключение по протоколу IPv6 на компьютере жертвы, посылая поддельные ICMPv6 Router Advertisement сообщения. Подобные пакеты можно рассылать при помощи таких утилит, как rtadvd , SI6 Networks’ IPv6 Toolkit или THC-IPv6 . Как только соединение по протоколу IPv6 установлено, «общение» с системой, поддерживающей оба стека протоколов, может вылиться, как рассмотрено выше, в утечку VPN-трафика.
И хотя данная атака может быть достаточно плодотворной (из-за растущего числа сайтов, поддерживающих IPv6), она приведет к утечке трафика, только когда получатель поддерживает обе версии протокола IP. Однако для злоумышленника не составит труда вызвать утечки трафика и для любого получателя (dual-stacked или нет). Рассылая поддельные Router Advertisement сообщения, содержащие соответствующую RDNSS-опцию, атакующий может прикинуться локальным рекурсивным DNS-сервером, затем провести DNS-спуфинг, чтобы осуществить атаку man-in-the-middle и перехватить соответствующий трафик. Как и в предыдущем случае, такие инструменты, как SI6-Toolkit и THC-IPv6, могут легко провернуть такой трюк.
Совсем не дело, если трафик, не предназначенный для чужих глаз, попадет в открытом виде в сеть. Как же обезопаситься в таких ситуациях? Вот несколько полезных рецептов:
- если IPv6 VPN-клиентом не поддерживается - отключить поддержку шестой версии протокола IP на всех сетевых интерфейсах. Таким образом, у приложений, запущенных на компьютере, не будет другого выбора, как использовать IPv4;
- если IPv6 поддерживается - убедиться, что весь IPv6-трафик также отправляется через VPN.
- воспользоваться утилитой VPNetMon , которая отслеживает состояние VPN-соединения и, как только оно пропадает, мгновенно завершает указанные пользователем приложения (например, торрент-клиенты, веб-браузеры, сканеры);
- или утилитой VPNCheck , которая в зависимости от выбора пользователя может либо полностью отключить сетевую карту, либо просто завершить указанные приложения.
Даже если ты все настроил правильно и твой VPN-трафик не утекает в сеть в открытом виде - это еще не повод расслабляться. Все дело в том, что если кто-то перехватит зашифрованные данные, передаваемые через VPN-соединение, то он сможет их расшифровать. Причем на это никак не влияет, сложный у тебя пароль или простой. Если ты используешь VPN-соединение на базе протокола PPTP, то со стопроцентной уверенностью можно сказать, что весь перехваченный зашифрованный трафик можно расшифровать.
При VPN-соединениях на базе протокола PPTP (Point-to-Point Tunneling Protocol) аутентификация пользователей проводится по протоколу MS-CHAPv2, разработанному компанией Microsoft. Несмотря на то что MS-CHAPv2 устарел и очень часто становится предметом критики, его продолжают активно использовать. Чтобы окончательно отправить его на свалку истории, за дело взялся известный исследователь Мокси Марлинспайк, который на двадцатой конференции DEF CON отчитался, что поставленная цель достигнута - протокол взломан. Надо сказать, что безопасностью этого протокола озадачивались и ранее, но столь долгое использование MS-CHAPv2, возможно, связано с тем, что многие исследователи концентрировались только на его уязвимости к атакам по словарю. Ограниченность исследований и широкое число поддерживаемых клиентов, встроенная поддержка операционными системами - все это обеспечило протоколу MS-CHAPv2 широкое распространение. Для нас же проблема кроется в том, что MS-CHAPv2 применяется в протоколе PPTP, который используется многими VPN-сервисами (например, такими крупными, как анонимный VPN-сервис IPredator и The Pirate Bay’s VPN).
Если обратиться к истории, то уже в 1999 году в своем исследовании протокола PPTP Брюс Шнайер указал, что «Microsoft улучшил PPTP, исправив основные изъяны безопасности. Однако фундаментальная слабость аутентификации и шифрования протокола в том, что он безопасен настолько, насколько безопасен выбранный пользователем пароль». Это почему-то заставило провайдеров поверить, что ничего страшного в PPTP нет и если требовать от пользователя придумывать сложные пароли, то передаваемые данные будут в безопасности. Сервис Riseup.net настолько проникся этой идеей, что решил самостоятельно генерировать для пользователей пароли длиной в 21 символ, не давая им возможности установить свои. Но даже такая жесткая мера не спасает от расшифровки трафика. Чтобы понять почему, давай поближе познакомимся с протоколом MS-CHAPv2 и посмотрим, как же Мокси Марлинспайк сумел его взломать.
Как уже было сказано, MSCHAPv2 применяется для аутентификации пользователей. Происходит она в несколько этапов:
На первый взгляд протокол кажется излишне сложным - куча хешей, шифрование, случайные challenge. На самом деле все не так уж и сложно. Если присмотреться внимательней, то можно заметить, что во всем протоколе остается неизвестной только одна вещь - MD4-хеш пароля пользователя, на основании которого строятся три DES-ключа. Остальные же параметры либо передаются в открытом виде, либо могут быть получены из того, что передается в открытом виде.
Так как почти все параметры известны, то мы можем их не рассматривать, а остановить свое пристальное внимание на том, что неизвестно, и выяснить, что это нам дает.
Итак, что мы имеем: неизвестный пароль, неизвестный MD4-хеш этого пароля, известный открытый текст и известный шифртекст. При более детальном рассмотрении можно заметить, что пароль пользователя нам не важен, а важен его хеш, так как на сервере проверяется именно он. Таким образом, для успешной аутентификации от имени пользователя, а также для расшифровки его трафика нам необходимо знать всего лишь хеш его пароля.
Имея на руках перехваченный трафик, можно попробовать его расшифровать. Есть несколько инструментов (например, asleap), которые позволяют подобрать пароль пользователя через атаку по словарю. Недостаток этих инструментов в том, что они не дают стопроцентной гарантии результата, а успех напрямую зависит от выбранного словаря. Подбирать же пароль простым брутфорсом тоже не очень эффективно - например, в случае с PPTP VPN сервисом riseup.net, который принудительно устанавливает пароли длиной в 21 символ, придется перебирать 96 вариантов символа для каждого из 21 символов. Это в результате дает 96^21 вариантов, что чуть больше, чем 2^138. Иными словами, надо подобрать 138-битный ключ. В ситуации же, когда длина пароля неизвестна, имеет смысл подбирать MD4-хеш пароля. Учитывая, что его длина равна 128 бит, получаем 2^128 вариантов - на данный момент это просто нереально вычислить.
MD4-хеш пароля используется в качестве входных данных для трех DES-операций. DES-ключи имеют длину 7 байт, так что каждая DES-операция использует 7-байтовый фрагмент MD4-хеша. Все это оставляет возможность для классической атаки divide and conquer. Вместо того чтобы полностью брутить MD4-хеш (а это, как ты помнишь, 2^128 вариантов), мы можем подбирать его по частям в 7 байт. Так как используются три DES-операции и каждая DES-операция абсолютно независима от других, это дает общую сложность подбора, равную 2^56 + 2^56 + 2^56, или 2^57.59. Это уже значительно лучше, чем 2^138 и 2^128, но все еще слишком большое число вариантов. Хотя, как ты мог заметить, в эти вычисления закралась ошибка. В алгоритме используются три DES-ключа, каждый размером в 7 байт, то есть всего 21 байт. Эти ключи берутся из MD4-хеша пароля, длина которого всего 16 байт.
То есть не хватает 5 байт для построения третьего DES-ключа. В Microsoft решили эту задачу просто, тупо заполнив недостающие байты нулями и фактически сведя эффективность третьего ключа к двум байтам.
Так как третий ключ имеет эффективную длину всего лишь два байта, то есть 2^16 вариантов, его подбор занимает считаные секунды, доказывая эффективность атаки divide and conquer. Итак, можно считать, что последние два байта хеша известны, остается подобрать оставшиеся 14. Также разделив их на две части по 7 байт, имеем общее число вариантов для перебора, равное 2^56 + 2^56 = 2^57. Все еще слишком много, но уже значительно лучше. Обрати внимание, что оставшиеся DES-операции шифруют один и тот же текст, только при помощи разных ключей. Можно записать алгоритм перебора следующим образом:
Но так как текст шифруется один и тот же, то правильнее сделать вот так:
То есть получается 2^56 вариантов ключей для перебора. А это значит, что безопасность MS-CHAPv2 может быть сведена к стойкости одного DES-шифрования.
Теперь, когда диапазон подбора ключа известен, для успешного завершения атаки дело остается только за вычислительными мощностями. В 1998 году Electronic Frontier Foundation построила машину Deep Crack, которая стоила 250 тысяч долларов и позволяла взламывать DES-ключ в среднем за четыре с половиной дня. В настоящее время Pico Computing, специализирующаяся на построении FPGA-оборудования для криптографических приложений, построила FPGA-устройство (DES cracking box), которое реализует DES как конвейер с одной DES-операцией на каждый тактовый цикл. Обладая 40 ядрами по 450 МГц, оно позволяет перебирать 18 миллиардов ключей в секунду. Обладая такой скоростью перебора, DES cracking box в худшем случае взламывает ключ DES за 23 часа, а в среднем за полдня. Данная чудо-машина доступна через коммерческий веб-сервис loudcracker.com . Так что теперь можно взломать любой MS-CHAPv2 handshake меньше, чем за день. А имея на руках хеш пароля, можно аутентифицироваться от имени этого пользователя на VPN-сервисе или просто расшифровывать его трафик.
Для автоматизации работы с сервисом и обработки перехваченного трафика Мокси выложил в открытый доступ утилиту chapcrack. Она парсит перехваченный сетевой трафик, ища MS-CHAPv2 handshake’и. Для каждого найденного «рукопожатия» она выводит имя пользователя, известный открытый текст, два известных шифртекста и взламывает третий DES-ключ. Кроме этого, она генерирует токен для CloudCracker, в котором закодированы три параметра, необходимые, чтобы сервис взломал оставшиеся ключи.
На случай, если тебе понадобится взломать DES-ключи из перехваченного пользовательского трафика, приведу небольшую пошаговую инструкцию.
К небольшому сожалению, сервис CloudCracker платный. К счастью, за взлом ключиков придется отдать не так уж много - всего 20 баксов.
Хоть Microsoft и пишет на своем сайте, что на данный момент не располагает сведениями об активных атаках с использованием chapcrack, а также о последствиях таких атак для пользовательских систем, но это еще не значит, что все в порядке. Мокси рекомендует всем пользователям и провайдерам PPTP VPN решений начинать миграцию на другой VPN-протокол. А PPTP-трафик считать незашифрованным. Как видишь, налицо еще одна ситуация, когда VPN может нас серьезно подвести.
Так сложилось, что VPN ассоциируется с анонимностью и безопасностью. Люди прибегают к использованию VPN, когда хотят скрыть свой трафик от бдительных глаз провайдера, подменить свое реальное географическое положение и так далее. На деле получается, что трафик может «протечь» в сеть в открытом виде, а если и не в открытом, то зашифрованный трафик могут достаточно быстро расшифровать. Все это еще раз напоминает, что нельзя слепо полагаться на громкие обещания полной безопасности и анонимности. Как говорится, доверяй, но проверяй. Так что будь начеку и следи за тем, чтобы твое VPN-соединение было по-настоящему безопасным и анонимным.
Давайте немного познакомимся с VPN, выясним основные вопросы и используем эти три буковки на наше благо.
Смотрите, как проходит информация между межу моим ноутбуком и смартфоном, который лежит рядом с ним, так называемая трассировка маршрута. И всегда есть слабое звено, где данные могут перехватить.
Для организации сетей внутри сетей и их защиты. Поймём, что VPN — это хорошо. Почему? Потому что ваши данные ваши будут в большей безопасности. Мы строим безопасную сеть поверх сети Интернет или другой сети. Это как броневик для перевозки денег по улице из банка в другой банк. Можно отправлять деньги на обычной машине, а можно в броневике. На любой дороге деньги в броневике сохраннее. Образно VPN и есть броневик для вашей информации. А VPN сервер — агенство по предоставлению броневиков. Короче, VPN — это хорошо .
По обеспечению безопасности данных:
Используйте виртуальную частную сеть (VPN-соединение)
С помощью VPN-соединения при подключении к общедоступной Wi-Fi-сети можно эффективно использовать технологии шифрования данных, проходящих через сеть. Это может помешать киберпреступникам, отслеживающим сеть, перехватить ваши данные.
Всё ещё не убедил? Вот, например, заголовок одного из тендеров:
Оказание услуг по предоставлению каналов связи по технологии VPN для организации передачи данных между подразделениями Управления МВД России по г.Казани
Полиция заботится о своей безопасности, этим озабочены и требуют наличие таких каналов госкомпании и корпорации, а чем мы хуже? Мы даже лучше, потому что не будем расходовать бюджетных средств, а настроим все быстро, просто и бесплатно.
Итак, поехали. Защищаем аккаунты, пароли с помощью VPN при использовании открытых сетей Wi-Fi. Как правило, это самое слабое звено. Разумеется, спецслужбы всего мира, преступные группировки могут позволить себе оборудование, которое подменяет собой и перехватывает трафик не только сетей Wi-Fi, но и спутниковых и мобильных сетей связи. Это уже другой уровень и за рамки данного поста выходит. 
Лучший вариант, когда у вас есть свой VPN сервер. Если нет, то приходится надеяться на честность тех, кто вам предоставляет эти услуги. Итак, есть платные версии VPN и бесплатные. Пройдёмся по вторым. Да, VPN сервер можно настроить на домашнем компьютере, но и об этом в отдельном посте.
Рассмотрим Бесплатный VPN для Андроид на примере Opera VPN — Безлимитный VPN.
Скачиваем бесплатный клиент VPN. Настройки минимальны и сводятся к включению VPN, выбору страны, по умолчанию — близлежащая, блоку тестирования сети. Ещё есть настройки поддержания VPN во включенном состоянии.
После установки приложения в меню настроек Андроида появляется пункт VPN. Этот переключатель вызывает главный экран Opera VPN (если у вас только один способ подключения VPN).
Для контроля отключения и включения VPN можете разрешить значки приложения в настройках Андроида.
Настройки->Уведомления и строка состояния ->Уведомления приложений-> Opera VPN
Будьте готовы к тому, что некоторые приложения в режиме связи по VPN туннелю попросят подтвердить ваш статус. Так, приложение ВКонтакте при включенном VPN запросит ваш номер телефона, так как посчитает, что в ваш аккаунт, в который вы обычно входите из Москвы, пытается войти злоумышленник из Германии или Нидерландов. Введите номер и продолжайте пользоваться.
Вот самый простой способ использовать VPN на вашем Андроид устройстве. Ещё можно настроить виртуальную частную сеть на основе вашего роутера и подключаться к вашему домашнему компьютеру из любой точки мира по защищённому каналу, свободно обмениваясь приватными данными. Но об этом, более сложном способе, как и о настройках платных приложений и сервисов я расскажу в других постах.
В рамках данной статьи, я расскажу вам что такое VPN и зачем он нужен .
Если раньше интернет в большей степени использовался только для того, чтобы открыть какой-нибудь сайт, узнать полезную информацию и возможно даже оставить комментарий, то сегодня, в принципе, ничего не изменилось. Люди все так же открывают браузер, чтобы почитать интересное и нужное. Тем не менее, отличие все же есть.
Оно заключается в обилии личной и важной информации, проходящей через интернет. Поэтому было придумано немало технологий для их защиты. Одной из них является VPN, речь о которой и пойдет дальше.
Примечание : Статья написана простыми словами и не содержит многих технических аспектов, так как предназначена для первичного ознакомления.
VPN (Virtual Private Network) - это подход, позволяющий организовать частную сеть поверх основной сети. Простыми словами, например, создать общую частную сеть из компьютеров, расположенных в разных точках мира. Более жизненный пример - возможность из любого места с ноутбука управлять компьютером у себя дома так, как будто вы никуда и не выходили.
Стоит отметить, что чаще всего речь идет о защищенном соединении, так как по большей части использование VPN подразумевает передачу данных через интернет. Продолжая приведенный ранее пример, чтобы подключившись с ноутбука через публичную WiFi сеть к своему компьютеру с целью скачать важные документы или же просто посмотреть альбомы с фотографиями, злоумышленники не смогли их увидеть.
Однако, VPN может применяться и весьма специфическим образом. Например, как я уже рассказывал в статье как обойти блокировку сайтов , создается шифрованное соединение с неким удаленным VPN-сервером и уже этот сервер отправляет запросы к веб-сайтам. В таком случае, ваш IP-адрес и прочие технические моменты остаются скрытыми от сайта.
Еще одним важным моментом является то, что, при использовании защищенного VPN, трафик будет шифрованным даже для провайдера.
Прежде всего стоит знать, что существует три типа соединения:
1. Узел-узел . Это соединение между двумя отдельными компьютерами (узлами) через защищенный VPN.
2. Узел-сеть . В данном случае речь идет о том, что с одной стороны есть один компьютер, а с другой стороны некая локальная сеть.
3. Сеть-сеть . Это объединение двух локальных сетей в одну.
Если вы обычный пользователь, не знающий ничего о сети, то может казаться, что эти типы существенно отличаются. Конечно, технические нюансы есть, но для простого понимания, все эти сети можно сводить к одной "Узел-узел". Дело в том, что для случая сети, просто компьютер или роутер , через который предоставляется доступ в интернет, так же организует и осуществляет связь через VPN. То есть, компьютеры внутри сети могут даже и не знать о наличии какого-либо VPN.
Теперь, рассмотрим как все происходит при использовании VPN (обобщенно):
1. На компьютерах устанавливаются и настраиваются специальные программы для создания VPN туннеля (простыми словами VPN соединения). Если же это роутер, то многие специализированные модели исходно поддерживают подобные соединения.
Примечание : Стоит знать, что программы бывают трех видов "клиент" (только подключение к другим компьютерам), "сервер" (осуществляет и организует доступ для VPN-клиентов) и "смешанный" (может как создавать подключения, так и принимать их).
2. Когда компьютер хочет обратиться к другому компьютеру, он обращается к VPN-серверу для установления шифрованного туннеля. В рамках данного шага, клиент и сервер обмениваются ключами (в шифрованном виде), если таковое нужно.
4. VPN-сервер дешифрует исходные данные и действует уже исходя из них.
5. Сервер так же шифрует свой ответ и передает его клиенту.
6. Клиент расшифровывает ответ.
Как видите, основная идея VPN весьма проста - обменялись ключами, а далее клиент и сервер передают друг другу шифрованные сообщения. Однако, она дает огромный плюс. Кроме IP-адреса клиента и сервера VPN, все данные передаются в закрытом виде, то есть обеспечивается безопасность передачи личной и важной информации.
VPN обычно используется для следующих двух целей:
1. Безопасная передача данных в интернете . Данные исходно передаются в шифрованном виде, поэтому даже если злоумышленник сможет их перехватить, он ничего не сможет с ними сделать. Хорошо известный пример это HTTPS с SSL или TLS для обращения к сайтам. В этом случае между сайтом и открывшим его компьютером устанавливается защищенный VPN-туннель, поэтому в момент передачи данные находятся в безопасности.
Примечание : HTTPS подразумевает, что данные шифруются с SSL или TLS, а затем отсылаются стандартным образом, как и при HTTP.
2. Объединение компьютеров из разных точек мира в одну сеть . Согласитесь, что может быть весьма полезно в любой момент иметь доступ к компьютерам, находящимся в сотнях километрах от вас. Например, чтобы не таскать с собой все необходимое. Нужны фотографии или какие-то документы - зашли в интернет, подсоединились к домашнему компьютеру и скачали их в безопасном режиме. Или, например, если у вас есть две сети, то объединив их с помощью роутеров (создав VPN тоннель), вы можете обращаться к любому компьютеру без каких-либо дополнительных действий.
Кто бы мог подумать лет 5-7 назад, что в 2017 году о технологии VPN будет знать любой россиянин, который читает новости? Сегодня, благодаря новым законам, без инструментов для смены IP пользоваться интернетом сложно. Если вы еще не настроили себе VPN, так как:
Сейчас мы окончательно разоберемся нужен ли вам VPN, покажем самый простой способ начать им пользоваться и поможем выбрать , который удовлетворит все ваши запросы.
Для тех счастливых людей, которые внезапно очнулись от сна в 2017 году:
VPN расшифровывается как Virtual Private Network – виртуальная частная сеть. Грубо говоря, это защищенный канал связи, по которому ваши устройства могут соединяться с интернетом. При подключении через VPN человек получает две основные выгоды: новый IP-адрес и шифрование трафика.
Зачем это надо?
Абсолютное большинство наших читателей проживает в России, Украине, Белоруссии и Казахстане. И во всех этих странах провайдеры блокируют доступ к множеству сайтов. Например, в реестре запрещенных в РФ ресурсов, который ведет общественная организации «Роскомсвобода», уже более 73 тысяч ссылок.
Смена IP-адреса пригодится в заграничных поездках при использовании некоторых российских сервисов. Например, «Яндекс.Музыка» и ivi.ru работают лишь в некоторых странах СНГ. А полная функциональность Avito доступна только россиянам.
Если при заходе на ваш любимый сайт вы видите сообщение о блокировке провайдером, то просто настройте себе с помощью VPN IP-адрес нужной страны и запреты перестанут существовать для вас.
За подменой цены на товары и услуги в зависимости от страны были замечены Skyscanner.ru, Amazon, iTunes, Adobe и множество других сайтов. Иногда разница может быть огромной.
В мае 2016 года на сайт вышла статья с примерами того, как страна посетителя влияет на цену билета. Вот пример из неё, который наглядно показывает, как можно экономить с помощью VPN.
На первой картинке цена на перелет Акюрейри (Исландия) - Москва 1 июня 2016 года с исландского IP, а на второй с российского. Экономия составила $59.
Если покупаете что-то в международных магазинах, то не поленитесь потратить пять минут на то, чтобы посмотреть цену с разных IP-адресов, не забыв включить режим «Инкогнито» в своем браузере.
Skyscanner прокомментировал : Желающие увидеть цены для других рынков могут беспрепятственно сменить настройки региона, язык и валюту в заголовке сайта, VPN для этого не нужен. В абсолютном большинстве случаев полеты по России или из России за рубеж будут дешевле именно на российском домене, так как российские партнеры могут предложить лучшую цену билета за счет своей специализации. В редких случаях более выгодной цены на зарубежном домене речь как правило идет о несущественной разнице, вызванной колебаниями курсов валют.
Единичные случаи более крупного расхождения цен объясняются тем, что на разных рынках оперируют разные партнеры, которые могут предоставлять более выгодные цены на одни и те же билеты в зависимости от своих локальных договоренностей с авиакомпаниями.
Если вы иногда используете общественный Wi-Fi, то вам надо позаботиться о шифровании своего трафика. Если публичная Wi-Fi сеть настроена неправильно (а таких, минимум, 20-30% во всем мире), то любой прохожий сможет перехватить данные о вашем трафике с помощью общедоступных программ для компьютера или смартфона.
Да, если общественный роутер настроен по всем правилам, то все будет ОК и без VPN. Но где гарантия, что владельца гостиницы, в которой вы неожиданно остановились, волнует безопасность своих клиентов и он что-то менял в настройках своего роутера после его установки в далеком 2005 году?
Хотите свободно выражать свое мнение на сайтах в интернете, размещать на форумах ссылки на любой контент, говорить о религии и не бояться, что вас вычислят по IP? Тогда VPN вам просто необходим. Если вы думаете, что можете делать в интернете все что угодно и вас никому не нужно вычислять, то рекомендую почитать наши подборки судебных дел:
Большинство героев историй из статей выше не думали, что делают что-то противозаконное и не беспокоились о своей анонимности. И в итоге получили штрафы и тюремные сроки. Даже если вы вежливый и законопослушный гражданин, то не стоит искушать судьбу - настройте VPN и спите спокойно. Ведь это очень просто.
Помните, что VPN можно использовать только в законных целях.
Есть и другие VPN-сервисы. Почему стоит использовать именно HideMy.name?
Большинство VPN-сервисов устанавливают цены в долларах и они зависят от колебаний курса. А клиенты платят за VPN в рублях и цена стабильна, разве что поднимается на несколько процентов раз в пару лет.
Оплачивать подписку можно удобными и привычными для россиян способами: QIWI, «Яндекс.Деньги», со счета мобильного телефона или через «Сбербанк.Онлайн». Естественно, WebMoney, PayPal и международные банковские карты тоже принимаются.
Провайдер не хранит информацию о пользователях и их трафике.
Офис и сервера компании находится в Королевстве Белиз. Если кто-то захочет получить доступ к серверам компании, то ей для этого понадобится решение местного суда. За десять лет работы сервиса такого пока еще не случалось.
Для регистрации в VPN-сервисе нужен только почтовый ящик. При желании можно не «светить» свой электронный кошелек или банковскую карту. Для всерьез озабоченных анонимностью людей предусмотрена анонимная оплата биткоинами.
Сервис работает с 1 января 2007 года и был ранее известен под именем HideMe.ru. С тех пор в интернете скопилось множество отзывов, которые оставили довольные пользователи. А вот ни одного публичного скандала из-за того, что HideMe.ru сливал кому-то данные своих клиентов, пока еще не было и вряд ли будет.
(4.00 из 5, оценили: 1 )
