Разновидности VPN
Разновидности VPN — разные реализации такой важной, известной и популярной сейчас технологии, как VPN. Изначально VPN были созданы для того, чтобы безопасно удалённо подключаться к произвольным сетям, при этом не рискуя безопасностью (например, чтобы удалённо работать), но по мере развития вонючей и ползучей цензуры во всём мире происходит актуализация понятия, и люди начинают использовать VPN независимых стран для обхода разной цензуры, безумных подтверждений возраста и прочей подобной ереси в условиях атаки на свободный интернет.
За несколько десятилетий развития VPN-технологий было разработано множество протоколов и реализаций. Какие-то являются чисто прикладными и слабыми, какие-то работают в условиях сильной интернет-цензуры, также обеспечивается разный уровень шифрования и приватности (так как и сам VPN может быть скомпрометирован и воровать данные).
Традиционные VPN-протоколы[править]
В целом они не применяются для обхода цензуры, используются в первоначальном назначении, для создания защищённых сетей.
IPsec (Internet Protocol Security)[править]
Набор протоколов для защиты связи посредством проверки и шифрования каждого IP-пакета. Разработан IETF в середине 1990-х годов. IPsec является стандартом для корпоративных VPN-решений, где в задачи входит шифрование трафика и безопасный доступ к корпоративной сети.
IPsec используется для организации мощного VPN между офисами компаний и остаётся одним из наиболее надёжных решений для корпоративного сектора, несмотря на сложность настройки. Может шифроваться как всё содержимое пакета, так и только его внутренности, при этом такой VPN обычно легко определяется системами DPI.
PPTP[править]
Да, всем известный PPP (который в частности применялся провайдерами для организации PPPoE, и обычного доступа в интернет) это протокол VPN. Разработан всем известной корпорацией Microsoft в 1996 году. Он использует туннелирование PPP через IP-сеть и протокол GRE для инкапсуляции данных.
Несмотря на простоту реализации и встроенную поддержку во многих операционных системах, PPTP имеет серьёзные уязвимости в безопасности. Протокол использует устаревшие методы шифрования (MPPE) и аутентификации (MS-CHAPv2), которые могут быть взломаны при наличии ресурсов у нападающего, так что пользоваться им стоит осторожно.
L2TP[править]
Появился в 1999 году, в основном применяется в сетях на основе известного маршрутизатора Циска. Сам по себе L2TP не обеспечивает шифрование, поэтому обычно используется в связке с IPsec (L2TP/IPsec). Широко применяется в корпоративной среде за счёт наличия встроенной поддержки в большинстве операционных систем и маршрутизаторов.
Работает на канальном уровне модели OSI, использует UDP-порт 1701 для установления туннеля.
Открытые VPN[править]
Вот эти VPN уже применяются в частном секторе, для обхода цензуры и просто анонимизации интернетов. Здесь создание защищённой среды применяется просто для того, чтобы по сути шифровать весь трафик до сервера, дальше сервер уже идёт в интернет и для сайтов виден только сервер (но никак не сам пользователь).
Стоит однако помнить, что скажем внезапное прекращение работы VPN приведёт к демаскировке. По этой причине использование только VPN для анонимности не особенно возможно, надо ещё озаботиться тем, чтобы прямой выход в интернет был заблокирован. Для обхода блокировок это не принципиально.
OpenVPN[править]
OpenVPN был выпущен Джеймсом Йонаном в 2001 году, это полностью свободное программное обеспечение с открытым исходным кодом, всё по канонам бородатого лорда Столлмана. Протокол использует библиотеку OpenSSL для шифрования и поддерживает множество криптографических алгоритмов. В целом он весьма надежён, если применяется надёжный сервер. Однако, современные системы вроде DPI научились обнаруживать использование VPN, так что применение OpenVPN может быть чревато в том случае, если власти поставили целью прекратить его работу.
Может работать через TCP или UDP (обычно используется UDP порт 1194), поддерживает различные методы аутентификации (сертификаты, ключи, классическая пара username/password), может обходить большинство файрволов. Обладает гибкими настройками, а также хитрый делец может и сам доработать исходный код, если знает что делает.
OpenVPN работает в пространстве пользователя, а не на уровне ядра. Для перехвата сетевого трафика используется виртуальный сетевой интерфейс TUN/TAP.
WireGuard[править]
Был разработан Джейсон Дональдофельдом в 2016 году специально для открытых операционных систем, в которых он призван потужно жужжать. Сделан с упором на маленький размер программы, скорость работы. И правда, инсталляция соединения такого типа занимает очень маленькое время, сам протокол крайне производителен.
Отличается довольно маленьким исходным кодом, насчитывает 4000 строк кода против десятков тысяч у OpenVPN, использует более современные криптографические методы вроде Curve25519, ChaCha20, Poly1305, которые позволяют более эффективно обеспечивать шифрование, работает на уровне ядра операционной системы.
Использует статическое назначение IP-адресов и не имеет встроенного механизма динамического управления ключами. Из-за этого его применение в условиях надобности скоростного обхода цензуры может не быть идеальным, также надо обладать навыками в настройке подобного VPN, чтобы им верно пользоваться.
SoftEther VPN[править]
Сумрачный японский VPN, который по своей сути не столько отдельный протокол, сколько надстройка. Особенно популярен в странах с жёсткой интернет-цензурой благодаря способности маскировать VPN-трафик под обычный HTTPS, так что контролёры не в состоянии определить, что применяется VPN, а не делается обычный запрос на произвольный сайт.
Поддерживает множество VPN-протоколов (L2TP/IPsec, OpenVPN, MS-SSTP, L2TPv3, EtherIP). Для дополнительной безопасности имеются опции VPN over ICMP и VPN over DNS, позволяющие ещё сильнее замаскировать трафик. При этом работает эта штука весьма быстро, скорость больше, чем у OpenVPN.
Специализированные протоколы[править]
Shadowsocks[править]
Был создан китайским программистом под псевдонимом clownwindy в 2012 году. По своей сути это просто защищённый SOCKS5-прокси, который на практике называется VPN. Первоначально разработан для обхода Великого китайского файрвола, из-за чего отличается немалой мощностью и пользуется любителями защиты информации во всём мире.
Shadowsocks использует технику, похожую на SSH-туннелирование, но оптимизированную для мобильных устройств и сильно ограниченных интернет-соединений. Трафик шифруется и передаётся через удалённый сервер. Для системы имеется множество плагинов и методов для осложнения обнаружения использования VPN.
V2Ray и протокол VMess[править]
V2Ray появился в 2015 году, создан специально для реализации особо защищённых прокси-сетей. Основным протоколом V2Ray является VMess (что расшифровывается как V Messaging Protocol), собственный протокол шифрования и передачи данных. Реализована встроенная маскировка трафика под обычные протоколы (WebSocket, HTTP/2, QUIC).
VMess использует асимметричное шифрование для осуществления инициации соединения и симметричное для передачи данных. Протокол включает защиту от replay-атак и механизмы сокрытия трафика от наблюдателей, что позволяет обмануть многие системы DPI.
VLESS[править]
Упрощенная версия VMess, которая тем не менее должна оставаться безопасной и защищённой.
Не имеет собственного шифрования, реализация которого остаётся на совести пользователя. VLESS обычно используется в связке с TLS и WebSocket для максимальной незаметности трафика. Протокол сейчас часто применяется в регионах с активной цензурой интернета благодаря способности имитировать обычный HTTPS-трафик.
Trojan[править]
Trojan, появившийся в 2019 году, использует принципиально иной подход к обходу блокировок, чем большинство представленных VPN. Вместо применения новых протоколов и методов обфускации, Trojan полностью имитирует стандартный HTTPS-трафик.
Сервер Trojan работает на порту 443 и ведёт себя как обычный HTTPS-сервер. При получении верного пароля соединение используется как прокси, а при отсутствии корректной аутентификации сервер отдаёт настоящий веб-сайт. Это делает обнаружение крайне тяжёлым, требующим специального анализа пакетов.
TOR[править]
Хотя Tor технически не является VPN, он также применяется для анонимизации интернет-трафика через распределённую сеть серверов. Известен как весьма защищённый протокол, который обеспечивает высокую степень анонимности, но при этом его подвергают время от времени блокировкам. Может работать на основе отдельного браузера.
Трафик проходит через три случайных узла (guard, middle, exit), при этом каждый узел знает только предыдущий и следующий узел в цепочке. Данные шифруются многократно, и каждый узел снимает один слой шифрования. Из-за этого, правда, страдает скорость соединения, также сайты могут легко найти список всех IP и заблокировать TOR.
Расширения для браузера[править]
Немало есть и расширений для браузера, в которых в названии используется модное слово VPN. Но на практике далеко не всегда это реально VPN, часто это просто обычный прокси, который может даже не быть особо зашифрованным, и легко может определяться при наличии такого желания.
Однако расширения приобрели популярность, поскольку установить и активировать их просто, также применяются они только в рамках браузера, а не ко всей системе.
