Digital-лабораторія
IT технологій

Кібербезпека

Що таке VPN: як працює і який обрати?

10/10/2021
KR. Laboratories
1 733

Головна » Блог » Що таке VPN: як працює і який обрати?

Часто в інтернеті можна прочитати пораду: щоб зберегти анонімність і захистити себе від перехоплення даних, а також для обходу блокування інтернет-сервісів – використовуйте VPN. Давайте розберемося, що ж таке VPN, як він працює, який захист гарантує користувачу, і найголовніше – який VPN-сервіс обрати? Про все це ми поговоримо у цій статті.

Архітектура і протоколи VPN

VPN – це віртуальна приватна мережа (Virtual Private Network), яка працює усередині наявного інтернет-з’єднання, являючи собою зашифрований “тунель” з допомогою VPN-сервера, який координує мережу (надає IP-адресу та DNS-сервер) і пропускає через себе увесь інтернет-трафік. Таким чином, дії, які користувач здійснює в Інтернеті – передаються спочатку на VPN-сервер, а вже потім у зашифрованому вигляді до інтернет-провайдера. З VPN ви можете безпечно здійснювати інтернет-серфінг, не хвилюючись що ваші дані (метадані, паролі, cookie, токени, сесії) перехоплять або історію інтернет-перегляду хтось прочитає.

Спроби реалізувати захищене інтернет-з’єднання здійснювалися ще у 1980-1990-х роках. У 1993-му професором Джоном Іоаннідісом була досліджена технологія безпеки протоколу IP в Колумбійському університеті. Подібні експерименти проводилися в компанії AT&T Bell Labs. Перший прототип VPN з’явився у 1996 році, коли співробітником Microsoft був створений протокол PPTP (Point-to-Point tunneling Protocol). Він є найпростішим у налаштуванні серед всіх VPN-протоколів, сумісний з різними пристроями (маршрутизатори, роутери) та операційними системами (Windows/Mac/Linux/Android/iOS), і в той же час його можна вважати застарілим і найменш безпечним – застосовує 128-бітне шифрування, деякі технології аутентифікації на сьогодні мають офіційні вразливості (MS-CHAP-v1/v2).

В плані безпеки показовим є протокол IPSec, який початково розроблявся Військово-морськими силами США і поступово був адаптований під комерційне використання. Він гарантує високу гнучкість та надійність шифрування. IPSec шифрує кожен інтернет-пакет окремо (технологія Encapsulation Security Payload (ESP)). Однак, у плані швидкості дещо поступається новітнім протоколам, такими як IKEv2 та WireGuard. На базі IPSec постав протокол L2TP (Layer 2 Tunneling Protocol), який є покращеним варіантом PPTP. Його особливістю є подвійна UDP-інкапсуляція, підтримка 256-бітнного шифрування AES та 3DES, працює не лише в TCP/IP, а й в мережах ATM, X.25, Frame Relay. Часто протоколи IPSec і L2TP об’єднують в один і в різних VPN-сервісах вони фігурують як єдиний IPSec/L2TP протокол.

IKEv2 (Internet Key Exchange) – є одним з найшвидших та надійніших VPN-протоколів. Перша версія IKEv1 вийшла у 1998 році. Протокол увібрав в себе технологію IPSec та підтримує 256-бітні алгоритми шифрування: AES, Blowfish, Camelia тощо. Гарантує якісне та стабільне VPN-з’єднання. Споживає мінімум ресурсів, не потребує високої пропускної здатності. Завдяки протоколу MOBIKE (Mobility and Multi-homing), чудово працює на мобільних пристроях, може автоматично перепідключатися при обриві інтернет-з’єднання, а отже унеможливлює витік даних. Також IKEv2 підтримує такі криптографічні протоколи безпеки як ISAKMP, SKEME, OAKLEY. Серед мінусів – порт IKEv2 може блокуватися деякими фаєрволами. Протокол не надто легкий у налаштуванні, що при хибній конфігурації може приводити до проблем безпеки.

OpenVPN – один з найстаріших та найпопулярніших VPN-протоколів з відкритим кодом на базі 256-бітного шифрування (алгоритми AES, Blowfish, Camelia). Підтримуються ChaCha20, Poly1305, PFS. OpenVPN використовує бібліотеку OpenSSL та власний протокол безпеки на базі TLS/SSL-шифрування. Працює як по TCP, так і UDP портах, що робить його гнучким та ускладнює процес визначення VPN-трафіку збоку провайдерів/систем/операторів. Сервіс дуже зручний в роботі, підтримує усі операційні системи, легко налаштовується в різних операційних системах та легко масштабується. Цікаво, що в оприлюднених документах Едварда Сноудена говориться, що АНБ США через програму для стеження XKEYSCORE може зламати OpenVPN, але лише за умови використання спільного ключа.

WireGuard – протокол VPN нового покоління з відкритим кодом, який використовує різні алгоритми шифрування: ChaCha20, Curve25519, Poly1305, BLAKE2s. Підтримує технологію Perfect Forward Secrecy (PFS). Є швидким, компактним, продуктивним. WireGuard пройшов незалежний аудит та був включений в ядро Linux. Він є гнучким – його можна налаштувати на використання будь-якого порту, та зазвичай працює через UDP. WireGuard не складно самотужки розгорнути на сервері та налаштувати. Є окремий мобільний додаток для Android.

Чим корисний VPN та які переваги дає?

Анонімність в мережі. При якісному та надійному VPN-з’єднанні ваш інтернет-трафік повністю шифрується і недоступний третім сторонам, наприклад провайдеру. Замість вашої справжньої IP-адреси, використовується IP-адреса VPN-сервера. Аналогічно з DNS. Таким чином ви зможете підмінити свою цифрову ідентичність і здійснювати анонімний серфінг в інтернеті.
Обхід блокування. Ви зможете змінити свою IP-адресу та геолокацію, що дасть вам можливість обійти будь-які блокування доступу до інтернет-ресурсів по відношенню до вашої країни чи IP-адреси.
Якість інтернет-з’єднання. У деяких випадках використання VPN навіть може покращити якість та швидкість вашого інтернету (ширина каналу), яка за певних обставин може сповільнюватися провайдером.
Захист від перехоплення і викрадення даних. При відвідуванні ненадійних сайтів або підключенні до безкоштовних підроблених Wi-Fi точок-доступу, трафік користувача може бути перехоплений, а його чутливі дані, такі як паролі, кукі, сесії, викрадені. Це стається завдяки відсутності шифрування, а також додаткоим інструментам – сніфферам і стилерам, які дозволяють хакерам проводити атаки “Людина посередині” (Man-in-the-Middle, MITM). VPN-з’єднання повністю унеможливлює подібні ризики і маніпуляції.
Ізольоване середовище. VPN також буде корисним для об’єднання та ізоляції інтернет-мереж всередині операційних систем (туннелінг для додатків) або мережевої інфраструктури (розподіл для різних відділів великих компаній).

Читайте також: Google Dorks на службі у OSINT

Який VPN-сервіс обрати?

ℹ️ На сьогодні, на ринку інтернет-послуг існує чимало VPN-сервісів – як платних, так і безкоштовних. Кожен відрізняється швидкістю, стабільністю та політикою використання даних. Останній момент дуже важливий, адже визначає порядок обробки даних користувачів, відповідає за збір статистики та зберігання логів (журналів) на сервері. Недосвідчений користувач може подумати, що обрати VPN легко – можна застосувати будь-який. Насправді це не так. VPN – далеко не простий інструмент як здається й може приховувати безліч неприємних сюрпризів. Наприклад, ненадійний оператор VPN може збирати метадані пристрою, переглядати інтернет-трафік та використовувати їх у своїх цілях. Переважно, цим займаються зловмисники, які маскуються під VPN-сервіси. Тому ретельно перевіряйте постачальника. Нижче ми зібрали безкоштовні та платні VPN-сервіси на які варто, на нашу думку, звернути увагу:

⚡NordVPN – флагман серед VPN-сервісів, заснований у 2012 році ІТ-спеціалістами спочатку для своїх потреб, щоби захистити себе та своїх рідних і друзів від цензури та стеження в інтернеті. Пізніше NordVPN став доступним для всіх користувачів. VPN працює на протоколах IKEv2/IPsec/WireGuard, гарантує високу якість, швидкість та стабільність інтернет-з’єднання. У ньому застосовуються 256-бітні AES-ключі шифрування. Сервіс нараховує близько 5500 серверів у 60 країнах світу. Підтримуються операційні системи Windows, Linux, MacOS, Android. Є додатки для браузерів Firefox та Chrome. У березні 2023 року “скандинави” ввели безкоштовну функцію Meshnet. Власники NordVPN беруть активну участь в соціальних проєктах, таких як VPN Trust Initiative (VTI), доносячи до людей важливість кібербезпеки. Для дослідників безпеки запущено BugBounty на платформі HackerOne. Загалом, кращий VPN в категорії “Ціна/Якість”.
⚡ProtonVPN – функціональний і легкий VPN, розроблений швейцарськими криптографами, засновниками відомого поштового сервісу Proton Mail. VPN-сервіс працює на базі IKEv2, OpenVPN та WireGuard протоколів. Орієнтований на швидкість, контроль і конфіденційність даних. Сервіс налічує більше 1900 серверів у понад 65 країнах світу, містить чимало корисних та ексклюзивних налаштувань, наприклад вбудований VPN-акселератор, функція Kill Switch (запобігання розкриттю IP при обриві з’єднання), блокувальник реклами NetShield, анонімний DNS, інтеграція з TOR-мережею та Torrent P2P. Додатком підтримуються усі платформи: Android, iPhone, Mac, Windows, Linux. Є окрема безкоштовна версія VPN з підтримкою 1 пристрою та 1 локації. Як заявляють представники компанії, Proton VPN не зберігає логи користувачів. Компанію рекомендують на рівні ООН та Європейської Комісії з прав людини.
⚡Windscribe VPN – швидкісний VPN-сервіс з величезним вибором гео-локацій (більше 60 країн світу), надійним шифруванням (AES-256, SHA512, 4096-bit RSA), гнучкими налаштуваннями (OpenVPN, IKEv2, WireGuard, SOCKS) та підтримкою різних платформ (Windows, Linux, Android). Сервіс заснований шанувальниками кібербезпеки, які серйозно ставляться до захисту персональних даних. Як заявляють власники, Windscribe утримується повністю самотужки та не співпрацює з рекламними компаніями. Додатки Windscribe мають відкритий код і розміщені на GitHub. Можна користуватися розширеннями для браузерів Firefox та Chrome. В Windscribe є безкоштовний тарифний план з трафіком 10GB та 10-ма локаціями.
⚡Mullvad VPN – ще один VPN-сервіс Premium-рівня, орієнтований на конфіденційність і безпеку. Заснований у Швеції, в місті Гетеборг у 2009 році. Як заявляють розробники: “…наша місія полягає в тому, щоб навчати та інформувати населення про проблему масового спостереження та цензури. Водночас ми щодня вдосконалюємо власний сервіс і досліджуємо майбутнє безпеки даних”. VPN Mullvad заснований на протоколах OpenVPN і WireGuard. Сервіс платний – вартість становить 5 євро/місяць. Один обліковий запис можна використовувати максимум на 5 пристроях. Додаток кросплатформний, підтримуються усі сучасні операційні системи: Windows/Linux/Android/MacOs/iOS. В арсеналі величезна кількість серверів і локацій в різних куточках світу. Як повідомляють власники, Mullvad не збирає логи та знеособлює користувацькі дані. Продукт відповідає регламенту GDPR щодо захисту персональних даних. На сайті присутній хороший технічний опис і документація додатка. Аудити безпеки проводяться регулярно. Користувач має змогу придбати VPN за криптовалюту, що дозволить приховати платіжні дані. Mullvad VPN дуже зручний і простий в роботі, має чимало корисних налаштувань: підтримка IPv6, функція Kill Switch, блокування трекерів і реклами, опції протоколів OpenVPN і Wireguard, використання власних DNS, тунелінг і багато іншого. Є підтримка CLI. Вихідний код додатка розміщений у відкритому доступі. Bug Bounty програми немає, але про баги чи вразливості можна повідомити в технічну підтримку. На наше переконання, це досить швидкісний і якісний VPN. Може навіть використовуватися як акселератор інтернету. У поєднанні з Mullvad Browser – виступає потужним антидетект-засобом, який унеможливлює будь-який витік DNS.
⚡Calyx VPN – безкоштовний VPN-сервіс від некомерційної дослідницької організації Calyx Institute (Нью-Йорк, США), засновників операційної системи CalyxOS для мобільних пристроїв. Характеризується відносними простотою, надійним та захищеним з’єднанням. Є окремий додаток для Android (доступний в репозиторії F-Droid). Серед мінусів – іноді може бути нестабільне з’єднання, мало локацій.
⚡RiseupVPN – безкоштовний VPN від некомерційної незалежної фундації Riseup, яка пропагує анонімність в інтернеті й надає різні безкоштовні сервіси, серед яких VPN. RiseupVPN повністю автоматичний, з розряду “поставив і забув”. Є додаток для мобільного (доступний в репозиторії F-Droid). Загалом, крутий безкоштовний VPN для Android-смартфонів. З недоліків – мало локацій.
⚡OpenVPN – добре відома безкоштовна платформа для розгортання VPN-сервера на базі однойменного протоколу OpenVPN. Вже понад 20 років славиться своєю стабільністю та надійністю. Підтримуються всі платформи і операційні системи. Є Android-додаток. Для підключення необхідно додати файл конфігурації VPN-сервера. Можна скористатися списком безкоштовних OpenVPN-серверів.

Читайте також: Історія зародження Інтернету та поява перших пошукових систем

За потреби, фахівці KR.Laboratories з радістю допоможуть налаштувати будь-яке із вищезапропонованих рішень, або розгорнути власний VPN на базі VPS-сервера.

Як перевірити роботу VPN?

Ось кращі онлайн-сервіси, які дозволяють безкоштовно перевірити витік даних IP/DNS при використанні VPN:

Підпиcатися

Підписуйтесь на новини та отримуйте нові публікації на свою електронну пошту!

👉 Також долучайтеся і читайте нас в Twitter і LinkedIn!

KR. Laboratories

KR. Laboratories — digital-лабораторія IT послуг. Досліджуємо, впроваджуємо, обслуговуємо інформаційні системи та електронні ресурси.

Усі записи

5 4 голосів

Рейтинг статті

Підписатися

4 Коментарі

Старіші

Новіші Найпопулярніші

Вбудовані Відгуки

Переглянути всі коментарі

Юрій

7 місяців тому

Як на оахунок українського ClearVPN

Відповідь

Автор

KR. Laboratories

7 місяців тому

Відповісти Юрій

Проблема в тому, що ClearVPN не підтримує Linux… На даний момент він доступний тільки для користувачів Windows, macOS, Android, iOS платформ. Коли буде Linux у цьому списку, тоді можна буде ретельно протестувати і щось сказати.

Відповідь