Недавно российские пользователи Интернета столкнулись с блокировками VPN-сервисов. Рассказываем, что это такое и как работает
С блокировками VPN россияне столкнулись совсем недавно, однако\u000Aна сегодня проблема уже приобрела массовый характер. Периодические отключения\u000Aприводили к тому, что через мобильный Интернет переставали работать даже\u000Aчастные VPN на базе наиболее распространенных\u000Aпротоколов Wireguard и OpenVPN.
Попытки подключиться к серверам, расположенным\u000Aза рубежом, просто разрывались.Через несколько дней ситуация менялась, и некоторые из\u000Aзаблокированных VPN-сервисов, в том числе и коммерческие, снова начинали\u000Aработать, но затем ситуация повторялась с протоколами OpenVPN, IPSec IKEv2 и\u000AWireGuard.
Рассказываем, что случилось, почему, каким образом и что с\u000Aэтим делать.
Но сначала немного теории.
Как работает VPN
Давайте рассмотрим механизм работы VPN (Virtual Private\u000ANetworks –\u000Aвиртуальные частные сети) и выясним их роль в обеспечении безопасности работы в\u000AИнтернете.
Что такое VPN?
По своей сути VPN – это служба, создающая частную сеть из\u000Aпубличного интернет-соединения. Она маскирует ваш IP-адрес, благодаря чему\u000Aдействия в Интернете практически невозможно (на самом деле, можно, но слишком\u000Aсложно и хлопотно) отследить. Кроме того, VPN обеспечивает безопасное и\u000Aзашифрованное соединение, что значительно затрудняет перехват данных хакерами\u000Aили третьими лицами.
Как работает VPN?
Шифрование данных. Когда вы используете VPN, ваши данные в Интернете, будь то результаты поиска\u000Aв Google или электронное письмо, пакуются в шифрованные пакеты.
Такое\u000Aшифрование гарантирует, что даже если кто-то перехватит ваши данные, он не\u000Aсможет расшифровать их без необходимого ключа.Маскировка IP-адресов. То, ради чего чаще всего\u000Aиспользуют VPN сейчас. Каждое устройство, подключенное к Интернету, имеет\u000AIP-адрес – уникальный идентификатор, который может выдать ваше местоположение\u000Aи, возможно, другую информацию. Когда вы подключаетесь к VPN-серверу, он\u000Aскрывает ваш реальный IP-адрес и предоставляет вам IP-адрес, находящийся на его\u000Aсервере. В результате веб-сайты и онлайн-сервисы видят IP-адрес сервера, а не\u000Aваш. То есть, например, не могут определить, что вы из России.
Безопасное подключение к удаленным серверам. VPN-клиенты\u000Aна ваших устройствах (например, ноутбуке или смартфоне) подключаются к\u000AVPN-серверам. Соединение между вашим устройством и сервером называется «туннелем».\u000AВесь ваш интернет-трафик проходит через этот защищенный туннель, для чего\u000Aиспользуются различные протоколы туннелирования, обеспечивая конфиденциальность\u000Aваших данных. Ну, или по крайней мере повышая ее.
Для чего нужен VPN?
Самое очевидное – обход региональных ограничений. VPN\u000Aпозволяет получить доступ к контенту, который может быть ограничен в\u000Aопределенных странах или регионах.
Экзистенциальная причина того, что столь специфический протокол\u000Aстал востребован не для специальных видов цифровых коммуникаций, а для\u000Aобывательского интернет-серфинга, кроется в провале глобализационного проекта:
Интернет на наших глазах стремительно распадается на\u000Aнациональные и региональные сектора, которые огораживаются спешно возводимыми\u000Aкиберзаборами. И если вам нужно что-то «из-за ленточки», то часто прямого пути\u000Aбольше нет, требуется подкоп.
Но есть и другие причины, вполне безобидные.
Защитить публичный Wi-Fi. Использование публичных\u000Aсетей Wi-Fi (например, в кофейнях или аэропортах) может подвергнуть ваши данные\u000Aриску. VPN обеспечивает зашифрованное соединение даже в таких сетях.
Конфиденциальность в Интернете. Маскируя ваш IP-адрес\u000Aи шифруя ваши данные, VPN обеспечивает\u000Aконфиденциальность ваших действий в Интернете и исключает возможность прямого мониторинга\u000Aили отслеживания. Важно помнить – это не панацея. Если вы будете совершать\u000Aнаказуемые действия в сети, то VPN вас не спасет. Потому что спецслужбы\u000Aвзломают не ваше шифрование, а сразу вашу дверь.
Избежать ограничения пропускной способности.\u000AНекоторые интернет-провайдеры ограничивают пропускную способность для\u000Aопределенных видов деятельности в Интернете (например, потокового вещания,\u000Aторрент-активности и т. д.). При использовании VPN они не видят, что вы\u000Aделаете, поэтому им сложнее ситуативно ограничивать ваше соединение. Впрочем,\u000Aесть и другие способы умерить ваши аппетиты.
Какие протоколы использует VPN?
VPN (Virtual Private Networks) использует различные\u000Aпротоколы для обеспечения безопасного и зашифрованного соединения между\u000Aустройствами. Каждый протокол имеет свои сильные и слабые стороны, отражающие\u000Aбаланс между скоростью, безопасностью и простотой использования. Вот некоторые\u000Aиз наиболее популярных:
PPTP\u000A(Point-to-Point Tunneling Protocol)
– Возраст: один из старейших VPN-протоколов,\u000Aразработанный компанией Microsoft.
– Безопасность: считается наименее защищенным\u000Aсреди современных протоколов из-за известных уязвимостей.
– Скорость: обычно быстрее из-за более низкого\u000Aуровня шифрования.
– Применение: может\u000Aиспользоваться в тех случаях, когда высокий уровень безопасности не имеет\u000Aзначения, а скорость является приоритетом. Например, его используют\u000Aинтернет-провайдеры на «последней миле».
L2TP/IPsec (Layer 2 Tunneling Protocol with Internet Protocol Security)
– Возраст: довольно почтенный, но помоложе\u000APPTP.
– Безопасность: L2TP сам по себе не\u000Aобеспечивает шифрования, поэтому для шифрования и проверки целостности\u000Aиспользуется протокол IPsec. В целом, считается безопасным, хотя существуют\u000Aопасения по поводу потенциальных уязвимостей.
– Скорость: умеренная скорость, так как\u000Aобеспечивает лучшее шифрование, чем PPTP.
– Применение: широко используется в службах\u000AVPN, обеспечивая баланс между безопасностью и скоростью.
OpenVPN:
– Возраст: относительно новый, с открытым\u000Aисходным кодом.
– Безопасность: считается одним из самых\u000Aбезопасных VPN-протоколов, обеспечивающим до 256-битного шифрования. Высокая\u000Aнастраиваемость.
– Скорость: скорость зависит от уровня\u000Aшифрования и загрузки сервера, но, в целом, приемлема для большинства\u000Aпользователей.
– Применение: широко\u000Aиспользуется многими VPN-сервисами благодаря своей гибкости, безопасности и\u000Aоткрытому исходному коду.
SSTP\u000A(Secure Socket Tunneling Protocol):
–\u000AВозраст: разработан компанией Microsoft и был представлен еще аж в Windows\u000AVista.
– Безопасность: используется протокол SSL 3.0,\u000Aподдерживающий 256-разрядное шифрование. Считается безопасным, но имеет\u000Aпроприетарный характер, за что многие его не любят.
– Скорость: сопоставима с OpenVPN.
– Применение: в основном, используется на\u000Aустройствах под управлением Windows благодаря интеграции с ОС. Некоторые\u000AVPN-сервисы его также поддерживают.
IKEv2/IPsec (Internet Key Exchange version 2 with IPsec)
– Возраст: относительно свежая разработка\u000Aкомпаний Microsoft и Cisco.
– Безопасность: славится своей безопасностью,\u000Aособенно в сочетании с пакетом IPsec.
– Скорость: обеспечивает быстрое соединение,\u000Aособенно полезное для мобильных устройств, которые часто переключаются между\u000AWi-Fi и мобильной передачей данных.
– Применение: становится все более популярным,\u000Aособенно на мобильных устройствах.
WireGuard
– Возраст: один из самых новых VPN-протоколов.
– Безопасность: использует современные\u000Aкриптографические протоколы, более простые и эффективные по сравнению со\u000Aстарыми протоколами.
– Скорость: высокоскоростной и легкий\u000Aсовременный протокол.
– Применение: быстро набирает популярность,\u000Aмногие VPN-провайдеры начинают предлагать его в качестве опции.
Резюмируем:
С точки зрения безопасности золотыми стандартами часто считаются\u000AOpenVPN и WireGuard, хотя IKEv2/IPsec тоже неплох.
Что касается скорости, то PPTP является самым быстрым\u000Aблагодаря низкому уровню шифрования, но WireGuard, будучи намного безопаснее,\u000Aего почти догоняет.
Важно также учитывать удобство использования и совместимость\u000A– например, если OpenVPN универсален и работает на многих платформах, то SSTP\u000Aглубоко интегрирован в Windows.
При выборе протокола VPN необходимо учитывать приоритеты\u000A(скорость против безопасности), а также характер вашего устройства и сети. Для\u000Aбольшинства пользователей приемлемый баланс скорости и безопасности дают OpenVPN\u000Aи WireGuard.
Зачем блокируют VPN
Блокировки VPN-сервисов имеют\u000Aвполне очевидную причину – те, кто устанавливает ограничения, делают это не за\u000Aтем, чтобы их легко обходили. VPN с некоторых пор\u000Aстал настолько технически прост и доступен, что многие пользователи до\u000Aнедавнего времени не испытывали ни малейших неудобств при доступе к\u000Aзаблокированным массовым ресурсам, таким, как иностранные соцсети. Достаточно\u000Aустановить бесплатное VPN-приложение, включить его и «жить как раньше». Да\u000A«бесплатность» их весьма условная, но, будем откровенны, среднего пользователя\u000Aне очень-то волнуют утечки его личных данных. И так все давно утекло.
Регуляторов по обе стороны границы эта ситуация не\u000Aустраивает. Ограничения стоят не только с нашей стороны, да и вообще не\u000Aявляются чем-то специфически отечественным. Так, например, в недавно в Европе\u000Aбыл заблокирован доступ через VPN\u000Aк американской соцсети Threads.
Что касается нашей ситуации, то Роскомнадзор на все\u000Aпретензии невозмутимо отвечает, что, согласно закону «О связи», в России\u000Aзапрещена работа VPN-сервисов, не обеспечивающих\u000Aфильтрацию нарушающей закон информации. «Применение VPN-протоколов\u000Aс использованием зарубежной серверной инфраструктуры несет в себе существенные\u000Aриски утечки личной, корпоративной и иной информации», – говорят чиновники. Поэтому\u000Aроссийским предприятиям и организациям порекомендовали ускорить перевод\u000Aинформационных систем и протоколов, обеспечивающих работу их внутренних\u000Aбизнес-процессов, на серверную, программную и телекоммуникационную\u000Aинфраструктуру, находящуюся на территории России. Ну а рядовым пользователям\u000Aследует соблюдать законодательство своей страны – запретили, не читайте!
Если этого объяснения вам недостаточно, то пользователи интернета из России могут задавать вопросы о\u000Aпричинах недоступности того или иного протокола VPN в Главный радиочастотный центр и акционерное общество «Данные – центр обработки и автоматизации». Не\u000Aфакт, что вам ответят, но спросить можно.
Как можно заблокировать VPN?
Есть несколько общеизвестных способов блокирования VPN.
Блокировки по IP-адресу
Многие VPN-сервисы используют для своих серверов известные\u000AIP-адреса. После определения этих IP-адресов можно заблокировать доступ к ним.\u000AЭто простой и широко распространенный метод, но его можно легко обойти, если\u000AVPN-провайдеры часто меняют свои IP-адреса или используют пул случайных\u000AIP-адресов.
Блокирование портов
VPN-трафик часто проходит через определенные порты.\u000AНапример, OpenVPN по умолчанию использует порт 1194. Блокируя эти порты, можно\u000Aнарушить VPN-трафик, однако несложно обойти это, используя такие порты, как\u000A443, который обычно используется для HTTPS-трафика и поэтому вряд ли будет\u000Aзаблокирован.
Глубокая проверка пакетов (DPI)
DPI – это более совершенный метод, который предполагает\u000Aизучение пакетов данных, передаваемых через Интернет, с целью определения их\u000Aхарактера и назначения. С помощью DPI можно обнаружить модели VPN-трафика, даже\u000Aесли они идут через общие порты или используют обфускацию. После обнаружения\u000Aтакой VPN-трафик можно блокировать или дросселировать.
Блокировка VPN-сайтов и сервисов
Блокируя доступ к сайтам, на которых пользователи могут\u000Aзарегистрироваться или загрузить программное обеспечение VPN, можно затруднить\u000Aпользователям доступ к сервисам.
Анализ трафика и time attack
Анализируя время и объем сетевого трафика, интеллектуальные\u000Aсистемы контроля могут сделать вывод об использовании VPN или типах услуг, к\u000Aкоторым осуществляется доступ, даже если сам контент зашифрован.
Блокировка по конкретным протоколам
Можно блокировать определенные протоколы, используемые VPN,\u000Aчто затрудняет установление соединения.
Фильтрация и перехват DNS
Если пользователь пытается подключиться к VPN-серверу через\u000Aего доменное имя, DNS-запрос может быть перехвачен и отфильтрован, в результате\u000Aчего пользователь не сможет попасть на VPN-сервер.
Законодательные и регулирующие меры
Помимо технических мер, правительства некоторых стран\u000Aприменяют юридические меры, делая незаконным использование или предоставление\u000Aуслуг VPN. Также можно обязать провайдеров блокировать или дросселировать VPN-трафик. В России это не применяется, использование\u000AVPN для наших граждан ненаказуемо. На момент выхода статьи жесткий запрет\u000Aтолько в Китае, Ираке, ОАЭ, Турции, Беларуси, Омане, Иране, КНДР, Туркменистане\u000Aи Мьянме.
Как блокируют VPN в России?
Эксперты говорят, что блокировка VPN\u000Aсилами Роскомнадзора (РКН) работает на уровне протоколов, но с упором на\u000Aзарубежные IP-адреса, то есть касается прежде всего трансграничного трафика.\u000AЭто позволяет РКН закрыть доступ к запрещенным в России сайтам, при этом минимизируя\u000Aпроблемы у корпоративных VPN-ресурсов.\u000AПока это срабатывает неидеально – на фоне прошедших отключений отваливались не\u000Aтолько иностранные «запрещенки», но и вполне отечественные сервисы, включая,\u000Aнапример, ВКонтакте. Интернет до недавних пор был глубоко связанной системой, и\u000Aв нем сложно было отключить что-то одно, не зацепив другое. Но эта ситуация\u000Aбыстро меняется, в том числе и благодаря вот таким «тестовым» отключениям.
Технически в России\u000Aблокировка ресурсов происходит на специальном оборудовании на стороне\u000Aпровайдеров — ТСПУ (технические средства противодействия угрозам.).\u000AРоскомнадзор начал требовать от операторов связи устанавливать его с сентября\u000A2020 года в рамках закона о «суверенном интернете». ТСПУ – классический «черный\u000Aящик», как они работают, провайдерам неизвестно. Это вполне логично – такие\u000Aалгоритмы просто обязаны быть секретными. По косвенным признакам можно сказать\u000Aтолько, что в случае с текущими «блокировками» VPN это вообще не блокировка в\u000Aклассическом понимании: вырезается не весь трафик, а только конкретное\u000Aсоединение.
В общем, как именно\u000Aблокируется VPN сейчас, в точности неизвестно. РКН это никак не комментирует. При\u000Aэтом эксперты считают маловероятным, что Россия придет к жестким блокировкам по\u000Aметоду white-листов (доступ к разрешенным ресурсам по списку). Это просто не\u000Aнужно – как показывает опыт Китая, достаточно блокировать VPN-протоколы, чтобы отбить у большей части жителей\u000Aжелание пытаться обходить блокировки. Задача государства здесь не заткнуть все\u000Aщели наглухо – это почти нереально, – а повысить\u000Aпорог сложности достаточно, чтобы отпугнуть массового пользователя.
Скорее всего, вскоре блокировки трансграничных VPN станут регулярными, а то и перманентными.
Как обойти блокировки VPN
Напоминаем: согласно недавним поправкам в Федеральный закон\u000A«Об информации, информационных технологиях и о защите информации» вводится ответственность\u000Aза популяризацию и публикацию инструкций или советов по обходу блокировок. Публикация\u000Aтаковых может стать основанием для внесения ресурса в Единый реестр запрещенной\u000Aинформации Роскомнадзора, поэтому вы их тут не найдете. Мы никого не призываем\u000Aнарушать закон.
Впрочем, перечисление общеизвестных технических принципов\u000Aинструкцией не является. К ним относятся:
Обфускация: маскировка VPN-трафика под обычный\u000AHTTPS-трафик.
Использование нескольких портов: предоставление\u000Aпользователям возможности переключаться между различными портами.
Регулярная ротация IP-адресов: чтобы избежать\u000Aблокировок по IP-адресам, провайдер услуги их регулярно меняет.
Невидимые (теневые) серверы: серверы, созданные\u000Aспециально для обхода блокировок VPN.
Shadowsocks и VLESS: прокси-серверные технологии,\u000Aпредназначенные для защиты интернет-трафика, которые относительно эффективно\u000Aобходят DPI.
Использование self-hosted: самостоятельный хостинг\u000AVPN с маскировкой трафика.
Несложно заметить, что все эти способы либо исполняются не\u000Aна стороне пользователя, либо технически сложны. Массовому любителю запрещенных\u000Aсоцсетей они не помогут.
Более того, по мнению экспертов, блокировки будут\u000Aусиливаться, а привычные способы их обхода станут бессмысленными. Большинство\u000Aкоммерческих VPN-сервисов не фокусируется на обходе блокировок и работает на\u000Aпопулярных протоколах WireGuard/OpenVPN.
По мере разработки новых методов блокировки всегда появляются\u000Aновые способы обхода, но массовому пользователю, скорее всего, придется в\u000Aближайшее время привыкать к отечественной медиасреде.
Свежие комментарии