Разберёмся в сути проблемы и найдем решения⚡️
Всем салют, дорогие друзья!
С блокировками VPN россияне столкнулись совсем недавно, однако на сегодня проблема уже приобрела массовый характер. Периодические отключения приводили к тому, что через мобильный Интернет переставали работать даже частные VPN на базе наиболее распространенных протоколов Wireguard и OpenVPN. Попытки подключиться к серверам, расположенным за рубежом, просто разрывались.
Через несколько дней ситуация менялась, и некоторые из заблокированных VPN-сервисов, в том числе и коммерческие, снова начинали работать, но затем ситуация повторялась с протоколами OpenVPN, IPSec IKEv2 и WireGuard.
Рассказываю, что случилось, почему, каким образом и что с этим делать.
Но сначала немного теории...
Что такое VPN
По своей сути VPN – это служба, создающая частную сеть из публичного интернет-соединения. Она маскирует ваш IP-адрес, благодаря чему действия в Интернете практически невозможно (на самом деле, можно, но слишком сложно и хлопотно) отследить. Кроме того, VPN обеспечивает безопасное и зашифрованное соединение, что значительно затрудняет перехват данных хакерами или третьими лицами.
Как работает VPN?
Шифрование данных. Когда вы используете VPN, ваши данные в Интернете, будь то результаты поиска в Google или электронное письмо, пакуются в шифрованные пакеты. Такое шифрование гарантирует, что даже если кто-то перехватит ваши данные, он не сможет расшифровать их без необходимого ключа.
Маскировка IP-адресов. То, ради чего чаще всего используют VPN сейчас. Каждое устройство, подключенное к Интернету, имеет IP-адрес – уникальный идентификатор, который может выдать ваше местоположение и, возможно, другую информацию. Когда вы подключаетесь к VPN-серверу, он скрывает ваш реальный IP-адрес и предоставляет вам IP-адрес, находящийся на его сервере. В результате веб-сайты и онлайн-сервисы видят IP-адрес сервера, а не ваш. То есть, например, не могут определить, что вы из России.
Безопасное подключение к удаленным серверам. VPN-клиенты на ваших устройствах (например, ноутбуке или смартфоне) подключаются к VPN-серверам. Соединение между вашим устройством и сервером называется «туннелем». Весь ваш интернет-трафик проходит через этот защищенный туннель, для чего используются различные протоколы туннелирования, обеспечивая конфиденциальность ваших данных. Ну, или по крайней мере повышая ее.
Для чего нужен VPN?
Самое очевидное – обход региональных ограничений. VPN позволяет получить доступ к контенту, который может быть ограничен в определенных странах или регионах.
Экзистенциальная причина того, что столь специфический протокол стал востребован не для специальных видов цифровых коммуникаций, а для обывательского интернет-серфинга, кроется в провале глобализационного проекта:Интернет на наших глазах стремительно распадается на национальные и региональные сектора, которые огораживаются спешно возводимыми киберзаборами. И если вам нужно что-то «из-за ленточки», то часто прямого пути больше нет, требуется подкоп.
Но есть и другие причины, вполне безобидные:
Защитить публичный Wi-Fi. Использование публичных сетей Wi-Fi (например, в кофейнях или аэропортах) может подвергнуть ваши данные риску. VPN обеспечивает зашифрованное соединение даже в таких сетях.
Конфиденциальность в Интернете. Маскируя ваш IP-адрес и шифруя ваши данные, VPN обеспечивает конфиденциальность ваших действий в Интернете и исключает возможность прямого мониторинга или отслеживания. Важно помнить – это не панацея. Если вы будете совершать наказуемые действия в сети, то VPN вас не спасет. Потому что спецслужбы взломают не ваше шифрование, а сразу вашу дверь.
Избежать ограничения пропускной способности. Некоторые интернет-провайдеры ограничивают пропускную способность для определенных видов деятельности в Интернете (например, потокового вещания, торрент-активности и т. д.). При использовании VPN они не видят, что вы делаете, поэтому им сложнее ситуативно ограничивать ваше соединение. Впрочем, есть и другие способы умерить ваши аппетиты.
Какие протоколы использует VPN?
VPN (Virtual Private Networks) использует различные протоколы для обеспечения безопасного и зашифрованного соединения между устройствами. Каждый протокол имеет свои сильные и слабые стороны, отражающие баланс между скоростью, безопасностью и простотой использования. Вот некоторые из наиболее популярных:
PPTP (Point-to-Point Tunneling Protocol)
– Возраст: один из старейших VPN-протоколов, разработанный компанией Microsoft.
– Безопасность: считается наименее защищенным среди современных протоколов из-за известных уязвимостей.
– Скорость: обычно быстрее из-за более низкого уровня шифрования.
– Применение: может использоваться в тех случаях, когда высокий уровень безопасности не имеет значения, а скорость является приоритетом. Например, его используют интернет-провайдеры на «последней миле».
L2TP/IPsec (Layer 2 Tunneling Protocol with Internet Protocol Security)
– Возраст: довольно почтенный, но помоложе PPTP.
– Безопасность: L2TP сам по себе не обеспечивает шифрования, поэтому для шифрования и проверки целостности используется протокол IPsec. В целом, считается безопасным, хотя существуют опасения по поводу потенциальных уязвимостей.
– Скорость: умеренная скорость, так как обеспечивает лучшее шифрование, чем PPTP.
– Применение: широко используется в службах VPN, обеспечивая баланс между безопасностью и скоростью.
OpenVPN:
– Возраст: относительно новый, с открытым исходным кодом.
– Безопасность: считается одним из самых безопасных VPN-протоколов, обеспечивающим до 256-битного шифрования. Высокая настраиваемость.
– Скорость: скорость зависит от уровня шифрования и загрузки сервера, но, в целом, приемлема для большинства пользователей.
– Применение: широко используется многими VPN-сервисами благодаря своей гибкости, безопасности и открытому исходному коду.
SSTP (Secure Socket Tunneling Protocol):
– Возраст: разработан компанией Microsoft и был представлен еще аж в Windows Vista.
– Безопасность: используется протокол SSL 3.0, поддерживающий 256-разрядное шифрование. Считается безопасным, но имеет проприетарный характер, за что многие его не любят.
– Скорость: сопоставима с OpenVPN.
– Применение: в основном, используется на устройствах под управлением Windows благодаря интеграции с ОС. Некоторые VPN-сервисы его также поддерживают.
IKEv2/IPsec (Internet Key Exchange version 2 with IPsec)
– Возраст: относительно свежая разработка компаний Microsoft и Cisco.
– Безопасность: славится своей безопасностью, особенно в сочетании с пакетом IPsec.
– Скорость: обеспечивает быстрое соединение, особенно полезное для мобильных устройств, которые часто переключаются между Wi-Fi и мобильной передачей данных.
– Применение: становится все более популярным, особенно на мобильных устройствах.
WireGuard
– Возраст: один из самых новых VPN-протоколов.
– Безопасность: использует современные криптографические протоколы, более простые и эффективные по сравнению со старыми протоколами.
– Скорость: высокоскоростной и легкий современный протокол.
– Применение: быстро набирает популярность, многие VPN-провайдеры начинают предлагать его в качестве опции.
Резюмируя:
С точки зрения безопасности золотыми стандартами часто считаются OpenVPN и WireGuard, хотя IKEv2/IPsec тоже неплох.
Что касается скорости, то PPTP является самым быстрым благодаря низкому уровню шифрования, но WireGuard, будучи намного безопаснее, его почти догоняет.
Важно также учитывать удобство использования и совместимость – например, если OpenVPN универсален и работает на многих платформах, то SSTP глубоко интегрирован в Windows.
При выборе протокола VPN необходимо учитывать приоритеты (скорость против безопасности), а также характер вашего устройства и сети. Для большинства пользователей приемлемый баланс скорости и безопасности дают OpenVPN и WireGuard.
Почему блокируют VPN
Блокировки VPN-сервисов имеют вполне очевидную причину – те, кто устанавливает ограничения, делают это не за тем, чтобы их легко обходили. VPN с некоторых пор стал настолько технически прост и доступен, что многие пользователи до недавнего времени не испытывали ни малейших неудобств при доступе к заблокированным массовым ресурсам, таким, как иностранные соцсети.
Достаточно установить бесплатное VPN-приложение, включить его и «жить как раньше». Да «бесплатность» их весьма условная, но, будем откровенны, среднего пользователя не очень-то волнуют утечки его личных данных. И так все давно утекло.
Регуляторов по обе стороны границы эта ситуация не устраивает. Ограничения стоят не только с нашей стороны, да и вообще не являются чем-то специфически отечественным. Так, например, в недавно в Европе был заблокирован доступ через VPN к американской соцсети Threads.
Что касается нашей ситуации, то Роскомнадзор на все претензии невозмутимо отвечает, что, согласно закону «О связи», в России запрещена работа VPN-сервисов, не обеспечивающих фильтрацию нарушающей закон информации. «Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несет в себе существенные риски утечки личной, корпоративной и иной информации», – говорят чиновники. Поэтому российским предприятиям и организациям порекомендовали ускорить перевод информационных систем и протоколов, обеспечивающих работу их внутренних бизнес-процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории России. Ну а рядовым пользователям следует соблюдать законодательство своей страны – запретили, не читайте!
Если этого объяснения вам недостаточно, то пользователи интернета из России могут задавать вопросы о причинах недоступности того или иного протокола VPN в Главный радиочастотный центр и акционерное общество «Данные – центр обработки и автоматизации». Далеко не факт, что вам ответят, но спросить можно))
Как можно заблокировать VPN
Есть несколько общеизвестных способов блокировки VPN:
✅ Блокировки по IP-адресу
Многие VPN-сервисы используют для своих серверов известные IP-адреса. После определения этих IP-адресов можно заблокировать доступ к ним. Это простой и широко распространенный метод, но его можно легко обойти, если VPN-провайдеры часто меняют свои IP-адреса или используют пул случайных IP-адресов.
✅ Блокирование портов
VPN-трафик часто проходит через определенные порты. Например, OpenVPN по умолчанию использует порт 1194. Блокируя эти порты, можно нарушить VPN-трафик, однако несложно обойти это, используя такие порты, как 443, который обычно используется для HTTPS-трафика и поэтому вряд ли будет заблокирован.
✅ Глубокая проверка пакетов (DPI)
DPI – это более совершенный метод, который предполагает изучение пакетов данных, передаваемых через Интернет, с целью определения их характера и назначения. С помощью DPI можно обнаружить модели VPN-трафика, даже если они идут через общие порты или используют обфускацию. После обнаружения такой VPN-трафик можно блокировать или дросселировать.
✅ Блокировка VPN-сайтов и сервисов
Блокируя доступ к сайтам, на которых пользователи могут зарегистрироваться или загрузить программное обеспечение VPN, можно затруднить пользователям доступ к сервисам.
✅ Анализ трафика и time attack
Анализируя время и объем сетевого трафика, интеллектуальные системы контроля могут сделать вывод об использовании VPN или типах услуг, к которым осуществляется доступ, даже если сам контент зашифрован.
✅ Блокировка по конкретным протоколам
Можно блокировать определенные протоколы, используемые VPN, что затрудняет установление соединения.
✅ Фильтрация и перехват DNS
Если пользователь пытается подключиться к VPN-серверу через его доменное имя, DNS-запрос может быть перехвачен и отфильтрован, в результате чего пользователь не сможет попасть на VPN-сервер.
✅ Законодательные и регулирующие меры
Помимо технических мер, правительства некоторых стран применяют юридические меры, делая незаконным использование или предоставление услуг VPN. Также можно обязать провайдеров блокировать или дросселировать VPN-трафик. В России это не применяется, использование VPN для наших граждан ненаказуемо. На момент выхода статьи жесткий запрет только в Китае, Ираке, ОАЭ, Турции, Беларуси, Омане, Иране, КНДР, Туркменистане и Мьянме.
Как блокируют VPN в России
Блокировка VPN силами Роскомнадзора (РКН) работает на уровне протоколов, но с упором на зарубежные IP-адреса, то есть касается прежде всего трансграничного трафика. Это позволяет РКН закрыть доступ к запрещенным в России сайтам, при этом минимизируя проблемы у корпоративных VPN-ресурсов. Пока это срабатывает неидеально – на фоне прошедших отключений отваливались не только иностранные «запрещенки», но и вполне отечественные сервисы, включая, например, ВКонтакте. Интернет до недавних пор был глубоко связанной системой, и в нем сложно было отключить что-то одно, не зацепив другое. Но эта ситуация быстро меняется, в том числе и благодаря вот таким «тестовым» отключениям.
Технически в России блокировка ресурсов происходит на специальном оборудовании на стороне провайдеров — ТСПУ (технические средства противодействия угрозам.). Роскомнадзор начал требовать от операторов связи устанавливать его с сентября 2020 года в рамках закона о «суверенном интернете». ТСПУ – классический «черный ящик», как они работают, провайдерам неизвестно. Это вполне логично – такие алгоритмы просто обязаны быть секретными. По косвенным признакам можно сказать только, что в случае с текущими «блокировками» VPN это вообще не блокировка в классическом понимании: вырезается не весь трафик, а только конкретное соединение.
Скорее всего, вскоре блокировки трансграничных VPN станут регулярными, а то и перманентными.
Как обойти блокировки?
Если говорить тезисно, то существуют следующие способы обхода блокировок:
Обфускация: маскировка VPN-трафика под обычный HTTPS-трафик.
Использование нескольких портов: предоставление пользователям возможности переключаться между различными портами.
Регулярная ротация IP-адресов: чтобы избежать блокировок по IP-адресам, провайдер услуги их регулярно меняет.
Невидимые (теневые) серверы: серверы, созданные специально для обхода блокировок VPN.
Shadowsocks и VLESS: прокси-серверные технологии, предназначенные для защиты интернет-трафика, которые относительно эффективно обходят DPI.
Использование self-hosted: самостоятельный хостинг VPN с маскировкой трафика.
Согласно недавним поправкам в Федеральный закон «Об информации, информационных технологиях и о защите информации» вводится ответственность за популяризацию и публикацию инструкций или советов по обходу блокировок. Публикация таковых может стать основанием для внесения ресурса в Единый реестр запрещенной информации Роскомнадзора.
⚠️ Не смотря на это, я готов рискнуть своим ресурсом, чтобы донести нужную для вас информацию. Дайте максимальный актив под постом с данной статьей, если вам нужны пошаговые инструкции.
Comentários