Без рубрики

Какие VPN бывают?

Иногда даже крупные издания смешивают в своих статьях пользовательский VPN, с помощью которого можно посмотреть заблокированные по той или иной причине ресурсы, и корпоративный VPN, используемый для связи офисов территориально-распределенных компаний. В обоих случаях используется одна и та же технология, но есть нюанс. Давайте разбираться какие бывают VPN и в каких ситуациях они используются.

Определение и статистика

VPN (англ. virtual private network — «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх какой-либо другой сети. Т.е. на основе публичной и, в общем случае, недоверенной сети, строится безопасное взаимодействие сетевых устройств.

Технологии уже много лет, за это время набралось много статистики и прогнозов. Начнем с мировых цифр.

Мировая статистика VPN за 2024 год

В мире VPN используют 1,5 миллиарда человек. Рынок услуг VPN оценивается в десятки миллиардов долларов и будет только расти.

Наша страна не исключение. В 2023 году число россиян, которые пользуются VPN, выросло на 37% относительно 2022 и в 2,5 раза относительно 2021 года. Такой охват и рост только подтверждает, что VPN — это технология с обширным списком решаемых задач и кейсов использования, остановимся на них подробнее.

Обход блокировок из России

Дисклеймер
Данная статья носит исключительно образовательный характер. Автор не призывает использовать технологии VPN для доступа к ресурсам, заблокированным на территории России. Тем более не предлагает скачивать и использовать какое-либо ПО для этих действий.

Классическая история. Роскомнадзор (РКН) ведет список запрещенных сайтов, операторы связи обязаны блокировать доступ к ним. А с 1 марта в рунете нельзя рассказывать про способы обхода блокировок, писать инструкции, распространять ПО для обхода. Я это делать тоже не буду, смотрите дисклеймер выше.

Как же это работает? VPN-сервис позволяет построить туннель из страны нахождения пользователя в другую страну. Воспользовавшись таким туннелем, пользователь как бы оказывается в стране, где доступ к интересующему сайту не блокируется операторами связи. Передаваемая в туннеле информация шифруется, поэтому устройства российских провайдеров не могут получить к ней доступ, соответственно, не блокируют данный трафик.

VPN c изменением гео локациии

VPN-сервисы, меняющие геопозицию пользователя, как правило, не сотрудничают с РКН, поэтому весь трафик этих сервисов попадает под блокировку. Принцип такой: неизвестно что внутри туннеля, возможно «запрещенка», поэтому блокируем весь туннель. Блокировка реализуется специальным устройством ТСПУ (техническое средство противодействия угрозам), которое устанавливается на сетях операторов связи и управляется РКН.

За использование VPN-сервисов и обход блокировок граждан пока не наказывают. Зато наказание может понести сервис и те, кто популяризирует обходы блокировок. Поэтому примеры VPN-сервисов я приводить не буду, их великое множество – платные и бесплатные, отдельные приложения и плагины к браузерам и т.д.

Нужно отметить, что финансовая модель таких сервисов подразумевает продажу телеметрических данных и сведений о пользователе, которые могут использоваться третьими лицами в рекламных целях. Внутри туннеля они доступны владельцу или администратору VPN-сервиса. Тут отлично подходит тезис: «если вы не платите за товар, то вы и есть товар». При этом важно понимать, что в погоне за бесплатным VPN-сервисом для обхода блокировок велика вероятность нарваться на троян, кейлоггер или стать частью ботнета.

Обход блокировок в Россию

Рассмотрим обратную ситуацию, допустим, вы находитесь не в России и хотите через mos.ru передать показания счетчиков на воду. Но попасть на mos.ru из-за границы нельзя, судя по всему, заблокирован доступ с зарубежных IP-адресов (GeoIP). Аналогичная ситуация у Госуслуг, РЖД, а также многих гос.органов. Схема похожа на предыдущую с точностью до наоборот: блокировка на стороне получателя, а не отправителя.

Решение данной проблемы давно есть – VPN-сервисы, серверы которых находятся в России. Некоторые работодатели, которые релоцировали своих сотрудников из России в другие страны, делают «корпоративные» VPN серверы на территории России для удобства сотрудников.

Похожее решение проблемы могло бы предложить и государство. Главное, чтобы им могли воспользоваться только обычные граждане, а не те, кто атакует российские ресурсы (поэтому mos.ru и некоторые другие сайты недоступны из-за границы). Возможно поможет российский VPN-сервис с аутентификацией через ЕСИА, но доступ к нему могут заблокировать в других странах (см. предыдущий раздел).

Защищенная корпоративная сеть

Наконец-то мы добрались до сценария, который чаще всего обсуждается в блоге и телеграмм канале.
Если у компании есть несколько офисов в разных городах и им необходимо взаимодействие, то без VPN не обойтись.

Есть два варианта реализации:
1) Операторский MPLS VPN,
2) Реализация VPN сторонними средствами поверх любых каналов связи.

В первом случае оператор связи предоставляет клиенту «выделенные каналы связи». Оборудование провайдера отличает трафик пользователей друг от друга по специальным меткам (MPLS — MultiProtocol Label Switching — многопротокольная коммутация по меткам). Трафик может быть зашифрован, обычно западной криптографией. Для пользователей сеть выглядит изолированной, они ничего не знают ни о метках, ни друг о друге.

Для второго случая возможна реализация с помощью оборудования, которое использует российские алгоритмы шифрования (ГОСТ VPN) или зарубежные. Принцип действия от этого не меняется. В каждом офисе устанавливается оборудование, которое шифрует трафик. При передаче по каналам связи трафик защищен от просмотра и модификации, организация получает изолированную сеть.

Пример реализации сервиса ГОСТ VPN от ГК "Солар"
Пример реализации сервиса ГОСТ VPN от ГК «Солар»

Структура (или топология) сети может быть фактически любой: точка-точка, звезда с одним или несколькими центрами, полносвязанная топология и другие. Выбранный вариант существенно влияет на используемые средства VPN. Особняком стоят еще два случая:

• Защита высокоскоростных каналов, например, между основным и резервным центрами обработки данных (ЦОД),
• Защита доступа сотрудников, работающих удаленно, в корпоративную сеть.

Подробнее на них останавливаться не буду, каждый из них тянет на отдельную статью (написать?).

Работа из определенной локации

Этот сценарий использования VPN мне рассказал знакомый, который ранее работал в российском представительстве зарубежной компании. Компания закрыла представительство, сотрудникам предложили релокацию в другие страны. Многие хотели бы сохранить работу в компании, при этом работать удаленно — из России, т.е. без всяких релокаций. Но такой вариант компанию не устраивал.

«Как здесь поможет VPN?» – спросите вы. Представьте, что сотрудник компании придумывает легенду, выбирает страну для «релокации», поднимает VPN из России до этой страны. Теперь с точки зрения корпоративных ресурсов он находится в нужной локации. Логика работы очень похожа на обход блокировок из России, но функциональная задача иная.

Да, есть масса способов проверки локации: билеты (особенно, если их компенсирует работодатель), чек за жилье, схема получения заработной платы, оплата налогов и другие. Но на каждый из этих пунктов есть свой обход, было бы желание. Мой знакомый так делать не стал, он выбрал работу в российской компании. Рано или поздно работодатель узнает об обмане по совокупности косвенных признаков (или назначит очную встречу на следующий день). Риск слишком велик, не рекомендую так делать.

Бесплатный интернет в публичных местах

VPN будет также полезен при доступе в интернет в общественных местах. Публичная точка доступа WiFi, например, в кафе, аэропорту или отеле, может быть удобной для доступа в интернет, но при подключении вы должны осознавать, что идете на определенный риск.

Основной угрозой является то, что что злоумышленник может создать свою точку доступа с «говорящим» названием Coffe-point-FREE, далее у него есть множество векторов атаки:
• анализировать ваши данные, собирать пароли и чувствительную информацию,
• создать копию страницы популярного сайта, украсть ваши реквизиты доступа к этому сайту или данные о вашей банковской карте,
• заразить ваше устройство вирусом и требовать выкуп.

Чтобы минимизировать риски, передавайте весь трафик в VPN туннеле, это обеспечит конфиденциальность и защиту от администратора точки. Это нормальная практика для корпоративной сети и удаленного работающих сотрудников.

Если у вас нет возможности использовать VPN и нужен доступ в интернет через публичную точку доступа, то соблюдайте минимальный набор правил кибергигиены:
• Избегайте ввода личной информации. Посмотреть котиков, не вводя логин и пароль – ОК✅, заказать загран паспорт на Госуслугах – не ОК❌.
• Не разрешайте другим устройствам сети доступ к вашим файлам (–Вы хотите разрешить другим компьютерам и устройствам в этой сети обнаруживать ваш ПК? –Нет!).
• Следите за адресной строкой, там должен быть протокол https и действительный сертификат, но об этом в следующем разделе.

Доступ к сайтам

Думаю, многие скажут, что TLS и SSL — это немного другое, но для полноты статьи считаю нужным указать данный сценарий. По сути это тот же VPN, но только для веб-трафика.

Протоколы SSL/TLS позволяют защитить взаимодействие между сайтом и нашим устройством, а также убедиться в подлинности сайта/веб-сервиса. Иными словами, обеспечивается аутентификация сайта, а также шифрование и имитозащита трафика при передаче. Это особенно важно при передаче паролей, платежных данных и другой конфиденциальной информации.

Мы, как пользователи интернет сайтов, пользуемся этим регулярно. Обратите внимание на протокол https (s – secure) в адресной строке. Это как раз таки про шифрование и подлинность сайта (сертификат выдан именно тому сайту, адрес которого отображается в адресной строке браузера).

Если хотите подробнее узнать про центры сертификации для выпуска сертификатов, алгоритмы в протоколе и перспективы развития в российском сегменте интернета, посмотрите запись моего вебинара.

Большинство сервисов, заботящихся о безопасности данных своих пользователей, перешли на https. Это существенно снижает вероятность нарваться на цифрового двойника такого сайта и защищает трафик от анализа злоумышленником. Избегайте незащищенного протокола http.

Итого

Мы рассмотрели какие VPN бывают и увидели, что одна и та же технология может использоваться в совершенно разных сценариях:

  • Изменение геопозиции, в том числе для обхода запретов и блокировок,
  • Защита корпоративной сети,
  • Минимизация рисков при доступе в интернет из общественных мест,
  • Защита доступа к сайтам.

Ставить знак равенства между вариантами использования VPN нельзя: в одних случаях технология обеспечивает безопасность, в других – позволяет обходить правила.