Технологии. VPN. Как установить и пользоваться собственным и безопасным.

Что же такое VPN?

VPN (Virtual Private Network) - это виртуальная частная сеть, которая позволяет вам создать безопасное и защищенное соединение с интернетом через другой сервер. Когда вы подключаетесь к VPN, ваш компьютер или устройство соединяется с сервером VPN, а затем уже оттуда выходит в интернет.

Достоинства VPN:

1. Безопасность: VPN шифрует ваш интернет-трафик, что означает, что никто не может перехватить и прочитать ваши данные.
2. Анонимность: Когда вы используете VPN, ваш IP-адрес меняется на IP-адрес сервера VPN, что затрудняет определение вашего местоположения.
3. Доступ к заблокированным ресурсам: VPN может помочь обойти блокировку определенных сайтов или сервисов, которые заблокированы в вашей стране или регионе.
4. Защита от хакеров: VPN может защитить вас от хакерских атак, когда вы используете публичные Wi-Fi-сети.

Недостатки VPN:

1. Скорость: Использование VPN может замедлить вашу интернет-связь, поскольку ваш трафик проходит через дополнительный сервер.
2. Платная подписка: Многие VPN-сервисы требуют платной подписки, что может быть дополнительной статьей расходов.
3. Надежность: Не все VPN-сервисы одинаково надежны и безопасны. Некоторые могут собирать ваши данные или использовать их не по назначению.
4. Технические проблемы: VPN может вызывать технические проблемы, такие как обрывы соединения или проблемы с настройкой.

В целом, VPN может быть полезным инструментом для защиты вашей безопасности и анонимности в интернете, но важно выбрать надежный и безопасный VPN-сервис и понимать его ограничения.

Почему нельзя пользоваться бесплатным VPN:

1. Сбор данных: Бесплатные VPN-сервисы часто собирают ваши данные, такие как историю посещений, IP-адрес, время и дату посещений, и могут продавать их третьим лицам.
2. Реклама: Бесплатные VPN-сервисы часто показывают рекламу, которая может быть навязчивой и раздражающей.
3. Ограничения скорости: Бесплатные VPN-сервисы часто ограничивают скорость вашего интернет-соединения, что может замедлить вашу работу или просмотр видео.
4. Ограничения трафика: Бесплатные VPN-сервисы часто ограничивают количество трафика, которое вы можете использовать, что может привести к дополнительным расходам.
5. Низкая безопасность: Бесплатные VPN-сервисы часто не обеспечивают достаточного уровня безопасности, что может привести к перехвату ваших данных хакерами.
6. Нет гарантии анонимности: Бесплатные VPN-сервисы часто не обеспечивают гарантии анонимности, что может привести к раскрытию вашей личности.
7. Могут быть вредоносными: Некоторые бесплатные VPN-сервисы могут быть вредоносными и устанавливать на ваш компьютер вирусы или трояны.
8. Нет поддержки: Бесплатные VPN-сервисы часто не предоставляют поддержку, что может привести к проблемам с настройкой или использованием сервиса.
9. Могут быть использованы для мошенничества: Бесплатные VPN-сервисы могут быть использованы для мошенничества, такого как кража паролей или номеров кредитных карт.
10. Нет прозрачности: Бесплатные VPN-сервисы часто не предоставляют прозрачную информацию о своей политике конфиденциальности и безопасности.

В целом, бесплатные VPN-сервисы не могут обеспечить достаточного уровня безопасности и анонимности, и могут быть использованы для мошенничества или сбора данных. Поэтому рекомендуется использовать платные VPN-сервисы, которые обеспечивают высокий уровень безопасности и анонимности.

Половина этих пунктов может быть и в платном VPN сервисе!

Никто не даст гарантии что ваши данные не будут украдены или скомпрометированы.

Настоятельно рекомендую не пользоваться никакими VPN сервисами!

По мимо псевдо безопасности при которой вы можете потерять даже доступ к банку, это конечно достаточно редкий случай, но если вы используете VPN на компьютере и зашли на сайт вашего банка, то достаточно быстрый злоумышленник украдет ваши cookie и попадет в вашу банковскую сессию и может создать вам головной боли. А если используете прокси, то лучше удалите их сразу, недобросовестный продавец или сервис может пользоваться атакой Man-in-the-middle

Man-in-the-middle

«Человек посередине» (man-in-the-middle, MitM, атака посредника) — Атака, при которой злоумышленник получает доступ к каналу связи между легитимными сторонами (пользователями, приложениями, сетевыми устройствами и т. д.), что позволяет ему просматривать содержимое всех передаваемых ими сообщений, удалять и изменять их.

Механизм атаки «человек посередине»

Существуют разные способы получения доступа к каналу связи. Например, недобросовестный сотрудник почтового отделения, вскрывающий письма и посылки (что, по сути, является MitM-атакой), имеет к ним физический доступ по долгу службы.

Если говорить о сетевой коммуникации и сценарии, когда у злоумышленников по умолчанию нет к ней доступа, то они могут:

• взломать сервис или устройство, имеющее этот доступ, например роутер;
• выдать себя за легитимного участника сетевой коммуникации: приложение, веб-сайт, VPN-сервер, точку доступа и т. д.

Среди методов, позволяющих направить трафик жертвы через ресурсы злоумышленников, можно выделить следующие:

• Фальшивые точки доступа: злоумышленники создают незапароленные точки доступа к Wi-Fi или, например, точки доступа с именами, похожими на имена легитимных точек доступа, в расчете, что жертва попытается к ним подключиться. В случае успеха весь интернет-трафик жертвы будет проходить через устройство злоумышленников.
• «Отравление» кэша ARP: злоумышленники транслируют по локальной сети соответствие между IP-адресом легитимного устройства и MAC-адресом своего устройства. Эта атака имеет смысл, если у атакующих есть доступ к локальной сети жертвы.
• Подмена DNS: злоумышленники меняют DNS-кэш (записи о соответствии между доменными именами, то есть адресами сайтов, и IP-адресами серверов, на которых расположены эти сайты) на роутере или уязвимом DNS-сервере, устанавливая соответствие между определенными доменными именами и подконтрольными им IP-адресами. Если пользователь пытается открыть в браузере соответствующий сайт, он попадает на ресурс злоумышленников, который, как правило, полностью копирует дизайн оригинального сайта.
• Спуфинг URL-адреса: злоумышленники создают поддельные ресурсы с URL-адресами, похожими на URL легитимного ресурса. Если пользователь вместо легитимного откроет сайт злоумышленников, они могут выступать в роли «посредника» между пользователем и легитимным сайтом.

Чем опасна атака «человек посередине»

Злоумышленник, имеющий полный доступ к каналу связи жертвы, может:

• читать, изменять и удалять сообщения;
• красть конфиденциальную информацию, такую как данные платежных карт, логины и пароли к аккаунтам, а также содержимое переписки;

просматривать, удалять и подменять передаваемые файлы, в том числе заменять скачиваемые приложения на их вредоносные версии.

И что же делать спросите вы?

Кажется раз все не безопасно, то и вариантов решения нет, но поспешу вас обрадовать. VPN Server это обычная программа которую можно установить на свой компьютер или сервер.

Разберем на реальном примере, находясь за границей по прилету вы хотите пойти к врачу. Запись к которому возможна за 5 дней, записаться из дома и терять еще 5 дней, у вас по какой то причине нет возможности, а сайт не открывается на территории этой страны.

Ошибка подключения к сайту

Мы с вами помним, что терять настолько важные данные мы не можем, поэтому безопасность превыше всего.

Какой VPN протокол выбрать и какие они бывают, я возьму 3 самых популярных на момент написания статьи:

OpenVPN

OpenVPN (Open-Source Virtual Private Network) — золотой стандарт в области VPN-протоколов. У него высокая скорость подключения и совместимость с большинством портов. Работает протокол на всех основных платформах, включая Windows, macOS, Linux, Android и iOS. Также есть большое комьюнити, в котором разрабатывают собственные решения на базе OpenVPN.

С точки зрения безопасности OpenVPN опирается на библиотеку OpenSSL и поддерживает разные алгоритмы шифрования: AES, Blowfish и другие. У него есть несколько портов, поэтому VPN-трафик можно замаскировать под обычный браузер.

В плане скорости протокол занимает промежуточное место. Он быстрее, чем L2TP/IPSec, но медленнее, чем PPTP и WireGuard. Однако скорость всегда зависит от устройства и параметров конфигурации. К примеру, его можно увеличить за счет функции раздельного туннелирования или уменьшить с помощью обфускации или двойного шифрования.

WireGuard

Протокол появился в 2018 году и успел завоевать большую популярность. Он использует шифр ChaCha20, описанный в RFC 7539, и имеет около четырех тысяч строк кода, что значительно упрощает и ускоряет аудит безопасности. Основной минус: он не умеет динамически назначать IP-адреса пользователям, подключенным к серверу. Поэтому статический IP должен храниться на том же сервере.

WireGuard — самый быстрый по сравнению с другими VPN-протоколами, поскольку не использует туннелирование по TCP в принципе. Linux-системы обеспечивают наилучшую работу протокола с помощью интеграции в модуль ядра.

Lightway

Компании ExpressTechnologies разработала протокол LightWay в качестве аналога Wireguard, но с упором на безопасность и высокую скорость. Его используют как сервис ExpressVPN.

При создании протокола разработчики использовали библиотеку wolfSSL — ее часто можно найти в системах умных домов. Сам по себе LightWay неплохой вариант с точки зрения безопасности. Он передает ключи шифрования через алгоритм Диффи-Хеллмана с применением эллиптических кривых (ECDH) и использует динамическую выдачу IP-адресов для приватности пользователей. В протоколе всего две тысячи строк кода, что облегчает специалистам аудит безопасности. А для любителей «покопаться» есть открытый исходный код.

Lightway занимает лидирующие позиции по скорости передачи данных. В большинстве случае — через UDP вместе с DTLS-протоколом для безопасной передачи датаграмм. При этом можно его использовать в связке TCP и TLS.

Краткая сводка

Я остановился на OpenVPN так как у меня большой опыт в работе с ним, так же что не мало важно прост в установке и меня устраивает его безопасность. Так как я часто путешествию, то ряд российских сайтов недоступен, а домашний компьютер не всегда включен, что бы устанавливать его туда, поэтому разберу пример с арендой VPS сервера.

Виртуальный частный сервер (VPS) – это машина, на которой находится все программное обеспечение и все данные, необходимые для работы веб-сайта приложения.

Но если у вас постоянно работает компьютер, вы можете устанавливать прям на него, не тратя лишних денег, обращаю ваше внимание на то, что обязательно нужен статический ip адрес или программа, которая будет сообщать вам текущий внешний адрес, для возможности подключения

Статический IP-адрес - это услуга, которая позволяет присвоить абоненту постоянный IP-адрес в сети Интернет. В отличие от динамического IP-адреса, который меняется при каждом выходе в Интернет, статический IP-адрес закрепляется за логином и остается неизменным.

Так как большинство людей все же выключает технику, уезжая из дома, то актуальнее все же арендовать свой сервер.

Установка

Вам предстоит сделать самостоятельный выбор по первым двум пунктам

1. Выбор хостинга
2. Выбор операционной системы
3. Непосредственно установка
4. Проверка работы

Свой же выбор хостинга озвучивать не стану, что бы не было рекламы, а операционная система - Debian 12. В России множество хостингов которые предоставляют качественные услуги и вам не составит труда найти подходящий. Важно, обратите внимание на интернет канал - выбирайте от 100мб, и безлимитный трафик.

Мой выбор - Debian 12 и Москва

Для своих целей я выбрал Москву, вы же можете взять любой регион. Нажимаю заказать. Видим публичный адрес и ssh строку подключения.

Адрес для подключения

Подключаемся по любимому SSH Клиенту, у меня это Termius. Если будет интересно, может сделать сравнение и обзор каждого в отдельной статье, а если такого нет, то просто открываем вкладку Консоль и получаем доступ.

Порядок команд для установки:

1. Обновляем систему

• sudo apt update
• sudo apt upgrade

2. Устанавливаем OpenVPN

• apt install curl
• curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh
• chmod +x openvpn-install.sh
• ./openvpn-install.sh

Весь процесс давно автоматизирован, и в 99% случаев вам достаточно просто нажимать Enter

Процесс работы скрипта

Когда запросит ввести Client name это название сертификата, который будет использоваться, я назвал просто dzen, вы так же можете на следующем шаге зашифровать сертификат, я не стал ставить пароль, но вам крайне советую.

После этого в нашей директории появится новый файл client_name.ovpn в моем случае dzen.ovpn. Посмотреть файлы в текущей папке, можно с помощью простой команды:

• ls

Остался последний шаг, эскортируем наш сертификат себе на компьютер или телефон. Вариантов достаточно много как это сделать, в мой SSH Клиент встроен SFTP и я просто переношу его с сервера на домашний компьютер.

Перенос сертификата

Вам же я советую скачать любой FTP клиент, к примеру FileZilla

Можно установить Samba и использовать как сетевую папку, отправить на почту и еще множество вариантов, но к теме это не имеет отношения.

Проверяем

Я скачал файл на телефон, предварительно установив с магазина приложение OpenVPN. Нажимаем на файл и открываем с помощью OpenVPN.

И как результат проделанной работы, я могу не опасаясь кражи данных, наконец зайти и записаться на нужную мне услугу находясь за границей

Наконец работает

Вот и все дорогие друзья, за несколько минут, без каких либо сложностей мы разобрались, что такое VPN, почему нельзя пользоваться сторонними VPN серверами, создали свой и обезопасили себя!