Предупреждение: в этой статье не рассказываются способы обхода блокировок. Её цель - изложить теоретическую часть и объяснить, почему бездумное использование VPN может быть опасно для ваших личных данных.
Для начала немного теории
IP-адрес (IPv4) — это уникальный числовой адрес устройства в сети Интернет. Он состоит из четырёх чисел от 0 до 255, разделённых точками, например 77.88.55.88 (один из адресов Яндекса). В настоящее время существует также IPv6, но для простоты мы его рассматривать не будем.
- Публичный IP-адрес — это адрес, который виден в интернете. С таким адресом устройство доступно извне, например, для веб-сайтов или удалённого доступа. Он выдаётся провайдером и уникален в глобальной сети.
- Приватный (локальный) IP-адрес — используется внутри локальной сети (например, дома или в офисе). Он не виден из интернета напрямую и не может быть уникальным глобально. Примеры: 192.168.x.x, 10.x.x.x, 172.16.x.x – 172.31.x.x. Такие сети ещё называются LAN (Local Area Network.)
Реальный пример
Давайте рассмотрим реальный пример. Скорее всего, у вас дома установлен Wi-Fi роутер. Он сам подключается к интернет-провайдеру, получает публичный IP-адрес, и далее раздаёт доступ к сети на все ваши устройства. Публичным может быть например IP 87.226.162.216 (если используете Ростелеком). Но помимо публичного, роутер также имеет локальный IP-адрес. Как правило это 192.168.1.1 - у большинства роутеров именно такой локальный IP. Все ваши устройства подключаются к роутеру и получают свои собственные локальные IP-адреса, которые отличаются только последним числом. Например:
- ваш компьютер 192.168.1.2
- ваш смартфон 192.168.1.3
- смартфон жены 192.168.1.4
- планшет ребенка 192.168.1.5
- умный пылесос 192.168.1.6
- умная стиральная машина 192.168.1.7
- сигнализация 192.168.1.8
и т.д. Числа не обязательно идут подряд, они могут выдаваться случайно в диапазоне от 0 до 255. При этом, когда любое из этих устройств выходит в интернет, у него публичный IP-адрес будет тот, который у роутера, в нашем случае это 87.226.162.216.
Если ваш сосед тоже использует Ростелеком и у него собственный договор на обслуживание и отдельный роутер, этот роутер никак не смог бы получить IP 87.226.162.216, ведь он уже занят вашим роутером! У его роутера будет обязательно другой публичный IP, например 87.226.162.225. А вот локальные IP могут совпадать с вашими, то есть его роутер может также иметь IP 192.168.1.1, его смартфон может иметь IP 192.168.1.2 и т.д.
Важно: если злоумышленник захочет совершить сетевую атаку на IP 87.226.162.216, под атакой окажется сам роутер, а не какое-то из ваших устройств. И чтобы хакеру просканировать открытые порты вашего ПК, он должен сначала взломать роутер, что является непростой задачей. Но так было не всегда. Лет 20 назад, когда в домах ещё не было такого разнообразия устройств, а WiFi ещё не был так популярен, доступ в интернет как правило имел только общий домашний компьютер. Этот комп сам подключался к интернету через модем (например через PPPoE-соединение), и сам получал публичный IP-адрес. Это означало что все сервисы, которые были на нем открыты (например, удаленный рабочий стол), оказывались под прямым ударом и могли быть атакованы хакерами. Но с распространением роутеров такой тип атак для домашних компьютеров стал неактуален.
Пример применения VPN
Теперь рассмотрим реальную задачу. Допустим, вы работаете в офисе. Локальный IP вашего офисного компьютера 192.168.100.123. И вот вы ушли домой, уехали в отпуск, или перешли на удалёнку. А важные документы остались на вашем офисном компьютере. Вы хотите получить к ним доступ, но не можете, ведь 192.168.100.123 - это локальный IP в рамках вашей организации, он не уникальный, он недоступен извне напрямую. Как же быть? Вы сможете получить доступ к своему офисному компьютеру ТОЛЬКО если системный администратор вашей организации поднял VPN-сервер и настроил к нему доступ извне. Вы к нему подключаетесь и получаете виртуальный локальный IP, скажем 192.168.100.222. Но этот локальный IP будет относиться не к локальной сети вашего дома, а к локальной сети вашей организации. И вот тогда вы с выданного вам виртуального локального IP 192.168.100.222 уже сможете получить доступ на ваш офисный компьютер с IP 192.168.100.123.
Причем, подключившись к локальной сети вашей организации, вы будете подчинены правилам этой сети. Скажем, если там запрещен доступ к соцсетям, у вас его тоже не будет. А если вы работаете на иностранного работодателя и его офис где-нибудь в Хельсинки, то из его локальной сети вы наоборот получите доступ к сайтам, которые заблокированы в России. Причем, ваш внешний IP-адрес будет уже адресом офиса, к которому вы подключились.
Итак, что же такое VPN?
VPN — это технология, которая позволяет безопасно подключиться к удалённой локальной сети (LAN) через интернет, как будто вы находитесь внутри неё.
Следствия такого подключения:
- 1) ваш трафик будет зашифрован от вашего компьютера до VPN-сервера,
- 2) ваше интернет-соединение будет подчиняться правилам той локальной сети, к которой вы подключились,
- 3) ваш внешний IP будет являться внешним IP VPN-сервера,
- 4) владелец VPN-сервера сможет перехватывать ваш трафик,
- 5) вероятно вы сможете видеть устройства участников удаленной локальной сети, а они смогут видеть ваше устройство.
Пункты 4 и 5 вас должны особенно насторожить. Одно дело когда вы подключаетесь к VPN-серверу своего офиса. Его настраивал системный администратор, который работает на ту же компанию, что и вы, а участники локальной сети - ваши коллеги. И совсем другое дело, когда с целью подмены своего IP-адреса вы подключаетесь к неизвестному вам VPN-серверу, админом и пользователями которого могут быть кто угодно. Допустим владельцам VPN-сервиса вы доверяете, и верите что его администрируют профессионалы. Но ведь остальные участники этой сети - совершенно незнакомые вам люди. Да, там возможно сидят какие-то ваши единомышленники, но среди них могут оказаться условные хакер Жора, шпион Джеймс, майор Кузнецов и т.д. Они могут сидеть там вовсе не для того чтобы смотреть YouTube, а для того чтобы:
- получить информацию о ваших устройствах
- скачать какие-нибудь открытые документы из ваших общих папок
- просканировать ваши порты
- а может быть и осуществить проникновение в ваш компьютер или смартфон.
Помните, я говорил что роутер вас защищает от сетевых атак? Только вот дело в том что после того как вы осуществили VPN-подключение, ваше устройство снова оказалось открытым. Не для всего мира, конечно, а вот для тех незнакомых вам людей, находящихся в той же локальной сети, к которой вы только что подключились.
Неужели всё так плохо?
Есть один нюанс. Дело в том что в наше время термин VPN исказил свой смысл, и под ним как правило стали понимать вообще любые средства обхода блокировок. Хотя изначально VPN предназначался для удаленного доступа к локальным сетям, как было показано выше. Классический VPN использует технологии PPTP, L2TP, IPsec и OpenVPN. Некоторые из них бывают прямо "вшиты" в ваш смартфон или операционную систему на ПК, вам даже не нужно устанавливать какие-то специальные приложения для их использования, но вам нужно знать конкретные параметры доступа к VPN-серверу. А вот то что можно найти в Google Play и AppStore - зачастую не являются VPN в полном смысле этого слова. Они могут использовать какие-то свои собственные протоколы, либо протоколы, не являющиеся буквально VPN. Например, SSH-туннелирование шифрует трафик, но не организует на конечном сервере никакой локальной сети, не выдает локальный IP-адрес пользователю, не протоколирует его действия. Для конечного потребителя это не минус, а наоборот плюс.
Проблема в том что VPN-сервисы зачастую вообще не раскрывают никаких подробностей. Ни то, на каких протоколах они работают, ни то, кто их администрирует, ни то, видят ли пользователи друг друга внутри виртуальной сети. Вы буквально имеете дело с черным ящиком. Поэтому, лучший способ безопасно использовать VPN - это приобрести и настроить собственный VPS (Virtual Private Server), стоимость которого обычно от начинается от 250 рублей/месяц. Но если вы не Linux-администратор и не имеете специальных знаний, настроить его вам будет сложно. Лучше обратитесь к знакомому админу за помощью, которому доверяете.
Вместо итогов - вот вам мои советы
1. Крайне не рекомендую искать в интернете/в AppStore/в GooglePlay какие-то неизвестные вам приложения по ключевому слову "VPN" и ставить их на свой основной смартфон или компьютер. Если очень нужно - используйте для этого отдельный смартфон или компьютер, на котором не будет никаких чувствительных данных.
2. Категорически не рекомендую выходить через малоизвестные (а в идеале вообще через любые) VPN в банковские приложения, например в Сбер или ВТБ.
3. Даже если какой-то очень любимый вами блогер рекламирует VPN-сервис, это не означает что тот сервис безопасен. Если все-таки вы решили купить именно у него, убедитесь что этот блогер не ведёт запрещённую деятельность в РФ, не объявлен в розыск, не является экстремистом и т.д. И что процент от оплаты VPN-сервиса не пойдет на финансирование какой-либо недружественный организации.
4. Лучше всего имейте собственный VPN-сервер, либо попросите доступ к собственному VPN-серверу у своего надёжного друга. Так вы будете уверены что никто вас не прослушивает, и никто посторонний не сидит с вами в одной сети.