Что такое VPN и как он работает

За последние несколько недель российские власти заблокировали доступ к популярным в России соцсетям Instagram и Facebook, а также ко многим СМИ за нарушение нового закона о распространении фейков. К этим ресурсам можно получить доступ с помощью VPN-сервисов. Какой выбрать, законно ли его использовать и позволяет ли эта технология оставаться анонимным в сети?

Что такое VPN

Технология VPN (англ. Virtual Private Network — виртуальная частная сеть) позволяет создать безопасное зашифрованное подключение между несколькими устройствами поверх уже работающей сети. Благодаря ей пользователи могут получить удаленный доступ к закрытым сетям, а также замаскировать свой трафик и действия в интернете.

По определению VPN-сеть частная, поэтому доступ к ней есть только у ограниченного количества устройств, и у этой сети есть свой администратор. Она маркирует всех участников сети, контролирует отправляемую ими информацию и не позволяет передать ее в расшифрованном виде за пределы сети.

Как работает VPN

При подключении пользователя к интернету его устройству присваивается IP-адрес. По нему оператор связи может отследить действия пользователя в интернете, в частности посещенные сайты, совершенные покупки и так далее. Операторы связи могут анализировать эту информацию и продавать ее в обезличенном виде, например, рекламным агентствам.

С помощью защищенного VPN-соединения пользователь может получить доступ к ресурсу не напрямую со своего устройства, а с VPN-сервера, расположенного в другой стране. Это происходит аналогично тому, как пользователь подключается к сети по Wi-Fi и получает доступ в интернет через роутер, только вместо роутера — VPN-сервер, объяснил главный специалист департамента аудита ИБ компании T.Hunter Владимир Макаров. При этом провайдер видит только трафик от устройства до VPN-сервера, а его содержание он посмотреть не может, поскольку оно зашифровано. Также программа позволяет скрыть реальное местоположение пользователя от администрации сайтов, маркетинговых роботов и других сборщиков информации.

По закону Яровой операторы обязаны хранить трафик пользователей, включая переписку и телефонные звонки, а также предоставлять властям по требованиям спецслужб, говорит директор «Общества защиты интернета» Михаил Климарев. Он отметил, что власти не смогут получить доступ к файлам и переписке, если они будут передаваться по VPN-сетям.

VPN-сервер могут организовать частные лица для собственных целей (для этого им необходимо арендовать компьютер или облачную виртуальную машину за рубежом) или организации для подключения своих сотрудников, пояснил Климарев. Однако для этого нужны определенные компетенции, и многие пользуются услугами частных VPN-провайдеров, которые позволяют подключиться к своим сетям, добавил он.

Зачем нужен VPN

Изначально VPN-сервисы использовались для корпоративных целей, рассказал технический директор общественной организации «Роскомсвобода» Станислав Шакиров. Например, крупные компании устанавливают его для подключения удаленных сотрудников, офисов или целых филиалов к корпоративной сети, обеспечивая им доступ к внутренним ресурсам. Дистанционный доступ к ней можно получить только через VPN. В некоторых компаниях использовать VPN-сервисы обязательно, чтобы злоумышленники не могли перехватить корпоративную информацию.

Сейчас технология массово используется для обхода ограничений и блокировок ресурсов, недоступных на территории страны. Это побочный эффект специфики ее работы — со стороны регуляторов и самих сайтов кажется, что доступ к ресурсу, заблокированному в России, запросило устройство из другой страны, и уже по зашифрованному подключению информация с сайта передается непосредственно пользователю VPN-сервиса, объяснил Климарев. 

Таким образом жители России могут получить доступ, например, к Instagram и Facebook, которые заблокировал Роскомнадзор. По данным сервиса top10VPN на 14 марта, спрос на подобные сервисы вырос на 2692% по сравнению со среднесуточным показателем в середине февраля. Таким же образом в 2018 году пользователи из России получили доступ к тогда еще заблокированному Telegram.

Также эксперты советуют применять VPN при подключении к интернету именно через публичный Wi-Fi. В это время в одной сети с пользователем могут быть злоумышленники, способные перехватить трафик и похитить пароли, номера банковских карт и так далее. Однако получить данные из VPN-сети у него уже не получится.

Как выбрать VPN

Сервисы отличаются друг от друга по размеру серверной сети (сколько VPN-серверов и из каких стран доступно для подключения), максимальной скорости соединения, используемым протоколам шифрования, ограничению по объему трафика и количеству одновременно подключенных к сети устройств. При этом они могут быть как платными, так и бесплатными.

Бесплатные монетизируют свою деятельность за счет сбора информации о пользователях, поскольку они знают, какой пользователь к какому ресурсу подключался. Они могут продавать эту информацию — в лучшем случае рекламодателям, в худшем — злоумышленникам. Кроме того, бесплатные сервисы могут предоставлять недостаточно надежное шифрование трафика, из-за чего конфиденциальность информации может быть нарушена, рассуждает аналитик группы оперативного мониторинга Angara Security Татьяна Лынова. <

Также бесплатные сервисы могут показывать рекламу во время доступа пользователя в интернет и ограничивать максимальную скорость трафика. У платных VPN-сервисов более очевидная бизнес-модель — пользователь платит деньги, на которые провайдер поддерживает инфраструктуру VPN-серверов.

Среди бесплатных VPN-сервисов есть и мошеннические, которые изначально предлагают свои услуги пользователям для сбора их персональных данных, информации о платежных картах и так далее, предупреждает Климарев из «Общества защиты интернета». Среди безопасных бесплатных сервисов он выделил Psiphon (разрабатывался за счет фонда канадского правительства для обхода «великого китайского фаерволла»), Lantern и Proton VPN, среди платных — Xeovo.

Важно обращать внимание на любые дополнительные ограничения со стороны VPN — у них могут быть свои правила, по которым они могут ограничить доступ к своим услугам, если пользователи качают пиратский контент с торрент-трекеров или нелегально смотрят кино в пиратском онлайн-кинотеатре, добавил Макаров из T.Hunter.

Предпочтение лучше отдавать коммерческим сервисам от известных разработчиков — с ними личные данные пользователя с большей вероятностью будут в безопасности: платный сервис зачастую предполагает больше ответственности со стороны вендора, согласен эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Галов. Это подтверждает и Климарев: при выборе VPN-провайдера нужно ориентироваться на его популярность и авторитет, фактически их бизнес строится на доверии пользователей, и если станет известно об утечке данных, то ими попросту перестанут пользоваться. Для подтверждения собственной безопасности некоторые VPN-сервисы заказывают независимый аудит.

Дает ли VPN анонимность

Даже платные сервисы не гарантируют пользователю полную анонимность. «Для того чтобы повысить уровень безопасности, можно использовать несколько VPN или VPN вместе с браузером TOR. Также можно использовать VPN в той юрисдикции, власти которой не очень дружат с государством, в котором вы находитесь, и в таком случае запрос спецслужб одной страны будет обрабатываться около полугода, а за это время логи ваших действий уже скорее всего сотрут», — рассуждает Шакиров. 

Он добавил, что отечественные VPN-сервисы использовать не рекомендуется, потому что они выполняют требования российской юрисдикции и, например, не дают доступ к заблокированным в России сайтам.

«Никто не гарантирует, что иностранные VPN-сервисы не сотрудничают с западными властями и не передают им информацию. Но если вы опасаетесь, что из-за ваших действий в сети к вам придут из ФБР, ЦРУ, Ми-6, «Моссад» и других спецслужб, то VPN вам будет мало», — полагает Климарев. 

Законны ли VPN

Еще с 2017 года в России принят закон о запрете использования VPN-сервисов и анонимайзеров для обхода блокировок сайтов, которые признаны запрещенными в России, в противном случае они сами будут заблокированы. С 2019 года VPN-провайдеры были обязаны подключиться к федеральной государственной информационной системе Роскомнадзора с перечнем заблокированных сайтов, однако абсолютное большинство проигнорировали эти требования.

Блокировать VPN-сервисы Роскомнадзор начал только в 2021 году — сначала под ограничения попали VyprVPN и Opera VPN, а затем — еще шесть сервисов. В ведомстве объяснили, что их использование приводит к сохранению доступа к запрещенной информации и создает условия для незаконной деятельности, в том числе связанной с распространением наркотиков, детской порнографии, экстремизма и склонением к суициду.

15 марта глава IT-комитета Госдумы Александр Хинштейн объявил, что Роскомнадзор заблокировал в России уже около 20 VPN-сервисов. По его словам, это «очень непростая задача», поэтому «в первую очередь коллеги из РКН занимаются наиболее раскрученными VPN».

По мнению Климарева, в России блокируют те VPN-сервисы, которые не сопротивляются подобным ограничениям. «Эти сервисы предназначены для обхода блокировок, поэтому они точно знают, как обойти собственную блокировку. Но если их бизнес в России очень мал, они могут просто махнуть рукой на этот рынок», — считает он.

Российские власти могут заблокировать конкретные VPN-сервисы, однако многие из них уже разрабатывают средства обхода собственных блокировок, говорит Шакиров. Например, для обхода ограничений в Китае и Иране уже создаются механизмы маскировки VPN-трафика под обычный трафик, и регуляторы не могут его идентифицировать.

Ответственность за работу VPN в России установлена только для хостинг-провайдеров и владельцев таких сервисов, но для граждан, устанавливающих и использующих их, ее нет, отметил преподаватель Moscow Digital School Дмитрий Кириллов. Он добавил, что полный или частичный запрет на использование есть в Китае, Иране, Ираке, ОАЭ, Турции, КНДР, при этом меры наказания отличаются — от блокировки доступа к этим сервисам до штрафов для пользователей.

17.03.2022 17:10:00

Другие публикации

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Кибердетективы и «белые хакеры»: кто противостоит нарастающей киберугрозе

В интервью для РБК-Нижний Новгород генеральный директор Angara Security Сергей Шерстобитов рассказал, в каких отраслях наиболее высок спрос на ИБ-специалистов.


07.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах