Протоколы VPN, компромиссы безопасности и как это на самом деле работает (Часть 2)

Это Часть 2 нашего технического руководства по VPN. Читайте Часть 1 об основах VPN, сценариях использования и начале работы.

Цена интернет-безопасности

Снижение скорости интернета

Дополнительное шифрование требует времени на обработку. Трафик также часто проходит большие расстояния из-за географической удалённости VPN-серверов от пользователей.

Обрывы соединения

Периодические отключения VPN могут вызвать внезапное раскрытие трафика в публичных сетях. Часто вы не заметите отключение или утечку данных, и VPN-соединения могут не восстановиться автоматически. Современные операционные системы на базе Windows включают функцию VPN Reconnect. Без неё специальные программы или конфигурации маршрутизации должны отслеживать VPN-соединения — блокировать передаваемую информацию, закрывать приложения, затем восстанавливать VPN-соединение при отключении.

Проблемы совместимости с IPv6

К сожалению, VPN почти никогда не поддерживает IPv6. Следовательно, когда публичные сети используют IPv6 и интернет-ресурсы также его поддерживают, трафик по умолчанию идёт через открытую сеть IPv6. Для предотвращения достаточно просто отключить IPv6 в вашей операционной системе.

Утечки DNS

На практике DNS-запросы часто обрабатываются DNS-серверами публичных сетей, а не виртуальными защищёнными. Неправильные ответы могут возвращать поддельные адреса для запрошенных доменов. Ничего не подозревающие пользователи могут быть перенаправлены на мошеннические сайты онлайн-банкинга. DNS-серверы также могут раскрыть приблизительную геолокацию и информацию об интернет-провайдере.

Правовые аспекты

Различные правовые аспекты существуют в разных юрисдикциях. VPN-клиенты и серверы часто находятся в разных странах, при этом трафик потенциально может проходить через третьи страны. Это создаёт возможности для копирования передаваемых данных для последующей расшифровки и анализа.

Помимо того, что шифруется, важно и как это шифруется. Не все криптографические методы разрешены везде. Производители сетевого оборудования (включая поставщиков VPN-решений) должны отключать определённые алгоритмы шифрования и уменьшать максимальную длину ключей при экспорте в другие страны.

Проблема распространяется на сами глобальные стандарты шифрования, которые потенциально могут быть уязвимы. Организации по стандартизации обвинялись в допуске уязвимых версий генераторов псевдослучайных чисел, что значительно упрощает расшифровку информации, защищённой с использованием этих генераторов. Стандарты также критикуются за намеренно сложные описания.

Как VPN на самом деле работает

VPN-соединение создаёт «туннель» между компьютером пользователя и серверным компьютером. Каждый узел шифрует данные перед их входом в туннель.

Процесс работает следующим образом:

1. Инициация соединения — Вы подключаетесь к VPN, система идентифицирует вашу сеть и начинает аутентификацию (сравнивая введённый пароль с базой данных)
2. Авторизация — Сервер авторизует вас, предоставляя права на выполнение определённых действий: чтение электронной почты, веб-сёрфинг и т.д.
3. Зашифрованная передача — После установления соединения весь трафик передаётся между вашим ПК и сервером в зашифрованном виде
4. Подмена IP — Ваш ПК имеет IP-адрес, предоставленный вашим интернет-провайдером. Этот IP блокирует доступ к определённым сайтам. VPN-сервер заменяет ваш IP своим собственным
5. Доступ к внешним ресурсам — С VPN-сервера все данные передаются на внешние ресурсы, которые вы запрашиваете. Теперь вы можете просматривать любые ресурсы без отслеживания

Однако помните, что не вся информация шифруется. Разные VPN-провайдеры различаются по силе шифрования, сокрытию соединения, хранению логов (записей посещённых сайтов, реальных IP-адресов и т.д.) и сотрудничеству с третьими сторонами, запрашивающими информацию.

Если VPN-провайдер вообще не записывает логи, нечего передавать третьим сторонам. Сокрытие соединения — более редкая услуга. Неправильное подключение или внезапное отключение может привести к утечке некоторых данных. Технология Multihop VPN решает эту проблему, подключаясь к сайтам через несколько серверов одновременно.

Сравнение популярных VPN-протоколов

PPTP — Point-to-Point Tunneling Protocol

Преимущества:

• Поддерживается всеми операционными системами
• Не требует значительных вычислительных ресурсов

Недостатки:

• Слабая безопасность — устаревшие методы шифрования, слабая архитектура, ошибки реализации
• По умолчанию без шифрования
• Может быть взломан менее чем за 24 часа

Сценарий использования: Когда защита данных не критична или других вариантов нет.

L2TP — Layer 2 Tunneling Protocol

Преимущества:

• Более эффективен для построения виртуальных сетей

Недостатки:

• Более требователен к вычислительным ресурсам
• По умолчанию без шифрования

Работает совместно с другими протоколами, чаще всего с IPSec. Используется интернет-провайдерами и корпоративными пользователями.

IPSec — Internet Protocol Security

Группа протоколов и стандартов для безопасных соединений.

Преимущества:

• Хорошая архитектура
• Надёжные алгоритмы
• Аппаратное ускорение компенсирует требования к ресурсам

Недостатки:

• Сложная конфигурация (неправильная настройка снижает защиту)
• Требует значительных вычислительных ресурсов

Часто используется совместно с другими технологиями.

SSL/TLS — Secure Sockets Layer и Transport Layer Security

Группа методов, включающая протоколы SSL и TLS плюс другие методы защиты.

Преимущества:

• Проходит через большинство публичных сетей без проблем

Недостатки:

• Относительно низкая производительность
• Сложная конфигурация, требующая дополнительного программного обеспечения

Используется на веб-сайтах с URL, начинающимися с «https» (обозначается зелёным значком замка).

OpenVPN

Реализация SSL/TLS, заслуживающая особого упоминания:

• Открытый исходный код
• Реализован практически для всех платформ
• Считается высоконадёжным
• Широко рекомендуется для большинства пользователей

Заключение

VPN представляет собой технологический комплекс, позволяющий создавать логические сети поверх физических. Он защищает трафик от перехвата и обеспечивает безопасную интернет-активность. VPN открывает доступ к заблокированным ресурсам, заставляя многих пользователей мириться с более низкой скоростью интернета и возможным логированием программ.

Хотя VPN использует достаточно надёжные алгоритмы шифрования, включение VPN-клиента на вашем ПК не гарантирует 100% сохранение конфиденциальной информации. Поэтому тщательно оценивайте выбор VPN-провайдера.

Ключевые выводы:

• VPN создаёт зашифрованные туннели для безопасной передачи данных
• Разные протоколы предлагают различные компромиссы между безопасностью и производительностью
• Никакое VPN-решение не обеспечивает абсолютной защиты
• Надёжность провайдера важна не менее, чем техническая реализация
• Учитывайте свои конкретные потребности при выборе VPN-решений

Понимание этих технических аспектов позволяет принимать обоснованные решения о том, какое VPN-решение лучше всего соответствует вашим требованиям безопасности и сценарию использования.