Павел Иевлев

Текст

Недавно российские пользователи Интернета столкнулись с блокировками VPN-сервисов. Рассказываем, что это такое и как работает

С блокировками VPN россияне столкнулись совсем недавно, однако на сегодня проблема уже приобрела массовый характер. Периодические отключения приводили к тому, что через мобильный Интернет переставали работать даже частные VPN на базе наиболее распространенных протоколов Wireguard и OpenVPN. Попытки подключиться к серверам, расположенным за рубежом, просто разрывались.

Через несколько дней ситуация менялась, и некоторые из заблокированных VPN-сервисов, в том числе и коммерческие, снова начинали работать, но затем ситуация повторялась с протоколами OpenVPN, IPSec IKEv2 и WireGuard.

Рассказываем, что случилось, почему, каким образом и что с этим делать.

Но сначала немного теории.

Как работает VPN

Давайте рассмотрим механизм работы VPN (Virtual Private Networks – виртуальные частные сети) и выясним их роль в обеспечении безопасности работы в Интернете.

Что такое VPN?

По своей сути VPN – это служба, создающая частную сеть из публичного интернет-соединения. Она маскирует ваш IP-адрес, благодаря чему действия в Интернете практически невозможно (на самом деле, можно, но слишком сложно и хлопотно) отследить. Кроме того, VPN обеспечивает безопасное и зашифрованное соединение, что значительно затрудняет перехват данных хакерами или третьими лицами.

Как работает VPN?

Шифрование данных. Когда вы используете VPN, ваши данные в Интернете, будь то результаты поиска в Google или электронное письмо, пакуются в шифрованные пакеты. Такое шифрование гарантирует, что даже если кто-то перехватит ваши данные, он не сможет расшифровать их без необходимого ключа.

Маскировка IP-адресов. То, ради чего чаще всего используют VPN сейчас. Каждое устройство, подключенное к Интернету, имеет IP-адрес – уникальный идентификатор, который может выдать ваше местоположение и, возможно, другую информацию. Когда вы подключаетесь к VPN-серверу, он скрывает ваш реальный IP-адрес и предоставляет вам IP-адрес, находящийся на его сервере. В результате веб-сайты и онлайн-сервисы видят IP-адрес сервера, а не ваш. То есть, например, не могут определить, что вы из России.

Безопасное подключение к удаленным серверам. VPN-клиенты на ваших устройствах (например, ноутбуке или смартфоне) подключаются к VPN-серверам. Соединение между вашим устройством и сервером называется «туннелем». Весь ваш интернет-трафик проходит через этот защищенный туннель, для чего используются различные протоколы туннелирования, обеспечивая конфиденциальность ваших данных. Ну, или по крайней мере повышая ее.

Для чего нужен VPN?

Самое очевидное – обход региональных ограничений. VPN позволяет получить доступ к контенту, который может быть ограничен в определенных странах или регионах.

Экзистенциальная причина того, что столь специфический протокол стал востребован не для специальных видов цифровых коммуникаций, а для обывательского интернет-серфинга, кроется в провале глобализационного проекта:

Читать на Бизнес.ЦО.РФ

Глобализация в истории и перспективе  Что представляет собой один из самых противоречивых процессов в истории Человечества

Глобализация – мощнейший цивилизационный тренд, формирующий общество на протяжении длительного времени. С чего он начался, куда пошел и чем закончится?

Интернет на наших глазах стремительно распадается на национальные и региональные сектора, которые огораживаются спешно возводимыми киберзаборами. И если вам нужно что-то «из-за ленточки», то часто прямого пути больше нет, требуется подкоп.

Но есть и другие причины, вполне безобидные.

Защитить публичный Wi-Fi. Использование публичных сетей Wi-Fi (например, в кофейнях или аэропортах) может подвергнуть ваши данные риску. VPN обеспечивает зашифрованное соединение даже в таких сетях.

Конфиденциальность в Интернете. Маскируя ваш IP-адрес и шифруя ваши данные, VPN обеспечивает конфиденциальность ваших действий в Интернете и исключает возможность прямого мониторинга или отслеживания. Важно помнить – это не панацея. Если вы будете совершать наказуемые действия в сети, то VPN вас не спасет. Потому что спецслужбы взломают не ваше шифрование, а сразу вашу дверь.

Избежать ограничения пропускной способности. Некоторые интернет-провайдеры ограничивают пропускную способность для определенных видов деятельности в Интернете (например, потокового вещания, торрент-активности и т. д.). При использовании VPN они не видят, что вы делаете, поэтому им сложнее ситуативно ограничивать ваше соединение. Впрочем, есть и другие способы умерить ваши аппетиты.

Какие протоколы использует VPN?

VPN (Virtual Private Networks) использует различные протоколы для обеспечения безопасного и зашифрованного соединения между устройствами. Каждый протокол имеет свои сильные и слабые стороны, отражающие баланс между скоростью, безопасностью и простотой использования. Вот некоторые из наиболее популярных:

PPTP (Point-to-Point Tunneling Protocol)

– Возраст: один из старейших VPN-протоколов, разработанный компанией Microsoft.

– Безопасность: считается наименее защищенным среди современных протоколов из-за известных уязвимостей.

– Скорость: обычно быстрее из-за более низкого уровня шифрования.

– Применение: может использоваться в тех случаях, когда высокий уровень безопасности не имеет значения, а скорость является приоритетом. Например, его используют интернет-провайдеры на «последней миле».

L2TP/IPsec (Layer 2 Tunneling Protocol with Internet Protocol Security)

– Возраст: довольно почтенный, но помоложе PPTP.

– Безопасность: L2TP сам по себе не обеспечивает шифрования, поэтому для шифрования и проверки целостности используется протокол IPsec. В целом, считается безопасным, хотя существуют опасения по поводу потенциальных уязвимостей.

– Скорость: умеренная скорость, так как обеспечивает лучшее шифрование, чем PPTP.

– Применение: широко используется в службах VPN, обеспечивая баланс между безопасностью и скоростью.

OpenVPN:

– Возраст: относительно новый, с открытым исходным кодом.

– Безопасность: считается одним из самых безопасных VPN-протоколов, обеспечивающим до 256-битного шифрования. Высокая настраиваемость.

– Скорость: скорость зависит от уровня шифрования и загрузки сервера, но, в целом, приемлема для большинства пользователей.

– Применение: широко используется многими VPN-сервисами благодаря своей гибкости, безопасности и открытому исходному коду.

SSTP (Secure Socket Tunneling Protocol):

– Возраст: разработан компанией Microsoft и был представлен еще аж в Windows Vista.

– Безопасность: используется протокол SSL 3.0, поддерживающий 256-разрядное шифрование. Считается безопасным, но имеет проприетарный характер, за что многие его не любят.

– Скорость: сопоставима с OpenVPN.

– Применение: в основном, используется на устройствах под управлением Windows благодаря интеграции с ОС. Некоторые VPN-сервисы его также поддерживают.

IKEv2/IPsec (Internet Key Exchange version 2 with IPsec)

– Возраст: относительно свежая разработка компаний Microsoft и Cisco.

– Безопасность: славится своей безопасностью, особенно в сочетании с пакетом IPsec.

– Скорость: обеспечивает быстрое соединение, особенно полезное для мобильных устройств, которые часто переключаются между Wi-Fi и мобильной передачей данных.

– Применение: становится все более популярным, особенно на мобильных устройствах.

WireGuard

– Возраст: один из самых новых VPN-протоколов.

– Безопасность: использует современные криптографические протоколы, более простые и эффективные по сравнению со старыми протоколами.

– Скорость: высокоскоростной и легкий современный протокол.

– Применение: быстро набирает популярность, многие VPN-провайдеры начинают предлагать его в качестве опции.

Резюмируем:

С точки зрения безопасности золотыми стандартами часто считаются OpenVPN и WireGuard, хотя IKEv2/IPsec тоже неплох.

Что касается скорости, то PPTP является самым быстрым благодаря низкому уровню шифрования, но WireGuard, будучи намного безопаснее, его почти догоняет.

Важно также учитывать удобство использования и совместимость – например, если OpenVPN универсален и работает на многих платформах, то SSTP глубоко интегрирован в Windows.

При выборе протокола VPN необходимо учитывать приоритеты (скорость против безопасности), а также характер вашего устройства и сети. Для большинства пользователей приемлемый баланс скорости и безопасности дают OpenVPN и WireGuard.

Зачем блокируют VPN

Блокировки VPN-сервисов имеют вполне очевидную причину – те, кто устанавливает ограничения, делают это не за тем, чтобы их легко обходили. VPN с некоторых пор стал настолько технически прост и доступен, что многие пользователи до недавнего времени не испытывали ни малейших неудобств при доступе к заблокированным массовым ресурсам, таким, как иностранные соцсети. Достаточно установить бесплатное VPN-приложение, включить его и «жить как раньше». Да «бесплатность» их весьма условная, но, будем откровенны, среднего пользователя не очень-то волнуют утечки его личных данных. И так все давно утекло.

Регуляторов по обе стороны границы эта ситуация не устраивает. Ограничения стоят не только с нашей стороны, да и вообще не являются чем-то специфически отечественным. Так, например, в недавно в Европе был заблокирован доступ через VPN к американской соцсети Threads.

Читать на ЦО.РФ

Threads – новый Twitter  Что представляет собой новая социальная сеть?

Компания Meta (признана экстремистской и запрещена в РФ) запустила новую социальную сеть Threads. По своим функциям она очень напоминает Twitter, позволяет создавать тестовые посты, треды, лайкать и репостить

Что касается нашей ситуации, то Роскомнадзор на все претензии невозмутимо отвечает, что, согласно закону «О связи», в России запрещена работа VPN-сервисов, не обеспечивающих фильтрацию нарушающей закон информации. «Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несет в себе существенные риски утечки личной, корпоративной и иной информации», – говорят чиновники. Поэтому российским предприятиям и организациям порекомендовали ускорить перевод информационных систем и протоколов, обеспечивающих работу их внутренних бизнес-процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории России. Ну а рядовым пользователям следует соблюдать законодательство своей страны – запретили, не читайте!

Если этого объяснения вам недостаточно, то пользователи интернета из России могут задавать вопросы о причинах недоступности того или иного протокола VPN в Главный радиочастотный центр и акционерное общество «Данные – центр обработки и автоматизации». Не факт, что вам ответят, но спросить можно.

Как можно заблокировать VPN?

Есть несколько общеизвестных способов блокирования VPN.

Блокировки по IP-адресу

Многие VPN-сервисы используют для своих серверов известные IP-адреса. После определения этих IP-адресов можно заблокировать доступ к ним. Это простой и широко распространенный метод, но его можно легко обойти, если VPN-провайдеры часто меняют свои IP-адреса или используют пул случайных IP-адресов.

Блокирование портов

VPN-трафик часто проходит через определенные порты. Например, OpenVPN по умолчанию использует порт 1194. Блокируя эти порты, можно нарушить VPN-трафик, однако несложно обойти это, используя такие порты, как 443, который обычно используется для HTTPS-трафика и поэтому вряд ли будет заблокирован.

Глубокая проверка пакетов (DPI)

DPI – это более совершенный метод, который предполагает изучение пакетов данных, передаваемых через Интернет, с целью определения их характера и назначения. С помощью DPI можно обнаружить модели VPN-трафика, даже если они идут через общие порты или используют обфускацию. После обнаружения такой VPN-трафик можно блокировать или дросселировать.

Блокировка VPN-сайтов и сервисов

Блокируя доступ к сайтам, на которых пользователи могут зарегистрироваться или загрузить программное обеспечение VPN, можно затруднить пользователям доступ к сервисам.

Анализ трафика и time attack

Анализируя время и объем сетевого трафика, интеллектуальные системы контроля могут сделать вывод об использовании VPN или типах услуг, к которым осуществляется доступ, даже если сам контент зашифрован.

Блокировка по конкретным протоколам

Можно блокировать определенные протоколы, используемые VPN, что затрудняет установление соединения.

Фильтрация и перехват DNS

Если пользователь пытается подключиться к VPN-серверу через его доменное имя, DNS-запрос может быть перехвачен и отфильтрован, в результате чего пользователь не сможет попасть на VPN-сервер.

Законодательные и регулирующие меры

Помимо технических мер, правительства некоторых стран применяют юридические меры, делая незаконным использование или предоставление услуг VPN. Также можно обязать провайдеров блокировать или дросселировать VPN-трафик. В России это не применяется, использование VPN для наших граждан ненаказуемо. На момент выхода статьи жесткий запрет только в Китае, Ираке, ОАЭ, Турции, Беларуси, Омане, Иране, КНДР, Туркменистане и Мьянме.

Как блокируют VPN в России?

Эксперты говорят, что блокировка VPN силами Роскомнадзора (РКН) работает на уровне протоколов, но с упором на зарубежные IP-адреса, то есть касается прежде всего трансграничного трафика. Это позволяет РКН закрыть доступ к запрещенным в России сайтам, при этом минимизируя проблемы у корпоративных VPN-ресурсов. Пока это срабатывает неидеально – на фоне прошедших отключений отваливались не только иностранные «запрещенки», но и вполне отечественные сервисы, включая, например, ВКонтакте. Интернет до недавних пор был глубоко связанной системой, и в нем сложно было отключить что-то одно, не зацепив другое. Но эта ситуация быстро меняется, в том числе и благодаря вот таким «тестовым» отключениям.

Технически в России блокировка ресурсов происходит на специальном оборудовании на стороне провайдеров — ТСПУ (технические средства противодействия угрозам.). Роскомнадзор начал требовать от операторов связи устанавливать его с сентября 2020 года в рамках закона о «суверенном интернете». ТСПУ – классический «черный ящик», как они работают, провайдерам неизвестно. Это вполне логично – такие алгоритмы просто обязаны быть секретными. По косвенным признакам можно сказать только, что в случае с текущими «блокировками» VPN это вообще не блокировка в классическом понимании: вырезается не весь трафик, а только конкретное соединение.

В общем, как именно блокируется VPN сейчас, в точности неизвестно. РКН это никак не комментирует. При этом эксперты считают маловероятным, что Россия придет к жестким блокировкам по методу white-листов (доступ к разрешенным ресурсам по списку). Это просто не нужно – как показывает опыт Китая, достаточно блокировать VPN-протоколы, чтобы отбить у большей части жителей желание пытаться обходить блокировки. Задача государства здесь не заткнуть все щели наглухо – это почти нереально, – а повысить порог сложности достаточно, чтобы отпугнуть массового пользователя.

Скорее всего, вскоре блокировки трансграничных VPN станут регулярными, а то и перманентными.

Как обойти блокировки VPN

Напоминаем: согласно недавним поправкам в Федеральный закон «Об информации, информационных технологиях и о защите информации» вводится ответственность за популяризацию и публикацию инструкций или советов по обходу блокировок. Публикация таковых может стать основанием для внесения ресурса в Единый реестр запрещенной информации Роскомнадзора, поэтому вы их тут не найдете. Мы никого не призываем нарушать закон.

Впрочем, перечисление общеизвестных технических принципов инструкцией не является. К ним относятся:

Обфускация: маскировка VPN-трафика под обычный HTTPS-трафик.

Использование нескольких портов: предоставление пользователям возможности переключаться между различными портами.

Регулярная ротация IP-адресов: чтобы избежать блокировок по IP-адресам, провайдер услуги их регулярно меняет.

Невидимые (теневые) серверы: серверы, созданные специально для обхода блокировок VPN.

Shadowsocks и VLESS: прокси-серверные технологии, предназначенные для защиты интернет-трафика, которые относительно эффективно обходят DPI.

Использование self-hosted: самостоятельный хостинг VPN с маскировкой трафика.

Несложно заметить, что все эти способы либо исполняются не на стороне пользователя, либо технически сложны. Массовому любителю запрещенных соцсетей они не помогут.

Более того, по мнению экспертов, блокировки будут усиливаться, а привычные способы их обхода станут бессмысленными. Большинство коммерческих VPN-сервисов не фокусируется на обходе блокировок и работает на популярных протоколах WireGuard/OpenVPN.

По мере разработки новых методов блокировки всегда появляются новые способы обхода, но массовому пользователю, скорее всего, придется в ближайшее время привыкать к отечественной медиасреде.