- Регистрация
- Сообщения
- 736
- Реакции
- 36
Разрешение на пользование сотовым телефоном Nokia в 1998 году
Многие государства пытаются в той или иной степени контролировать информацию в национальном сегменте интернета: вводить цензуру, фильтровать трафик. Например, в США действует 11 федеральных законов для интернет-цензуры. Аналогичная ситуация в других странах. Но всё это бесполезно. Потому что информация хочет быть свободной. Как речной поток, она обойдёт любые барьеры на своём пути, говорили классики шифропанка.
Свой личный VPN — полностью легальный инструмент для безопасной работы в интернете. Вопрос в том, как долго продлится такая ситуация. И что делать, если использование этого инструмента ограничат? Некоторые уже начали готовиться к худшему сценарию.
Недавно была опубликована статья Интернет-цензура и обход блокировок: не время расслабляться с обзором типов VPN по устойчивости к потенциальным блокировкам и деанонимизации пользователей. Статья набрала +262 и наверняка войдёт в список лучших статей на Хабре за 2023 год.
Итак, автор выделил семь типов подключения по степени обфускации (маскировки) трафика:
Какие выводы можно сделать из этого технического обзора? Вывод такой, что по мере продвижения от первого к последнему пункту наш сервер всё лучше защищён от обнаружения, но никогда не защищён полностью. При этом сервер становится всё сложнее в обслуживании.
Грубо говоря, первый вариант — самый простой удобный, но и самый беззащитный для гипотетической угрозы. Последний вариант со всеми защитными мерами означает то, что трафик всё равно заблокируют, но вместе с кучей ни в чём не повинных посторонних сервисов.
▍ VPN по разрешениям
Некоторые особо параноидальные эксперты допускают введение в России «белых списков» и разрешений на использование VPN. По некоторым признакам, подобные планы действительно существуют. Ещё в 2017 году Роскомнадзор начал составлять «белые списки» сервисов, которые запрещено блокировать. В том же году вступил в силу закон о запрете обхода блокировок через VPN и анонимайзеры.
В отношении VPN введение белых списков допускает два варианта регулирования:
- белый список организаций, которые имеют право использовать услуги VPN;
- белый список VPN-провайдеров, соблюдающих меры государственного регулирования (например, запись всего трафика и расшифровка по запросу компетентных органов)
… или сочетание этих методов.
Подготовка не означает 100% вероятность введения «белых списков», это лишь запасные меры на случай, если поступит экстренное распоряжение. А оно может и не поступить, этого никто не знает. Такие вещи в последнее время в РФ происходят непредсказуемо и без предварительных анонсов (как говорится, «без раскачки»).
Напомним, что в настоящее время вместо «белых списков» (VPN запрещён всем, кроме организаций из списка) действует противоположная модель «чёрных списков» (разрешено всё, кроме некоторых сервисов).
Если вернуться к типам VPN из вышеупомянутой статьи, то использование VPN само по себе полностью легально (1-й пункт из списка). А вот «обход блокировок» уже является нарушением закона со стороны владельца сервера. И если кто-то начинает обфусцировать трафик (пункты 2–7), это выглядит подозрительно.
Ну и тотальной фильтрации трафика по протоколам сейчас не наблюдается. Хотя она может начаться в будущем. Но пока такое будущее не наступило. И будем надеяться, не наступит. Следовательно, можно использовать удобные и легальные сервисы из пункта 1.
На RUVDS есть два шаблона для этих целей, так что настройка сервиса займёт буквально пару щелчков мышки. Первый называется StrongSwan (под Linux), а второй — VPN L2TP (Windows Server 2019).
▍ Образ StrongSwan IKEv2/IPSec
Шаблон указан предпоследним в Маркетплейсе. Он добавлен несколько месяцев назад в связи с возросшим спросом.
Как вариант, шаблон можно выбрать из выпадающего списка на этапе заказа сервера:
IKEv2/IPSec — стандартный протокол для построения частных сетей. В качестве транспорта использует UDP. Обладает свойством PFS (perfect forward secrecy, совершенная прямая секретность) во всех режимах использования.
PFS — крайне важное свойство системы шифрования. Оно практически устраняет риски от потери долговременного закрытого ключа. Например, если злоумышленник получил закрытый ключ сервера, он всё равно не сможет расшифровать сессии IKEv2/IPSec ни в прошлом (сохранённые ранее), ни в будущем, потому что для их шифрования используются сессионные или уникальные эфемерные (одноразовые) ключи.
IPsec IKEv2 — современный протокол VPN, разработанный Microsoft и Cisco. В архитектурном плане оказался достаточно удачным, обгоняя по производительности OpenVPN. Большое преимущество — возможность добавлять новые функции. За 17 лет с момента публикации стандарта протокола появилось около десятка различных расширений, и процесс продолжается. Сейчас ведутся работы по адаптации IKEv2 для квантовых компьютеров и квантовой криптографии.
StrongSwan — открытая и быстрая реализация IPsec. Проект расширяемый, с хорошо масштабируемым многопоточным дизайном. Ориентирован прежде всего на IKEv2 и строгую аутентификацию.
В образе из маркетплейса — предустановленный strongSwan, все необходимые зависимости и плагины, а также небольшое веб-приложение для настройки системы и получения учётки без захода по SSH. Через -интерфейс можно взять файлы sswan и mobileconfig для импорта в приложение strongSwan VPN Client под Android и iOS/MacOS, соответственно.
После этого мы свободно подключаемся к своему VPN по адресу https://vps_ip_address:5000 под теми же учётными данными, которые получили для SSH. Эту информацию вводим в мобильный клиент — и вот уже можно выходить в интернет под надёжной криптографической защитой.
strongSwan VPN Client для Android
Как видим, шаблон крайне прост в установке. Кроме того, образ работает под Linux. Это означает дешевизну решения, потому что под Linux есть линейка тарифов «Старт» и возможность выбрать более слабую и дешёвую конфигурацию, чем под Windows.
Как мы уже упоминали, этот удобный Linux-образ появился в маркетплейсе буквально пару месяцев назад, а до этого моменту пользователям приходилось довольствоваться более дорогим шаблоном VPN L2TP под Windows.
▍ Образ с VPN L2TP
VPN L2TP — альтернативный шаблон для своего VPN-сервера. Включает в себя Windows Server 2019 с предустановленными ролям RRAS и NPS.
Как и предыдущий, этот шаблон тоже устанавливается довольно быстро, а сразу после установки позволяет подключаться к серверу по VPN. Управление сервером доступно не только по SSH, но и по RDP, как в других стандартных шаблонах WindowsServer. Подключение осуществляется через стандартный функционал Windows с помощью L2TP с предварительным ключом. Перед подключением ввести общий ключ. Подробное руководство по подключению см. в справочнике.
Разумеется, на собственный сервер можно ставить любые операционные системы и софт по желанию. Без всяких шаблонов и дополнительной оплаты, то есть бесплатно.
▍ Вывод
В настоящее время VPN на своём сервере находятся в легальном поле. Ими можно совершенно спокойно пользоваться,
Есть вероятность, что власти постараются избежать введения жёстких ограничений на частные сети, поскольку это настоящий кошмар для цифровой инфраструктуры тысяч коммерческих и государственных организаций. Кому нужен кошмар? Никому. Все министерства выступят против, от минцифры до минэкономики.