Pull to refresh

Comments 43

Хорошая статья по смыслу, хоть и читается с трудом и ее минусуют. Я также бы добавил, что не только провайдеры VPN могут быть враждебны вам и вашим целям, но и хостинг провайдеры. За абсолютно все бесплатное платит какой-то заказчик с какими-то целями и хорошо бы эти цели хоть немного понимать. Перед началом использования любого провайдера надо бы приложить максимум усилий для понимания откуда у VPN и хостинг провайдера растут ноги. Вплоть до конкретных персон владельцев и их связей. Часть провайдеров это реальные враждебные honeypot. Если ничего про провайдера не ясно, есть большой шанс, что это государственная слежка, разведка или хакеры. То, как они будут пользоваться вашими данными, логами вашей активности и прикрываться вашей активностью вам точно не понравится.
И как только вы это всё добавите, так вам станет совершенно понятно, что альтернативы-то у вас и нет. Вопрос только в том, к кому вы «в случае чего» предпочтительнее бы сливали ваши данные — кто-то вон выбрал Comcast, кто-то выберет (родное, дорогое) правительство, кто-то что-то еще.
Вряд ли американское, канадское, английское, голландское или даже австрийское с немецким правительства вас посадят за оскорбление их всех вместе взятых по интернету. Так что выбор есть всегда.
В любом случае обходиться без оскорблений :)
UFO just landed and posted this here
У меня есть некоторые сомнения по поводу надежности и безопасности сторонних случайных решений по сравнению со стандартными и проверенными решениями. Также такие решения никак не отменяют проблему безопасности хостинга «своего» сервера в другой стране.
UFO just landed and posted this here
У меня есть сомнения по поводу надежности и безопасности настроек, которые задаст стороннее случайное решение стандартным и проверенным средствам. Особенно когда пользователь не понимает смысла этих настроек. Также такие решения никак не отменяют проблему безопасности хостинга «своего» сервера в другой стране.

Это опенсорсный проект, Вы можете развеять свои сомнения просто изучив код, или хотя бы задав вопрос в issues. Суровая правда в том, что если хватает квалификации безопасно настроить всё самостоятельно — так и делайте. А если своей квалификации для этого недостаточно, то взять такой опенсорсный проект, к котором привлечено достаточно много внимания (17к звёзд!) и который наверняка изучило немало людей имеющих нужную квалификацию — намного безопаснее, чем доверять случайно выбранному провайдеру VPN.

Далекий от IT человек вообще не установит это за разумное время. И чтение мануала ему не поможет, потому что половина слов там будут звучать для него как «бамбарбия киргуду».
UFO just landed and posted this here
запустить скрипт
Вот вы и перешли на «бамбарбия кергуду»
Речь ведь о «далёком от IT-человеке».
UFO just landed and posted this here
Можно на фрилансе заказать установку и настройку.
Извините, но Вы поняли сами, что сейчас предложили? В контексте заголовка поста это выглядит особенно странно.
Я так и думал, что кто-то это напишет). Большинству фрилансеров, думаю, дела нет до проектов, сделал и забыл. Но, теоретически, разное может быть. Тогда только самому разбираться, иного пути нет.

Вообще, считаю, что если VPN нужен для чего-то нелегального — то нужно использовать как раз таки платный и популярный, чтобы «затеряться в толпе». Если чисто для просмотра заблокированных сайтов и защиты от провайдера — поднимать свой.

Я тоже думаю, что на свете хороших и честных людей больше чем плохих. Но всё же «большинству» != «всем». Доверять такое дело первому попавшемуся человеку… Ну так себе идея как по мне.
С остальным согласен.
Теряется весь смысл. У вас уникальный ваш личный ip адрес, да он не тот что «домашний», но связать его с домашним достаточно легко.
UFO just landed and posted this here

VPN DNS-запросы спрячет намного надёжнее.


Помимо того, что трафик бывает не только у браузера, и DNS резолвит не только браузер, у DoH есть кучка своих проблем (владелец DoH сервиса видит ваш IP и все сайты, на которые выходите; использование DoH помешает резолвить локальные домены что часто нужно в офисах или при веб-разработке; используется ли DoH сложно проконтролировать т.к. браузер мог переключиться на обычный DNS из-за проблемы с подключением к DoH сервису; etc.).

Как один из сотрудников разрабатывающих VPN, упомянутых в этой статье, добавлю:
— Видимость DNS уже упомянули, DNS-over-HTTPS это (имхо) способ отдать заработок на ваших данных компании провайдеру DNS. К тому же сильно ненадёжное и частичное решение — даже не все приложения вы заставите пользоваться одним ДНС сервером, VPN же форсирует перехват всего трафика;
— HTTPS трафик содержит в читаемом виде SNI — домен куда вы идёте и сертификат сервера с кучей информации о сервисе;
— Даже если в HTTPS это закроют, видно все IP куда вы идёте, а это однозначно и легко раскрывается назад в сервисы, если вы опять же не начнёте использовать domain-fronting технологии типа cloudfront (опять же частичное решение);
— Продвинутые технологии VPN (чем я и занимаюсь) позволяют еще и менять паттерны соединений, например делать так, чтобы обозреватели туннеля VPN не смогли понять что вы туннелируете внутри ДНС запросы или другой IP траффик, плюс обфусцировать канал так, чтобы он не выглядел как VPN туннель, и в случае чего не попал под паттерны DPI.

Так что тут либо поднимать свой сервис VPN и платить за него, либо использовать проверенного провайдера VPN и платить ему (от платы за трафик никуда не деться). Пользователи же бесплатной версии VPN должны понимать, что они платят просмотрами рекламы за свой трафик.
обфусцировать канал так, чтобы он не выглядел как VPN туннель, и в случае чего не попал под паттерны DPI.

Вообще-то паттерны для определения VPN по содержимому пакетов не требуются: достаточно того, что весь трафик юзера идёт на единственный сервер (да ещё и на единственный порт на этом сервере) — это довольно просто определяется даже без заглядывания внутрь пакетов.

Определяется довольно просто в случае большинства VPN — да. В нашей разработке учтено и это (даже в пределах одной сессии). Это одна из причин кстати, по которой люди доверяют VPN провайдерам — там люди работают для того чтобы учесть большинство нюансов. И чтобы в один прекрасный момент блокировка IP или порта не привела к отказу в обслуживании.
Или в Amazon, каждое включение сервера меняет IP адрес. В бесплатном варианте сервиса можно создать 3 Linux сервера с VPN сервером в разных локациях и запускать их по очереди. Правда настройка в этом варианте несколько не тривиальна для новичка.
Можно подробней что вы имеете в виду? Я просто первый раз про такое слышу.
Регистрация на Amazon дает возможность год использовать некоторые ресурсы бесплатно. 750 часов в месяц работы инстанса (VPS). Неважно используете из вы за один день или за месяц. Например можно запускать три VPS на 7 часов ежедневно. И использовать 30ГБ дискового пространства для VPS в месяц. Линуксовые VPS в Amazon занимают 8-10ГБ. Поэтому можно создать три Линуксовые VPS в разных регионах. И настроить их запуск и остановку ежедневно. При каждой загрузке сервера VPS в Amazon IP адрес выдается случайным образом. Каждой VPS присваивается доменное имя по которому можно к нему обращаться в Интернете. Поэтому смена IP не критична, для работы с VPS.
Ученики спросили Инь Фу Во о будущем Интернета. Учитель сказал:

– Прошли времена продавцов знаний. Пришли времена продавцов анонимности. Узнавать – дёшево, скрывать – дорого.
© Н.Н.Федотов, 2009.

Хорошая статья. Я один из разработчиков Hotspot Shield (для Windows), и тоже, честно говоря, крайне удивлён таким положением вещей. В статье об этом ни слова, но на самом деле подавляющее большинство современных VPN приложений являются просто красивыми обёртками над всем известным OpenVPN. Да за ними стоит серьёзная инфраструктура в виде множества VPN серверов (т.н. «нод»), присутствуют приятные (в некоторых странах жизненно необходимые) плюшки по типу Kill Switch, премиум поддержка, но OpenVPN есть OpenVPN — со своими особенностями и ограничениями.
Опять же, в статье нет ни слова о том, из-за чего на самом деле Hotspot Shield побеждает конкурентов по скорости — а это происходит вследствие использования своего (да, закрытого и проприетарного, но на то есть свои причины) протокола VPN, который позволяет значительно сократить время установления VPN подключения, добиться действительно высоких скоростей (в основном вы ограничены скоростью вашего линка), маскироваться под легитимный трафик и поддерживать одновременно несколько соединений к разным ендпоинтам (т. е. даже если несколько из них будут заблокированы — вы, скорее всего, ничего не заметите).
Я как раз об этом и писал в комментарии чуть выше по поводу комментария «что весь трафик юзера идёт на единственный сервер». Кажется нам пора свою статью на хабр писать, о том что не всё VPN одинаково полезны :)

Вы уж меня простите за необоснованное недоверие, но нет никаких шансов что я доверю свой трафик "закрытому и проприетарному" протоколу, тем более что всё это затевается ради защиты этого самого трафика. Описанные недостатки Hotspot Shield — это просто жесть, особенно для VPN-сервиса. В общем, это даже не смешно.


Идея замаскировать VPN-подключение направляя трафик разным узлам и маскируя его под не-VPN — неплохая. Более того, её вполне можно реализовать используя закрытый и проприетарный протокол. Главное, не пытаться её продавать как средство шифрования трафика и обеспечения безопасности — вместо этого надо честно говорить, что это просто маскировка трафика (любого, не обязательно VPN) под разрешённый на DPI, а что там конкретно за трафик бегает это вашему проприетарному протоколу без разницы. И дальше юзер сможет использовать эту маскировку для туннелирования обычного OpenVPN на обычный удалённый VPN-сервис (любой), не беспокоясь о (не)доверии вашему проприетарному протоколу.

Окей, да я и не настаиваю, у каждого есть право выбора. Вы не доверяете, но некоторые крупные компании (у AnchorFree есть и B2B, наверное не могу привести названий — но среди них есть и антивирусные компании, которые вроде как проводили аудит) вполне себе доверяют.
А описанным недостаткам по ссылке (если они вообще когда-то были) сто лет в обед, во всяком случае за то время, которое участвую в работе над этим проектом, ничего подобного не замечал. Вы сами-то даже не проверяли эти утвержения, так ведь? Я вас уверяю, на текущий момент этот список не соответствует действительности, и думаю, что это скорее происки конкурентов, как с проплаченными обзорами (ничего не могу сказать только за privacy policy, т. к. не являюсь юристом, но статья ссылается на устаревшую заархивированную версию 2010 года).

Происки конкурентов могут иметь место, конечно, но даже в этом случае очевидно, что кто-то в Вашей компании не делает свою работу, раз содержимое статьи до сих пор не подправили (а список недостатков последний раз редактировали лет 5 назад).


Что касается доверия крупных компаний, то это вообще ни разу не показатель. Компаниям может быть вполне приемлем ваш сервис просто потому, что для B2B зачастую важнее юридические формальности, нежели реальное качество услуги: например, если договор с вами даёт компании возможность поставить где-то в своём отчёте галочку "мы предприняли все необходимые усилия для защиты данных пользователей", то насколько ваш VPN действительно надёжно шифрует их может в принципе не интересовать — главное для них, что если всплывут проблемы и кто-то перехватит этот трафик компания сможет показать договор с вами и сказать, что это не её вина, а ваша, а они просто жертва вашей непорядочности или недостаточной квалификации. Но нередко всё ещё более банально — выбор сервиса определяет личная заинтересованность (например, через откат) соответствующего сотрудника этой компании, а вовсе не качество сервиса.


В области безопасности не должно быть никакого security through obscurity, поэтому если протокол закрыт, то всё, это лапти. Такое можно продать либо B2B по вышеупомянутым причинам, либо структурам вроде правительства/ФСБ, если открыть протокол лично для них и дать провести аудит (и пройденный аудит не является показателем надёжности решения, скорее наоборот, он говорит о том, что уязвимости есть, просто ФСБ считает, что сможет использовать их эксклюзивно). Т.е. деньги на таком делать можно, но вот всерьёз писать о надёжности и безопасности на хабре или в других профильных местах — не стоит.

Зачем пользоваться какими-то сервисами VPN когда можно установить OpenVPN server за пару минут скриптом. Выходит намного дешевле и скорость выше чем у сервисов. Ну и еще я думаю что использовать свой VPN сервер безопаснее.
Как-то напрашивается вывод: если хочешь сделать что-то хорошо, сделай это сам ©
Я так и сделал, но блин, как же меня удручают причины, из-за чего мне это понадобилось.
Всегда печально потратить, а потом еще и регулярно тратить, некоторое количество сил, денег и удобства на то, что у людей рядом есть просто так.

По ссылке требуют регистрироваться.

Уверены ли вы в том, что можете доверять своему VPN

Ммм, да? Я выбрал хороший абузоустойчивый хостинг в стране с лояльными законами, я сам настроил его, я гарантирую что мои сервера доступны только мне и не ведут логи.

Судя по тому, что пишут на сайте хостинга - лояльные законы там пока в процессе принятия. Уведомлять клиентов об интересе со стороны органов обещают "в рамках дозволенного законом", а что дозволено - неясно. В общем, без изучения текущих актуальных законов Исландии совершенно неясно, насколько эти законы лояльные и как конкретно это работает на практике.

Sign up to leave a comment.

Articles