В современном российском информационном пространстве (видео, статьи, посты и прочее) из каждого чайника слышны разговоры о VPN и Proxy, причём контекст начал настолько размываться, что между этими терминами уже негласно ставится знак равно. Недавно я поймал себя на мысли, что сам не могу чётко сказать, чем эти технологии отличаются. В данной статье попробуем разобраться что же такое VPN и Proxy, а также подсветить проблемы терминологии в данных определениях.
VPN
Данные определения взяты из российского ГОСТ Р ИСО/МЭК 27033-1-2011 и они бьются с общепринятым представлением о VPN
Виртуальная частная сеть (VPN) представляет собой механизм, основанный на туннелировании протокола — обработке одного полного протокола (клиентского протокола) как простого потока битов, и на заключении его в другой протокол (протокол несущей частоты).
Туннель (tunnel) - это канал передачи данных между сетевыми устройствами, который устанавливают через существующую сетевую инфраструктуру.
Обычно это работает следующим образом:
на клиенте_1 весь трафик вшивается в впн-пакеты (инкапсуляция) и шифруется (не обязательно, но зачастую);
после этого пакет отправляется клиенту_2;
на клиенте_2 он расшифровывается (если зашифрован), и достаётся исходный пакет;
трафик клиента_2 проходит аналогичную обратную процедуру.
Proxy общая характеристика
Но что же такое прокси? Давайте рассмотрим, что говорит российский ГОСТ по этому поводу:
Прокси-сервер представляет собой сервер, действующий в качестве посредника между пользователем ПК/рабочей станции и Интернетом.
Что это значит? А значит это, что прокси-сервером может считаться любой сервер-посредник между пользователем и, что характерно интернетом. В чём проблема данного определения? Во-первых, никакой конкретики. Во-вторых, при чём тут Интернет? Данное определение очень сильно ограничивают технологию прокси. Просто ради примера в таком случае SOCKS-Proxy, который связывает внешний компьютер с внутренней сетью какой-либо компанией не может считаться ни Proxy (так как нет связи с интернетом), ни VPN (так как работает не на уровне сети).
Далее давайте рассмотрим, что по поводу прокси говорят стандарты других стран (например из словаря NIST):
Прокси - сервер, который обрабатывает запросы своих клиентов, перенаправляя эти запросы на другие серверы.
И вот это определение как раз будто бы более общее, фактически в нём говорится, что прокси это просто узел-посредник при соедениии с любым сервисом.
Отсюда возникают вопросы к определениям, где говорится что прокси работает на транспортном уровне и более, ведь в официальных документах этого нигде не сказано.
А как соотносятся VPN и Proxy?
И тут возникает резонный вопрос а как вообще соотносятся VPN и Proxy.
Начнём с самого простого "Любой ли Proxy - VPN?":
Ответ: нет, потому что есть SOCKS, HTTP, HTTPS и так далее прокси и они работают не на сетевом уровне, что противоречит определению VPN
А теперь ответим на другой вопрос "Любой ли VPN - Proxy?":
Ответ: нет, потому что VPN может быть построен не по принципу Proxy (с промежуточным сервером), а по принципу рапсределённой сети (пример VXLAN).
Заключение
Подводя итог, в жизни мы чаще всего пользуемся именно Proxy, а не VPN (даже в режиме TUN), хотя на телефоне горит красивая плашка VPN. Заключается это в том что большинство технологий, которые мы используем работают на уровне L4-L7, а не на L3, и это противоречит определению VPN.
Всем спасибо за прочтение, надеюсь, что данная статья внесла ясность в этот вопрос.
P.S. разработал свою легковесную систему мониторинга безопасности на Linux-серверах. Cейчас проходит тестирование, буду рад фидбеку!
Источники информации
ГОСТ Р ИСО/МЭК 27033-1-2011
