Как не передать на desktop свой IP в РКН

Недавно выяснилось, что довольно легко на смартфоне (Android) передать IP VPS в РКН с учетом следующих вещей:

1. Многие российские сервисы превращаются в филиалы РКН

2. Приложение на Android может получить список сетевых интерфейсов на устройстве через NetworkInterface/ConnectivityManager. После чего обнаружить IP-адрес путем выполнения сетевого запроса через найденный интерфейс: curl -shttps://ifconfig.me/ip --interface $interface либо найдя запущенный socks5 прокси без авторизации. И от этой проблемы страдают большинство клиентов

Но как обстоят дела на desktop?

Browser

До последнего времени я не использовал split tunneling на десктопе/ноутбуке, а просто делал вкл/выкл VPN перед посещением необходимых ресурсов через браузер. Ведь настройка site-based tunneling трудозатратней в сравнении с app-based на смартфоне. Однако с учетом первого пункта из начала статьи site-based tunneling становится просто обязательным. Ведь одна единственная невыгруженная вкладка популярного российского сервиса в браузере может элементарно получить IP VPS. Логика получения IP может быть реализована с помощью простейшего JavaScript кода:

async function getPublicIP() {
  try {
    /*
     * IP может извлекаться на стороне бэкенда сайта и передаваться в РКН, 
     * в случае запрета запроса к чужим доменам (CSP) 
    */
    const response = await fetch('https://api.ipify.org?format=json');
    const data = await response.json();
    return data.ip; 
  } catch (error) {
    console.error(error);
  }
}

// каждую секунду проверяем текущий ip пользователя
setTimeout(() => {
  getPublicIP().then(ip => console.log('Public ip', ip));
}, 1000);

Таким образом довольно легко передать IP VPS в РКН случайно включив VPN без site-based tunneling и забыв перед этим выгрузить/закрыть вкладки c российскими сервисами.

Причем site-based tunneling надо обязательно настраивать в режиме «белого списка», то есть явно указать ip/домен к которому должен идти трафик через VPN. В противном случае, не указав в фильтре любой домен третьего уровня можно легко деанонимизировать IP VPS, как в примере ниже:

Для добавления большинства сайтов в site-based tunneling достаточно указать один или два домена, но с некоторыми сервисами есть загвоздка. Например, один популярный зарубежный видеохостинг использует большое количество доменов третьего уровня для своей работы. А некоторые клиенты, например, Amnezia не умеют работать с масками аля *.site.ru. Это вынуждает явно добавить все IP адреса сервиса к которым трафик должен идти через VPN. С этим поможет следующий сервис, он позволяет получить список IP адресов для интересующего сайта.

Далее идет описание настроек site-based tunneling для Amnezia, но по смыслу все аналогично для других клиентов.

Выгружаем список IP в виде файла: тип данных IP-зоны ipv4 (CIDR), формат JSON . Затем выбираем внутри клиента Split tunneling enabled -> Site-based split tunneling

Затем выбираем ⋮ -> Import -> Replace site list / Add imported sites to existing ones и загружаем выбранные файл:

После чего активируем split tunneling:

И теперь можно не опасаться, что не закрытая вкладка российского сервиса может деанонимизировать IP вашего VPS.

Desktop приложения

Касаемо второго пункта из начала статьи, могут ли desktop приложения найти сетевой интерфейс и выполнить через него сетевой запрос для получения IP VPS? Увы, да.

Desktop приложение может получить список сетевых интерфейсов через системное API операционной системы: getifaddrs на Linux/macOS, GetAdaptersAddresses на Windows. Затем создать сокет, который будет привязан к найденному интерфейсу и сделать запрос через него для получения IP адреса. И приложение может реализовать выше описанные действия с обычными привилегиями (без root-прав).

Если desktop приложения российских сервисов еще не добавили эту проверку, то боюсь, что скоро добавят. Очевидно, что самое популярное российское десктоп приложение это Яндекс Браузер, но вот еще топ 10 desktop приложений по скачиванию, которые могут добавить логику проверки VPN:

1. Яндекс Браузер 

2. VK Мессенджер 

3. МойОфис 

4. Р7-Офис 

5. Антивирус Касперского 

6. Яндекс Диск 

7. RuStore 

8. ICQ New

9. Яндекс Музыка 

10. 2GIS

Возможные решения:

• Использовать веб-версию, если это возможно

• Поиск софта на замену

• Запуск приложений в виртуальной машине или в docker контейнере

• Использование приложений на отдельном устройстве или в отдельном пользовательском профиле на устройстве

---