Комментарии 43
Это опенсорсный проект, Вы можете развеять свои сомнения просто изучив код, или хотя бы задав вопрос в issues. Суровая правда в том, что если хватает квалификации безопасно настроить всё самостоятельно — так и делайте. А если своей квалификации для этого недостаточно, то взять такой опенсорсный проект, к котором привлечено достаточно много внимания (17к звёзд!) и который наверняка изучило немало людей имеющих нужную квалификацию — намного безопаснее, чем доверять случайно выбранному провайдеру VPN.
Вообще, считаю, что если VPN нужен для чего-то нелегального — то нужно использовать как раз таки платный и популярный, чтобы «затеряться в толпе». Если чисто для просмотра заблокированных сайтов и защиты от провайдера — поднимать свой.
VPN DNS-запросы спрячет намного надёжнее.
Помимо того, что трафик бывает не только у браузера, и DNS резолвит не только браузер, у DoH есть кучка своих проблем (владелец DoH сервиса видит ваш IP и все сайты, на которые выходите; использование DoH помешает резолвить локальные домены что часто нужно в офисах или при веб-разработке; используется ли DoH сложно проконтролировать т.к. браузер мог переключиться на обычный DNS из-за проблемы с подключением к DoH сервису; etc.).
— Видимость DNS уже упомянули, DNS-over-HTTPS это (имхо) способ отдать заработок на ваших данных компании провайдеру DNS. К тому же сильно ненадёжное и частичное решение — даже не все приложения вы заставите пользоваться одним ДНС сервером, VPN же форсирует перехват всего трафика;
— HTTPS трафик содержит в читаемом виде SNI — домен куда вы идёте и сертификат сервера с кучей информации о сервисе;
— Даже если в HTTPS это закроют, видно все IP куда вы идёте, а это однозначно и легко раскрывается назад в сервисы, если вы опять же не начнёте использовать domain-fronting технологии типа cloudfront (опять же частичное решение);
— Продвинутые технологии VPN (чем я и занимаюсь) позволяют еще и менять паттерны соединений, например делать так, чтобы обозреватели туннеля VPN не смогли понять что вы туннелируете внутри ДНС запросы или другой IP траффик, плюс обфусцировать канал так, чтобы он не выглядел как VPN туннель, и в случае чего не попал под паттерны DPI.
Так что тут либо поднимать свой сервис VPN и платить за него, либо использовать проверенного провайдера VPN и платить ему (от платы за трафик никуда не деться). Пользователи же бесплатной версии VPN должны понимать, что они платят просмотрами рекламы за свой трафик.
обфусцировать канал так, чтобы он не выглядел как VPN туннель, и в случае чего не попал под паттерны DPI.
Вообще-то паттерны для определения VPN по содержимому пакетов не требуются: достаточно того, что весь трафик юзера идёт на единственный сервер (да ещё и на единственный порт на этом сервере) — это довольно просто определяется даже без заглядывания внутрь пакетов.
Это так работает, если вы не пользуетесь Elastic IP
– Прошли времена продавцов знаний. Пришли времена продавцов анонимности. Узнавать – дёшево, скрывать – дорого.
© Н.Н.Федотов, 2009.
Опять же, в статье нет ни слова о том, из-за чего на самом деле Hotspot Shield побеждает конкурентов по скорости — а это происходит вследствие использования своего (да, закрытого и проприетарного, но на то есть свои причины) протокола VPN, который позволяет значительно сократить время установления VPN подключения, добиться действительно высоких скоростей (в основном вы ограничены скоростью вашего линка), маскироваться под легитимный трафик и поддерживать одновременно несколько соединений к разным ендпоинтам (т. е. даже если несколько из них будут заблокированы — вы, скорее всего, ничего не заметите).
Вы уж меня простите за необоснованное недоверие, но нет никаких шансов что я доверю свой трафик "закрытому и проприетарному" протоколу, тем более что всё это затевается ради защиты этого самого трафика. Описанные недостатки Hotspot Shield — это просто жесть, особенно для VPN-сервиса. В общем, это даже не смешно.
Идея замаскировать VPN-подключение направляя трафик разным узлам и маскируя его под не-VPN — неплохая. Более того, её вполне можно реализовать используя закрытый и проприетарный протокол. Главное, не пытаться её продавать как средство шифрования трафика и обеспечения безопасности — вместо этого надо честно говорить, что это просто маскировка трафика (любого, не обязательно VPN) под разрешённый на DPI, а что там конкретно за трафик бегает это вашему проприетарному протоколу без разницы. И дальше юзер сможет использовать эту маскировку для туннелирования обычного OpenVPN на обычный удалённый VPN-сервис (любой), не беспокоясь о (не)доверии вашему проприетарному протоколу.
А описанным недостаткам по ссылке (если они вообще когда-то были) сто лет в обед, во всяком случае за то время, которое участвую в работе над этим проектом, ничего подобного не замечал. Вы сами-то даже не проверяли эти утвержения, так ведь? Я вас уверяю, на текущий момент этот список не соответствует действительности, и думаю, что это скорее происки конкурентов, как с проплаченными обзорами (ничего не могу сказать только за privacy policy, т. к. не являюсь юристом, но статья ссылается на устаревшую заархивированную версию 2010 года).
Происки конкурентов могут иметь место, конечно, но даже в этом случае очевидно, что кто-то в Вашей компании не делает свою работу, раз содержимое статьи до сих пор не подправили (а список недостатков последний раз редактировали лет 5 назад).
Что касается доверия крупных компаний, то это вообще ни разу не показатель. Компаниям может быть вполне приемлем ваш сервис просто потому, что для B2B зачастую важнее юридические формальности, нежели реальное качество услуги: например, если договор с вами даёт компании возможность поставить где-то в своём отчёте галочку "мы предприняли все необходимые усилия для защиты данных пользователей", то насколько ваш VPN действительно надёжно шифрует их может в принципе не интересовать — главное для них, что если всплывут проблемы и кто-то перехватит этот трафик компания сможет показать договор с вами и сказать, что это не её вина, а ваша, а они просто жертва вашей непорядочности или недостаточной квалификации. Но нередко всё ещё более банально — выбор сервиса определяет личная заинтересованность (например, через откат) соответствующего сотрудника этой компании, а вовсе не качество сервиса.
В области безопасности не должно быть никакого security through obscurity, поэтому если протокол закрыт, то всё, это лапти. Такое можно продать либо B2B по вышеупомянутым причинам, либо структурам вроде правительства/ФСБ, если открыть протокол лично для них и дать провести аудит (и пройденный аудит не является показателем надёжности решения, скорее наоборот, он говорит о том, что уязвимости есть, просто ФСБ считает, что сможет использовать их эксклюзивно). Т.е. деньги на таком делать можно, но вот всерьёз писать о надёжности и безопасности на хабре или в других профильных местах — не стоит.
Я так и сделал, но блин, как же меня удручают причины, из-за чего мне это понадобилось.
Уверены ли вы в том, что можете доверять своему VPN
Ммм, да? Я выбрал хороший абузоустойчивый хостинг в стране с лояльными законами, я сам настроил его, я гарантирую что мои сервера доступны только мне и не ведут логи.
Судя по тому, что пишут на сайте хостинга - лояльные законы там пока в процессе принятия. Уведомлять клиентов об интересе со стороны органов обещают "в рамках дозволенного законом", а что дозволено - неясно. В общем, без изучения текущих актуальных законов Исландии совершенно неясно, насколько эти законы лояльные и как конкретно это работает на практике.
Уверены ли вы в том, что можете доверять своему VPN?