company_banner

Cloudflare представила собственный VPN-сервис на базе приложения 1.1.1.1 для мобильных устройств

    Вчера, полностью серьезно и без каких-либо шуток-прибауток, компания Cloudflare анонсировала свой новый продукт — VPN-сервис на базе DNS-приложения 1.1.1.1 для мобильных устройств с использованием собственной технологии шифрования Warp. Основной фишкой нового продукта Cloudflare является простота — целевой аудиторией нового сервиса являются условные «мамы» и «друзья», которые не способны самостоятельно купить и настроить классический VPN или не согласны устанавливать прожорливые в плане энергопотребления сторонние приложения от неизвестных команд.



    Напомним, ровно год и один день назад — 1 апреля 2018 года — компания запустила свой публичный DNS 1.1.1.1, аудитория которого за прошедший период выросла на 700%. Сейчас 1.1.1.1 борется за внимание публики с уже ставшим классическим DNS от Google по адресу 8.8.8.8. Позже, 11 ноября 2018 года, CloudFlare запустили мобильное приложение 1.1.1.1 для iOS и Android и вот теперь, на его базе запускается и «VPN по кнопке».

    Откровенно говоря, Cloudflare немного лукавит, называя свой апдейт приложения 1.1.1.1 полноценным VPN, потому что в чистом виде таковым он не является. Скорее, речь идет о шифровании трафика с помощью Warp, которое, как и VPN, скрывает то, что происходит внутри нашего условного «туннелирования» до VPN-сервера, то есть до DNS 1.1.1.1 от Cloudflare.

    Основным маркетинговым и прикладным обоснованием важности существования нового продукта является то, что провайдеры и прочие структуры, вовлеченные в передачу пользовательских данных, эти самые данные активно собирают и даже торгуют ими. При этом HTTPS нас не спасает: достаточно знать о самом факте обращения к какой-либо странице для того, чтобы составить «портрет» пользователя и потом показывать ему соответствующую рекламу.

    Что нужно знать об апдейте приложения 1.1.1.1 и Warp в частности:

    • Сквозное шифрование до серверов Cloudflare и отсутствие каких-либо удостоверяющих сертификатов. То есть CF сами отказываются смотреть ваш трафик.
    • Работает на VPN-протоколе WireGuard.
    • Шифрование по умолчанию всего незашифрованного трафика при работе через приложения или при просмотре небезопасных HTTP-страниц, например.
    • Теоретическая оптимизация трафика на стороне Cloudflare при серфинге и так далее.

    Команда уверяет, что отличительной особенностью Warp является то, что разрабатывался он в том числе и для улучшения мобильного соединения. CloudFlare напоминает, что TCP-протокол слабо приспособлен для работы в условиях мобильных сетей, потерю пакетов внутри которых может вызвать условно любая микроволновка. Ситуация повсеместно усугубляется еще и тем, что разверстка того же Wi-Fi в жилых массивах или публичных местах производится хаотично, что влечет за собой какой-то чудовищный уровень шумов на всех каналах частот (конечно, больше всего сейчас страдают каналы на частотах 2,4GHz, но и на 5GHz ситуация начинает ухудшаться). В подобных условиях постоянной потери пакетов не по вине пользователя, а из-а внешних условий, TCP-соединения называются не самым оптимальным вариантом. В записи же говорится, что работа Warp построена вокруг использования UDP-пакетов, которые, как мы помним, не требуют обратного ответа от целевого сервера и которые, по этой причине, активно используются в том же геймдеве для снижения пинга. Также CloudFlare уверяет, что их приложение будет четко контролировать использование батареи через умеренное обращение к антеннам, и не «кочегарить» аппарат до состояния раскаленной сковороды в попытках заставить устройство поймать сеть в местах, где связь не слишком стабильна. Отдельно стоит напомнить, что Warp работает на уже упоминаемом VPN-протоколе WireGuard. С полной технической документацией по WireGuard можно ознакомиться вот тут.

    Кроме этого Warp разрабатывался не конкретно под мобильное приложение 1.1.1.1, а является частью технического решения CloudFlare по защите серверов от атак под названием Argo Tunnel, которое использует часть решений Cloudflare Mobile SDK, которое уже в свою очередь базируется на купленном в 2017 году проекте Neumob. То есть, фактически, Cloudflare начала методичную работу по выходу на мобильный рынок еще в 2017 году — за год до запуска публичного DNS 1.1.1.1. Такой комплексный подход вселяет некоторую уверенность в последовательности действий Cloudflare и наличии понятной долгосрочной стратегии, что не может не радовать.

    Cloudflare уверяет, что не собирается торговать данными своих пользователей, а будет монетизировать Warp по подписке. Из коробки пользователям будет доступно две версии программы: Basic и Pro. Базовая версия будет бесплатной, но с урезанной скоростью передачи данных, которой, по всей видимости, будет хватать только для ленивого серфинга в сети или переписки. Pro-версия за какую-то ежемесячную плату обещает полный канал до серверов Cloudflare и максимальный комфорт.

    Представители компании заранее говорят о том, что для разных регионов будет установлена разная стоимость подписки, чтобы нивелировать различия в доходах в разных частях света. Вполне возможно, CIS-регион вместе с Россией получат более-менее приемлемое предложение на уровне 3-10$ в месяц вместо вполне стандартных 15-30 евро для ЕС или США.

    Компания честно признает, что они далеко не Google, но стараются, так что доступ к новым возможностям приложения 1.1.1.1 будет выдаваться порционно, в порядке живой очереди. Для того, чтобы записаться в эту самую очередь, нужно скачать приложение для iOS или Android и заявить о своем желании пользоваться «VPN от Cloudflare».



    Если посмотреть на отзывы в маркете, то в основном они положительные, хотя у приложения есть проблемы с неотключаемыми уведомлениями, которые некоторых пользователей серьезно раздражают. Однако многие отмечают, что решение от Cloudflare является отличным вариантом для безопасного использования публичных точек доступа Wi-Fi: последние и так обычно не отличаются высокой скоростью, так что бесплатной версии 1.1.1.1 должно хватать за глаза.

    Еще одним важным нюансом прошедшей презентации Cloudflare является то, что компания в скором времени обещает подвезти свой «DNS-VPN» еще и на десктоп, охватив тем самым и этот вполне многочисленный сегмент.

    Если разработка Cloudflare окажется на самом деле настолько хороша, как она описывается в официальном блоге компании, то на рынке наконец-то появится условно бесплатное (помним об ограничениях по скорости) и понятное приложение для людей, которые не слишком в теме того, как работает VPN и что такое вообще информационная безопасность. Сейчас же все в руках маркетологов Cloudflare — если они смогут выйти на массовый рынок и внедрить идею, что включение VPN-режима в приложении 1.1.1.1 — это обязательный элемент интернет-гигиены, то для миллионов пользователей всемирная сеть сможет стать намного более дружелюбным и гостеприимным местом, нежели раньше. Также этот продукт будет важен и для стран, где государственные органы блокируют доступ к некоторым ресурсам.

    И речь не только о России, но, например, об Иране или даже Франции. Суд Пятой Республики, кстати говоря, тихой сапой принял решение о блокировке доступа к пиратским научным порталам SciHub LibGen, мол, нечего ученым бесплатно читать работы коллег. Но это уже совсем другая история, но ситуация со свободным доступом к ресурсам становится все хуже и хуже по всему миру.

    Как бы там ни было, сервис, подобный 1.1.1.1, вполне подходит для молодежи и представителей старшего поколения, которые не готовы или не способны разобраться с тем, как купить, настроить и использовать VPN даже на десктопах, не говоря уже о мобильных устройствах.
    ITSumma
    Собираем безумных людей и вместе спасаем интернет

    Комментарии 21

      +9
      А проблема тут может заключаться в том, что наш доблестный РКН заблочит и vpn от cloudflare, и в придачу все их CDN. Будем посмотреть
        0
        Думаю, для начала будут банить по порту или по протоколу (UDP). Если Cloudflare будут обходить эти блокировки через какой-нибудь 443 порт на своих CDN, тогда да, могут и всё забанить.
          0
          сейчас они для туннелирования только днс запросов используют два протокола на выбор пользователя.
          DNS over HTTPS (по дефолту) 443
          DNS over TLS (опционально для пользователя) 853
        +2
        Так VPN только для днс или всего трафика будет? Если только днс, то на фиг не надо…
          0
          Warp — для всего траффика.
            +1
            Откровенно говоря, Cloudflare немного лукавит, называя свой апдейт приложения 1.1.1.1 полноценным VPN, потому что в чистом виде таковым он не является. Скорее, речь идет о шифровании DNS-трафика с помощью Warp, которое, как и VPN, скрывает то, что происходит внутри нашего условного «туннелирования» до VPN-сервера, то есть до DNS 1.1.1.1 от Cloudflare.


            Русским по белому…
              +1
              DNS-трафик и так шифруется, и шифровалось до обновления. Приложение и было сделано для того, чтобы перенаправлять трафик на DNS over TLS-сервер 1.1.1.1 (а не на обычный DNS на 53 порту).
                0

                Свободные аналоги не встречал?

                  0
                  В Android Pie есть поддержка DNS over TLS. Любое стороннее приложение (что на iOS, что на Android) будет вынуждено работать как VPN, потому что другой возможности выцепить отдельно DNS-трафик нет.
                    0
                    Спасибо. Хотя уже проще вообще все в VPN завернуть
                      +2
                      Да, гораздо удобнее завернуть весь трафик до дома в туннель, а там уже в зависимости от нахождения нужного сайта в списке РКН или отправить его в следующий туннель до облака, или выпустить у домашнего провайдера.
                      Кстати, если у вас всё ещё микротик — можно замечательно поднять образ микротика в облаке гугла и настроить маршрутизацию туда по bgp. Если вдруг интересно — могу написать соответствующую инструкцию.
                        0
                        Что-то подобное мелькало уже. BGP я до сих пор не понимаю) Хотя я думаю, что на Хабре порадуются новому мануалу.
                        У меня сейчас все реализовано через l2tp+IPSec PSK до KVM внешней. Трафик маркируется через mangle, согласно динамическим листам, которые резолвятся самим микротиком. То, что подпадает под лист — уходит в туннель. Первым делом весь трафик на 53 порт.
                          0
                          Ну, вся суть BGP в том, что мы получаем не только один маршрут от провайдера, но множество разных маршрутов. И у каждого указано, через какой узел туда нужно попадать. Соответственно, если мы получили список маршрутов с заблокированными адресами — мы просто указываем, что на них нужно идти через туннель. Плюс в том, что маршруты не нужно писать руками — обновили на одном узле и они разошлись по другим узлам.
                0
                Читайте оригинал, параграф «Secure All the Traffic»
            +1

            283 с чем-то тысячи желающих передо мной. Интересно, они пускают массово или по паре тысяч в неделю

              0
              Странно, а меня пустил без очереди.
                0
                Именно в vpn для всего трафика, а не DNS только?
                Сам ДНС и у меня работает
                  0
                  Прошу прощения, рано обрадовался, не разобравшись. Для всего трафика — очередь 373 тыс.
              0
              Если посмотреть на отзывы в маркете, то в основном они положительные, хотя у приложения есть проблемы с неотключаемыми уведомлениями, которые некоторых пользователей серьезно раздражают.

              Это косяк гугла и уж точно не может быть проблемой приложения. В андроиде, отображение уведомления — обязательное условие для фоновых сервисов.
                0
                А 40% использования батареи — это норма?
                40% Battery Usage

                  0
                  у меня аналогично жрет не подетски

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое