VPN по разрешениям? Все обомлели, когда узнали, что их ждет в 2023 году…

Разрешение на пользование сотовым телефоном Nokia в 1998 году

Многие государства пытаются в той или иной степени контролировать информацию в национальном сегменте интернета: вводить цензуру, фильтровать трафик. Например, в США действует 11 федеральных законов для интернет-цензуры. Аналогичная ситуация в других странах. Но всё это бесполезно. Потому что информация хочет быть свободной. Как речной поток, она обойдёт любые барьеры на своём пути, говорили классики шифропанка.

Свой личный VPN — полностью легальный инструмент для безопасной работы в интернете. Вопрос в том, как долго продлится такая ситуация. И что делать, если использование этого инструмента ограничат? Некоторые уже начали готовиться к худшему сценарию.

Недавно на Хабре была опубликована статья «Интернет-цензура и обход блокировок: не время расслабляться» с обзором типов VPN по устойчивости к потенциальным блокировкам и деанонимизации пользователей. Статья набрала +262 и наверняка войдёт в список лучших статей на Хабре за 2023 год.

Итак, автор выделил семь типов подключения по степени обфускации (маскировки) трафика:

1. VPS в личном облаке, собственный VPN-сервер на известных протоколах без всякой обфускации, таким как IPSec, L2TP, OpenVPN, WireGuard. Их можно элементарно заблокировать и отфильтровать на уровне всех интернет-провайдеров.
   
2. Технология TLS-VPN, когда трафик VPN «оборачивается» в TLS. Примеры протоколов: SSTP, AnyConnect/OpenConnect, SoftEther.
   
3. Реверс-прокси перед TLS-VPN для защиты VPN от обнаружения. К сожалению, все такие соединения можно заблокировать.
   
4. Специальные инструменты для маскировки TLS-VPN, чтобы он был неотличим от обычного TLS — V2Ray/XRay с плагином VMess и VLess поверх Websockets или gRPC, либо Trojan-GFW. К сожалению, факт использования этих библиотек можно обнаружить.
   
5. Специальная или кастомная TLS-библиотека вроде uTLS, маскировка под другие протоколы. К сожалению, по паттернам трафика всё равно можно выявить, что пользователь делает нечто нестандартное и подозрительное.
   
6. Rule-based access: прокси, который включает VPN только в нужный момент. К сожалению, такое специфическое использование SSH-туннеля тоже заметно по паттернам трафика, так же как TLS-внутри-TLS.
   
7. Всё вышеперечисленное, с рандомной набивкой пакетов мусорными данными (random padding), разбивкой пакетов и другими техниками избежания паттернов. В этом случае увеличивается процент ложных срабатываний, что обычно не останавливает «цензора», который блокирует всё более-менее подозрительное (разумеется, речь про Китай и Иран).

Какие выводы можно сделать из этого технического обзора? Вывод такой, что по мере продвижения от первого к последнему пункту наш сервер всё лучше защищён от обнаружения, но никогда не защищён полностью. При этом сервер становится всё сложнее в обслуживании.

Грубо говоря, первый вариант — самый простой удобный, но и самый беззащитный для гипотетической угрозы. Последний вариант со всеми защитными мерами означает то, что трафик всё равно заблокируют, но вместе с кучей ни в чём не повинных посторонних сервисов.

▍ VPN по разрешениям

Некоторые особо параноидальные эксперты допускают введение в России «белых списков» и разрешений на использование VPN. По некоторым признакам, подобные планы действительно существуют. Ещё в 2017 году Роскомнадзор начал составлять «белые списки» сервисов, которые запрещено блокировать. В том же году вступил в силу закон о запрете обхода блокировок через VPN и анонимайзеры.

В отношении VPN введение белых списков допускает два варианта регулирования:

1. белый список организаций, которые имеют право использовать услуги VPN;
   
2. белый список VPN-провайдеров, соблюдающих меры государственного регулирования (например, запись всего трафика и расшифровка по запросу компетентных органов)

… или сочетание этих методов.

Подготовка не означает 100% вероятность введения «белых списков», это лишь запасные меры на случай, если поступит экстренное распоряжение. А оно может и не поступить, этого никто не знает. Такие вещи в последнее время в РФ происходят непредсказуемо и без предварительных анонсов (как говорится, «без раскачки»).

Напомним, что в настоящее время вместо «белых списков» (VPN запрещён всем, кроме организаций из списка) действует противоположная модель «чёрных списков» (разрешено всё, кроме некоторых сервисов).

Если вернуться к типам VPN из вышеупомянутой статьи, то использование VPN само по себе полностью легально (1-й пункт из списка). А вот «обход блокировок» уже является нарушением закона со стороны владельца сервера. И если кто-то начинает обфусцировать трафик (пункты 2–7), это выглядит подозрительно.

Ну и тотальной фильтрации трафика по протоколам сейчас не наблюдается. Хотя она может начаться в будущем. Но пока такое будущее не наступило. И будем надеяться, не наступит. Следовательно, можно использовать удобные и легальные сервисы из пункта 1.

На RUVDS есть два шаблона для этих целей, так что настройка сервиса займёт буквально пару щелчков мышки. Первый называется StrongSwan (под Linux), а второй — VPN L2TP (Windows Server 2019).

▍ Образ StrongSwan IKEv2/IPSec

Шаблон указан предпоследним в Маркетплейсе. Он добавлен несколько месяцев назад в связи с возросшим спросом.



Как вариант, шаблон можно выбрать из выпадающего списка на этапе заказа сервера:

IKEv2/IPSec — стандартный протокол для построения частных сетей. В качестве транспорта использует UDP. Обладает свойством PFS (perfect forward secrecy, совершенная прямая секретность) во всех режимах использования.

PFS — крайне важное свойство системы шифрования. Оно практически устраняет риски от потери долговременного закрытого ключа. Например, если злоумышленник получил закрытый ключ сервера, он всё равно не сможет расшифровать сессии IKEv2/IPSec ни в прошлом (сохранённые ранее), ни в будущем, потому что для их шифрования используются сессионные или уникальные эфемерные (одноразовые) ключи.



IPsec IKEv2 — современный протокол VPN, разработанный Microsoft и Cisco. В архитектурном плане оказался достаточно удачным, обгоняя по производительности OpenVPN. Большое преимущество — возможность добавлять новые функции. За 17 лет с момента публикации стандарта протокола появилось около десятка различных расширений, и процесс продолжается. Сейчас ведутся работы по адаптации IKEv2 для квантовых компьютеров и квантовой криптографии.

StrongSwan — открытая и быстрая реализация IPsec. Проект расширяемый, с хорошо масштабируемым многопоточным дизайном. Ориентирован прежде всего на IKEv2 и строгую аутентификацию.

В образе из маркетплейса — предустановленный strongSwan, все необходимые зависимости и плагины, а также небольшое веб-приложение для настройки системы и получения учётки без захода по SSH. Через -интерфейс можно взять файлы sswan и mobileconfig для импорта в приложение strongSwan VPN Client под Android и iOS/MacOS, соответственно.

После этого мы свободно подключаемся к своему VPN по адресу https://vps_ip_address:5000 под теми же учётными данными, которые получили для SSH. Эту информацию вводим в мобильный клиент — и вот уже можно выходить в интернет под надёжной криптографической защитой.


strongSwan VPN Client для Android

Как видим, шаблон крайне прост в установке. Кроме того, образ работает под Linux. Это означает дешевизну решения, потому что под Linux есть линейка тарифов «Старт» и возможность выбрать более слабую и дешёвую конфигурацию, чем под Windows.

Как мы уже упоминали, этот удобный Linux-образ появился в маркетплейсе буквально пару месяцев назад, а до этого моменту пользователям приходилось довольствоваться более дорогим шаблоном VPN L2TP под Windows.

▍ Образ с VPN L2TP

VPN L2TP — альтернативный шаблон для своего VPN-сервера. Включает в себя Windows Server 2019 с предустановленными ролям RRAS и NPS.

Как и предыдущий, этот шаблон тоже устанавливается довольно быстро, а сразу после установки позволяет подключаться к серверу по VPN. Управление сервером доступно не только по SSH, но и по RDP, как в других стандартных шаблонах WindowsServer. Подключение осуществляется через стандартный функционал Windows с помощью L2TP с предварительным ключом. Перед подключением ввести общий ключ. Подробное руководство по подключению см. в справочнике.

Разумеется, на собственный сервер можно ставить любые операционные системы и софт по желанию. Без всяких шаблонов и дополнительной оплаты, то есть бесплатно.

▍ Вывод

В настоящее время VPN на своём сервере находятся в легальном поле. Ими можно совершенно спокойно пользоваться, не привлекая внимания санитаров не нарушая законодательства. Это самый простой и удобный вариант для работы в интернете. А вот в случае изменения законодательства нужно будет думать, какой вариант выбрать. Если такие изменения произойдут. Но будем решать проблемы по мере их поступления.

Есть вероятность, что власти постараются избежать введения жёстких ограничений на частные сети, поскольку это настоящий кошмар для цифровой инфраструктуры тысяч коммерческих и государственных организаций. Кому нужен кошмар? Никому. Все министерства выступят против, от минцифры до минэкономики.

Играй в нашу новую игру прямо в Telegram!