Многие знают, что VPN – это вроде как защищенная частная сеть. Она нужна для того, чтобы каким-то образом обеспечивать анонимность и повышать безопасность работы в глобальной сети. Но так ли всё просто, как кажется на первый взгляд? Давайте разберемся в вопросе более детально. Ведь и в нашей основной работе VPN часто встречается.
Технология эта довольно популярная и многие программные продукты 1С используют даже интегрированные инструменты для работы с защищенными сетями. VPN расшифровывается как Virtual Private Network и переводится дословно как виртуальная частная сеть. Но как бы это понять? Почему виртуальная? Почему частная?
Причем тут физические и логические устройства?
Для того, чтобы в полном объеме понять основы работы этой диковинной штуки, нам нужно сначала познакомиться с такими понятиями, как логические устройства и физические устройства. Физическое устройство – это любой аппаратный объект на вашем компьютере. Например, клавиатура или CD-ROM являются физическими устройствами. У них есть свой контроллер и при подключении к системе компьютер ищет для них драйвера.
Драйвер – это зона программы, которая обеспечивает обмен данными между мозгом устройства и системой. Без него функционирование невозможно.
Но компьютер можно обмануть 🙂 Если написать программу правильным образом, то можно запрограммировать систему так, что она будет на пустом месте определять подключенное устройство. Не столь важно сейчас, как это работает на детальном уровне. Компьютер будет думать, что ему подключили устройство, а устройства на самом деле не будет. На такого призрака можно тоже установить драйвер. Но это будет уже логическое устройство.
Пример логических устройств вы наверняка видели, когда пилили физический жесткий диск на несколько логических.
Нам сейчас важно понять, что компьютер так умеет делать. Эта логика может быть распространена и на сетевые подключения. Когда мы пихаем в компьютер провод, то система определяет его как физическую сеть. Если мы напишем правильную программу, то мы сможем эмулировать подключение сетевого провода, даже если провода нет физически. Для компьютера это всё равно будет сетью.
Уяснить тут важно самое главное. Даже если нет сети или устройства, то мы можем обмануть компьютер и заставить думать, что такая сеть есть. А ещё, мы так можем заставить думать и другие устройства, которые окажутся на нашем пути.
Виртуальная сеть, которую мы придумали для компьютера и создали на программном уровне и будет по сути дела виртуальной защищенной сетью VPN.
Особенности соединения с сетью с VPN и без
При работе в сети компьютер через модем регулярно отправляет некоторую служебную информацию Отправляется она пакетами. Эта информация по сути дела – код команды, которые уходят на удаленный сервер и заставляют его делать что-то, что нам нужно. Скажем, запросить передачу данных о нужной странице и её содержание.
При стандартном соединении по физической сети компьютер генерирует запрос, запрос уходит провайдеру, провайдер передает его сайту и ожидает ответа от сайта. Сайт по сути дела – это удаленный компьютер с информацией, который отвечает на запросы таких клиентов и отдает информацию в ответ на запросы. Потом мы получаем ответ от сервера в виде пакета данных для расшифровки.
Казалось бы, как, куда и зачем тут добавлять VPN?
В обычном случае внешний сайт видит нас как некоторого пользователя, пришедшего от такого-то провайдера с таким-то адресом.
Если в эту схему добавить логический удаленный виртуальный сервер, к которому можно подключиться через нашего провайдера, а потом сам сервер уже соединит нас с нужным сайтом, получится новая сеть. Сайт будет думать, что к нему пришли не от нашего провайдера с известными выходными данными, а от логического сервера. Провайдер же увидит пакет данных, который просто ушёл куда-то. Для нашего реального провайдера это служебная обезличенная информация. Удаленный сервер, к которому подключается наш компьютер, может быть физическим или виртуальным. Это обстоятельство уже сути не меняет. Важно лишь то, что через провайдера, который может так или иначе использовать наши данные и идентифицировать нас как конкретного клиента, идёт пакет служебных непонятных данных. Внешние же сайты видят характеристики этого логического или физического удаленного сервера. Этот сервер – это и есть VPN-сервер.
Для пущей убедительности нам остается лишь зашифровать служебные данные, отправляемые через реального провайдера и сделать их бессмысленным набором символов, если их перехватили где-то между клиентом и сервером и попытались использовать. Вот и получился VPN – виртуальная частная сеть.
Что с безопасностью и как это можно использовать?
Что мы получаем с технической точки зрения, если используем такую виртуальную сеть:
- Весь трафик от нашей рабочей машины до сервера внешнего сайта передается в зашифрованном виде
- Интернет сайт видит не внешние характеристики нашего провайдера и нас, как клиента, а подключение от какого-то неизвестного сервера, расположенного например в Африке
- Даже если сайты умеют расшифровывать данные об этом VPN и он им знаком, не ясно, какой именно клиент подключился через этот шлюз
- Наш провайдер, который обеспечивает доступ в интернет, не понимает, что именно он передает, так как расшифровать служебную информацию между нашим клиентом и сервером VPN он не может
Исходя из этих преимуществ, вполне себе вырисовываются и способы использования VPN, о которых, пожалуй, мы тут рассказывать не будем. Каждый пытливый читатель сам уже понял, как применять подобную технологию. Хотелось бы только добавить, что VPN – это не всегда о цензуре, пиратстве или доступе к закрытым ресурсам. Например, наши клиенты часто используют VPN, как способ сохранения целостности информации и защиты от атак или утечек данных.
Тут может показаться, что VPN – это непробиваемый бастион. На самом деле, это не совсем так.
Во-первых, логи и результат дешифровки могут сохраняться на самом VPN-сервере и потом использован против вас. Узнать пишет ли VPN логи или нет мы никогда не сможем. Некоторые серверы заявляют, что они это принципиально не делают, но обещать – не значит жениться.
Следующий момент – мошенничество со стороны самого VPN-сервиса. Ведь они получают все наши данные, в том числе и данные о транзакциях в банке и т.п. и т.д., что может быть использовано против нас.
Скажем, можно продать служебную информацию на черный рынок, а в самом худшем случае – вскрыть её и украсть данные карты. Ведь на уровне сервера это уже раскодированная и понятная информация. Понятно, что такие серьезные компании, как банки, шифруют потоки клиентов дополнительно. Но это полностью отменяет пользу от VPN в этом контексте.
Сам по себе зашифрованный трафик при слабом шифровании может быть перехвачен и расшифрован. Далеко не все VPN используют шифрование на лету и думать, что система не убиваемая, совсем неправильно.
В итоге правильный подход тут может заключаться только в использовании собственного или доверенного VPN-сервера с мощным шифрованием. В общем-то, большинство наших клиентов, которые хотят шифровать потоки служебных данных, которые путешествуют между компьютерами компании, используют именно этот подход к вопросу.
—————-