VPN, прокси. Защита конфиденциальных данных и анонимность в Интернете

Обычно подключение между браузером и веб-сайтом проходит из браузера на компьютер, от компьютера до беспроводной сети или домашней сети, от вашей домашней сети до вашего Интернет-провайдера, от провайдера к национальному Интернет-оператору, от национального оператора к национальному оператору хостера веб-сайта, от национального оператора хостера к хостинг-провайдеру и, наконец, от хостинг-провайдера к сайту.

Слишком много шагов! На самом деле трафик может проходить и через другие страны, в зависимости от вашего фактического расположения.

Небезопасные подключения

При небезопасном подключении любой, кто контролирует или разделяет какую-либо часть подключения получает возможность просмотреть отправляемые данные: другой пользователь компьютера, домашней сети, ваш Интернет-провайдер, операторы различных сегментов Интернета, ваше правительство или правительства других государств, через которые проходит ваш трафик, а также хостинг-провайдер или владелец сайта на том же хосте.

Безопасные подключения

Когда веб-сайт предлагает безопасное подключение (использует протокол HTTPS с действительным сертификатом и полноценным шифрованием), то отправляемые по подключению данные могут быть видимыми только для браузера и веб-сайта.

Звучит несложно, а как на самом деле? Здесь есть нюансы. Чтобы установить соединение, браузер должен обнаружить IP-адрес сайта, используя службу DNS, которая обычно предоставляется Интернет-провайдером. Это означает, что при наблюдении за подключением можно увидеть домен в DNS запросе и раскрыть целевой URL-адрес, даже если отправляемые данные являются невидимыми.

Даже если вы используете безопасную DNS-службу, то при наблюдении за подключением можно увидеть целевой IP-адрес и использовать обратный запрос DNS с целью выявления посещаемого сайта.

VPN службы

Использование VPN при веб-серфинге позволяет решить две основные задачи:

• Скрыть сетевое общение от других пользователей локальной сети, Интернет-провайдера или государственного органа.
• Скрыть IP-адрес от сайта по соображениям конфиденциальности или для доступа к локально заблокированному контенту.

VPN сервисы предоставляет возможность безопасного подключения вашего ПК к другой сети, например, к рабочей сети вашего работодателя. Когда компьютер пытается отправить данные по сети, служба VPN на вашем компьютере шифрует данные, передает их через Интернет на целевой VPN-сервер, который находится в сети, к которой вы хотите подключиться. Он расшифровывает сетевой трафик и отправляет его по сети назначения, как если бы ваш компьютер сделал это сам. Сетевые ответы отправляются обратно на компьютер аналогичным образом.

Любой, кто отслеживает другую часть соединения по пути, не может видеть отправляемые данные и информацию о том, к какому компьютеру в целевой сети вы подключались.

Прокси-серверы

Прокси - это служба, которая делает запросы к веб-сайтам от имени вашего компьютера. Браузер настроен для подключения через прокси. Когда браузер начинает загружать веб-сайт, он подключается к прокси-серверу таким же основным способом и делает свой запрос. Затем прокси-сервер отправляет запрос на веб-сайт от имени браузера, и когда веб-сайт отвечает, он отправляет ответ обратно в браузер.

Прокси обеспечивает повышенный уровень конфиденциальности, не позволяя веб-сайту видеть ваш IP-адрес, но многие прокси на самом деле отправляют ваш IP-адрес сайту используя заголовок X-Forwarded-For. В конце концов, владельцы прокси не хотят нести ответственность, если вы запланируете провести атаку на веб-сайт. В этом случае владельцы веб-сайтов узнают IP-адрес источника атаки.

Конечно, вы также можете добавить поддельный заголовок X-Forwarded-For в свои запросы, чтобы повесить вину на кого-то еще, но веб-сайты могут использовать список известных и доверенных прокси-адресов, чтобы определить, является ли ваш заголовок  X-Forwarded-For фальшивым.

Большинство так называемых HTTPS-прокси также могут направлять безопасные подключения напрямую на веб-сайт без изменений, потому что они не могут расшифровывать трафик без сертификатов сайта. Это позволяет использовать HTTPS-сайты через прокси-сервер.

Прокси-сервер также может попытаться расшифровать подключения, но для этого он должен предоставить поддельный сертификат [свой собственный корневой сертификат] браузеру, который будет воспринят браузером как ненадежный. Появится сообщение об ошибке, чтобы защитить пользователя от перехвата данных. Этот метод иногда используется для отладки веб-сайтов, и при этом проверяемому лицу необходимо принять сертификат прокси. Кроме того, он иногда применяется в антивирусах для того, чтобы они могли сканировать соединение.

Защищенные веб-прокси

Защищенные веб-прокси позволяют безопасно подключаться к прокси-серверу, даже если целевой веб-сайт использует соединение HTTP (или небезопасное HTTPS). Это дает преимущество конфиденциальности - другие пользователи сети не могут сидеть сетевые данные. Они могут только видеть, что вы подключаетесь к защищенному веб-прокси (хотя соединение действительно выглядит как безопасное подключение к веб-сайту), но они не могут видеть, какие данные отправляются по этому соединению. Конечно, веб-сайт все еще может видеть заголовок X-Forwarded-For, поэтому он все равно будет знать ваш IP-адрес.

Для надежности защищенный веб-прокси также использует сертификаты для подтверждения своей подлинности, поэтому вы можете знать, что вы подключаетесь к действительно защищенному веб-прокси - в противном случае постороннее лицо может перехватить ваше прокси-соединение и представить поддельный защищенный веб-прокси, чтобы получить контроль над соединением с ним.

Анонимные прокси-серверы

Анонимный прокси - прокси-сервер или защищенный прокси, который не отправляет заголовок X-Forwarded-For при подключении к веб-сайтам. Таким образом, веб-сайт не может видеть ваш IP-адрес, что делает вас анонимными для веб-сайта.

Некоторые службы также предлагают возможность перехвата страницы для удаления JavaScript и другого нежелательного контента, но в этом случае вы также должны предоставить владельцу прокси-сервера любые логины, а владелец прокси-сервера может видеть, что вы делаете, даже на защищенных веб-сайтах , Это просто сводит к минимуму один риск конфиденциальности и резко повышает другой риск конфиденциальности.

Получается, что анонимный защищенный веб-прокси позволяет решить обе проблемы сразу, но на самом деле не все так просто - есть много вещей, которые следует учитывать, например, как настроена ваша сеть и ваш компьютер. Ваш компьютер также может отправлять DNS-запросы при подключении к веб-сайту, запросы CRL и OCSP при использовании сертификатов веб-сайта. Кроме того, браузер может отправлять другие типы запросов, такие как запросы списка блокировки вредоносного ПО или запросы эскизов. В этих случаях некоторые VPN службы будут работать лучше, чем прокси (но далеко не все!).

Это также означает, что, если пользователь использует прокси для запуска атаки, обвинения будут предъявляться службе прокси. Чтобы этого избежать, владельцы прокси-сервера могут принудительно дросселировать соединения или требовать входа в систему, а также будут вести журналы соединений, чтобы можно было привлечь к ответственности истинного виновника. В этом случае все усилия по повышению уровня конфиденциальности сводятся на нет.

На что обратить внимание при выборе VPN

В большинстве случаев VPN сервисы - это не что иное, как анонимный защищенный веб-прокси, который позиционируется как “VPN”. Подобные сервисы часто обещают “защиту подключения к сайтам” или “шифрование соединений с сайтом”. Хотя ни то, ни другое не соответствует действительности, многие компании прибегают к данным маркетинговым уловкам в рамках конкуренции. Служба VPN такого типа не может обеспечить безопасное подключение к веб-сайту, поскольку она контролирует только часть этого соединения.

Как проверить VPN на утечки данных

Другими словами, VPN не используется как настоящая частная виртуальная сеть, а используется как прокси-сервер. Между вашим браузером и VPN сервером действительно устанавливается безопасное подключение, но затем трафик покидает сеть VPN-сервера и возвращается в Интернет, чтобы подключиться к целевому веб-ресурсу. Соединение с веб-сайтом остается небезопасным (или безопасным, если сайт использует HTTPS). Соединение все еще может быть перехвачено во время второй половины пути.

Кроме того, безопасные (HTTPS) соединения предлагают больше защитных возможностей, чем только шифрование данных. HTTPS гарантирует то, что соединение идет на сайт, которому принадлежит доверенный сертификат. Это доказывает, что никто не перехватил соединение и не представил поддельную копию веб-сайта. VPN не может превратить небезопасное соединение в безопасное. Без использования сертификатов даже полностью зашифрованное соединение не является безопасным.

Усиление конфиденциальности

Теоретически, “VPN в виде прокси” не нужно быть анонимными, но на практике почти всех из подобных служб таковыми являются.

Самая большая разница между защищенными веб-прокси и “VPN в виде прокси” заключается в том, что VPN может захватывать весь соответствующий трафик, а не только трафик, инициированный браузером. VPN также может захватывать DNS, OCSP, CRL и любой другой случайный трафик, создаваемый браузером, который может быть связан с подключением к веб-сайту. В некоторых случаях браузер может уменьшить количество этих данных при использовании защищенного веб-прокси, например, сделав свои собственные DNS-запросы, но есть и исключения. В любом случае сервисы “VPN в виде прокси” лучше, чем защищенный веб-прокси, претендующий на роль VPN.

VPN в браузере

Если браузер предлагает встроенную функцию VPN или расширение, которое предлагает VPN для отдельного приложения, то это характерный признак того, что вместо VPN вы столкнетесь с анонимным защищенным веб-прокси. В этом нет ничего плохого, но это значит, что могут существовать определенные ограничения, которые мешают захватить весь трафик, связанный с соединением. Встроенный в браузер VPN может не захватывать весь DNS-трафик и не может принимать проверки отзыва сертификатов, сделанные системой. В итоге хотя браузерный VPN может скрыть большую часть трафика, некоторые данные все равно будут проходить вне прокси, и в случае мониторинга сети постороннее лицо может получить доступ к информации о посещаемых сайтах.

В этом случае “VPN в виде прокси” сработает намного лучше, поскольку подобная служба захватывает весь трафик с компьютера.

Тем не менее, как анонимный “VPN в виде прокси” , так и анонимный защищенный веб-прокси могут быть достаточно эффективными для скрытия вашего IP-адреса для веб-сайта.

Полезные советы:

• Отключите любые плагины, которые могут раскрывать ваш действительный IP-адрес.
• Отключите трансляцию вашего локального IP-адреса с помощью протокола WebRTC.
• Используйте чистый профиль или режим приватного просмотра для автоматического удаления файлов куки и кэша, которые могут использоваться для вашей идентификации.

По материалам Vivaldi Team Blog