В свя­зи с веяниями законо­датель­ства и рос­сий­ски­ми реалиями при­ходит­ся задумы­вать­ся о методах обхо­да цен­зуры. И если рань­ше о VPN зна­ли толь­ко те, кому это положе­но, то сей­час о подоб­ных вещах начина­ют узна­вать мно­гие. Как же мож­но соз­дать VPN-тон­нели и что для это­го нуж­но?

warning

Вся информа­ция пре­дос­тавле­на исклю­читель­но в озна­коми­тель­ных целях. Ни редак­ция, ни автор не несут ответс­твен­ности за любой воз­можный вред, при­чинен­ный матери­ала­ми дан­ной статьи.

 

Введение

Преж­де все­го, опре­делим­ся со сфе­рой исполь­зования VPN и отли­чиями его как от Tor, так и от обыч­ных прок­си. Перед пос­ледни­ми у тон­нелей есть гро­мад­ное пре­иму­щес­тво — они обес­печива­ют шиф­рование, что поз­воля­ет защитить­ся от сни­фин­га на уров­не про­вай­дера. Если же срав­нивать VPN с Tor, очень мно­гое зависит от того, нас­коль­ко ты доверя­ешь выход­ным узлам лукович­ной сети. В слу­чае с тон­нелями так­же мож­но исполь­зовать два (и более) сер­вера.

Су­щес­тву­ет нес­коль­ко типов VPN, одна­ко нас инте­ресу­ют глав­ным обра­зом те, которые мы можем соз­дать сами на осно­ве VPS. Понят­но, что бес­плат­но подоб­ного не быва­ет (а если и быва­ет, то качес­тво оставля­ет желать луч­шего), но зато боль­шинс­тво хос­теров пре­дос­тавля­ет проб­ный пери­од, в течение которо­го мож­но оце­нить, под­ходит ли дан­ный вир­туаль­ный сер­вер для VPN.

Тем не менее, помимо самос­борных VPN, сущес­тву­ют уже готовые сер­висы, которые пре­дос­тавля­ют шиф­рован­ные тон­нели. Нас­чет их кон­фиден­циаль­нос­ти слож­но ска­зать что‑то опре­делен­ное, но сре­ди дан­ных сер­висов есть и бес­плат­ные, чего для обхо­да цен­зуры в ряде слу­чаев дос­таточ­но.

Проб­лему выбора и нас­трой­ки VPN — как готовых, так и на осно­ве VPS — мы и рас­смот­рим.

 

Подготовка и обзор готовых VPN-сервисов

Спер­ва рас­смот­рим готовые VPN-сер­висы. Речь, разуме­ется, не идет о прог­раммах, которые работа­ют на осно­ве каких‑то сво­их про­токо­лов. Мы говорим о стан­дар­тных средс­твах, под­держи­ваемых Linux. К их чис­лу отно­сят­ся сле­дующие про­токо­лы и при­ложе­ния:

  • PPTP — ста­рый (даже мож­но ска­зать, древ­ний) про­токол, раз­работан­ный в Microsoft и при­меня­емый аж с 1996 года. На дан­ный момент его при­мене­ние не рекомен­дует­ся из‑за уяз­вимос­тей;
  • IPSec — семей­ство про­токо­лов для VPN. Зачас­тую при­меня­ется вмес­те с L2TP. На мой взгляд, дан­ное семей­ство избы­точ­но слож­но;
  • OpenVPN — на сегод­няшний день самая популяр­ная реали­зация VPN. В качес­тве бэкен­да исполь­зует­ся про­токол TLS и драй­веры TUN/TAP.

Есть еще менее рас­простра­нен­ные вари­анты соз­дания VPN-соеди­нения — нап­ример, мож­но сде­лать шиф­рован­ный тон­нель, исполь­зуя PPP поверх OpenSSH. Но эти методы мы в статье зат­рагивать не будем.

В даль­нейшем нам понадо­бит­ся OpenVPN, так что нелиш­ним будет уста­новить дан­ный пакет на кли­ент­ской сто­роне, а заод­но и пла­гин для Network Manager (пред­полага­ется, что исполь­зует­ся какая‑либо из пос­ледних вер­сий Ubuntu):

$ sudo apt-get install openvpn network-manager-openvpn

Пе­рей­дем наконец к VPN-сер­висам.

 

vpngate.net

Су­щес­тву­ют ресур­сы, где мож­но най­ти спи­сок обще­дос­тупных VPN-про­вай­деров. Нап­ример, vpngate.net — япон­ский ресурс, соз­данный в качес­тве иссле­дова­тель­ско­го про­екта Цукуб­ско­го уни­вер­ситета. При­соеди­нить­ся к про­екту может любой жела­ющий, что, таким обра­зом, соз­дает некий ана­лог сети Tor. Для того что­бы под­клю­чить­ся к какому‑нибудь VPN-сер­веру из дан­ного спис­ка, нуж­но выб­рать его на свой вкус (понят­но, луч­ше все­го под­ходят машины с малым вре­менем пин­га и широкой полосой про­пус­кания), затем выб­рать тип соеди­нения (пос­коль­ку мы рас­смат­рива­ем OpenVPN, то и под­клю­чать­ся будем к OpenVPN) и, наконец, выб­рать файл кон­фигура­ции. Как пра­вило, их на каж­дый сер­вер четыре шту­ки — hostname/TCP, hostname/UDP, IP-адрес/TCP и IP-адрес/UDP.

Пос­ле выбора и заг­рузки кон­фига отту­да нуж­но вытащить сер­тификат — для это­го откры­ваем ска­чан­ный файл и копиру­ем все, что находит­ся меж­ду , в отдель­ный файл с рас­ширени­ем crt, сох­раняя tuj в UNIX-фор­мате строк. Затем (в слу­чае исполь­зования Network Manager) добав­ляем новое соеди­нение и в типе соз­дава­емо­го соеди­нения ука­зыва­ем «Импорти­ровать сох­ранен­ные парамет­ры VPN», пос­ле чего выбира­ем файл, который мы ска­чали. Ука­зыва­ем тип аутен­тифика­ции по паролю, вби­ваем имя поль­зовате­ля и пароль (на момент написа­ния статьи это была пара vpn/vpn) и выбира­ем ранее сох­ранен­ный сер­тификат ЦС. Все, пос­ле сох­ранения мож­но под­клю­чать­ся.

Настройка параметров VPN в Network Manager
Нас­трой­ка парамет­ров VPN в Network Manager

В коман­дной же стро­ке все еще про­ще — для под­клю­чения дос­таточ­но наб­рать сле­дующее:

% sudo openvpn --config vpngate_vpn417604226.opengw.net_udp_1512.ovpn

Вмес­то vpngate_vpn417604226.opengw.net_udp_1512.ovpn, естес­твен­но, нуж­но пос­тавить свое имя фай­ла. Кро­ме того, сто­ит обра­тить вни­мание, что в слу­чае исполь­зования этой коман­ды дол­жен быть ука­зан пуб­личный DNS-сер­вер — ина­че домен­ные име­на поп­росту не будут резол­вить­ся.

Подключение к VPN из командной строки
Под­клю­чение к VPN из коман­дной стро­ки

А вот с кон­фиден­циаль­ностью у дан­ного про­екта не очень, о чем нас чес­тно пре­дуп­режда­ют на самом сай­те vpngate. Логи пакетов (точ­нее, заголов­ков) хра­нят­ся в течение двух недель. Логи же соеди­нений (кто ког­да с кем) и того боль­ше — три и более месяца. Так­же они реаги­руют на абу­зы.

 

vpnbook.com

Этот сер­вис пре­дос­тавля­ет VPN в Румынии и Гер­мании. Сам веб‑сер­вер тоже находит­ся в Румынии, одна­ко в кон­тактах ука­зана Швей­цария. Ресурс обще­извес­тный, так что впол­не веро­ятно, что его уже вез­де переба­нили. Кро­ме того, сре­ди дос­тупных сер­веров име­ются еще и сер­веры США и Канады, которые заточе­ны под веб‑сер­финг и для P2P не годят­ся. Нас­трой­ка с исполь­зовани­ем Network Manager прак­тичес­ки иден­тична пре­дыду­щему слу­чаю — за исклю­чени­ем того, что пароли там меня­ются раз в две недели, а DNS нуж­но про­писы­вать руч­ками. Для это­го на вклад­ке «Парамет­ры IPv4» в спо­собе нас­трой­ки ста­вим «Авто­мати­чес­ки (VPN, толь­ко адрес)», а в DNS-сер­верах про­писы­ваем какой‑либо пуб­личный.

Настройка параметров DNS для VPN в Network Manager
Нас­трой­ка парамет­ров DNS для VPN в Network Manager

О самом сер­висе мож­но ска­зать, что тор­рент‑фай­лы филь­тру­ются, — даже учи­тывая сло­ва на его стра­нич­ке о том, что P2P-тра­фик зап­рещен толь­ко на аме­рикан­ских сер­верах. Так­же непонят­на фак­тичес­кая юрис­дикция дан­ного сер­виса — домен­ное имя зарегис­три­рова­но через пос­редни­ка.

 

frootvpn.com

FrootVPN уси­лен­но рек­ламиру­ется на The Pirate Bay. Пре­дос­тавля­ет швед­ские адре­са, меня­ющиеся при каж­дом под­клю­чении. Ско­рость при­лич­ная. При регис­тра­ции нуж­но ука­зать email, логин и пароль, при­чем логин и пароль будут исполь­зовать­ся и для под­клю­чения. Пре­дос­тавля­ется как PPTP/L2TP, так и OpenVPN. К сожале­нию, при исполь­зовании Network Manager некото­рые мар­шру­ты по неиз­вес­тным при­чинам не про­писы­вают­ся в таб­лице мар­шру­тиза­ции. Поэто­му при исполь­зовании дан­ного VPN-сер­виса нуж­но запус­кать OpenVPN из коман­дной стро­ки.

На веб‑ресур­се сер­виса утвер­жда­ется, что логи они не хра­нят. В то же вре­мя они не ука­зыва­ют никаких усло­вий исполь­зования. Сами же вла­дель­цы дан­ного сер­виса неиз­вес­тны.

 

seed4.me

Для раз­нооб­разия рас­ска­жу и о плат­ном PPTP-сер­висе seed4.me. Он под­держи­вает соеди­нение от IP, находя­щих­ся в раз­ных стра­нах, в том чис­ле нидер­ланд­ских, бри­тан­ских, гон­конг­ских... Регис­тра­ция по приг­лашени­ям.

Вкрат­це опи­шу, как нас­тра­ивать в Ubuntu c исполь­зовани­ем Network Manager. Убе­дим­ся, что уста­нов­лен соот­ветс­тву­ющий пакет:

$ sudo apt-get install network-manager-pptp

За­тем в самом Network Manager соз­даем PPTP-соеди­нение, в качес­тве шлю­за про­писы­ваем пред­почти­тель­ный по стра­не, имя поль­зовате­ля / пароль — твои email с паролем, которые ты исполь­зовал при регис­тра­ции. Не забыва­ем пос­тавить чек­бокс «Исполь­зовать шиф­рование MPPE» в допол­нитель­ных парамет­рах и выб­рать 128-бит­ное шиф­рование.

Настройка шифрования PPTP в Network Manager
Нас­трой­ка шиф­рования PPTP в Network Manager

Сам сер­вис, как уже было ска­зано, плат­ный, но проб­ный пери­од — неделя — пре­дос­тавля­ется бес­плат­но. При каж­дом под­клю­чении адрес выделя­ется динами­чес­ки. Сер­вис чес­тно пре­дуп­режда­ет, что может в слу­чае чего собирать информа­цию о поль­зовате­лях. К сожале­нию, с некото­рых IP-адре­сов тор­рент (Ubuntu 14.10) качать­ся не желал — но, полагаю, это вина мес­тно­го про­вай­дера, пре­дос­тавля­юще­го IP для VPN, не самого сер­виса. А вот полосу про­пус­кания сер­вис режет — пос­коль­ку поч­ти на всех про­тес­тирован­ных ранее VPN дан­ный тор­рент качал­ся со ско­ростью более 1 Мбит/с. Здесь же выше 800 Кбит/с ско­рость никог­да не под­нималась.

 

VPN своими руками. Подготовка

Но что, если ты не доверя­ешь VPN-сер­висам? В этом слу­чае есть один путь — под­нять свой собс­твен­ный VPN на осно­ве VPS. Пре­иму­щес­тво это­го спо­соба хотя бы в том, что меж­ду тобой и дата‑цен­тром мень­ше пос­редни­ков. А недос­таток... воз­можный штраф за наруше­ние законов стра­ны юрис­дикции VPS.

Да­вай пос­мотрим, какие у нас тре­бова­ния к VPS. Во‑пер­вых, дол­жна быть под­дер­жка TUN/TAP — и если в гипер­визоре Xen или KVM она име­ет мес­то, то в OpenVZ ее зачас­тую отклю­чают. Во‑вто­рых, он дол­жен недоро­го сто­ить. В‑треть­их, он дол­жен быть более‑менее ста­билен. Кро­ме того, нуж­но вни­матель­но смот­реть пра­вила исполь­зования — в про­тив­ном слу­чае твой акка­унт поп­росту заб­локиру­ют (если не чего хуже).

Да­лее я опи­шу нес­коль­ко VPS, которые более‑менее соот­ветс­тву­ют задан­ным парамет­рам.

Конфигурационные файлы OpenVPN

Кон­фиг для сер­верной час­ти:

local 0.0.0.0 # Адрес, который доступен из интернета, по сути, это единственный параметр, который нужно менять
port 1234
proto udp
dev tun
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
ca /etc/openvpn/.key/ca.crt
cert /etc/openvpn/.key/server.crt
key /etc/openvpn/.key/server.key
dh /etc/openvpn/.key/dh2048.pem
client-cert-not-required
auth-user-pass-verify /etc/openvpn/verify.sh via-file # Производим аутентификацию с помощью скрипта скрипт можешь написать сам
username-as-common-name
script-security 2
tmp-dir /tmp
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 4.2.2.1"
keepalive 5 30
comp-lzo
persist-key
persist-tun
status server-tcp.log
verb 3
user openvpn
group openvpn

Кон­фиг для кли­ент­ской час­ти:

client
dev tun
proto udp
remote 0.0.0.0 1234 # Указываем адрес и порт сервера
resolv-retry infinite
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ca ca.crt
auth-user-pass
comp-lzo
verb 3
 

openhosting.com

Это на удив­ление неп­лохой облачный VPS, цена на который начина­ется от 9 дол­ларов за KVM вир­туаль­ную машину (кон­фигура­ция которой впол­не дос­таточ­на для запус­ка OpenVPN), дает­ся пять дней три­ала. Регис­тра­ция три­ала тре­бует ука­зания номера кар­точки VISA, при этом сни­мает­ся один цент, но сра­зу же воз­вра­щает­ся обратно. Пос­ле регис­тра­ции нуж­но соз­дать новую вир­туаль­ную машину (я соз­дал с обра­зом CentOS 6) и при­вязать к ней ста­тичес­кий IP-адрес. Сле­дом же нуж­но ее запус­тить и под­соеди­нить­ся к ней через веб‑интерфейс.

Создание VPS в Open Hosting
Соз­дание VPS в Open Hosting
Open Hosting: подключение к VPS через веб-интерфейс
Open Hosting: под­клю­чение к VPS через веб‑интерфейс

По умол­чанию пароль для root при вхо­де с веб‑интерфей­са (выс­тупа­юще­го в роли локаль­ной кон­соли) отсутс­тву­ет. Его мож­но пос­тавить стан­дар­тным спо­собом. Для уста­нов­ки же OpenVPN нуж­но спер­ва пос­тавить репози­торий EPEL:

# yum install -y wget
# wget http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
# rpm -Uvh epel*.rpm

За­тем нуж­но изме­нить файл репози­тория — по неиз­вес­тным при­чинам соеди­нение по HTTPS не уста­нав­лива­ется.

# sed -i "s/mirrorlist=https/mirrorlist=http/" /etc/yum.repos.d/epel.repo

На­конец, ста­вим пакет OpenVPN:

# yum install -y openvpn easy-rsa

Нас­тра­иваем сам OpenVPN. В интерне­те мно­го матери­ала по нас­трой­ке, поэто­му под­робно опи­сывать смыс­ла не име­ет. Вкрат­це же — копиру­ем каталог со скрип­тами генера­ции сер­тифика­тов, нас­тра­иваем парамет­ры, генери­руем их, затем нас­тра­иваем парамет­ры OpenVPN-сер­вера (мож­но най­ти на врез­ке), раз­реша­ем IP-фор­вардинг, уста­нав­лива­ем пра­вило iptables для NAT и... все. Мож­но нас­тра­ивать кли­ент (луч­ше исполь­зовать коман­дную стро­ку). Единс­твен­ное — лич­но у меня на сер­вере было спе­шащее вре­мя, из‑за чего были неболь­шие труд­ности с сер­тифика­том.

Про сам VPS-хос­тинг мож­но ска­зать, что он край­не ста­билен (есть даже SLA, что и неуди­витель­но, пос­коль­ку это круп­ная кон­тора). Тех­поддер­жка реаги­рует прак­тичес­ки момен­таль­но. Полоса про­пус­кания обес­печива­ет минимум 1 Мбит/с по шиф­рован­ному каналу. Пра­вила исполь­зования доволь­но стан­дар­тны (DMCA, ого­вари­вание дос­тупа к дан­ным на хос­тинге...). На исполь­зование VPN, рав­но как и на исполь­зование P2P, огра­ниче­ний не нак­ладыва­ется.

 

GleSYS

Швед­ская фир­ма, пре­дос­тавля­ющая VPS (как Xen, так и OpenVZ) в Нью‑Йор­ке, Амстер­даме, Фаль­кен­берге и Сток­голь­ме. Сто­имость начина­ется от семи‑вось­ми евро — что по сов­ремен­ным мер­кам доволь­но дорого. На OpenVZ под­держи­вают­ся Debian, CentOS и Ubuntu.

Создание VPS в GleSYS
Соз­дание VPS в GleSYS

Пос­ле регис­тра­ции и опла­ты мы соз­даем сер­вер с жела­емым мес­тополо­жени­ем, выбирая самые минималь­ные нас­трой­ки (их впол­не дос­таточ­но), затем заходим через HTML5-VNC, уста­нав­лива­ем пакеты OpenVPN и SSH — на Debian для это­го нуж­но наб­рать коман­ду

# apt-get install openvpn openssh-server

И, зай­дя по SSH, нас­тра­иваем OpenVPN. Проб­лем быть не дол­жно — раз­ве что в деби­анов­ском пакете для OpenVPN не соз­дает­ся UID/GID, и эти опции в кон­фиге мы отклю­чаем.

Как уже было ска­зано, VPS доволь­но дорогой — одна­ко, пос­коль­ку он находит­ся в Шве­ции, пра­вила его исполь­зования в некото­рых аспектах либераль­нее, чем в США. В час­тнос­ти, DMCA на Шве­цию пока не рас­простра­няет­ся. Ско­рость же дос­таточ­но ста­биль­но дер­жится на отметке 1 Мбит/с.

info

GleSYS так­же пре­дос­тавля­ет PPTP-VPN за пять евро в месяц.

 

Заключение

VPN — инс­тру­мент раз­нопла­новый. И нес­мотря на то, что он в основном фигури­рует в сюжетах с кри­миналь­ным душ­ком, его впол­не мож­но (а с уче­том нынеш­них тен­денций даже и необ­ходимо) при­менять и законо­пос­лушным граж­данам.

VPN-сер­висы — даже бес­плат­ные — впол­не дос­таточ­ны для обыч­ного сер­финга. Основное огра­ниче­ние боль­шинс­тва бес­плат­ных VPN — один‑единс­твен­ный ста­тичес­кий IP-адрес, который с боль­шой долей веро­ятности уже занесен в чер­ные спис­ки некото­рых сер­висов. Кро­ме того, на некото­рых бес­плат­ных VPN нель­зя качать тор­ренты и есть огра­ниче­ния на полосу про­пус­кания. Еще один момент — бес­плат­ные VPN-про­вай­деры могут собирать и даже ана­лизи­ровать тра­фик (отдель­ные об этом пря­мо пре­дуп­режда­ют).

Плат­ные же сер­висы сво­бод­ны от боль­шинс­тва наз­ванных недос­татков. Тем не менее важ­но осоз­навать, что у них тоже есть пра­вила исполь­зования, завися­щие от их юрис­дикции. В час­тнос­ти, в Гер­мании за ска­чива­ние музыки может при­лететь более чем солид­ный штраф от GEMA.

Ес­ли же ты покупа­ешь VPS, что­бы под­нять свой VPN, — ты избавля­ешь­ся от одно­го из пос­редни­ков, но при­обре­таешь голов­ную боль юрис­та, пос­коль­ку тебе нуж­но учи­тывать законы стра­ны, в дата‑цен­тре которой ты его купил. Кро­ме того, как пра­вило, VPS сто­ит дороже, чем покуп­ка VPN у пос­редни­ка. Дешевые же VPS име­ют свой­ство падать из‑за перег­рузок, и работать по VPN ста­новит­ся сом­нитель­ным удо­воль­стви­ем.

Под­водя ито­ги, для ано­ними­зации VPN име­ет смысл при­менять толь­ко в сочета­нии с дру­гими средс­тва­ми. А вот для обыч­ного сер­финга по зап­рещен­ным в Рос­сии сай­там или, к при­меру, в зарубеж­ной поез­дке, где есть откры­тый Wi-Fi, VPN под­ходит иде­аль­но.

Интервью

Мы так­же решили взять интервью у товари­щей из VPN-сер­виса Seed4me. Они пожела­ли остать­ся неиз­вес­тным. Что ж, это их пра­во.

][: Итак, пер­вый воп­рос — для чего вот лич­но вам понадо­бил­ся VPN?

D: S, зачем тебе VPN?

S: Дело было года четыре назад. Я куриро­вал неболь­шой про­ект, в логах которо­го обна­ружил подоз­ритель­ные перехо­ды с рефере­рами, похожи­ми на перехо­ды из логов прок­си или какого‑то сер­верно­го обо­рудо­вания. Про­верил IP — ока­залось, он при­над­лежал моему про­вай­деру, но не мне. Тем более, я не мог заходить по этим ссыл­кам с таким рефере­ром. WTF... Неуже­ли какой‑то админ или софт про­вай­дера решил про­верить, какие ссыл­ки я посещаю? Меня охва­тила паранойя, при том, что ничего незакон­ного я не совер­шал. По иро­нии судь­бы, за пару недель до это­го я поз­накомил­ся у дру­зей с челове­ком, который работал в тех­поддер­жке моего про­вай­дера :). Я нашел его номер, поз­вонил, задал воп­рос, быва­ют ли такие ситу­ации, ког­да их адми­ны смот­рят логи и перехо­дят по ссыл­кам, иссле­дуют тра­фик поль­зовате­ля. Человек мне отве­тил: «Это исклю­чено и прак­тичес­ки невоз­можно», в общем, что­бы я не замора­чивал­ся. Я сра­зу пошел и купил VPS’ку, поп­росил нас­тро­ить мне VPN. Тог­да я еще прак­тичес­ки ничего не знал об этом.

][: С вами все ясно :). А для чего VPN может при­годить­ся читате­лям нашего жур­нала?

S: С одной сто­роны, я понимаю, чего хотят читате­ли, их инте­ресы... VPN — такой инс­тру­мент, как нож: им мож­но резать кол­басу, а мож­но совер­шать прес­тупле­ния. Тем не менее он помога­ет пре­дуп­редить проб­лемы во мно­гих ситу­ациях, так как законы в раз­ных стра­нах раз­ные.

D: Почему‑то мно­гие ассо­циируют VPN с хакера­ми, думая, что VPN-сер­вис смо­жет защитить от рас­кры­тия прес­тупле­ния. Это, если чес­тно, не так. VPN пред­назна­чен для изме­нения сво­ей текущей юрис­дикции.

][: Это понят­но — если говорить о «чес­тных» VPN-про­вай­дерах. Думаю, вы обя­заны пре­дос­тавлять логи по пер­вому тре­бова­нию орга­нов.

D: По поводу пре­дос­тавле­ния логов очень тон­кий воп­рос. Я бы не говорил «обя­заны пре­дос­тавлять логи по пер­вому тре­бова­нию орга­нов». Это не сов­сем так. Для понима­ния нуж­но рас­смот­реть при­мер. Допус­тим, Вася Пуп­кин взял и купил 100 г мариху­аны, поль­зуясь сер­вером в Нидер­ландах. Рос­сий­ские пра­воох­ранитель­ные орга­ны наш­ли логи магази­на в Рос­сии и захоте­ли узнать, кто же купил тра­ву. Они обра­щают­ся в наш дата‑центр, а дата‑центр обра­щает­ся к нам. Мы не пре­дос­тавля­ем никаких дан­ных с сер­веров в Нидер­ландах до решения суда. А решения суда, ско­рее все­го, не пос­леду­ет — так как про­дажа мариху­аны в Нидер­ландах раз­решена. Это, может быть, надуман­ный при­мер, но смысл отра­жает пра­виль­но. Про логи отдель­ный раз­говор — у нас хра­нит­ся минималь­ное количес­тво логов, необ­ходимое для под­держа­ния сети VPN и монито­рин­га ее здо­ровья. Плюс логи не хра­нят­ся на VPN-узлах, они собира­ются отдель­но, и понять по ним, что делали поль­зовате­ли, невоз­можно. Но. Мы не говорим что логов нет сов­сем; те, кто говорят, исполь­зуют это как «мар­кетин­говое выраже­ние».

S: Вдо­бавок к сло­вам D, как я и ска­зал ранее, VPN — не средс­тво сок­рытия прес­тупле­ния.

][: Ито­го, VPN нужен для час­тной сме­ны юрис­дикции. Но тут есть еще воп­рос такой тон­кий... юрис­дикция не рав­на граж­данс­тву, так ведь?

D: Граж­данс­тво вооб­ще к это­му отно­шения не име­ет... Граж­данс­тво — то, что в пас­порте написа­но. А юрис­дикция — это, собс­твен­но, зона, где совер­шают­ся дей­ствия, не обя­затель­но где ты находишь­ся, а, я бы ска­зал, зона ответс­твен­ности. Если я заказал убий­ство по телефо­ну в Гер­мании и день­ги зап­латил, где юрис­дикция это­го прес­тупле­ния?

][: А чем обус­ловлен выбор про­токо­ла PPTP в вашем слу­чае? Сей­час его не осо­бо рекомен­дуют к при­мене­нию.

D: Пра­виль­ный ответ будет — мы PPTP не выбира­ли, его выб­рали за нас :). Сей­час слож­но най­ти плат­форму, где бы PPTP не под­держи­вал­ся. Так как целью было соз­дать сер­вис, который мож­но исполь­зовать на боль­шинс­тве устрой­ств, то PPTP выг­лядел разум­ным выбором. Понят­но, что мно­гие могут ска­зать: как же так — уже десять лет как доказа­на невысо­кая стой­кость PPTP-про­токо­ла? Одна­ко тут всег­да воп­рос пре­дела — не сущес­тву­ет 100%-й защиты никог­да. Есть некото­рые рам­ки меж­ду защищен­ностью и прос­тотой исполь­зования.

][: Стан­дарти­зация, понят­но. А нас­коль­ко целесо­образно при­мене­ние аль­тер­натив­ных крип­тоал­горит­мов? Здесь под­разуме­вают­ся, нап­ример, алго­рит­мы на эллипти­чес­ких кри­вых, никак не самопаль­ные.

D: С аль­тер­натив­ными алго­рит­мами шиф­рования очень инте­рес­ная ситу­ация, попахи­вающая теорией загово­ра. Вооб­ще алго­рит­мы шиф­рования, пос­тро­енные на эллипти­чес­ких кри­вых, были раз­работа­ны и стан­дарти­зиро­ваны срав­нитель­но недав­но. Отли­чают­ся сво­ей стой­костью и, соот­ветс­твен­но, мень­шим раз­мером клю­ча. Проб­лема в том, что поч­ти во всех стра­нах они зап­рещены к импорту и поэто­му поч­ти не исполь­зуют­ся (в опе­раци­онных сис­темах). То есть если ты дела­ешь мас­совый про­дукт, то адап­тация методов шиф­рования с ними очень низ­ка. Стан­дар­тных решений нет, и при­ходит­ся соз­давать свои собс­твен­ные, а в ито­ге стал­кива­ешь­ся с необ­ходимостью сер­тифика­ции при рас­простра­нении.

][: Что вы дума­ете о будущем VPN?

D: А! Это мой любимый воп­рос. Мы занима­емся VPN пол­тора года, и я уве­рен, что в ско­ром вре­мени это ста­нет нашей обы­ден­ностью, так же как и авто­мобиль. Вот 120 лет тому назад изоб­рели дви­гатель внут­ренне­го сго­рания, а через 20 лет решили, что нуж­но сде­лать дорож­ную полицию и учить людей водить и пра­ва выдавать на вож­дение. Это же про­исхо­дит сей­час и с интерне­том: он мас­сово стал исполь­зовать­ся 20–15 лет назад, даже мень­ше, а сей­час во всех стра­нах пыта­ются его регули­ровать. Во всех. Реаль­но за пол­тора года я прос­то не нашел стра­ны, где что‑нибудь не было бы зап­рещено: в Англии — пор­ногра­фию пыта­ются регули­ровать, Азия — зна­ем, Вос­ток — понят­но, Аме­рика — вооб­ще не стра­на сво­боды (DMCA и про­чее). И это все очень уси­лилось...

][: ...но законы пока что все же раз­ные...

D: Да!

][: И вот на этом поле вы и игра­ете.

D: Короче. Мой прог­ноз: через 5–10 лет реги­ональ­ные огра­ниче­ния будут толь­ко уве­личи­вать­ся. Воз­можно, появит­ся раз­деление ско­рос­ти в зависи­мос­ти от кон­тента, то есть зарубеж­ные сай­ты будут мед­леннее мес­тных, и это будет во всех стра­нах. Как сов­сем пло­хой вари­ант — при­дет­ся сда­вать на «пра­ва» для получе­ния неог­раничен­ного дос­тупа в интернет. Поэто­му я вижу VPN-про­вай­деров как тех, кто, воз­можно, будет пре­дос­тавлять неог­раничен­ный дос­туп в Сеть для поль­зовате­лей, сдав­ших на «пра­ва».

][: Пожалуй, пора закан­чивать беседу. Пос­ледний воп­рос. Какую стра­ну для VPN вы бы посове­това­ли нашим читате­лям?

D: В общем слу­чае — ту стра­ну, юрис­дикция которой поз­воля­ет делать то, что хочет­ся. А для обыч­ного сер­финга сосед­нюю стра­ну, которая минималь­но сот­рудни­чает с вашей. В слу­чае с Рос­сией, нап­ример, для этой цели очень хорошо под­ходит Укра­ина.

Оставить мнение