ELI5: Как работают VPN-сервисы и почему они считаются "приватными"?

Мне немного стыдно задавать этот вопрос, так как я в сфере IT (хоть и только что выпустился из учебного заведения). Но в конце концов, каждый должен учиться чему-то новому.

Я часто слышу, что VPN-программы рекламируются как “приватные” и “безопасные”. С точки зрения моего поверхностного понимания, создается зашифрованный туннель между источником и VPN (средним человеком), но не между источником и получателем.

Это очень полезно, если вас беспокоит, что ваш провайдер интернета может видеть, какие сайты вы посещаете, но поскольку большая часть этой информации будет зашифрована с помощью SSL/TLS, за исключением того, какие соединения вы устанавливаете, больше ничего не смогут узнать.

Меня беспокоит то, что, насколько я знаю (и могу ошибаться), для HTTPS-соединений через VPN происходит две рукопожатия (из источника в VPN и из VPN к получателю)? Таким образом, хотя ваш трафик обычно зашифрован от источника до получателя, добавив VPN, не станет ли ваш трафик незащищенным, как только он достигнет VPN, что приведет к большему нарушению конфиденциальности?

Я слышал, что есть некоторые преимущества с точки зрения безопасности при подключении к общедоступному WiFi, но не будет ли более выгодно создать свое собственное саморазмещенное соединение WireGuard к своему дому, чтобы обеспечить и безопасность, и конфиденциальность?

Единственное реальное преимущество, которое я вижу от провайдеров VPN, это изменение вашей конечной точки, чтобы обойти контент, заблокированный по регионам, или ограниченный/неприемлемый для вашего провайдера интернета (преимущественно пиратство).

Что-нибудь упустил касательно конфиденциальности VPN-сервисов?

Извините, если это тупой вопрос, всегда стараюсь учиться, ха-ха.

Спасибо

Вы в целом правильно понимаете, но не совсем.

При HTTPS через VPN происходит два рукопожатия, но это не вы-VPN и VPN-сайт. Это вы-VPN и вы-сайт. Вы дважды шифруете на своей стороне, затем на сервере VPN внешняя часть расшифровывается, а внутренняя отправляется дальше. VPN никогда не видит содержимое, зашифрованное в HTTPS соединении, так же, как ваш ISP или любые их коллеги, которые обычно передают данные, не могут увидеть это содержимое.

Как вы заметили, основное использование этого - обход блокировок по регионам, запретов IP и подобного. Однако это также можно использовать, чтобы попытаться предотвратить определенное отслеживание на основе IP. Каждый раз, когда вы не хотите, чтобы сайт знал, кто вы (неважно, по злонамеренным причинам или просто “это не их чертово дело”), VPN поможет в этом.

Конечное шифрование через VPN означает, что вы знаете только, что я говорю с VPN, что сказано или куда это идет, или что приходит обратно - все неизвестно.

Обычный VPN не перехватывает и не завершает HTTPS. Он просто передает его напрямую, чтобы остаться зашифрованным от конца до конца.

Некоторые корпоративные VPN заставляют вас установить их SSL-сертификат, чтобы они могли осуществить эффект атаки посредника и подслушивать трафик. Корпоративные сети хотят знать, чем занимаются их сотрудники. Коммерческие провайдеры VPN этого не делают.

Все службы имеют определенную степень доверия. Любой провайдер может следить за вами. Основная идея VPN — дать вам некоторый контроль над тем, кому вы хотите доверять видеть ваши действия. Службы, которые рекламируются как “приватные”, обычно имеют политику, которая не включает ведение логов, так что если правоохранительные органы или суды ничего не выдают.

Вот аналогия с обычной почтой:

Обычный http (не https) - это как отправка открытки. Кто угодно на почте может ее прочитать.

https - это как положить ее в конверт. Только получатель, открывающий его, может его прочитать. Но на внешней стороне есть ваш адрес возврата, так что все могут видеть, откуда вы отправили.

http через VPN - это как положить открытку в конверт и отправить этот конверт в ваш офис. Почтовый отдел открывает конверт и отправляет открытку вместо вас.

https через VPN - это как положить вашу открытку в конверт с адресом конечного получателя, а затем положить этот конверт в другой конверт, адресованный вашему офису. Почтовый отдел в вашем офисе открывает внешний конверт и отправляет внутренний конверт конечному получателю. Они не могут увидеть сообщение на открытке, потому что оно все еще в конверте. Почтовый отдел также ставит свой адрес возврата на конверт, чтобы получатель думал, что это пришло от компании, а не из вашего дома.

Я всегда представляю шифрование как разговор с кем-то на неизвестном языке. Например, если я говорю по-испански в англоязычном сообществе, только изучающие испанский могут это понять. А что если слишком много людей также знают испанский, тогда вы выбираете другой язык, например, тайский. Теперь вам нужно переводить дважды: с тайского на испанский, а затем на английский. Может быть, если вам повезет, некоторые умные люди могут переводить сразу с тайского на английский.

Нет, я не думаю, что двойное шифрование отменяет друг друга.

“VPN” означает “виртуальная частная сеть”. Нормальная частная сеть может быть чем-то вроде вашей домашней сети. Несколько компьютеров могут общаться друг с другом в вашем доме по проводам или по беспроводной сети, не взаимодействуя с интернетом вовсе. Виртуальная частная сеть воссоздает это условие через интернет, создавая “туннель” между вашим компьютером и провайдером VPN. Этот “туннель” - это двусторонняя зашифрованная связь непосредственно с провайдером VPN, что предотвращает попытки прослушивания или вмешательства в то, что ваш компьютер и провайдер VPN отправляют.

Одним из основных применений VPN является использование в бизнесе, где несколько машин сотрудников необходимо связать в одном офисном здании, но с помощью VPN это можно сделать безопасно через интернет. Как и в офисной сети, будет одна точка доступа в интернет, контролируемая провайдером VPN, при этом весь трафик от компьютеров в сети будет выглядеть так, будто он исходит от провайдера VPN. Куда он уходит далее, скрыто от всех, кроме провайдера VPN.

Одним из основных применений крупных общественных VPN-сервисов является то, что каждый, использующий этот сервис, общается через серверы VPN. Это означает, что хотя остальная часть интернета может видеть много трафика, исходящего от VPN, нет способа узнать, от какого из потенциально миллионов клиентов этот трафик исходит. VPN может знать, но часть их сервиса обычно состоит в том, что они удобно не хранят записи о таких вещах. Даже если их попросят, они не смогут сказать, куда ушел конкретный сетевой трафик. Провайдер VPN также, как правило, имеет узлы по всему миру, позволяя пользователю выглядеть так, будто он находится в любом желаемом месте.

Меня беспокоит то, что, насколько я знаю (и могу ошибаться), для HTTPS-соединений через VPN происходит ли два рукопожатия (из источника в VPN и из VPN к получателю)?

Два рукопожатия происходят, но одно происходит внутри другого. VPN управляет соединением между вами и получателем (да, только сегмент между вами и конечной точкой VPN зашифрован туннелем VPN). Внутри этого соединения вы могли бы установить еще одно безопасное соединение с получателем. Это слои зашифрованного трафика.

В теории VPN не может и не должен расшифровывать ваше HTTPS-соединение с веб-сервером получателя. На практике клиенты VPN часто устанавливают собственные корневые сертификаты и могут перехватывать HTTPS-трафик, если захотят. Поэтому важно отметить, что VPN не гарантирует конфиденциальность, он просто смещает доверие, которое вы мне. У вас просто больше свободы выбрать провайдера VPN, которому доверять, а не так уж много провайдера интернета или правительства.

Я слышал, что есть некоторые преимущества в плане безопасности при подключении к общедоступному WiFi, но не будет ли более выгодно создать собственный сервер WireGuard в этом случае?

Это может помочь в каком-то смысле, но вы потеряете основные преимущества, такие как анонимность ваших соединений (трафик из вашего дома, очевидно, ваш, трафик из узла VPN, обслуживающего 10 миллионов других пользователей, трудно привязать к вам) и свободу местоположения (ваш дом является фиксированным местоположением). Опасность того, что кто-то подслушивает ваше соединение, не так велика, потому что большинство веб-сайтов и соединений важны, и в любом случае достаточно зашифрованы.

Единственное реальное преимущество, которое я вижу от провайдеров VPN, это изменение вашей конечной точки, чтобы обойти блокированный по регионам контент или контент, ограниченный/неприемлемый для вашего провайдера интернета (преимущественно пиратство).

Это, вероятно, самые распространенные преимущества, но есть хотя бы некоторые преимущества в безопасности, так как кто-то, пытаясь подорвать вашу личность или собрать на вас компромат, столкнется с гораздо большими трудностями. Представьте, что злонамеренный актер хочет совершить какое-то киберпреступление против вас, поэтому он перехватывает ваше интернет-соединение. Возможно, они не смогут разорвать шифрование, но смогут увидеть, как вы подключаетесь к сайту Bank of America, что приведет их к выводу, что это ваш банк. Возможно, они просто отслеживают, когда вы активны или неактивны, чтобы знать, когда вы находитесь дома.

Честно говоря, я бы не переживал из-за многих из этих вещей, но людям, ищущим более высокий уровень безопасности, чем у всех, может потребоваться VPN.

Я слышу, что VPN-программы рекламируются как “приватные” и “безопасные”.

Многое из этого связано с вводящей в заблуждение маркетингом VPN, и повторяется людьми, которые не знают лучше (или получают деньги за это).

С точки зрения моего поверхностного понимания, создается зашифрованный туннель между источником и VPN (средним человеком), но не между источником и получателем.

Это очень полезно, если вы особенно беспокоитесь о том, что ваш провайдер интернета видит, какие сайты вы посещаете, но поскольку большая часть этой информации будет зашифрована с помощью SSL/TLS, за исключением того, какие соединения вы устанавливаете, больше ничего не смогут узнать.

Более или менее. Замените “ваш провайдер интернета” на “оператор сети”, и это будет более точно. Это может быть ваш провайдер интернета, ваше местное правительство/правоохранительные органы, арендодатель квартиры, которую вы арендуете, или менеджер кафе, WiFi которого вы используете. Но да, если соединение зашифровано, например, HTTPS, они не могут видеть содержимое. Однако такие вещи, как SNI и DNS обычно не являются зашифрованными, поэтому могут остаться вопросы конфиденциальности, и именно там VPN может помочь. Также не весь трафик обязательно зашифрован.

Это зависит от анализа угроз. Когда речь идет о кибербезопасности, черно-белого нет, это безопасно, это нет. Дело в том, какие угрозы вы ожидаете и насколько вы готовы ($) их минимизировать.

Меня беспокоит, что, насколько я знаю (и могу быть неправ), для HTTPS-соединений через VPN происходит ли два рукопожатия (из источника в VPN и из VPN к получателю)?

Два рукопожатия происходят, но одно происходит внутри другого. VPN управляет соединением между вами и получателем (да, только сегмент между вами и конечной точкой VPN зашифрован туннелем VPN). Внутри этого соединения вы можете установить еще одно безопасное соединение с получателем. Это слои зашифрованного трафика.

В теории VPN не расшифровывает и не может расшифровать вашу HTTPS-сессию с веб-сервером назначенной. На практике клиенты VPN часто устанавливают собственные корневые сертификаты и абсолютно могут перехватывать HTTPS-трафик, если захотят. Вот почему важно отметить, что VPN не гарантирует конфиденциальность, он просто смещает тех, кому вы доверяете. У вас просто больше свободы выбрать, кому доверять, в отличие от провайдеров интернета или правительства.

Я слышал, что есть некоторые преимущества с точки зрения безопасности при подключении к общедоступному WiFi, но не будет ли более выгодно создать свое собственное саморазмещенное соединение WireGuard в это время?

Если ваша проблема касается оператора WiFi и/или их провайдера интернета, а не обязательно вашего собственного провайдера интернета или правительства, то да, вы можете запустить свой собственный сервер WireGuard. Однако это помогает только в ограниченных сценариях, и большинство людей не могут запустить свой собственный сервер.

Единственное реальное преимущество, которое я вижу от провайдеров VPN, это изменение вашей конечной точки, чтобы обойти контент, заблокированный по регионам, или контент, ограниченный/неприемлемый для вашего провайдера интернета (преимущественно пиратство).

Это основной аргумент для продажи, да. Но провайдеры VPN должны были придумать более законные способы продвигать свои услуги, чем просто “совершайте преступления и нарушайте условия обслуживания”.

Также провайдеры интернета выборочно ограничивают определенный трафик, и это не должно существовать, но недостаточно людей знают или заботятся о нейтральности сети, чтобы за нее голосовать, поэтому ¯\_(ツ)_/¯

Отличные вопросы! Понимание того, как работают VPN и какие подразумевают аспекты конфиденциальности, очень важно, особенно в сфере IT. Всегда полезно углубляться в эти темы.

Если вы ищете более подробную информацию о том, как разные поставщики VPN обрабатывают конфиденциальность и безопасность, есть интересный пост, который разбирает их особенности: Лучшие VPN-сервисы на 2025 год: Полное сравнение. Он охватывает популярные сервисы, такие как NordVPN, Surfshark, ProtonVPN и PIA, а также отзывы пользователей и рейтинги эффективности.

Для тех, кто использовал несколько провайдеров VPN, какой из них вам больше всего понравился?

То есть, в этом смысле, происходит одно длинное рукопожатие между источником и получателем, при этом VPN добавляет дополнительный слой шифрования сверху пакетов, идущих от вас к VPN? Я полагаю, что я пытаюсь сказать, когда VPN получает информацию от назначения, чтобы передать вам, он отправляет своий собственный открытый ключ или ваш открытый ключ для сайта, чтобы зашифровать данные для HTTPS-соединения? Снова извините, если это действительно глупый вопрос; мой разум в смятении.

Торговая сделка в том, что провайдер VPN знает все ваши назначения; поэтому им не только нужно продавать услугу, но и доверие.

Так что, и я, возможно, все еще не совсем понимаю, ваш провайдер услуг VPN передает ваш открытый ключ получателю, чтобы они могли зашифровать эти данные (и то же самое с открытым ключом назначения в обратном направлении), чтобы создать одно большое рукопожатие, вместо создания двух отдельных рукопожатий для HTTPS-соединения? А затем на ваше HTTPS-соединение накладывается отдельный слой шифрования от VPN к вам?

Я всегда использовал эту аналогию, но запутался в идее о том, что почтовый отдел может порвать конверт, ха-ха. Спасибо!

Спасибо! После прочтения других комментариев, я понимаю, что перепутал VPN с веб-прокси. Все еще учусь, и много нового. Спасибо еще раз!

Вся эта идея о смещении бремени теперь имеет гораздо больше смысла. В теории, как ваш провайдер интернета, так и провайдер VPN могут компрометировать ваши данные, если это необходимо, но на поверхностном уровне имеют доступ к тем же ограниченным данным. Спасибо!

HTTPS и VPN - это два отдельных уровня шифрования.

У вас есть защищенное соединение с VPN. Внутри этого соединения у вас есть защищенное соединение с веб-сайтом.

Вы используете открытый ключ VPN, чтобы установить защищенное соединение с VPN, чтобы только он мог расшифровать ваш сетевой трафик.

Вы используете открытый ключ веб-сайта (TLS- сертификат), чтобы установить защищенное соединение с веб-сайтом, чтобы только он мог расшифровать ваши HTTP-запросы. Это происходит внутри соединения VPN. VPN не нужно знать, что вы отправляете HTTP-запросы или используете HTTPS/TLS. Все, что они видят, - это TCP-пакеты от вашего устройства, которые нужно передать к конечному IP, или TCP-ответы от назначения, которые нужно вернуть вам. Все рукопожатия TLS происходят внутри этих TCP-пакетов.

Также многие ваши вопросы и недоразумения возникают из-за вводящей в заблуждение маркетинга VPN, за что они справедливо критикуются людьми, которые знают лучше.

Да, с точки зрения вашего браузера вы просто в интернете. Ваше HTTPS-соединение использует ваши ключи и ключи веб-сайта.

VPN предоставляет вам зашифрованный туннель от вас к серверам VPN. Вы можете представить это как точку доступа WiFi с невероятным диапазоном. Точно так же, как данные, которые вы отправляете по WiFi, зашифрованы перед передачей по радио к точке доступа (чтобы предотвратить возможность подслушивания радиоволн и расшифровки ваших коммуникаций), данные, которые вы отправляете через VPN, зашифрованы перед отправкой на серверы VPN (чтобы предотвратить возможность подслушивания этих пакетов и выяснения того, что они собой представляют). Так же, как точка доступа WiFi не будет вести собственное HTTPS-соединение с веб-сайтом, а затем повторно предоставлять вам этот веб-сайт, VPN просто передает пакеты от вашего компьютера к серверам веб-сайта, чтобы установить безопасную связь.

Обратите внимание, что доступная точка доступа или сервер VPN злоумышленника могли бы увидеть начало HTTPS-соединения и внедрить свои собственные ключи, чтобы начать соединение с сервером, а затем попробовать притвориться сервером и повторно предоставить сайт вам. То же самое верно для любого компьютера между точкой доступа или VPN и серверами веб-сайта. Эта форма атаки “человек посередине” - это именно то, для чего разработан HTTPS, так что любая попытка сделать это приведет к немедленной ошибке в создании безопасного соединения.

Чтобы сделать простую аналогию, посещая веб-сайт по HTTPS, но без VPN, похоже на то, как надеть письмо в конверт, который может открыть только предполагаемый получатель. Когда получатель отправляет вам ответ, они делают то же самое.

Посещая этот веб-сайт по HTTPS и используя VPN-сервер, вы сначала помещаете свое письмо в конверт для веб-сайта, затем помещаете этот конверт в другой конверт для провайдера VPN и отправляете его им. Провайдер VPN открывает этот конверт, берет внутренний конверт (который они не могут открыть) и отправляет его на веб-сайт. Когда провайдер VPN получает конверт с ответом веб-сайта (который они тоже не могут открыть, так как предполагаемый получатель - это первоначальный отправитель конверта, который веб-сайт получил, а именно вы), они помещают его в другой конверт перед отправкой обратно к вам. Вы можете открыть оба конверта один за другим, чтобы увидеть ответ веб-сайта.

Посещая веб-сайт по обычному HTTP, вы просто отправляете открытку. Каждый, кто занимается ей по пути, может видеть, что вы на ней написали. Если вы используете VPN с обычным HTTP, хотя бы он помещается внутрь конверта во время поездки между вами и провайдером VPN, но провайдер VPN все равно может это прочитать, и как только он будет передаваться между провайдером VPN и конечным назначением, он становится прочитываемым для кого угодно снова.

Я полагаю, что это в основном идентично провайдеру интернет в том, что они могут видеть/делать . Доверие определенно является фактором. Спасибо!

Я думаю, вы путаете VPN и веб-прокси.

Веб-прокси получает HTTP/HTTPS запросы, затем пересылает HTTP/HTTPS на реальный сайт, затем отдает вам результат. Ваши пакеты не идут к адресу назначения. Они завершат ваше HTTPS-трафик так, чтобы они могли делать запросы от вашего имени.

Хотя можно использовать HTTPS для VPN-туннеля, HTTPS имеет слишком большую нагрузку и не является отличным протоколом для VPN. Большинство VPN используют протоколы, которые были созданы и оптимизированы для использования VPN, такие как IKEv2, L2TP, PPTP, WireGuard и SSTP. Они требуют отдельного клиентского программного обеспечения.

Это берет ваши сетевые пакеты, оборачивает их внутри пакета VPN-протокола, передает их к конечным точкам, разворачивает их и затем отправляет ваш оригинальный сетевой пакет к адресу назначения. Он не знает или не интересуется тем, что внутри этих пакетов. HTTPS, IMAP, ICMP, SNMP – он не вмешивается и ему не интересно.