Блокировки VPN в России Что это, почему, как и что с этим делать?
С блокировками VPN россияне столкнулись совсем недавно, однако на сегодня проблема уже приобрела массовый характер. Периодические отключения приводили к тому, что через мобильный Интернет переставали работать даже частные VPN на базе наиболее распространенных протоколов Wireguard и OpenVPN. Попытки подключиться к серверам, расположенным за рубежом, просто разрывались.
Через несколько дней ситуация менялась, и некоторые из заблокированных VPN-сервисов, в том числе и коммерческие, снова начинали работать, но затем ситуация повторялась с протоколами OpenVPN, IPSec IKEv2 и WireGuard.
Рассказываем, что случилось, почему, каким образом и что с этим делать.
Но сначала немного теории.
Как работает VPN
Давайте рассмотрим механизм работы VPN (Virtual Private Networks – виртуальные частные сети) и выясним их роль в обеспечении безопасности работы в Интернете.
Что такое VPN?
По своей сути VPN – это служба, создающая частную сеть из публичного интернет-соединения. Она маскирует ваш IP-адрес, благодаря чему действия в Интернете практически невозможно (на самом деле, можно, но слишком сложно и хлопотно) отследить. Кроме того, VPN обеспечивает безопасное и зашифрованное соединение, что значительно затрудняет перехват данных хакерами или третьими лицами.
Как работает VPN?
Шифрование данных. Когда вы используете VPN, ваши данные в Интернете, будь то результаты поиска в Google или электронное письмо, пакуются в шифрованные пакеты. Такое шифрование гарантирует, что даже если кто-то перехватит ваши данные, он не сможет расшифровать их без необходимого ключа.
Маскировка IP-адресов. То, ради чего чаще всего используют VPN сейчас. Каждое устройство, подключенное к Интернету, имеет IP-адрес – уникальный идентификатор, который может выдать ваше местоположение и, возможно, другую информацию. Когда вы подключаетесь к VPN-серверу, он скрывает ваш реальный IP-адрес и предоставляет вам IP-адрес, находящийся на его сервере. В результате веб-сайты и онлайн-сервисы видят IP-адрес сервера, а не ваш. То есть, например, не могут определить, что вы из России.
Безопасное подключение к удаленным серверам. VPN-клиенты на ваших устройствах (например, ноутбуке или смартфоне) подключаются к VPN-серверам. Соединение между вашим устройством и сервером называется «туннелем». Весь ваш интернет-трафик проходит через этот защищенный туннель, для чего используются различные протоколы туннелирования, обеспечивая конфиденциальность ваших данных. Ну, или по крайней мере повышая ее.
Для чего нужен VPN?
Самое очевидное – обход региональных ограничений. VPN позволяет получить доступ к контенту, который может быть ограничен в определенных странах или регионах.
Экзистенциальная причина того, что столь специфический протокол стал востребован не для специальных видов цифровых коммуникаций, а для обывательского интернет-серфинга, кроется в провале глобализационного проекта:
Глобализация в истории и перспективе Что представляет собой один из самых противоречивых процессов в истории Человечества
Глобализация – мощнейший цивилизационный тренд, формирующий общество на протяжении длительного времени. С чего он начался, куда пошел и чем закончится?
Интернет на наших глазах стремительно распадается на национальные и региональные сектора, которые огораживаются спешно возводимыми киберзаборами. И если вам нужно что-то «из-за ленточки», то часто прямого пути больше нет, требуется подкоп.
Но есть и другие причины, вполне безобидные.
Защитить публичный Wi-Fi. Использование публичных сетей Wi-Fi (например, в кофейнях или аэропортах) может подвергнуть ваши данные риску. VPN обеспечивает зашифрованное соединение даже в таких сетях.
Конфиденциальность в Интернете. Маскируя ваш IP-адрес и шифруя ваши данные, VPN обеспечивает конфиденциальность ваших действий в Интернете и исключает возможность прямого мониторинга или отслеживания. Важно помнить – это не панацея. Если вы будете совершать наказуемые действия в сети, то VPN вас не спасет. Потому что спецслужбы взломают не ваше шифрование, а сразу вашу дверь.
Избежать ограничения пропускной способности. Некоторые интернет-провайдеры ограничивают пропускную способность для определенных видов деятельности в Интернете (например, потокового вещания, торрент-активности и т. д.). При использовании VPN они не видят, что вы делаете, поэтому им сложнее ситуативно ограничивать ваше соединение. Впрочем, есть и другие способы умерить ваши аппетиты.
Какие протоколы использует VPN?
VPN (Virtual Private Networks) использует различные протоколы для обеспечения безопасного и зашифрованного соединения между устройствами. Каждый протокол имеет свои сильные и слабые стороны, отражающие баланс между скоростью, безопасностью и простотой использования. Вот некоторые из наиболее популярных:
PPTP (Point-to-Point Tunneling Protocol)
– Возраст: один из старейших VPN-протоколов, разработанный компанией Microsoft.
– Безопасность: считается наименее защищенным среди современных протоколов из-за известных уязвимостей.
– Скорость: обычно быстрее из-за более низкого уровня шифрования.
– Применение: может использоваться в тех случаях, когда высокий уровень безопасности не имеет значения, а скорость является приоритетом. Например, его используют интернет-провайдеры на «последней миле».
L2TP/IPsec (Layer 2 Tunneling Protocol with Internet Protocol Security)
– Возраст: довольно почтенный, но помоложе PPTP.
– Безопасность: L2TP сам по себе не обеспечивает шифрования, поэтому для шифрования и проверки целостности используется протокол IPsec. В целом, считается безопасным, хотя существуют опасения по поводу потенциальных уязвимостей.
– Скорость: умеренная скорость, так как обеспечивает лучшее шифрование, чем PPTP.
– Применение: широко используется в службах VPN, обеспечивая баланс между безопасностью и скоростью.
– Возраст: относительно новый, с открытым исходным кодом.
– Безопасность: считается одним из самых безопасных VPN-протоколов, обеспечивающим до 256-битного шифрования. Высокая настраиваемость.
– Скорость: скорость зависит от уровня шифрования и загрузки сервера, но, в целом, приемлема для большинства пользователей.
– Применение: широко используется многими VPN-сервисами благодаря своей гибкости, безопасности и открытому исходному коду.
SSTP (Secure Socket Tunneling Protocol):
– Возраст: разработан компанией Microsoft и был представлен еще аж в Windows Vista.
– Безопасность: используется протокол SSL 3.0, поддерживающий 256-разрядное шифрование. Считается безопасным, но имеет проприетарный характер, за что многие его не любят.
– Скорость: сопоставима с OpenVPN.
– Применение: в основном, используется на устройствах под управлением Windows благодаря интеграции с ОС. Некоторые VPN-сервисы его также поддерживают.
IKEv2/IPsec (Internet Key Exchange version 2 with IPsec)
– Возраст: относительно свежая разработка компаний Microsoft и Cisco.
– Безопасность: славится своей безопасностью, особенно в сочетании с пакетом IPsec.
– Скорость: обеспечивает быстрое соединение, особенно полезное для мобильных устройств, которые часто переключаются между Wi-Fi и мобильной передачей данных.
– Применение: становится все более популярным, особенно на мобильных устройствах.
WireGuard
– Возраст: один из самых новых VPN-протоколов.
– Безопасность: использует современные криптографические протоколы, более простые и эффективные по сравнению со старыми протоколами.
– Скорость: высокоскоростной и легкий современный протокол.
– Применение: быстро набирает популярность, многие VPN-провайдеры начинают предлагать его в качестве опции.
С точки зрения безопасности золотыми стандартами часто считаются OpenVPN и WireGuard, хотя IKEv2/IPsec тоже неплох.
Что касается скорости, то PPTP является самым быстрым благодаря низкому уровню шифрования, но WireGuard, будучи намного безопаснее, его почти догоняет.
Важно также учитывать удобство использования и совместимость – например, если OpenVPN универсален и работает на многих платформах, то SSTP глубоко интегрирован в Windows.
При выборе протокола VPN необходимо учитывать приоритеты (скорость против безопасности), а также характер вашего устройства и сети. Для большинства пользователей приемлемый баланс скорости и безопасности дают OpenVPN и WireGuard.
Зачем блокируют VPN
Блокировки VPN-сервисов имеют вполне очевидную причину – те, кто устанавливает ограничения, делают это не за тем, чтобы их легко обходили. VPN с некоторых пор стал настолько технически прост и доступен, что многие пользователи до недавнего времени не испытывали ни малейших неудобств при доступе к заблокированным массовым ресурсам, таким, как иностранные соцсети. Достаточно установить бесплатное VPN-приложение, включить его и «жить как раньше». Да «бесплатность» их весьма условная, но, будем откровенны, среднего пользователя не очень-то волнуют утечки его личных данных. И так все давно утекло.
Регуляторов по обе стороны границы эта ситуация не устраивает. Ограничения стоят не только с нашей стороны, да и вообще не являются чем-то специфически отечественным. Так, например, в недавно в Европе был заблокирован доступ через VPN к американской соцсети Threads.
Threads – новый Twitter Что представляет собой новая социальная сеть?
Компания Meta (признана экстремистской и запрещена в РФ) запустила новую социальную сеть Threads. По своим функциям она очень напоминает Twitter, позволяет создавать тестовые посты, треды, лайкать и репостить
Что касается нашей ситуации, то Роскомнадзор на все претензии невозмутимо отвечает, что, согласно закону «О связи», в России запрещена работа VPN-сервисов, не обеспечивающих фильтрацию нарушающей закон информации. «Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несет в себе существенные риски утечки личной, корпоративной и иной информации», – говорят чиновники. Поэтому российским предприятиям и организациям порекомендовали ускорить перевод информационных систем и протоколов, обеспечивающих работу их внутренних бизнес-процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории России. Ну а рядовым пользователям следует соблюдать законодательство своей страны – запретили, не читайте!
Если этого объяснения вам недостаточно, то пользователи интернета из России могут задавать вопросы о причинах недоступности того или иного протокола VPN в Главный радиочастотный центр и акционерное общество «Данные – центр обработки и автоматизации». Не факт, что вам ответят, но спросить можно.
Как можно заблокировать VPN?
Есть несколько общеизвестных способов блокирования VPN.
Блокировки по IP-адресу
Многие VPN-сервисы используют для своих серверов известные IP-адреса. После определения этих IP-адресов можно заблокировать доступ к ним. Это простой и широко распространенный метод, но его можно легко обойти, если VPN-провайдеры часто меняют свои IP-адреса или используют пул случайных IP-адресов.
Блокирование портов
VPN-трафик часто проходит через определенные порты. Например, OpenVPN по умолчанию использует порт 1194. Блокируя эти порты, можно нарушить VPN-трафик, однако несложно обойти это, используя такие порты, как 443, который обычно используется для HTTPS-трафика и поэтому вряд ли будет заблокирован.
Глубокая проверка пакетов (DPI)
DPI – это более совершенный метод, который предполагает изучение пакетов данных, передаваемых через Интернет, с целью определения их характера и назначения. С помощью DPI можно обнаружить модели VPN-трафика, даже если они идут через общие порты или используют обфускацию. После обнаружения такой VPN-трафик можно блокировать или дросселировать.
Блокировка VPN-сайтов и сервисов
Блокируя доступ к сайтам, на которых пользователи могут зарегистрироваться или загрузить программное обеспечение VPN, можно затруднить пользователям доступ к сервисам.
Анализ трафика и time attack
Анализируя время и объем сетевого трафика, интеллектуальные системы контроля могут сделать вывод об использовании VPN или типах услуг, к которым осуществляется доступ, даже если сам контент зашифрован.
Блокировка по конкретным протоколам
Можно блокировать определенные протоколы, используемые VPN, что затрудняет установление соединения.
Фильтрация и перехват DNS
Если пользователь пытается подключиться к VPN-серверу через его доменное имя, DNS-запрос может быть перехвачен и отфильтрован, в результате чего пользователь не сможет попасть на VPN-сервер.
Законодательные и регулирующие меры
Помимо технических мер, правительства некоторых стран применяют юридические меры, делая незаконным использование или предоставление услуг VPN. Также можно обязать провайдеров блокировать или дросселировать VPN-трафик. В России это не применяется, использование VPN для наших граждан ненаказуемо. На момент выхода статьи жесткий запрет только в Китае, Ираке, ОАЭ, Турции, Беларуси, Омане, Иране, КНДР, Туркменистане и Мьянме.
Как блокируют VPN в России?
Эксперты говорят, что блокировка VPN силами Роскомнадзора (РКН) работает на уровне протоколов, но с упором на зарубежные IP-адреса, то есть касается прежде всего трансграничного трафика. Это позволяет РКН закрыть доступ к запрещенным в России сайтам, при этом минимизируя проблемы у корпоративных VPN-ресурсов. Пока это срабатывает неидеально – на фоне прошедших отключений отваливались не только иностранные «запрещенки», но и вполне отечественные сервисы, включая, например, ВКонтакте. Интернет до недавних пор был глубоко связанной системой, и в нем сложно было отключить что-то одно, не зацепив другое. Но эта ситуация быстро меняется, в том числе и благодаря вот таким «тестовым» отключениям.
Технически в России блокировка ресурсов происходит на специальном оборудовании на стороне провайдеров — ТСПУ (технические средства противодействия угрозам.). Роскомнадзор начал требовать от операторов связи устанавливать его с сентября 2020 года в рамках закона о «суверенном интернете». ТСПУ – классический «черный ящик», как они работают, провайдерам неизвестно. Это вполне логично – такие алгоритмы просто обязаны быть секретными. По косвенным признакам можно сказать только, что в случае с текущими «блокировками» VPN это вообще не блокировка в классическом понимании: вырезается не весь трафик, а только конкретное соединение.
В общем, как именно блокируется VPN сейчас, в точности неизвестно. РКН это никак не комментирует. При этом эксперты считают маловероятным, что Россия придет к жестким блокировкам по методу white-листов (доступ к разрешенным ресурсам по списку). Это просто не нужно – как показывает опыт Китая, достаточно блокировать VPN-протоколы, чтобы отбить у большей части жителей желание пытаться обходить блокировки. Задача государства здесь не заткнуть все щели наглухо – это почти нереально, – а повысить порог сложности достаточно, чтобы отпугнуть массового пользователя.
Скорее всего, вскоре блокировки трансграничных VPN станут регулярными, а то и перманентными.
Как обойти блокировки VPN
Напоминаем: согласно недавним поправкам в Федеральный закон «Об информации, информационных технологиях и о защите информации» вводится ответственность за популяризацию и публикацию инструкций или советов по обходу блокировок. Публикация таковых может стать основанием для внесения ресурса в Единый реестр запрещенной информации Роскомнадзора, поэтому вы их тут не найдете. Мы никого не призываем нарушать закон.
Впрочем, перечисление общеизвестных технических принципов инструкцией не является. К ним относятся:
Обфускация: маскировка VPN-трафика под обычный HTTPS-трафик.
Использование нескольких портов: предоставление пользователям возможности переключаться между различными портами.
Регулярная ротация IP-адресов: чтобы избежать блокировок по IP-адресам, провайдер услуги их регулярно меняет.
Невидимые (теневые) серверы: серверы, созданные специально для обхода блокировок VPN.
Shadowsocks и VLESS: прокси-серверные технологии, предназначенные для защиты интернет-трафика, которые относительно эффективно обходят DPI.
Использование self-hosted: самостоятельный хостинг VPN с маскировкой трафика.
Несложно заметить, что все эти способы либо исполняются не на стороне пользователя, либо технически сложны. Массовому любителю запрещенных соцсетей они не помогут.
Более того, по мнению экспертов, блокировки будут усиливаться, а привычные способы их обхода станут бессмысленными. Большинство коммерческих VPN-сервисов не фокусируется на обходе блокировок и работает на популярных протоколах WireGuard/OpenVPN.
По мере разработки новых методов блокировки всегда появляются новые способы обхода, но массовому пользователю, скорее всего, придется в ближайшее время привыкать к отечественной медиасреде.
Как обойти блокировку VPN в России
В эпоху цифровых технологий доступ к интернету остается одним из главных аспектов повседневной жизни. Тем не менее в некоторых странах, включая Россию, наблюдаются ограничения в доступе к определенным веб-ресурсам, что оказывает значительное воздействие на обмен информацией, образование и коммуникации. В данном контексте использование VPN-а становится важным инструментом для обхода подобных ограничений.
Особенно актуальной проблемой стало то, что в последнее время интернет-провайдеры в России начали осуществлять массовое тестирование блокировки VPN протоколов, таких как OpenVPN и Wireguard. Это заставило пользователей искать новые способы обеспечения свободного доступа к интернету.
В данной статье мы более подробно рассмотрим какие методы обхода блокировок подключения предлагает ZoogVPN и каких их использовать.
Какие методы обхода блокировок предоставляет ZoogVPN?
На данный момент ZoogVPN предоставляет доступ к некоторому кол-ву методов обхода блокировок подключения, однако их доступность зависит от девайса. Ниже мы рассмотрим более подробно какие методы существуют и с какими девайсами они доступны.
Windows
При возникновении проблем с подключением в ZoogVPN Windows приложении – пользователи могут сменить VPN протокол на Shadow или ZoogTLS и снова пользоваться беспроблемным подключением к VPN серверам.
Android
Для пользователей Android приложений версии 3.3 и ранее в настройках приложения доступна функция обфускации ‘ZoogShadowing’, которая создана для обхода различных блокировок подключения.
Чтобы воспользоваться ею необходимо подключить ее в настройках приложения, а также выбрать VPN протокол OpenVPN TCP.
Что касается приложения версии 3.4 и новее – в настройках приложения можно выбрать VPN протокол Shadow, который работает также, как и функция ‘ZoogShadowing’.
iOS и MacOS
Для данных типов OS, ZoogVPN, к сожалению, не предоставляет каких-либо особых методов для обхода блокировок подключения на данный момент.
Однако команда разработчиков ZoogVPN уже работает над решениями, которые помогут нашим iOS и MacOS пользователям иметь постоянный и бесперебойный доступ в свободный интернет. Следите за новостями!
Заключение
Мы надеемся, что данная статья поможет вам справиться с непредвиденными ситуациями и блокировки больше не будут помехой перед вашим доступом в открытый интернет.
Если у вас возникли вопросы по подключению или нужна наша персональная помощь – пожалуйста обратитесь в нашу круглосуточную службу поддержки
Anastasia S.
Anastasia loves creating insightful articles that cover everything valuable for readers. She always wants to provide value for the users explaining how to protect their online privacy and get real Internet freedom.
Интернет-цензура и обход блокировок: не время расслабляться
Disclaimer: практически всё, описанное в статье, не является чем-то принципиально новым или инновационным — оно давно известно и придумано, используется в разных странах мира, реализовано в коде и описано в научных и технических публикациях, поэтому никакого ящика Пандоры я не открываю.
Нередко на Хабре в темах, посвященных блокировкам ресурсов, встречаются забавные заявления вида «Я настроил TLS-VPN, теперь будут смотреть что хочу и цензоры мой VPN не заблокируют», «Я использую SSH-туннель, значит все ок, не забанят же они весь SSH целиком», и подобное. Что ж, давайте проанализируем опыт других стран и подумаем, как же оно может быть на самом деле.
0
Итак, допустим мы купили у какого-то сервиса, или, как подкованные пользователи, установили в личном облаке/VPS и настроили VPN-сервер для себя. Допустим, это популярные WireGuard или OpenVPN. Знаете что? WireGuard — это такой прекрасный протокол, который всеми своими пакетами просто кричит «Смотрите все, смотрите, я — VPN». И это, в принципе, не удивительно, потому что авторы на сайте проекта прямым текстом пишут, что обфускация не входила и не будет входить в их цели и планы.
Соответственно, на оборудовании DPI (оно же ТСПУ) при небольшом желании протокол WireGuard выявляется и блокируется на раз-два. IPSec/L2TP — аналогично. С OpenVPN то же самое — это, наверное, вообще самый первый протокол, который китайцы научились выявлять и банить на своем «великом китайском фаерволе» (GFW). We are fucked.
1
Окей, допустим мы сделали выводы, и вместо совсем уж палевных протоколов решили использовать TLS-VPN, такие как SSTP, AnyConnect/OpenConnect или SoftEther — трафик в них ходит внутри TLS, начальная установка соединения производится по HTTP — что должно быть совсем никак неотличимо от обычного подключения к любому обычному сайту. Ну, как сказать.
В случае с MS SSTP цензоры, желая выяснить, а чем же вы таким занимаетесь, просто сделают запрос на ваш сервер с URL /sra_/ c HTTP-методом SSTP_DUPLEX_POST, как это описано в стандарте протокола, и сервер радостно подтвердит в ответ, что он — да, действительно MS SSTP VPN.
SoftetherVPN в ответ на GET-запрос с путем /vpnsvc/connect.cgi, типом application/octet-stream и пэйлоадом ‘VPNCONNECT‘ выдаст в ответ 200 код и предсказуемый бинарный блоб с рассказом о том, кто он такой.
AnyConnect/OpenConnect при обращении по / или по /auth ответят очень характерной XML’кой. И от всего этого вы не избавитесь никак — это определено в протоколах, и именно через эту логику работают VPN-клиенты. We are fucked.
2
Ясно, мы будем умнее, и поскольку у нас все-таки TLS, давайте поставим перед VPN-сервером reverse-прокси (например, haproxy) и будем разруливать всё по SNI (server name identification): подключения с определенным доменом в запросе будем отправлять на VPN-сервер, а все остальные — на безобидный сайт с котиками. Можно даже попробовать спрятаться за какой-нибудь CDN — не забанят же они весь CDN, правда, и наш трафик из общего трафика ко всей CDN выцепить не смогут, да?
Правда, есть одно «но». В нынешних версиях TLS поле SNI не шифруется, соответственно цензоры легко его подсмотрят и сделают запрос именно с тем именем домена, что надо. На расширение Encrypted Client Hello (ECH), ранее известное как eSNI, можно не рассчитывать: во-первых, оно находится еще в состоянии Draft и неизвестно когда будет принято и повсеместно использоваться, а во-вторых, цензоры могут взять и просто-напросто заблокировать все соединения TLSv1.3 с ECH, как это сделали в Китае. Проблемы индейцев шерифа не волнуют. We are fucked.
3
Шутки в стороны, мы настроены решительно. Например, мы пропатчили OpenConnect-сервер, чтобы он принимал подключения только со специальным словом в URL’е (благо, AnyConnect/OpenConnect-клиенты такое позволяют), а всем остальным отдавал правдоподобную заглушку. Или настроили обязательную аутентификацию по клиентским сертификатам.
Или же мы подключаем тяжелую артиллерию от товарищей-китайцев, которые на обходе блокировок собаку съели. Shadowsocks (Outline) отпадает, ибо его версии до 2022 года уязвимы к replay-атакам и даже active probing’у, но вот V2Ray/XRay с плагином VMess и VLess поверх Websockets или gRPC, либо Trojan-GFW — это то что надо. Они работают поверх TLS, могут делить один и тот же порт с HTTPS-вебсервером, и не зная заветной секретной строчки, которую подслушать снаружи не получится, выявить наличие туннеля и подключиться к нему, казалось бы нельзя, значит все хорошо?
Давайте подумаем. Каждый TLS-клиент при подключении передает серверу определенный набор параметров: поддерживаемые версии TLS, поддерживаемые наборы шифров, поддерживаемые расширения, эллиптические кривые и их форматы. У каждой библиотеки этот набор свой, и его варианты можно анализировать. Это называется ClientHello fingerprinting. Отпечаток (fingerprint) библиотеки OpenSSL отличается от отпечатка библиотеки GnuTLS. Отпечаток TLS-библиотеки языка Go отличается от fingerprint’а браузера Firefox.
И когда с вашего адреса будут зафиксированы частые и долгие подключения к некому сайту клиентом с библиотекой GnuTLS (которая не используется ни в одном популярном браузере, но используется в VPN-клиенте OpenConnect), или с мобильного телефона через мобильного оператора подключается какой-то клиент на Go (на котором написан V2Ray), we are fucked. Такое детектирование, например, производится в Китае и в Туркменистане.
4
Ладно. Допустим, мы пересобрали наш V2Ray-клиент не со стандартной TLS-либой, а с uTLS, которая может маскироваться под популярные браузеры. Или вообще взяли исходники самого популярного браузера, выдрали оттуда весь код сетевого стека и написали свой прокси-клиент на его базе, чтобы быть совсем уже неотличимыми от обычного браузерного TLS. Или решили пойти в сторону маскировки под другие протоколы типа SSH, или взяли OpenVPN с XOR-патчем. Или какой-нибудь KCP/Hysteria с маскировкой под DTLS.
Короче говоря, допустим у нас что-то более редкое и незаметное. Казалось бы, все хорошо? Ну как сказать. Помните «пакет Яровой»? Тот самый, который требует, чтобы интернет-сервисы сохраняли все метаданные сессий, а интернет-провайдеры так вообще записывали дампы трафика своих абонентов? Многие, еще тогда смеялись — мол, ну тупые, что им дадут гигабайты зашифрованных данных, которые они все равно не расшифруют? А вот что.
Пользуетесь вы, допустим, своим туннельчиком, смотрите всякие там запрещенные сайты. А потом — клик! — и случайно заходите через свой туннель на какой-нибудь отечественный сайт или сервис, замеченный в сотрудничестве с государством — условные там VK/Mail.ru/Яндекс или еще что-нибудь. Или на каком-нибудь безобидном сайте попадается виджет, баннер или счетчик от них же. Или кто-нибудь в комментарии вбросит ссылку на какой-нибудь сайт-honeypot, косящий под новостной ресурс, и вы на нее нажмете.
И вот тут произойдет самое интересное. Что внутри TLS, что внутри SSH, что внутри OpenVPN+xor, данные передаются в зашифрованном виде, и их не расшифровать. Но вот «внешняя форма» (размеры пакетов и тайминги между ними) у зашифрованных данных точно такая же, как и у нешифрованных. Цензоры видят, что от абонента к какому-то неизвестному серверу и обратно ходит трафик, а поток со стороны какого-нибудь подконтрольного сервиса видит, что с того же IP-адреса, что у «неизвестного сервера», туда прилетают какие-то запросы и улетают ответы, и — вот интересно — размеры пакетов и временные моменты практически полностью совпадают. Что весьма характерно говорит о том, что у нас тут прокси, возможно VPN, Андрюха, по коням!
И да, если вы поступите мудрее и у вашего сервера будет два IP-адреса, один на вход, а другой на выход, то сопоставить ваш «вход» и «выход» по адресам не получится, но по «форме» переданных данных, хоть и ощутимо сложнее, но при желании по прежнему можно. We are fucked again.
5
Не так уж плохо дело. Мы настроили для своего туннеля rule-based access. А именно, будем ходить по нему только туда, куда надо, и тогда, когда надо — а во всех остальных случаях пусть пакетики бегают сразу по обычному интернет-подключению. Правда, добавлять каждый раз новый ресурс в список — тот еще геморрой, особенно когда вы держите прокси/VPN не только для себя, но и, например, для далеко живущих немолодых родителей, которые, например, хотят читать всяких там иноагентов — но это, на самом деле, мелочи, мы справимся.
Допустим, мы по-прежнему используем SSH-туннель. Правда, проработает он, скорее всего, недолго. Почему? Потому что дело во всех тех же паттернах трафика. И нет, записывать и мучительно сравнивать ничего никуда уже не надо. Паттерны трафика у ssh-as-console, ssh-as-ftp и ssh-as-proxy очень разные и элементарно выявляются довольно просто должным образом натренированной нейросетью. Поэтому китайцы и иранцы уже давно всё подобное «неправильное» использование SSH выявляют и режут скорость подключения до черепашьей, что в терминале работать вы еще сможете, а вот серфить — практически нет.
Ну или, допустим, вы все-таки используете whatever-over-TLS-туннель с учетом всего приведенного в этой статье. Но проблема в том, что все сказанное в предыдущем абзаце, применимо и к нему — а именно, TLS-inside-TLS выявляется сторонним наблюдателем с помощью эвристик и машинного обучения, которое еще можно дополнительно натренировать на наиболее популярных сайтах. We are still fucked.
6
Ладно. Мы добавили в наш тайный туннель random padding — «дописывание» в конец пакета какого-нибудь мусора случайно длины, чтобы сбить с толку наблюдателей. Или специально бьём пакеты на маленькие кусочки (и получаем проблемы с MTU, ой, придется потом старательно пересобирать). Или, наоборот, когда у нас внутри туннеля устанавливается TLS-соединение с каким-нибудь сервером, мы начинаем слать эти пакеты as-is без дополнительного слоя шифрования, таким образом выглядя со стороны на сто процентов как обычный TLS без двойного дна (правда, придется еще потратить несколько итераций на доведение протокола до ума и затыкание очень тонких и очень неочевидных уязвимостей реализации). Казалось бы, happy end, we are not fucked anymore?
А тут начинается все самое интересное. А именно, рано или поздно в вопросах выявления туннелей и блокировок, особенно с развитием технологий их обхода (в конце концов, мы ещё не затронули стеганографию и много других интересных вещей), начинает расти то, что называется collateral damage — ущерб, возникший случайно в ходе атаки намеренной цели. Например, как говорят инсайдеры и подтверждают сводки с полей, то самое упомянутое выше выявление tls-inside-tls даже с random padding’ом китайцы научились выявлять примерно с точностью 40%. Понятно дело, что при такой точности возможны также ложные срабатывания, но когда проблемы индейцев волновали шерифа?
Протоколы, которые снаружи не похожи ни на что (например, shadowsocks obfs4, и т.д.) тоже при большом желании можно выявить по. статистике нулей и единичек в байтах, потому что у зашифрованного трафика это соотношение очень близко к 1:1 — хотя, понятное дело, при этом могут пострадать невиновные. Можно банить адреса, когда висят слишком много или слишком долго подключения к не-являющимися-очень-популярными-сайтам. Подобных вариантов довольно много, и если вы думаете, что цензоров остановят ложноположительные срабатывания и ущерб от блокировок добропорядочных сайтов — то вы заблуждаетесь.
Когда Роскомнадзор пытался заблокировать Telegram, они вносили в бан-лист целые подсети и хостинги, таким образом побанив кучу ни в чем невиновных сайтов и сервисов — и им за это ничего не было. В Иране, в связи с популярностью упомянутого выше похожего-на-браузер-прокси-клиента, цензоры вообще тупо запретили подключения с Chrome TLS fingerprint к популярным облачным сервисам. В Китае массово попадают под раздачу CDN, услугами которых пользуются безобидные и невиновные сайты и сервисы. В Туркменистане так вообще заблокирована почти треть (!) всех существующих в мире IP-адресов и подсетей, потому что стоит цензорам только выявить хотя бы один VPN или прокси, как в бан отправляется целый диапазон адресов около него или даже вся AS.
Вы, наверное, можете спросить, а что же делать юрлицам, которые тоже пользуются VPN для работы, или чьи сервисы могут случайно попасть под раздачу? Этот вопрос легко решается белыми списками: если юрлицу нужен VPN-сервер, или нужно обезопасить от случайной блокировки какие-либо свои сервисы, то стоит обязать их заранее сообщать о нужных адресах и протоколах в соответствующие ведомства, чтобы те добавили их в какой надо список — именно такие запросы Роскомнадзор через ЦБ рассылал в банки, задумывая что-то нехорошее, и механизм таких списков уже существует.
Ну и, естественно, вполне вытекающим продолжением из этого будет «все что не разрешено — то запрещено». Закон о запрете VPN и анонимайзеров в целях обхода блокировок в РФ уже есть. Запрет использования несертифицированных средств шифрования — тоже. Подкрутить и расширить их зоны применения и многократно ужесточить наказания за такие «нарушения» — дело несложное. В Китае вежливые ребята пришли в гости к разработчикам небезизвестных ShadowSocks и GoAgent и сделали им предложения, от которых те никак не смогли отказаться. В Иране есть случаи возбуждения дел в связи с использованием VPN для доступа к запрещенным сайтам. Механизм стукачества в органы на неблагонадежных соседей был отлично отработан еще в прошлом веке в СССР. У государств есть монополия на насилие, не забывайте. We are fucked again?
4294967295
Как я уже сказал, большая часть того, что описано в статье, не является выдумками или голой теорией — оно давно известно, используется в некоторых странах мира, реализовано в коде и даже описано в научных публикациях.
Обход блокировок — это постоянная борьба щита и меча, и одновременно игра в кошки-мышки: иногда ты ешь медведя, иногда медведь ест тебя иногда ты догоняющий, иногда догоняемый.
Если у вас сейчас есть прокси или VPN, и он работает — не расслабляйтесь: вы всего-лишь на полшага впереди недоброжелателей. Можно, конечно, спокойно сидеть и думать «Да они там все дураки и криворукие обезьяны и ниасилят ничего сложного и реально работающего», но, как говорится, надейся на лучшее, а готовься к худшему. Всегда есть смысл изучить опыт тех же китайских коллег и присмотреться к более сложновыявляемым и более цензуроустойчивым разработкам. На чем больше шагов вы будете впереди цензоров, тем больше времени у вас будет в запасе чтобы адаптироваться к изменившейся ситуации. Если вы разработчик и разбираетесь в сетевых протоколах и технологиях — можно присоединиться к одному из существующих проектов, помочь с разработкой и подумать над новыми идеями. Люди всего мира скажут вам спасибо.
Интересными и полезными в этом плане будут Net4People, No Thought is a Crime, дискуссии в проекте XTLS (там большая часть на китайском, но автопереводчик на английский справляется неплохо), GFW report. Если кто-то знает ещё хорошие ресурсы и сообщества по этой теме — напишите в комментарии
Ну и не стоит забывать, что рано или поздно, не имея возможности противостоять подобному свободолюбию технически, государство может начать противостоять административно (та самая монополия на насилие), причем так, что с вашей стороны, в свою очередь, технически противостоять может уже не получиться. Но это уже совсем другая история, требующая отдельной статьи, и, скорее всего, на другом ресурсе.
Когда я писал эту публикацию, я хотел вставить в нее картинки из какого-нибудь мрачного киберпанк-фильма, где в результате развития технологиий слежения и цензуры и невозможности противостоять этому, люди целиком и полностью стали подконтрольны государствам и потеряли все права на свободу мысли и приватность личной жизни. Но я надеюсь, до этого не дойдет. Все в наших руках.
Как обойти блокировку VPN?
VPN – программа, обеспечивающая пользователям доступ к любым запрещенным сайтам. Оригинальный инструмент позволяет легко обходить блокировку, ускоряет быстродействие интернета и защищает личную информацию пользователей. Сервис надежно прячет данные посетителей ресурсов даже от провайдеров. По некоторым причинам ВПН может стать недоступен для пользователей, и тогда разблокировать его можно несколькими методами. Обход блокировки VPN провайдером позволяет заходить на запрещенные ресурсы.
Приемы блокировки интернета провайдером
Веб-аналитики выделяют 4 основных способа, которые применяют провайдеры для блокировки ВПН.
- Закрытие IP. Действие происходит из-за обнаружения поставщиком сети конечного адреса применяемого расширения. Провайдер знает IP-адрес пользователя и использующегося VPN. Он ограничивает доступ через firewall или закрывает подсоединение к сервису. Наличие подключения проверяется путем рассмотрения поступающей информации. Если она закодирована, то используется ВПН. При изучении данных поставщик может выявить отсутствие разрешения DNS. Оба фактора свидетельствуют об обходе запрета.
- Ограничение доступа порта. Как отключить блокировку VPN при подобном запрете? Данный вопрос часто задают пользователи. Провайдерам известны не только IP-адреса и серверы, но и используемые порты. Если поставщик считает их несущественными, то может убрать из реестра активных. Доступ ограничивается к таким позициям: протокол IPSec, 1194, протокол L2TP, UDP 4500. Их закрытие становится причиной блокировки ВПН.
- Применение DPI, запрет соединения. Deep Packet Inspection – это особый прием для подробного изучения интернет-трафика. Применение кодирования OpenVPN не застраховано от взлома. Такая особенность объясняется специальным протоколом. Если поставщик обнаруживает обходные действия, то блокирует трафик с помощью firewall либо тормозит его.
- Анализ пакетов GRE. Высокая скорость Интернет-соединения осуществляется с помощью протокола PPTP, поэтому он достаточно популярен. Данная позиция отличается низким уровнем безопасности из-за хакерских атак на кодированную информацию. Провайдеры дешифруют ее и анализируют пакеты GRE. Подозрение вызывают все отклонения от стандартных вариантов, поэтому они быстро выявляются и отключаются от сети.
Действия пользователя при блокировке VPN провайдером
Любая из перечисленных выше блокировок снимается. Ограничение доступа к IP-адресу убирается путем создания нового подсоединения к другому свободному VPN. Этот метод дает возможность получить новый IP, не подвергающийся отслеживанию провайдера. Доступ возобновляется путем использования порта 443.
Это классическая позиция для подключения HTTPS, поэтому поставщик не заблокирует адрес пользователя, поскольку такие действия перекроют связь со всеми ресурсами в интернете. Наша компания Alt VPN разрабатывает различные расширения, в которых используется порт 443, благодаря чему обеспечивается безопасность пользователей в сети.
Подмена провайдером DPI может восстановиться только путем обфускации. Такой прием скроет обычный трафик OpenVPN и идентифицирует его с HTTPS. Замена осуществляется с помощью проверенного провайдера – нашей компании Alt VPN. Для этого пользователю необходимо купить VPN. Клиенты компании получают консультации специалистов, если сделана блокировка VPN в России 2022.
Проблема решается отказом пользователя от применения протокола PPTP. В нашей компании Alt VPN можно приобрести один из 5 доступных пакетов услуг. Пользователи могут определиться с выбором сами или с помощью специалистов. Использование платных пакетов обеспечивает кодировку высокого уровня и совершенно не влияет на трафик.
Возможности для ограничения доступа от оператора
Многие веб-серферы пользуются подключением нескольких узлов и применяют двойные варианты. Такая особенность дает возможность повысить уровень безопасности кодировки. Провайдером осуществляется блокировка VPN-сервисов путем фиксации адреса первого расширения во время подсоединения, поэтому вся схема разрушается. За одним пользователем поставщик трафика наблюдать не будет. Слежка может происходить после подозрительной активности, приводящей к проявлениям более пристального внимания.
Если доступ к расширению ограничен, то изучать поток сведений о нем не удастся из-за процесса кодировки. Взломать шифр сложно, поэтому многие компании не тратят на это свои финансовые и временные ресурсы. Кодировка снимается путем использования протокола PPTP. Такая позиция характеризуется отсутствием полной безопасности. Информация о работе в сети становится открытой для третьих лиц – интернет-мошенников и рекламодателей, что весьма неблагоприятно сказывается на конфиденциальности пользователя.
Причины блокировки ВПН
Блокировка провайдером частных виртуальных сетей может происходить ошибочно. Такая проблема легко решается путем обычного звонка в техническую службу, отвечающую за соединение с интернетом. Провайдер может заблокировать доступ к сети по причинам, на которые стоит обратить внимание.
- Подозрение клиента в действиях, противоречащих правилам, установленных Роскомнадзором. Поставщик может решить, что посетитель пользуется особой кодировкой для того, чтобы получить закрытую информацию или зайти на незаконные сайты. Данный подход – предлог провайдера для отключения от интернета.
- Закон запрещает скачивать пиратские файлы и торренты, поэтому обнаружение такого нарушения чревато блокировкой пользовательского ВПН. Многие клиенты применяют обход блокировок, поэтому поставщик урезает трафик.
- Продавец интернета нередко ограничивает пропускную способность из-за финансовой выгоды. Если посетитель обходит запреты для того, чтобы увеличить объемы трафика, поставщик может быть недоволен такими действиями.
- Обход блокировки VPN в России непосредственно связан с санкциями, касающимися государства либо конкретного сайта. Таким способом правительство РФ старается ограничить своих граждан от ложных сведений. Контент некоторых сайтов подвержен строгой цензуре, поэтому провайдер не только ограничивает посещение, но и блокирует ВПН.
- Шифрование информации может не понравиться поставщику трафика из-за снижения дохода, поступающего от продавцов рекламы. Пользователи, задействующие частную виртуальную сеть, плохо поддаются тотальному контролю, поэтому считаются особенно опасными для провайдера.
Блокировка выполняется по усмотрению поставщика, из-за чего пользователи ищут всевозможные пути обхода запретов на применение VPN. Правильно подобранный сервис, снимающий все ограничения, дает возможность клиентам работать в сети интернет.
Ограничения на применение ВПН снимаются при помощи нескольких приемов, благодаря которым все анонимные данные клиентов надежно защищены от третьих лиц. Создатели программных обеспечений разработали 2 расширения, помогающие разблокировать запретные сайты: Virtual Private Network и Proxy.
Особенности работы с VPN
Вход на ресурсы, заблокированные в сети, выполняется, если подключить VPN сервис. ВПН безопасно соединяет персональный компьютер клиента с Интернетом путем шифрования личных сведений. Пользователь может заходить в сеть из страны, не запрещенной для использования данного ресурса. Virtual Private Network надежно скрывает сведения в туннелях сети, благодаря их кодированию.
Информация шифруется таким образом, что найти пользователя и рассекретить его локацию становится практически нереально, поскольку она надежно скрыта от посторонних лиц. ВПН сохраняет анонимность клиента, контролирует трафик и следит за тем, чтобы открытые сведения не вышли за границы интернета. Для того, чтобы подключить Virtual Private Network, следует скачать ПО и активировать его на устройстве.
Во время выхода пользователя в сеть его планшету, смартфону или ПК присваивается IP-адрес, характеризующийся оригинальностью. По IP человека можно многое узнать и следить за его передвижениями в интернете. Из-за этого конфиденциальная информация может попасть в руки мошенников. Активация VPN помогает гарантированно скрыть IP-адрес пользователя. Вместо него высвечивается локация виртуальной сети, что дает возможность снять ограничения, которые распространяются на ресурсы.
Выбор страны в настройках VPN, отличающейся от настоящего местоположения клиента, разрешает пользоваться сайтами, не запрещенными для выбранного местоположения. Специалисты нашей компании AltVPN научат, как обходить блокировку VPN в России и работать даже на запрещенных веб-ресурсах.
Обсудить на странице: —> —> —>