Каждый россиянин если не пользуется VPN-сервисами, то хотя бы о них слышал. При этом немногие понимают, за счёт чего приложениям и расширениям удаётся обеспечивать обход цензуры, и на какие элементы сервисов устраивает атаки РКН, чтобы мешать им соблюдать одно из базовых прав каждого человека: право на свободный доступ к информации.

Ключевой «шестерёнкой» в механизме любого сервиса обхода блокировок являются протоколы — и в этой статье мы детально расскажем вам о них.

Почему нужно разбираться в протоколах VPN?

На момент выхода этой статьи наибольшую популярность и используемость в мире имеют протоколы Lightway, L2TP/IPsec, OpenVPN, IKEv2, PPTP, WireGuard и SSTP. Их объединяет способность обеспечивать пользователей доступом к информации, блокируемой различными регуляторами, при этом сохраняя персональные данные клиента в безопасности. Однако, протокол — это не один алгоритм или функция, а набор различных инструкций и процессов, который обеспечивают передачу и шифрование данных. Составные части у разных протоколов серьёзно различаются, за счёт чего одни работают быстрее, но хуже защищают данные, а другие наоборот работают медленнее, зато делают доступ к вашей информации крайне труднодоступным.

Lightway — авторский протокол ExpressVPN

Протокол Lightway был разработан сервисом ExpressVPN для обхода блокировок быстрым и безопасным путём. Ядро кодовой базы в открытом доступе можно найти на GitHub — его анализ и независимая проверка от команды Cure53, специализирующейся на поиске уязвимостей в продуктах программирования, показали действительно высокий уровень защищённости данных в протоколе.

Быстрая и безопасная работа Lightway обеспечивается использованием четырёх ключевых элементов:

  • Фреймворков Ceedling и Earthly;
  • Портативной криптографической библиотеки wolfSSL;
  • Протокола User Datagram Protocol (UDP) для передачи сообщений по IP-сети;
  • Протокола Datagram Transport Layer Security (DTLS) для создания шифрованного канала передачи сообщений.

У Lightway также есть возможность использования более безопасного, но менее быстрого режима на случай подключения к VPN-сервису в ненадёжных или ограниченных IP-сетях.

Главное преимущество Lightway — высокая скорость установки соединения при малой энергозатратности, которые возможны благодаря компактности ядра кодовой базы — всего 2К строк на языке Си. Последнее также положительно сказывается на скорости проверок кода на баги и их устранении.

Главный недостаток Lightway — ограниченная доступность. В полном варианте протокол используется только платным сервисом ExpressVPN, подписка на который стоит по разным тарифам от $8.32 до $12.95 в месяц.

WireGuard — VPN-протокол с современной криптографией

Являясь серьёзным и сложным протоколом обхода блокировок и шифрования персональной информации пользователей, WireGuard при этом доступен для использования абсолютно всем и бесплатно.

Высокая скорость работы WireGuard обеспечивается за счёт его относительной компактности в менее 4К строк кода Си, а безопасность — комплексом из десятка современных криптографических протоколов, среди которых ключевыми являются:

  • Noise — фреймворк для шифрованного обмена сообщениями;
  • Curve25519 — протокол для генерации секретного ключа;
  • ChaCha20 — протокол потокового шифра;
  • Poly1305 — алгоритм аутентификации сообщений.

Внешне для пользователя WireGuard представляет собой простой интерфейс для обмена публичными ключами, обработка которых происходит где-то внутри протокола.

В отличие от классических приложений и расширений VPN, сам по себе WireGuard требует полностью самостоятельной настройки на устройстве пользователя. Для этого придётся скачать приложение WireGuard на своё устройство с официального сайта (доступны клиенты для Windows, macOS, Ubuntu, Android и iOS) и присоединиться к существующему туннелю или создать свой с нуля.

Однако, некоторые современные VPN-сервисы работают с протоколом WireGuard, за счёт чего можно избавить себя от необходимости проводить самостоятельную настройку. В список таких VPN входят ExpressVPN, CyberGhost, PIA. 

Главное преимущество WireGuard — передача информации по принципу «рукопожатий». Пользуясь этим протоколом, вы получаете возможность проходить по цифровому туннелю от своего устройства через устройства других пользователей (по сути, по P2P-сети), получая доступ к Интернету через конечную точку — сервер или конкретного человека — в любой части мира. 

Главный недостаток WireGuard — необходимость самостоятельной настройки туннелей. Количество VPN-сервисов, которые поддерживают WireGuard и работают через него, не слишком велико, так что для полноценной и удобной работы нужно озаботиться поиском или самостоятельным созданием туннелей для подключения к Интернету через страны, не блокирующие информацию в таком объеме, как РФ.

PPTP — туннельный протокол-пионер, созданный Microsoft

Point-to-Point Tunneling Protocol — протокол туннелирования от точки к точке — появился в 90-х по инициативе компании Microsoft, так что на июне 2022 его по праву можно назвать одним из старейших в мире. Он поддерживается во всех версиях Windows и большинстве других ОС и в основном используется для обхода геоблокировок за счёт двух типов соединения:

  • Transmission Control Protocol (TCP) — протокол управления передачей данных  для обеспечения соединения между двумя устройствами;
  • Generic Routing Encapsulation (GRE) — протокол туннелирования сетевых пакетов.

По сути, PPTP шифрует и отправляет все данные от одного устройства к другому через достаточно простые алгоритмы и протоколы. С одной стороны, это делает его одним из самых быстрых среди существующих протоколов, с другой — одним из самых небезопасных.

Главное преимущество PPTP — быстрота работы соединения, причём она достаточно высока для того, чтобы подходить для потоковой передачи данных. Довольно примитивное шифрование данных позволяет использовать этот протокол для скачивания и просмотра различного контента, который заблокирован по геолокации.

Главный недостаток PPTP — легкость блокировки практически кем угодно. Из-за того, что PPTP работает через один единственный порт 1723 и пользуется легко идентифицируемыми нестандартными пакетами GRE, а также слабыми методами шифрования данных, провайдеры и регуляторы без проблем блокируют его использование и расшифровывают данные, отправляемые через PPTP.

OpenVPN — универсальный протокол с открытым исходным кодом

Один из самых современных протоколов — OpenVPN — полностью бесплатен и поддерживает передачу данных на выбор через два самых популярных протокола: UPD (подключение быстрее) и TCP (подключение стабильнее).

Это делает OpenVPN довольно уникальным, поскольку остальные популярные VPN-протоколы не имеют такой гибкости, опираясь в своей работе лишь на один из упомянутых выше путей передачи данных. При этом здесь очень сильное шифрование через протоколы криптографической библиотеки OpenSSL и метод пакетной аутентификации HMAC.

Протокол можно скачать и использовать как самостоятельный VPN-сервис или интегрировать в сторонние приложения и расширения. В первом случае придётся немного повозиться — установить OpenVPN с официального сайта, найти и скачать файлы конфигурации (например, на сайте АнтиЗапрет) и импортировать их в приложение OpenVPN. Во втором за вас всё уже сделал VPN-сервис — переключиться на встроенный OpenVPN можно как минимум у ExpressVPN, NordVPN и CyberGhost.

Главное преимущество OpenVPN — высокий уровень шифрования данных. Протокол использует огромное количество методов шифрования из библиотеки OpenSSL, за счёт чего данные пользователей в нём надёжно сокрыты и не поддаются расшифровке со стороны.

Главный недостаток OpenVPN — низкая скорость работы. В этом виновата глубина шифрования — на то, чтобы скрыть информацию, требуется довольно много ресурсов устройства и сервера. При этом при использовании высокоскоростного Интернета разница в скорости работы не слишком заметна.

IPsec — VPN-протокол Интернет-безопасности

Internet Protocol Security используется для сквозной аутентификации и шифрования данных при передаче по IP. Как и OpenVPN, IPsec позволяет пользователям настраивать свою работу в двух режимах.

Первый — транспортный, где шифрованием обрабатываются только передаваемые данные, позволяет устанавливать соединения между шлюзами без образования туннелей.

Второй — туннельный, где шифруется и инкапсулируется вся исходящая информация, обеспечивает более глубокую защиту данных и позволяет безопасно передавать их по открытым каналам связи.

В своей работе IPsec опирается на три основных протокола:

  • Internet Security Association and Key Management Protocol (ISAKMP) — протокол для обмена ключей при первичной настройке соединения;
  • Authentication Header (АН) — протокол обеспечения целостности данных при их передаче;
  • Encapsulating Security Payload (ESP) — протокол шифрования данных.

IPsec поддерживается практически всеми популярными ОС и платформами, включая роутеры. При этом он редко используется в работе VPN-сервисов сам по себе — обычно с ним в паре идёт L2TP, поскольку функционал IPsec рассчитан только на обеспечение безопасного доступа пользователя к серверу, но не на обеспечение стабильного соединения между точками, а L2TP не может шифровать данные.

Главное преимущество IPsec — обеспечение анонимности пользователей через проверку подлинности и шифрование каждого отдельного пакета передаваемых данных.

Главный недостаток IPsec — ограниченный функционал. Для самостоятельного использования этого протокола на устройствах требуется специальное программное обеспечение, заменяющие или дополняющее имеющиеся системы, поскольку IPsec сам по себе не имеет ни формата приложения, ни совместимого с различными устройствами ПО. Более того — IPsec достаточно легко блокируется брандмауэром операционных систем.

L2TP/IPsec — «лучшая версия» PPTP

Layer 2 Tunneling Protocol (протокол туннелирования второго уровня) — появился в 1999 году как «апдейт» PPTP через протокол L2F. L2TP поддерживает передачу данных через два типа туннелей:

  • Обязательный — не подконтролен пользователю и автоматически устанавливает соединение между ним и корпоративной сетью;
  • Необязательный — пользователь может настроить по своему усмотрению для соединения с корпоративной сетью на своих услових. 

Передача данных по протоколу L2TP проходит через порт UDP 500, который блокируется некоторыми брандмауэрами, при этом сам по себе протокол не способен полноценно шифровать данные, поэтому он и используется  в паре с IPsec. 

L2TP/IPsec легко настраивается и работает через двойную инкапсуляцию — установка соединения через L2TP плюс шифрование данных по IPsec — что делает передачу данных через него безопасной и хорошо защищённой. Для шифрования данных здесь применяются два симметричных алгоритма: устаревший 3DES и продвинутый AES.

Пару их этих протоколов используют многие VPN-сервисы — например, ExpresVPN и PrivateVPN.

Главное преимущество L2TP/IPsec — высокая безопасность передачи данных. Двойная инкапсуляция с многослойным шифрованием позволяет не только анонимизировать пользователя, но и защитить его данные от третьих лиц на всех уровнях.

Главный недостаток L2TP/IPsec — очень медленная работа. Из-за двойной инкапсуляции информация, передаваемая через эту связку, требует больше времени и ресурсов на «упаковку» и обработку.

IKEv2 — протокол зашифрованного туннелирования от Microsoft

Internet Key Exchange v2 был создан Microsoft и Cisco на основе составляющих протокола IPsec. Его поддерживают практически все современные операционные системы — в основном IKEv2 вшит в ПО устройств и управляется в них напрямую из настроек (меню).

Шифрование данных осуществляется здесь через SSL-сертификаты, как на сайтах и HTTPS. Их использование делает фактически невозможной расшифровку данных даже в случае их кражи: злоумышленникам неоткуда будет взять конкретные уникальные ключи шифрования, которые генерируются случайным образом для каждого пакета данных. При этом SSL-сертификаты позволяют IKEv2 использовать меньше ресурсов из-за применения для анализа пользователей легких с точки зрения производительности криптографических cookies.

За счёт комплексного протокольного строения IKEv2 позволяет быстро переподключаться к защищённому соединению при потере сигнала или переключению между WiFi и мобильным интернетом. Протокол также лучше других адаптирован к использованию на мобильных устройствах, но его достаточно сложно настроить для самостоятельного использования, поэтому лучше искать в составе VPN-сервиса, например, Surfshark.

Главное преимущество IKEv2 — скорость работы при высокой безопасности. Здесь нет ничего, что делало бы обработку данных затянутой или сложной и даже глубокое шифрование данных осуществляется на современных лёгких протоколах.

Главный недостаток IKEv2 —  закрытость исходного кода. Поскольку протокол принадлежит Microsoft, его исходный код засекречен и широкой публике неизвестно, как он работает в полной мере. В этой связи нет никакой уверенности в том, что Microsoft не является конечным получателем развёрнутой информации о пользователях IKEv2, скрывая её от других, но не от себя.