VPN-ji in vpNE-ji

V zadnjih letih je na spletu oglasov za ponudnike virtualnih privatnih omrežij (VPN) vedno več. Opozarjajo nas, da na modernem spletu VPN nujno potrebujemo za varovanje podatkov, anonimnost in zaščito pred grožnjami. Oglejmo si, kako VPN uporabniku pomaga pri varnosti na spletu in katere oglaševane trditve o VPN-jih so resnične.

Kaj VPN sploh je?

VPN je tehnologija, ki vzpostavi kriptiran tunel med dvema napravama, preko katerega lahko napravi komunicirata. Skrbi za kriptiranje podatkov ob vhodu v tunel, prenos po javnih omrežjih od vhoda do izhoda in dekriptiranje ob izhodu iz tunela. Tako lahko napravi komunicirata med seboj, kot bi bili povezani skupaj na lokalno omrežje, kljub temu, da sta lahko vhod in izhod VPN tunela na različnih omrežjih.

Glede na uporabo poznamo 3 vrste VPN-jev:

• VPN za oddaljen dostop je najpogostejša vrsta VPN omrežja, ki uporabniku omogoča oddaljen dostop do naprave na nekem privatnem omrežju. Uporabnik se na tak VPN lahko poveže od kjerkoli, kjer ima dostop do interneta.
• Site-to-Site VPN je uporabljen za povezavo dveh lokalnih omrežij skupaj. Tak VPN tunel ustvari most med omrežjema, preko katerega lahko naprave iz enega omrežja komunicirajo z napravami v drugem omrežju. Primer take uporabe je podjetje s pisarnami v več mestih, ki potrebuje varno povezavo med temi pisarnami.
• Mobilni VPN zagotavlja stabilno povezavo med napravo in strežnikom v situaciji, kjer se naprava hitro premika med različnimi omrežji. Mobilni VPN ob menjavi omrežja zagotavlja hitro ponovno vzpostavitev brez prekinitve aktivnih povezav, ki potekajo preko VPN. Ta vrsta VPN-jev je pogosto uporabljena v vozilih, ki potrebujejo zanesljivo povezavo do strežnika med vožnjo.

VPN-ji o katerih slišimo v oglasih, so podobni VPN-jem za oddaljen dostop, saj uporabniku omogočajo povezavo do VPN strežnika od kjerkoli, razlikujejo pa se v tem, da ne omogočajo dostopa do ničesar privatnega. Tunel naredijo od uporabnika do VPN strežnika, kjer izhod iz tunela povežejo na javno omrežje. Za dostop do takih VPN-jev mora uporabnik ponudniku plačevati naročnino in s tem dobi dostop do veliko VPN strežnikov, porazdeljenih po svetu, ki jih ima ponudnik na voljo.

Analiza oglaševanih trditev

VPN skrije IP-naslov uporabnika in omogoča dostop do regijsko omejenih vsebin

Ko uporabljate VPN, je VPN ponudnik edini, ki lahko vidi vaš resnični IP-naslov. Vse spletne strani, ki jih obiščete, bodo videle IP-naslov VPN strežnika, na katerega ste povezani. Ker regijske omejitve pogosto uporabljajo IP-naslov za določanje lokacije uporabnika, uporaba VPN-ja take omejitve pogosto zaobide. Potencialen problem pri tem je, da so IP-naslovi VPN strežnikov znani, tako da lahko spletne strani preprosto preprečijo dostop uporabnikom, ki so povezani na VPN.

VPN omogoča anonimno brskanje po spletu

Kljub temu, da VPN uspešno skrije IP-naslov uporabnika, to ni edina informacija, ki jo spletne strani uporabljajo za identifikacijo uporabnikov na spletu.

Spletne strani za prijave uporabljajo sistem piškotkov. Piškotek je majhna besedilna datoteka, katere vsebino določa spletna stran, in je shranjena v spletnem brskalniku. Ob vsaki povezavi brskalnik spletni strani pošlje pripadajoč piškotek, da lahko spletna stran vidi, kateri uporabnik bi moral biti prijavljen. Tudi če uporabnik uporablja VPN, lahko spletna stran s pregledom vsebine piškotka ve, kateri uporabnik jo obiskuje. Rešitev je ’način zasebnega brskanja’, saj ob uporabi naredi začasno kopijo brskalnika, v kateri izbriše piškotke, tako da v njej ni obstoječih prijav.

Glavni problem za anonimno brskanje po spletu pa je ’prstni odtis’ spletnega brskalnika. Vsaka spletna stran, ki jo obiščete, lahko o vašem spletnem brskalniku zbere vse informacije, ki jih lahko vidi, in s tem naredi ’prstni odtis’ vašega brskalnika. Nato lahko ta prstni odtis primerja z drugimi obiski in tako prepozna isti brskalnik, tudi če uporabnik uporablja VPN in zasebno brskanje. V prstni odtis zbira splošne informacije, kot so različica brskalnika, velikost okna, naložene razširitve, operacijski sistem ter z zbiranjem majhnih sprememb med obnašanjem brskalnika, ki se pojavijo zaradi različne strojne in programske opreme računalnika. Primere informacij, ki jih spletna stran lahko vidi o brskalniku, in metode izdelave prstnega odtisa brskalnika lahko najdete na https://amiunique.org.

VPN varuje vaše podatke na spletu

VPN sicer ponuja kriptiran tunel, skozi katerega vaši podatki potujejo, ampak tu je še eno pomembno vprašanje: v kakšni obliki so ti podatki pred vstopom v tunel. Večina modernih spletnih strani uporablja kriptografski protokol TLS, ki kriptira vse podatke, ki jih prejemate in pošiljate. To lahko preverite s tem, da pogledate, ali se URL spletne strani začne s ’https’ ali s tem, da kliknete na ključavnico v naslovni vrstici. V tem primeru VPN doda še en nivo kriptografije na že kriptirane podatke, tako da opazne razlike v varnosti ni, saj je TLS kriptografija že sama po sebi dovolj varna.

Če spletna stran ne uporablja kriptografije TLS (URL se začne s ’http’), potem ima VPN večji učinek, saj podatke od uporabnika do VPN strežnika prenese kriptirano. Kljub temu pa to ne zagotovi popolne varnosti podatkov, saj se od VPN strežnika do spletne strani podatki prenesejo nekriptirani, tako da jih lahko med potovanjem kdorkoli prebere.

VPN preprečuje prisluškovanje omrežnega operaterja vašim povezavam

Kljub temu, da so ob uporabi protokola TLS podatki kriptirani, to ne velja za metapodatke, ki so potrebni za uspešno povezavo. Tu sta glavna IP-naslov pošiljatelja in IP-naslov prejemnika, ki morata biti nekriptirana, da lahko usmerjevalniki zahtevo uspešno dostavijo do cilja. Te IP-naslove si lahko zapisuje katerikoli usmerjevalnik, preko katerega je zahteva potovala, in si s tem lahko naredi zapisnik, kdo je kdaj dostopal do katerih spletnih strani.

Podoben problem se pojavi tudi pri protokolu DNS (Domain Name Service), ki omogoča prevajanje domen (npr. google.com) v IP-naslove strežnika, na katerem ta domena je. Te poizvedbe se večinoma izvajajo nekriptirano, tako da lahko lastnik DNS strežnika in kdorkoli med potjo vidi, katere domene uporabnik obiskuje. Ta problem se rešuje z uvedbo protokola DoT (DNS over TLS), ki DNS zahteve kriptira med prenosom, tako da jih lahko bere samo DNS strežnik, a trenutno še vedno obstaja veliko naprav, ki uporabljajo samo DNS.

VPN te probleme večinoma odpravi, saj sta na povezavah, ki potujejo po kriptiranem tunelu, vidna IP-naslova uporabnika in VPN strežnika, na povezavah od VPN strežnika naprej pa IP-naslova VPN strežnika in spletne strani. Tako je brez dostopa do VPN strežnika težko povezati specifičnega uporabnika VPN z obiskom spletne strani.

Drugi problemi storitev VPN

Zaupanje VPN ponudniku

Uporaba VPN sicer prepreči branje metapodatkov med uporabnikom in VPN strežnikom, ampak nič ne preprečuje VPN ponudniku, da bi te podatke beležil sam. Nezaupljiv VPN ponudnik lahko shranjuje metapodatke o vseh povezavah svojih uporabnikov in s temi podatki počne karkoli. Poleg tega ima VPN ponudnik podatke o plačilnem sredstvu, s katerim se je uporabnik prijavil, kar lahko poveže zbrane podatke s fizično osebo, ki VPN uporablja. Večina znanih VPN ponudnikov sicer trdi, da o svojih uporabnikih ne beležijo ničesar, ampak uporabnik VPN storitve te trditve ne more zanesljivo preveriti, saj nima administrativnega dostopa do VPN strežnika.

Implementacija VPN

Pomembno vprašanje je tudi, kako se uporabnikov računalnik na VPN povezuje in ali VPN res preusmeri vse potrebne zahteve. Obstajajo 3 nivoji, na katerih se računalnik lahko povezuje na VPN:

• Nivo aplikacije: Na VPN se poveže samo določena aplikacija (npr. spletni brskalnik) preko svojega sistema. V tem primeru je efektivnost popolnoma odvisna od implementacije VPN-ja v aplikaciji sami. Pogost problem je, da aplikacija skozi VPN preusmeri vse zahteve, a izvaja DNS poizvedbe preko operacijskega sistema, tako da te niso preusmerjene pravilno.
• Nivo operacijskega sistema: Na VPN se poveže cel operacijski sistem, tako da vse zahteve vseh aplikacij potujejo preko VPN-ja. Ta metoda je lahko bolj zanesljiva, saj deluje tudi na aplikacijah, ki nimajo implementirane podpore za VPN, in zmanjša možnost napak, kot so izpuščanje DNS zahtev. Seveda pa so lahko tudi na nivoju operacijskega sistema izjeme, ki efektivnost VPN-ja zmanjšajo. Znan primer tega je iOS, ki tudi ob aktivni VPN povezavi dovoli določenim sistemskim povezavam, da VPN zaobidejo. Pri Applu so potrdili, da so te izjeme v implementaciji namenske in jih ne bodo spremenili, več o tem lahko preberete na https://www.michaelhorowitz.com/VPNs.on.iOS.are.scam.php.
• Nivo omrežja: Na VPN se poveže usmerjevalnik in skozi VPN pošilja vse omrežne zahteve. To je najbolj efektivna in precej manj pogosto uporabljena metoda, ki zagotavlja popolno preusmeritev vseh zahtev z omrežja skozi VPN. Manj pogosta je, ker konfiguracija za uporabnika ni preprosta in ni zagotovljeno, da usmerjevalnik in VPN ponudnik to možnost sploh podpirata.

Ponudbe, nepovezane z VPN tehnologijo

Veliko VPN ponudnikov poleg uporabe VPN-ja ponuja tudi druge storitve, kot so blokiranje oglasov na spletu, blokiranje sumljivih povezav, varno shranjevanje gesel, shranjevanje datotek v oblaku in več. Kakovost teh storitev je odvisna od ponudnika, a si skupaj delijo lastnost, da niso povezane z dejansko VPN tehnologijo, ampak so le dodatki v aplikaciji, ki jo VPN ponudnik ponuja.

Avtor prispevka: David Grošelj