Internet w tunelu

Usługa VPN (Virtual Private Network) pozwala na stworzenie bezpiecznego, silnie szyfrowanego tunelu w internecie, który pozwala połączyć dwa komputery (kliencki i serwer). Mimo że połączenie VPN jest zestawiane z wykorzystaniem sieci publicznej, jest bezpieczniejsze niż połączenie kablowe. Dzięki szyfrowaniu minimum 128-bitowym algorytmem trzecia strona nie może podglądać przepływających informacji ani w żaden sposób ich fałszować, gdyż spowodowałoby to naruszenie certyfikatów kryptograficznych chroniących transmisję i zerwanie połączenia.

Pierwotnym i wciąż popularnym zastosowaniem VPN jest nawiązywanie połączenia zdalnego z siecią lokalną LAN, np, w firmie. Dzięki zastosowaniu szyfrowania połączonego z mechanizmem autoryzacji za pomocą VPN można korzystać z serwerów korporacyjnych tak samo bezpiecznie, jak na terminalu zlokalizowanym w budynku firmy. W tym zastosowaniu VPN pełni rolę mechanizmu rozszerzającego obszar dostępu do sieci lokalnej na cały internet.

Z dowolnego miejsca na świecie można w ten sposób logować się do udostępnionych dysków, serwerów baz danych, serwerów pocztowych i innych, które nie są dostępne w publicznym internecie.

Za pośrednictwem VPN można także korzystać ze zdalnej bramki dostępowej do internetu. Oczywiście może być to połączenie internetowe firmy czy uczelni, ale można także łączyć się z domowym komputerem i korzystać z własnego połączenia kablowego lub ADSL. Sposób zestawienia takiego połączenia pokazujemy w warsztatach na końcu artykułu.

Możliwość łączenia się ze zdalną bramą do internetu, jaką daje VPN, pozwoliła na rozkwit usług ochrony prywatności w internecie, tzw. anonimizujących VPN-ów, czyli tego, z czym opisywana technologia kojarzy się dziś w pierwszej kolejności.

Usługi anonimizujące wykorzystują możliwość tworzenia prywatnego tunelu w internecie, jaką daje VPN, w celu przekierowywania całego ruchu internetowego z komputera użytkownika do serwera internetowego, który pełni dwojaką rolę. Po pierwsze przydziela użytkownikowi nowy adres IP, dzięki czemu nie można go za jego pomocą zidentyfikować w internecie. Po drugie likwiduje wszelkie ślady działalności online, ponieważ nie przechowuje logów aktywności online klientów. Firmy telekomunikacyjne muszą to robić ze względu na przepisy o retencji danych (w Polsce – przez 12 miesięcy).

Zastosowanie bezpiecznego tunelu VPN pomiędzy komputerem klienta a serwerem anonimizującym gwarantuje też, że żadne informacje, w tym także dane pozwalające na pośrednie wnioskowanie na temat treści transmisji (np. adres IP serwera docelowego czy adres wywoływanej strony WWW) nie mogą być przechwycone po drodze. Nie ma do nich dostępu ani operator telekomunikacyjny, ani instytucje takie jak policja, które mają prawo przeglądania logów operatora. O działaniach w internecie nie dowie się niczego także administrator sieci lokalnej. Takie zabezpieczenie chroni przed szeregiem zagrożeń dla anonimowości online oraz prywatności przesyłanych informacji.

Jak działa ochrona treści wymienianych przez internet? Jeśli połączenie nie jest tunelowane w VPN, a strona internetowa nie korzysta z bezpiecznego protokołu HTTPS, wszystkie informacje, które są ściągane i wysyłane do internetu, są jak otwarta księga. Może poznać je każdy, kto ma dostęp do serwerów i routerów obsługujących transmisję. Jeśli połączenie jest szyfrowane za pomocą HTTPS, w logach pozostają adresy IP, które pozwalają łatwo ustalić, z jakim serwisem internetowym użytkownik się łączył. Nawet taka wiedza umożliwia poznanie sekretów śledzonej osoby (np. informacji o stanie zdrowia). W podobny sposób można monitorować aktywność użytkowników sieci P2P takich jak BitTorrent, a także sprawdzać, kto umieszcza materiały wideo na platformach streamingowych.

Biorąc pod uwagę rozległe prawa do inwigilacji online, wrażliwe dane bez zgody sądu mogą poznać funkcjonariusze praktycznie każdej służby śledczej w Polsce. Nawet szeregowi policjanci mogą sprawdzać listę odwiedzonych stron osoby, która pozostaje w ich zainteresowaniu. Oczywiście trzeba pamiętać, że zastosowanie VPN nie gwarantuje ochrony przed odpowiedzialnością za łamanie prawa. Biorąc na cel przestępcę, służby coraz częściej umieszczają na jego komputerze oprogramowanie szpiegowskie, które przechwytuje informacje, zanim trafią do tunelu VPN, i w ten sposób zdobywają potrzebne informacje.

Tunelowanie połączenia VPN skutecznie zabezpiecza natomiast przed masową inwigilacją prowadzoną przez służby specjalne mocarstw. Instytucje takie jak amerykańska NSA przechwytują cały ruch internetowy w kluczowych węzłach światowej sieci szkieletowej. Zdobyte informacje zamieniają następnie w zindeksowaną bazę danych, którą można przeszukiwać pod kątem słów kluczowych. Dane są następnie przechowywane wiele lat jako swoisty rezerwuar informacji, do którego w razie potrzeby można zajrzeć. Oczywiście dane o połączeniach wykonanych przez VPN także znajdą się w tej bazie, ale ze względu na ich wcześniejszą anonimizację nie będzie można połączyć zapisanych transmisji z konkretną osobą.

Korzystanie z prywatnego VPN chroni także przed hakerami. Najbardziej narażeni są użytkownicy publicznych punktów dostępowych Wi-Fi. Takie połączenie można dość łatwo zhakować. Hakerzy podstawiają także fałszywe punkty dostępowe, nadając im nazwę np. pobliskiej kawiarni czy sklepu. Użytkownik, który połączy się z takim hotspotem bez osłony VPN, jest narażony na tzw. atak man-in-the-middle, który polega na podstawieniu fałszywej strony internetowej np. ze szkodliwym oprogramowaniem.

Dostarczający VPN korzystają z własnych serwerów DNS, aby zapobiegać wyciekom prywatnych informacji podczas tłumaczenia nazwy domen, więc mogą wykorzystać DNS-y także do ochrony klientów przed hakerami. Standardowe zabezpieczenia obejmują blokowanie stron zawierających szkodliwe oprogramowanie i botnetów, dzięki czemu nawet w razie infekcji komputer nie jest używany do ataków DDoS lub rozsyłania spamu. NordVPN czy IPVanish oferują też blokowanie reklam.

Dodatkową zaletą korzystania z anonimizującego połączenia VPN jest łatwość obchodzenia ograniczeń regionalnych. Wiele treści, przede wszystkim multimedialnych, jest dostępnych tylko na wybranych rynkach. Można się o tym przekonać nawet na YouTubie, gdzie nietrudno natknąć się na teledyski zablokowane dla użytkowników z Polski. Podobnie sytuacja wygląda na płatnych platformach streamingowych. Omijanie ograniczeń regionalnych jest łatwe w przypadku VPN, wystarczy zmienić adres IP, łącząc się z serwerem anonimizującym zlokalizowanym np. w Stanach Zjednocznych. Jeśli omijanie blokad jest jedynym celem, można zrezygnować z płatnego VPN na rzecz darmowego, który można znaleźć m.in. w przeglądarce Opera.

Największą wadą anonimizujących VPN-ów jest fakt, że nie ma darmowych usług dobrej jakości. Stworzenie infrastruktury do ochrony połączenia internetowego pociąga za sobą wysokie koszty, przede wszystkim wynajęcia serwerów, które muszą być rozrzucone po całym świecie i podłączone do szybkiej sieci szkieletowej. Miesięczny koszt dostępu do prywatnego VPN to ok. 30–40 zł. Tę kwotę można znacząco zredukować ,wybierając plan roczny lub dwuletni. W drugim przypadku, szczególnie z połączeniu z promocją, z prywatnego VPN można korzystać za ok. 10 zł miesięcznie, co nie jest wygórowaną ceną za święty spokój, szczególnie jeśli korzysta się z sieci P2P.

Korzystanie z internetu za pośrednictwem anonimizującego VPN może pociągać za sobą także drobne niedogodności. W związku z tym, że adresy IP serwerów generują sporą ilość ruchu i są współdzielone przez wielu użytkowników (prywatne IP można mieć za dodatkową opłatą), wyszukiwarki i inne serwisy czasem wymagają dodatkowej autoryzacji. Niektóre usługi mogą być blokowane, taką politykę ma m.in. Netflix. W niektórych sieciach korporacyjnych zablokowane są porty wykorzystywane przez protokoły VPN, takie jak L2TP/IPsec, OpenVPN czy PPTP.

Niekorzystnym skutkiem ubocznym szyfrowania 256-bit jest także większe obciążenie procesora. W przypadku pecetów nie ma to znaczenia, ale zabezpieczanie mobilnego internetu na Androidzie może już niekorzystnie odbić się na długości pracy na akumulatorze. VPN może także spowalniać połączenie internetowe. Wszystko zależy od serwera pośredniczącego. W przypadku renomowanych usług VPN spadek ten będzie niewielki, mimo to przed opłaceniem długiego kontraktu (1–2 lata) warto skorzystać z okresu testowego lub kupić usługę na miesiąc i sprawdzić jej działanie w praktyce.

Reputacja – dobrze jest wybierać spośród usług znanych na rynku. Biorąc pod uwagę, że od uczciwości firmy zależy twoje bezpieczeństwo, reputacja jest najważniejszym kryterium.

Lokalizacja – warto sprawdzić, w jakim kraju działa firma i jakiemu podlega prawu. Najlepiej wybierać firmy działające w systemach prawnych silnie chroniących prywatność (Szwajcaria, Panama, Szwecja, Niemcy). Lokalizację sprawdzisz na https://thatoneprivacysite.net

Liczba serwerów – dobry VPN powinien oferować serwery w przynajmniej kilkunastu krajach, a na liście powinny znajdować się dedykowane serwery w Polsce. Warto sprawdzić, czy obsługiwane są bezpieczne protokoły IKEv2, OpenVPN oraz czy są serwery dedykowane dla P2P.

Szybkość, stabilność – przed zawarciem długoterminowej umowy, warto wykupić VPN na miesiąc i gruntownie przetestować szybkość i stabilność połączenia.

Aplikacje – powinny być wygodne w obsłudze, umożliwiać wybór serwera wyjściowego, automatyczne wyłączanie aplikacji w razie zerwania bezpiecznego połączenia. Usługodawca powinien dostarczyć szczegółowych instrukcji, jak łączyć się z VPN za pomocą klientów wbudowanych w system operacyjny.

Korzystanie z VPN jest bardzo proste. Usługi zoptymalizowane dla początkujących użytkowników, takie jak TunnelBear, całkowicie automatyzują ten proces za pomocą łatwej w obsłudze aplikacji, która przejmuje kontrolę nad połączeniem internetowym i pozwala jednym przyciskiem włączać i wyłączać VPN.

W przypadku zaawansowanych usług, takich jak NordVPN, IPVanish, VyprVPN czy PureVPN, użytkownicy mają do wyboru pełen wachlarz możliwości. Oprócz aplikacji, które automatyzują konfigurację i pozwalają łatwo wybrać serwer pośredniczący, można podłączać się za pomocą klientów VPN wbudowanych w system operacyjny, a także skonfigurować elementy usługi VPN (np. proxy maskujące IP) na poziomie poszczególnych aplikacji takich jak uTorrent czy przeglądarka internetowa, a także skonfigurować VPN na routerze.

Ten ostatni sposób jest najbezpieczniejszy, gdyż gwarantuje, że ruch z każdego urządzenia będzie tunelowany przez anonimizujący VPN. Z drugiej strony taka konfiguracja wymaga wyspecjalizowanego oprogramowania na routerze (najlepiej OpenWRT lub DD-WRT), a także utrudnia szybkie przełączanie się między serwerami czy selektywne korzystanie z VPN w zależności od programu czy usługi.

PPTP – nie obsługuje kluczy silniejszych niż 128-bit, w związku z czym jest obecnie uważany za przestarzały i zbyt łatwy do złamania. Jego zaletą jest prosta konfiguracja i natywna obsługa w systemie Windows, co pozwala na stworzenie serwera VPN bez użycia dodatkowego oprogramowania.

L2TP/IPsec – obsługuje najsilniejsze szyfrowanie 256-bit i oferuje podwójną enkapsulację pakietów, dzięki czemu jest znacznie bezpieczniejszy niż PPTP. Wadą jest mniejsza stabilność w sieciach bezprzewodowych.

OpenVPN – protokół jest bezpieczny (256-bit, open source), szybki i stabilny we wszystkich sieciach. Radzi sobie z dużymi opóźnieniami, dzięki czemu można go używać do połączeń międzykontynentalnych. Wymaga dodatkowego oprogramowania. Bazują na nim aplikacje anonimowego VPN.

IKEv2/IPsec – nowoczesny, silnie zabezpieczony protokół VPN, oferujący szyfrowanie 256-bit. Jest szybki i bardzo stabilny także w sieciach bezprzewodowych. W niektórych aplikacjach VPN zastępuje starszy protokół OpenVPN, w szczególności w zastosowaniach mobilnych.

Jeśli nie chcesz płacić za VPN, możesz skorzystać z darmowego rozwiązania w przeglądarce Opera. Przeglądarka ma wbudowany tzw. browser VPN. Nie zabezpiecza on całego ruchu internetowego, ale tylko ten, który jest generowany w przeglądarce. Z dostępnych informacji wynika, że browser VPN nie zabezpiecza także ruchu generowanego przez pluginy.

Aby włączyć VPN, kliknij menu Opery i otwórz panel Ustawienia. Następnie przejdź do zakładki Prywatność i bezpieczeństwo i w sekcji VPN zaznacz Włącz VPN. Po aktywacji usługi z lewej strony paska adresu pojawi się ikonka VPN. Za jej pomocą możesz po pierwsze włączyć i wyłączyć zabezpieczenia, a po drugie wybrać jeden z serwerów wyjściowych, m.in. w USA.

Z anonimizujących VPN-ów najwygodniej korzysta się za pomocą aplikacji dostarczonych przez usługodawcę, które przekierowują przez VPN cały ruch internetowy. W większości przypadków bazują one na otwartym protokole OpenVPN, który jest zarówno szybki, jak i bardzo bezpieczny. Aplikacje automatyzują konfigurację protokołu, która w przypadku OpenVPN jest skomplikowana. Poza tym wybierają najlepszy serwer, a przełączanie się między nimi jest łatwe.

Podczas konfiguracji najlepiej wybrać funkcję automatycznego startowania z systemem Windows oraz automatycznego nawiązywania połączenia z ulubionym serwerem. W ustawieniach programu można skonfigurować mechanizm automatycznego wyłączania wrażliwych aplikacji (np. P2P) w razie zerwania połączenia VPN.

Instalacja aplikacji w systemie Windows, przebiega bezproblemowo. Instalując aplikację na Androidzie, należy zaakceptować przejęcie kontroli przez aplikację nad obsługą protokołu OpenVPN.

W warsztacie pokażemy, w jaki sposób łączyć się z serwerem VPN za pomocą protokołu PPTP. Mimo że nie jest idealnie zabezpieczony, w praktyce oferuje wystarczający poziom ochrony, a jednocześnie jest łatwy do konfiguracji. Systemy operacyjne mają wbudowaną obsługę także bardziej zaawansowanych protokołów, w tym najbezpieczniejszego IKEv2/IPsec. Ich konfiguracja jest jednak złożona, wymaga m.in. ręcznego instalowania certyfikatów bezpieczeństwa. Aby skorzystać z protokołu OpenVPN, niezbędna jest instalacja aplikacji OpenVPN oraz pobranie profilu konfiguracji. Informacje o konfiguracji IKEv2/IPsec oraz OpenVPN znajdziesz na stronach dostawcy usług VPN.

Naciśnij klawisz Windows i wpisz panel sterowania, a następnie kliknij znaleziony skrót. W panelu naciśnij Sieci i Internet, Centrum sieci i udostępniania i Skonfiguruj nowe połączenie lub nową sieć. Na końcu wybierz Połącz z miejscem pracy, co uruchamia panel konfiguracji sieci VPN.

Aby utworzyć nowe połączenie, kliknij Nie, utwórz nowe połączenie i Dalej. W następnym ekranie kliknij Użyj mojego połączenie internetowego VPN. W nowym oknie w polu Adres internetowy wpisz adres lub numer IP serwera VPN, z którym będziesz się łączył. Serwer musi obsługiwać protokół PPTP.

Zaznacz opcję Zapamiętaj moje poświadczenia oraz Zezwalaj innym osobom na korzystanie..., jeśli połączenie ma być dostępne dla każdego konta w systemie. Kliknij Utwórz. Aby nawiązać połączenie, kliknij ikonę Sieci w obszarze powiadomień, a następnie naciśnij Połącz.

Przy pierwszym uruchomieniu pojawi się żądanie wpisania hasła dostępowego. Po udanym zalogowaniu hasło zostanie zapamiętane w systemie Windows. Jeśli pojawią się problemy z nawiązaniem połączenia, może oznaczać to błąd w automatycznej konfiguracji protokołu. W tym celu kliknij Wyświetl stan sieci i zadania i Zmień ustawienia karty sieciowej.

Kliknij prawym klawiszem ikonę utworzonego połączenia i wybierz Właściwości. Następnie przejdź do zakładki Zabezpieczenia i z menu Typ wirtualnej sieci prywatnej wybierz PPTP. Następnie z listy Szyfrowanie danych wybierz Najmocniejsze szyfrowanie i potwierdź zmiany. Teraz nie powinno być problemu z nawiązaniem połączenia PPTP.

Uruchom panel Ustawienia, przejdź do zakładki Połączenia i kliknij Więcej ustawień połączenia, a na końcu naciśnij przycisk VPN. Kliknij odnośnik Dodaj sieć VPN. W formularzu wpisz nazwę, z listy Typ wybierz PPTP i poniżej wpisz adres lub IP serwera. Następnie w dolnej części okna wpisz nazwę użytkownika i hasło.

Jeśli chcesz, żeby cały ruch sieciowy był przekierowywany przez VPN, zaznacz Sieć VPN zawsze włączona. Nie polecamy tego rozwiązania ze względu na nadmierne zużycie energii. Po zakończeniu konfiguracji naciśnij Zapisz. Aby połączyć się z siecią VPN, ponownie wejdź do Ustawień, wybierz połączenie i naciśnij Połącz.

O tym, że połączenie VPN jest aktywne, informuje karta w panelu powiadomień Androida. Kliknij ją, a pojawią się statystyki wykorzystania połączenia. Z poziomu panelu możesz też zerwać połączenie

Aby utworzyć serwer, uruchom panel Centrum sieci i udostępniania. W bocznym pasku kliknij zakładkę Zmień ustawienia karty sieciowej>. W oknie Połączenia sieciowe naciśnij przycisk Alt, aby wyświetlić opcje, kliknij menu Plik i Nowe połączenie sieciowe.

Wybierz użytkowników komputera, którzy będą mogli łączyć się za pośrednictwem VPN. Jeśli chcesz utworzyć osobne konto, kliknij Dodaj osobę. W kolejnych oknach klikaj Dalej. Gdy pojawi się informacja o oprogramowaniu sieciowym, zaznacz Protokół TCP/IPv4 i naciśnij Właściwości.

Zaznacz Określ adresy IP i przyznaj pulę kilkunastu adresów z puli prywatnej, które nie są używane w twojej sieci LAN, np. 192 168.0.120–192 168.0.130. Potwierdź, klikając OK. Naciśnij Zezwalaj na dostęp. Aby móc uzyskać dostęp z otwartego internetu, niezbędne jest przekierowanie na routerze portu TCP/UDP 1723.

Jeśli chcesz podłączyć się do zasobów w komputerze zdalnym, w konfiguracji terminalu klienta, we właściwościach protokołu TCP/IPv4, kliknij Zaawansowane i Użyj domyślnej bramy w sieci zdalnej. Dzięki temu będziesz mógł korzystać z katalogów udostępnionych i przyłączyć się np. do Grupy domowej.

Jeśli podczas uruchamiania serwera VPN PPTP pojawi się błąd i wyświetlony zostanie komunikat o problemie z uruchomieniem usługi routingu i zdalnego dostępu, niezbędne jest usunięcie błędu w rejestrze Windows 10. Wymaga on ręcznego dodania dwóch wpisów w rejestrze. Instrukcje znajdziesz w anglojęzycznej wersji pomocy Microsoftu (https://answers.microsoft.com/en-us). Wpisz w polu wyszukiwarki hasło rras-unable-to-start-service-windows-10.