Выбор VPN провайдера

На фоне последних российских законов о цензуре в интернете, которые, того гляди, переплюнут по строгости китайские, очень остро встал вопрос о том, как себя от них обезопасить.

Можно, конечно, вспомнить анекдот про неуловимого Джо, но я считаю, что информация о том какой прон я предпочитаю на каких сайтах я сижу и что туда пишу — это мое и только мое дело.

Вариантов много, один из которых — поставить какую-нибудь оверлейную сеть, о которых я писал ранее, но этот вариант подходит разве что для тотальных параноиков (хотя можно комбинировать, но про это ниже).

Если хочется просто обходить запреты (напомню, что из-за дыр в законе о блокировках около 95% сайтов блокируется неправомерно) без особых настроек и с хорошей скоростью, подойдет самый обычный VPN. Впрочем, и тут есть свои нюансы, о которых я и хотел бы рассказать.

Итак, при выборе VPN провадера надо руководствоваться как минимум четырьмя первичными факторами — юрисдикция компании-провайдера, протоколы VPN, Terms of service и способы оплаты. Еще сюда можно добавить список серверов, но у большинства провайдеров точки присутствия одинаковые. Хорошим бонусом будет также наличие speedtest до каждого из серверов и наличие открытого списка серверов (со списком ip/hostname) для проверки латентности (считайте, обычного пинга) до серверов. Последнее, впрочем, актуально разве что для игры через VPN. Цены на VPN, в целом, одинаковы и варьируются в районе 5-10$ за месяц.

Юрисдикция

Тут все относительно просто — в предпочтении у нас страны без так называемого data retention law (в данном случае — обязанности хранить данные по использованию VPN). Посмотреть кто и как к этому закону относится, можно вот тут.

Довольно очевидно, что даже если компания-провайдер находится в оффшорной зоне где отсутствует закон о хранении данных пользователей, сервера в странах, где такой закон есть, данные все равно могут хранится, впрочем, все это, как правило, можно узнать от саппорта и/или прочитать в…

Terms of service

Оно же «правила пользования сервисом». В нем, как правило, указаны и правила относительно логирования (к примеру, не ведем логи на всех серверах за исключением US и RU), разрешенного трафика (например: разрешен любой трафик, кроме отправки почты, ибо закрыт порт 25, или разрешен любой трафик, кроме торрентов на серверах в USA). У нормальных провайдеров обычно написано что-то в стиле «Логи не ведем, разрешено все кроме спама/взлома/цп и торрентов на серверах в USA и UK».

С этим разделом надо ознакомиться крайне внимательно — ибо можно нарваться на хорошее предложение, протестировать VPN (некоторые предоставляют бесплатный период в 1-3 суток или предлагают манибек «без вопросов» в течение недели), потом радостно оплатить VPN на год (ибо дешевле на 60$, чем платить год помесячно) и выяснить что торренты с него качать нельзя. При этом не имеет значения, качаете ли вы ubuntu linux или последний голливудский блокбастер с TPB — запрещен сам протокол bittorrent и закрыты коннекты до трекеров.

Кроме того, следует внимательно ознакомиться с вопросом moneyback, если вы первый раз подписываетесь на этот сервис и не уверены, что он вам подойдет.

Протоколы

Сугубо техническая часть. Как правило, в текущих предложениях провайдеры предлагают следующий набор протоколов:

PPTP. Старый, криптокрафически ненадежный протокол, который, тем не менее, есть практически везде по умолчанию. Легко взламывается, легко блокируется провайдерами. Стоит использовать разве что как «last resort» способ, когда подключиться по другим протоколам невозможно. В остальных случаях рекомендую его избегать.

L2TP. В 99% случаев поставляется связка из L2TP + IPSec, которые, по сути, являются стандартом в отрасли. Клиенты для подключения присутствуют практически везде (Android, iOS, Linux, Mac OS X, Windows, и так далее). Надежен, является отличным выбором если вы хотите использовать встроенное в операционную систему ПО и не возиться с настройкой стороннего (например OpenVPN, о котором ниже). Впрочем, есть и свои минусы — его проще заблокировать, т.к. работает по фиксированным протоколам, которые можно определить (опять же, определить только факт использования VPN, но не контент, который по нему идет) и портам. Кроме того, довольно медленный.

OpenVPN. Является идеальным вариантом, однако требует установки стороннего ПО (которое, впрочем, есть на все платформы, кроме разве что самых маргинальных). По сути, единственный протокол, который не может заблокировать великий китайский файрволл — блокируют такой трафик в Китае по хостам / портам. Имеет множество режимов работы, может умело маскироваться под обычный https трафик. Минусы — относительная сложность настройки (хотя большинство провайдеров предоставляет файл, который достаточно импортировать в клиент, и все заработает), относительно высокая нагрузка на CPU в силу мощной криптографии. Впрочем, тут стоит внимательно посмотреть на то, чем именно шифруется трафик — в OpenVPN есть возможность гнать контент без криптографии вообще. Подробности можно узнать у провайдера, обычным (и достойным) выбором является AES-256 с ключами и сертификатами длиной в 4096 (реже — 2048) бит.

SSTP. Относительно новый протокол, разработанный майкрософтом на замену их же сломанного PPTP. Прикидывается HTTPS трафиком, безопасен (с той оговоркой, что протокол проприетарный, и не подвергался аудиту сторонними людьми). Впрочем, есть один существенный минус — протокол работает только на windows (существуют реализации клиентов и серверов для linux и mikrotik), но в действительности нормально работает он только на win7 и win8. В целом, на его наличие можно даже не смотреть.

Способы оплаты

Эта информация будет полезна разве что параноикам, которые хотят полностью анонимного VPN.

Условно платежные системы можно разделить на две группы — анонимные и неанонимные.

К неанонимным относятся классические способы оплаты через пластиковые карты и paypal. Впрочем, и этот метод оплаты можно сделать анонимным, если купить «препейд» пластиковую карту с балансом. Как правило, такие карты нельзя пополнить, однако для единичной транзакции вроде оплаты VPN их должно хватить. Карты покупаются как за другие карты, так и за те же анонимные биткоины — в гугле находится огромное количество предложений на любой вкус.

К анонимным методам относится новомодный bitcoin и его деривативы (например litecoin или dogecoin), а также всякие gogopay и подобные.

Отдельным особняком стоит новая платежная система paygarden, которая позволяет оплачивать покупки бонусными картами / купонами различных сетей магазинов / кафе. К сожалению, работает только в США, а так идея очень интересная (и, опять же, платежи абсолютно анонимные — можно прийти в старбакс, купить gift-карту, и оплатить ей практически что угодно).

Большинство VPN провайдеров сейчас поддерживает стандартный набор пластика Visa/MasterCard/Amex через платежный шлюз (коих великое множество), а так же paypal, через который также можно оплатить обычной картой без регистрации. Выбирайте на свой вкус. Для тотальных параноиков — bitcoin через tor или i2p.

Список стран VPN-серверов

Тут надо определиться, что именно вы хотите делать через VPN. Для скачивания торрентов желательно иметь сервер максимально близко (для Москвы неплохо подходят Швеция, Эстония, Румыния, Голландия). Разумеется, ожидать от VPN сервера 100% скорости вашего домашнего канала не стоит — реальная скорость может быть в два, а то и в три раза меньше. Тем не менее, безопасность стоит того, чтобы подождать скачивания вашего любимого фил^W дистрибутива linux на полчаса больше.

Как я уже говорил, большим бонусом будет наличие открытого списка серверов с указанием IP-адресов или доменов (если такой информации на сайте нет, то этот список, как правило, можно получить запросом в техподдержку. После чего пропинговать IP серверов, которые нас интересуют, и выбрать сервер с минимальным пингом. После чего подключиться к нему и проверить скорость подключения через тот же speedtest. Имеет смысл проверять не предложенную в speedtest точку тестирования (как правило, самая близкая), а точку, которая максимально близко находится к вам.

Однако есть оговорки. Многие берут VPN не ради того, чтобы скрыть ваш трафик, а ради того чтобы получить доступ к ресурсам, которые имеют региональные ограничения. Например, bbc iplayer, на котором идут сериалы (и не только), доступен только для жителей UK. Netflix / Hulu, опять же, с различными сериалами, доступны только для жителей USA. В данном случае надо ознакомиться со списком стран, имеющих доступ до данного ресурса, и делать выборку уже из них (большинство VPN провайдеров имеют сервера почти во всех крупных городах США — начиная от Вашингтона и заканчивая Флоридой).

Несколько соединений

Приятным бонусом будет возможность подключиться сразу к нескольким серверам. Например, держать включенный VPN клиент дома / на роутере, и иметь возможность подключиться к VPN с телефона. Тут надо внимательно изучать FAQ vpn-провайдера, ибо многие, заявляя о возможности «включить сразу пять сессий», позволяют это сделать только с одного устройства / IP, или к одному и тому же серверу. В идеале таких ограничений быть не должно — провайдер должен (но, увы, не обязан) предоставить доступ сразу ко всем своим серверам. У отдельных провайдеров, не имеющих нормального софта, для смены сервера надо писать тикет, что нас совсем не устраивает.

Вместо заключения

На самом деле, выбор VPN провайдера — это в первую очередь вопрос доверия, ибо отказываясь от мониторинга своим провайдером, вы автоматически передаете информацию о посещаемых сайтах вашему провайдеру VPN. Кроме того, VPN — это не панацея, ибо даже за туннелем можно вскрыть реальный IP, например с помощью JS эксплоита. Так что для нормальной приватности настроить VPN мало — желательно как минимум еще настроить AdBlock (впрочем, для chrome я рекомендую его более шустрый аналог — uBlock) и Ghostery, выключить к чертям плагины вроде Flash и Java или хотя бы перевести их в режим «click-to-run». В идеале, конечно, еще настроить noscript… Но это уже история для совсем другой статьи.