Bezpieczeństwo VPN: co oznaczają poszczególne terminy?

Wejście w świat usług VPN może być przytłaczającym doświadczeniem dla większości osób. Aby ci w tym pomóc, stworzyliśmy listę terminów, które najczęściej powodują pytania, a także wyjaśniamy sposób działania oraz ważność obecnych protokołów szyfrowania za pomocą przejrzystego (mamy nadzieję) języka.

Adres IP

W skrócie Internet Protocol Address (Adres Protokołu Internetowego). Każde urządzenie łączące się z Internetem jest oznaczone przez usługodawcę internetowego adresem IP, zazwyczaj poprzez router internetowy, który nadaje również ten sam adres IP innym łączącym się z nim urządzeniom.

Adresy IP działają tak, jak adresy domowe, identyfikując miejsce, gdzie musi trafić informacja – niezależnie od tego, czy jest to e-mail, czat głosowy czy oglądany przez Netflix film.

AES

Skrót od Advanced Encryption Standard (Zaawansowany Standard Szyfrowania). Stworzony w Belgii, został przyjęty jako światowy standard w 2001 roku jako następca DES (Data Encryption Standard – Standard Szyfrowania Danych). Powszechnie używany przez rządy do ochrony danych, m.in. rząd USA.

BitTorrent

Tzw. protokół peer-to-peer, który umożliwia przesyłanie plików między grupą komputerów. Jest to protokół, który dzieli duże pliki na mniejsze części, rozdziela je między komputerami, a następnie łączy je ponownie „na miejscu”. Poprzez przesyłanie małych plików za pomocą kilku połączeń, zamiast jednego sporego pliku, protokół znacznie zmniejsza obciążenie sieci. Bittorrent jest tylko jednym z takich systemów peer-to-peer, często używanym do przesyłania nielegalnych, chronionych prawami autorskimi plików. Należy wziąć pod uwagę, że chroniące je służby przyglądają się adresom IP powiązanym ze ściąganiem przez Bittorrent i powszechnie uważa się, że jego użytkownicy mogą w niedalekiej przyszłości spodziewać się kłopotów z prawem, ponieważ sama usługa nie chroni adresów IP.

Blokady geograficzne

Blokada geograficzna lub „geoblokada” sprawia, że dana zawartość sieciowa jest dostępna tylko dla osób na danym terytorium. Do najbardziej znanych przykładów należy zawartość YouTube czy Netflix oferowana tylko dla konkretnego terytorium, przez co amerykańska wersja Netflix bardzo różni się od australijskiej czy niemieckiej. Geoblokady można ominąć (jeśli tego zechcesz) przez zmianę swojego adresu IP do znajdującego się na danym terytorium. Większość serwerów VPN czy proxy sprawdzi się w tym celu.

Dostawca usług internetowych (Internet Service Provider – ISP)

Komercyjna firma oferująca usługi internetowe, lecz również inne – np. sieciowe usługi telefoniczne, cyfrową telewizję itd. Zazwyczaj, usługodawca udostępnia również sprzęt potrzebny do połączenia z siecią – routery, modemy, czy dekodery TV, a czasem także linie kablowe potrzebne do połączenia z szerszą infrastrukturą internetową.

DNS

Skrót od Domain Name Server (Serwer Nazw Domenowych). Jest to serwer zapisujący, który adres IP należy do jakiej nazwy domeny (inaczej URL) – nazwy odwiedzanej strony.

IKEv2

Najnowszy protokół przesyłania kluczy bezpieczeństwa między systemami komputerowymi. Skrót od Internet Key Exchange version 2 (Wymiana Kluczy Internetowych, wersja 2), działa on razem z IPsec w celu zabezpieczenia połączeń VPN i upewnia się, że nikt nie ma dostępu do kluczy szyfrowania potrzebnych od odkodowania danych. W momencie pisania tego artykułu, połączenie IPSec oraz IKEv2 jest uważane za najbezpieczniejszą metodę połączenia z Internetem przez VPN.

Istotną zaletą IKEv2 jest fakt, że połączenie VPN nie zostaje utracone po zmianie sieci przez komputer (np. z sieci WiFi na sieć mobilną).

IPv4 i IPv6

Obecne adresy IP są zazwyczaj oparte na starszym protokole transferu sieciowego, zwanym IPv4. Tego typu adresy składają się z czterech grup, każda złożona z maksymalnie trzech cyfr. Liczba dostępnych w ten sposób adresów IP jest ograniczona i ludzkość zdążyła już wykorzystać każdy jeden z nich. Nowy protokół, nazwany IPv6, został stworzony, aby rozwiązać ten problem – składa się z dłuższych grup, które pozwalają zarówno na cyfry jak i litery, znacznie zwiększając liczbę możliwych adresów IP.

Kill-switch

Automatyczna blokada bezpieczeństwa, służąca jako ostateczne zabezpieczenie. Odcina ona połączenie z Internetem w momencie utraty połączenia VPN, co normalnie pozostawiałoby komputer podatnym na ataki z zewnątrz oraz ujawnienie adresu IP. W użyciu przez wielu usługodawców VPN (ale nie wszystkich!).

Klient VPN

Aplikacja (komputerowa lub mobilna) używana do połączenia z serwerem VPN. W przypadku niektórych klientów potrzebne jest ręczne wpisanie danych, jednak większość oferuje przygotowane już ustawienia.

L2TP

Skrót od Layer 2 Tunneling Protocol (Protokół Tunelowania Drugiej Warstwy). Używany do połączenia urządzeń z serwerem VPN. Sam w sobie nie stanowi bezpiecznej metody – L2TP jedynie ustanawia połączenie VPN, ale nie zabezpiecza go.

Z tego powodu używanie protokołów szyfrowania jest niezbędne; IPSec jest powszechną (i dość bezpieczną) opcją, ale użytkownicy nie są ograniczeni tylko do niego.

L2TP/IPSec

Metoda szyfrowania IPSec jest w użyciu przez większość usługodawców VPN. Skrót oznacza Internet Protocol Security (Bezpieczeństwo Protokołów Internetowych) i jest metodą, która zajmuje się szyfrowaniem danych, sprawdzaniem kompletności danych transferowych, oraz transferem kluczy szyfrowania między urządzeniem a serwerem VPN. IPSec jest dziś uważany za bardzo bezpieczne rozwiązanie, jednak warto pozostawać na bieżąco z wiadomościami dotyczącymi szyfrowania – dokumenty Snowdena pokazują jasno, że tajne służby jak CIA bardzo starają się złamać kod IPSec.

Logi

Każdy komputer oraz serwer zapisuje „dziennik” tego, co dzieje się na nim. Te „logi” obserwują różnorodne dane, jak czas zalogowania danego użytkownika czy czas trwania połączenia internetowego. Usługi VPN zazwyczaj działają inaczej – często stosują politykę braku logów wobec swoich serwerów, uniemożliwiając instytucjom rządowym sprawdzenie, co działo się na serwerach w przypadku ich pytań. Należy jednak pamiętać, że nie każda usługa VPN stosuje taką politykę, więc zalecamy sprawdzanie ich deklaracji na ten temat.

Modem

Urządzenie łączące sprzęt cyfrowy (np. komputery) z Internetem, zazwyczaj poprzez połączenia analogowe (tzn. kable telefoniczne). Współcześnie większość modemów to tak naprawdę połączenie modemu z routerem.

OpenVPN

Oprogramowanie pozwalające na przygotowanie połączenia VPN bez korzystania z aplikacji usługodawców VPN. Korzysta ze swoich własnych protokołów szyfrowania (wymiana kluczy szyfrowania TLS), a także jest darmowy oraz open source, stając się idealnym programem do przygotowania swoich własnych połączeń VPN.

PPTP

Skrót od Point to Point Tunneling Protocol (Dwustronny Protokół Tunelowania). Łączy ze sobą dwa komputery, teoretycznie odcinając resztę Internetu, jednak jest już bardzo rzadko używany z powodu poważnych wad bezpieczeństwa.

Router

Urządzenie komputerowe, które przekazuje pakiety danych z Internetu do właściwego komputera. Tworzy w tym celu lokalną sieć oraz wzmacnia sygnał internetowy, gdy jest to potrzebne.

Serwer

Serwer jest centralnym komputerem obsługującym inne komputery. Typ usługi zależy od tego, do czego używany jest serwer – serwer VPN łączy komputery z sieciami VPN, podczas gdy np. serwer gry komputerowej pozwala graczom na grę przeciwko sobie z różnych komputerów. Serwery znajdują się zazwyczaj w miejscach niedostępnych dla osób zewnętrznych, w budynkach o odpowiednich warunkach – w przypadku awarii serwera, nikt nie będzie mieć dostępu do przechowywanych na nim danych.

Serwer proxy

Specjalny typ serwera, ukrywający lokalizację użytkownika przed stronami oraz serwisami odwiedzanymi w Sieci. Jest to coś w rodzaju „VPN-light” – twój adres IP jest ukryty przed innymi, jednak serwery proxy nie oferują zabezpieczenia przez szyfrowanie tak, jak usługi VPN.

Serwer VPN

Fizyczny komputer, który łączy cię z usługą VPN. Serwer sprawdza twoje dane logowania i decyduje, czy pozwala ci na dostęp. Następnie przesyła żądane informacje (np. filmy, pobierane pliki itd.) na twoje urządzenie przez zabezpieczone połączenie.

Smart DNS

Smart DNS jest wygodną alternatywą dla korzystania z VPN. Przy zastosowaniu Smart DNS przesyłane dane nie są chronione, ale twoja rzeczywista lokalizacja będzie ukryta przez Smart DNS – a zatem nadal jest to połączenie przez twój własny adres IP, jednak dla odwiedzanej strony będziesz gdzieś indziej. To sprawia, że korzystanie ze Smart DNS jest podobne do serwera proxy, z wyjątkiem tego, że twój adres IP nie ulega zmianie. “Inteligentna” część Smart DNS sprawia, że inna lokalizacja jest przesyłana jedynie gdy odwiedzasz strony, które tego wymagają. Dzięki temu odwiedzanie stron w twoim regionie lub niestosujących geoblokad nie zostanie spowolnione – jest więc przydatne do omijania geoblokad, ale nie oferuje żadnej anonimowości. Największą zaletą Smart DNS w porównaniu z VPN jest brak opóźnień spowodowanych szyfrowaniem. Z tego względu jest to doskonałe rozwiązanie do streamingu filmów.

SoftEther

Darmowy serwer oraz klient VPN. W sam raz dla majsterkowiczów, ponieważ struktura open source pozwala im dostosować program do swoich potrzeb. Doświadczeni programiści używają go do stworzenia swojego własnego serwera VPN.

SSL/TLS

Secure Sockets Layer oraz jego następca Transport Security Layer są najbardziej powszechnymi formami ochrony danych w Sieci – to one są odpowiedzialne za zielony znaczek w rogu przeglądarki przy odwiedzaniu strony banku. Poza tym, SSL/TLS są używane do ochrony wszystkiego od surfowania do telefonii internetowej. Przy okazji sprawdza on także, czy żadne dane nie zostają utracone podczas transferu.

Szyfrowanie

Ogólny termin dla różnorodnych sposobów ochrony danych komputerowych. Zaszyfrowanie danych za pomocą matematycznych algorytmów sprawia, że stają się one nieczytelne dla osób niemających odstępu do danego algorytmu. Przykładem są dane bankowe w sieci – zarówno ty, jak i bank wie, jak „odszyfrować” informacje przesyłane między wami (dzięki ustrojstwom takim, jak czytniki bankowe), jednak nie są w stanie tego zrobić inni.

Szyfrowanie end-to-end (End-to-end encryption)

Rodzaj szyfrowania, przy którym tylko strona odbierająca i wysyłająca ma dostęp do danych, wyłączając nawet usługodawcę od zobaczenia przesłanej informacji.

TOR

Skrót od The Onion Router (Cebulowy Router), co w zasadzie wyjaśnia warstwowy sposób działania tej sieci. TOR jest zdecentralizowaną siecią stworzoną specjalnie dla anonimowego i bezpiecznego poruszania się po Internecie. Działa on za pomocą sieci komputerów (zwanych „węzłami”), połączenie z którymi jest możliwe poprzez przeglądarkę TOR. Przesyłane dane przechodzą przez poszczególne węzły, za każdym razem będąc szyfrowane na nowo, do momentu, aż dotrą do swojego celu – i nikt nie będzie w stanie stwierdzić, skąd zostały one przesłane.

TOR jest często krytykowany z dwóch powodów. Warstwowy sposób szyfrowania sprawia, że jest on niezwykle powolny, jednak co istotniejsze, jest on bardzo lubiany przez przestępców, ponieważ pozwala im na komunikację przez sieć bez zmartwień, że ktoś wyśledzi ich dane.

Jednak co ciekawe, jest to również największa zaleta TOR – dziennikarze, dysydenci czy aktywiści mogą korzystać z tej samej anonimowości, która pozwala im na komunikację pomimo rządowej cenzury i represji.

Tunel VPN

Opisowy termin na typ połączenia, jaki twoje urządzenie ma z serwerem VPN – przesyłanie między nimi danych jest chronione przed osobami trzecimi poprzez szyfrowanie, przez co połączenie staje się w zasadzie tunelem danych, ukrywającym jego zawartość.

VPN

Skrót od Virtual Private Network (Prywatna Sieć Wirtualna). Sieć powiązanych ze sobą komputerów połączonych z (publicznym) Internetem. Serwery VPN pełnią rolę punktu rozpoczynającego połączenie, zastępując w tym usługodawcę internetowego. Zmienia to twój status w sieci: usługodawca internetowy przesyła twoje dane wraz z adresem IP, zdradzając przez to twoje położenie, jednak VPN zastępuje go losowym IP, sprawiając, że twój adres staje się niemożliwy do wyśledzenia. Do tego połączenia VPN są zazwyczaj dobrze chronione poprzez szyfrowanie, przez co uzyskanie dostępu do twoich danych staje się bardzo trudne dla innych (włącznie z usługodawcą internetowym).

VPN jest popularny nie tylko wśród prywatnych użytkowników – firmy używają serwerów VPN, aby umożliwić pracownikom zewnętrzny dostęp do sieci firmowej oraz przechowywanych w niej informacji. Inną grupą korzystającą z VPN są zwyczajni użytkownicy Internetu, którzy chcą uzyskać dostęp do zagranicznych serwisów streamingowych jak Netflix czy iPlayer, czy używać Bittorrent bez zmartwień o bezpieczeństwo.

Wyciek DNS

Błąd komputera, przez który adres IP przypadkiem „wycieka” do osób trzecich. Tego typu błąd występuje m.in. gdy usługodawca VPN nie wspiera niektórych aplikacji i są one aktywne w momencie połączenia VPN. Aplikacje łączą się wtedy z domeną sieciową w zwyczajny sposób pomimo używanego połączenia VPN, ujawniając adres IP użytkownika. Innym przykładem wycieku DNS jest nagła utrata połączenia VPN pozostając przy tym połączonym ze stroną internetową. Wielu usługodawców VPN oferuje funkcję kill-switch, aby temu zapobiec.

Leave a Reply