☠️ ПРЕДУПРЕЖДЕНИЕ: Статья предназначена для повышения осведомленности о киберугрозах и методах защиты. Все методы и инструменты, упомянутые в статье, должны использоваться только в законных целях, с разрешения владельцев систем и в рамках действующего законодательства РФ.
VPN не защищает. Он просто меняет, кому вы доверяете свой трафик
VPN перемещает доверие от провайдера к VPN-сервису. Он скрывает часть информации от одних участников и передаёт всю информацию другому. Здесь вопрос не в защите, а в том, кому именно ты доверяешь контроль над своим трафиком.
Когда ты подключаешься к интернету, провайдер видит твой IP-адрес, все запросы к серверам и объём переданных и полученных данных. Сайты, к которым ты обращаешься, тоже видят твой IP и собирают данные о твоём устройстве. VPN добавляет промежуточное звено между тобой и всеми остальными. Провайдер перестаёт видеть конечные адреса, сайты перестают видеть твой реальный IP. Но всё это видит промежуточное звено.
Как работает VPN на техническом уровне
VPN расшифровывается как Virtual Private Network. По сути это программа или аппаратное устройство, которое направляет весь сетевой трафик через удалённый сервер. Перед отправкой трафик шифруется. Провайдер видит только зашифрованный поток, идущий к IP-адресу VPN-сервера. Содержимое пакетов, конечные адреса и типы запросов остаются скрытыми. VPN-сервер получает зашифрованные данные, расшифровывает их, видит исходный запрос (например, запрос к сайту), сам устанавливает соединение с целевым сервером, получает ответ и отправляет его обратно твоему устройству в зашифрованном виде. Для целевого сайта источником запроса выглядит IP VPN-сервера, а не твой.
Шифрование реализуется через криптографические протоколы. Самые распространённые сегодня — OpenVPN, WireGuard и IKEv2/IPsec. У каждого свои особенности по скорости, надёжности и сложности настройки. OpenVPN работает поверх TCP или UDP, он очень гибкий, но уступает в скорости более современным аналогам. WireGuard использует UDP, имеет очень компактный код и обрабатывает соединения заметно быстрее. При этом его главное преимущество состоит в скорости установки соединения, простоте кода и мгновенной реакции на смену сети (переход с Wi-Fi на мобильный интернет), а не только в небольшом уменьшении служебных данных (overhead). IKEv2/IPsec чаще всего используют на мобильных устройствах, так как он отлично держит соединение при переключении между сетями.
Устройство и VPN-сервер устанавливают защищённое соединение. Весь трафик идёт внутри этого туннеля. Провайдер не может прочитать содержимое, но видит сам факт соединения, объём данных и продолжительность сессии.
Что видит провайдер без VPN и с VPN
Без VPN провайдер видит каждое соединение полностью: IP-адрес твоего устройства, IP-адрес сайта или сервера, доменное имя (если DNS-запросы идут открыто — обычный DNS на порту 53). При использовании DoH (DNS over HTTPS) или DoT (DNS over TLS), которые стали стандартом в современных ОС и браузерах, провайдер видит только IP-адрес DNS-сервера (например, 1.1.1.1 или 8.8.8.8), но уже не сами домены. Он также видит время соединений и объём трафика. Если сайт работает без HTTPS (крайне редко — менее 1% веб-трафика), провайдер видит всё содержимое: какие страницы открываются, какие данные отправляются в формах, какие файлы скачиваются. Но почти все сайты используют HTTPS, поэтому содержимое защищено и без VPN.
С VPN провайдер видит только соединение с IP-адресом VPN-сервера и объём зашифрованного трафика. Конечные адреса назначения ему недоступны, содержимое закрыто шифрованием. Он часто может понять, что используется VPN, но при хорошей обфускации или современных методах маскировки это становится очень сложно. При этом он не знает, к каким именно сайтам ты обращаешься.
Есть исключение DNS-запросы. Когда устройство превращает доменное имя в IP-адрес, оно отправляет DNS-запрос. Если VPN не перенаправляет эти запросы через свой защищённый канал и устройство использует DNS провайдера, то провайдер видит все домены, к которым ты обращаешься, даже при зашифрованном трафике. Большинство VPN-клиентов направляют DNS через свои серверы, но не все. Утечка DNS одна из самых частых причин, по которой VPN перестаёт выполнять свою задачу. Ещё одна распространённая утечка — IPv6. Многие VPN-сервисы до сих пор работают только с IPv4. Если устройство и сеть используют IPv6, а VPN не обрабатывает этот трафик, то IPv6-запросы идут напрямую через провайдера. В результате утечка раскрывает твой реальный IP-адрес.
Что видит VPN-сервис
VPN-сервис расшифровывает трафик после получения и видит всё то же, что видел бы провайдер без VPN: конечные адреса, содержимое незашифрованных соединений (HTTP без TLS встречается только на старых корпоративных или локальных ресурсах), время и объём данных. Если сайт использует HTTPS, VPN-сервис не видит содержимое трафика между собой и сайтом, но знает, к какому именно сайту ты обращался.
Кроме того, VPN-сервис видит твой реальный IP-адрес, примерное географическое положение, время активности, тип устройства и операционной системы. Если сервис ведёт журналы (логи), то может хранить всю эту информацию. Политика логирования зависит от компании и страны, в которой она зарегистрирована. Некоторые сервисы заявляют о политике no-logs (полное отсутствие логов), но проверить это на практике можно только через независимый аудит.
Логи бывают двух основных типов. Логи соединений (connection logs) фиксируют время подключения к VPN, продолжительность сессии, объём трафика и IP-адрес устройства. Логи активности (activity logs или usage logs) фиксируют, к каким сайтам ты обращался, какие запросы отправлял и в какое время. Логи соединений менее опасны. Их обычно недостаточно, чтобы точно привязать конкретные действия к пользователю, если на сервере одновременно работают сотни или тысячи человек. Логи активности дают полную картину поведения в сети. Некоторые сервисы хранят только агрегированную статистику: сколько пользователей подключалось за день, какие серверы наиболее популярны, средний объём трафика. Такая статистика не привязана к конкретным людям и сама по себе не угрожает конфиденциальности.
Если сервис бесплатный, сразу возникает вопрос о монетизации. Это может быть показ рекламы, сбор и продажа данных, ограничение функциональности с предложением платной версии. Бесплатные VPN чаще собирают данные и передают их третьим лицам. Ещё один очень распространённый способ заработка бесплатных VPN — продажа полосы пропускания: твой IP-адрес и канал используются как выходной узел для других пользователей сервиса. Платный сервис тоже не даёт 100% гарантии отсутствия логирования всё зависит от внутренней политики компании.
Что видят сайты и системы отслеживания
Сайты видят IP-адрес VPN-сервера вместо твоего реального IP. Географическое положение определяется по IP, поэтому если сервер находится в другой стране, сайт считает, что запрос пришёл оттуда. Именно так обходят региональные блокировки и получают доступ к контенту, ограниченному по территории.
Но сайты собирают далеко не только IP. Cookies, данные браузера (user agent), разрешение экрана, установленные шрифты, языковые настройки, часовой пояс, список плагинов и даже особенности отрисовки графики — вся эта комбинация формирует уникальный цифровой отпечаток устройства (browser fingerprinting). Даже если ты сменишь IP через VPN или включишь режим инкогнито, этот отпечаток остаётся почти таким же. Рекламные сети и трекеры используют fingerprinting, чтобы узнавать тебя между сайтами и сессиями без cookies. VPN на это никак не влияет.
WebRTC технология для аудио- и видеосвязи прямо в браузере может раскрыть локальный IP-адрес устройства, даже когда VPN включён. Браузер использует WebRTC для установления прямого соединения между устройствами, и в процессе могут утечь данные об IP. У большинства браузеров есть настройки для отключения WebRTC, но по умолчанию эта функция часто остаётся активной. Утечка через WebRTC ещё одна распространённая слабость VPN.
Cookies сохраняются в браузере и привязаны к аккаунтам и сессиям. Если ты заходишь на сайт с включённым VPN, но под тем же логином, сайт легко свяжет обе сессии. VPN не скрывает активность, когда идентификация идёт через учётную запись.
Шифрование работает не везде
Шифрование защищает трафик только на участке между твоим устройством и VPN-сервером. Провайдер видит лишь зашифрованный поток, не может прочитать содержимое и не знает конечные адреса. На этом отрезке VPN выполняет свою задачу.
Участок между VPN-сервером и целевым сайтом
После расшифровки на VPN-сервере трафик идёт дальше к сайту уже от имени сервера. Если сайт использует HTTPS, то соединение между VPN-сервером и сайтом тоже зашифровано, и VPN-сервис не видит содержимое. Если же сайт работает по обычному HTTP, то трафик между VPN-сервером и сайтом передаётся открытым текстом. В этом случае VPN-сервис видит всё: какие страницы открываются, какие данные отправляются. Современные сайты используют HTTPS по умолчанию. Но старые сайты, внутренние корпоративные ресурсы или некоторые API всё ещё могут работать по HTTP. VPN не добавляет шифрование на этом участке.
Утечки данных при использовании VPN
DNS-запросы
DNS преобразует доменные имена в IP-адреса. Когда ты вводишь адрес сайта, устройство отправляет DNS-запрос, чтобы узнать IP сервера. Если VPN не перенаправляет эти запросы через свои серверы, устройство использует DNS провайдера. В таком случае провайдер видит все домены, к которым ты обращаешься, даже при полностью зашифрованном трафике.DNS-запросы по умолчанию идут открытым текстом по протоколу UDP на порт 53. Провайдер может легко перехватывать и логировать их. Некоторые VPN-сервисы поддерживают DNS-over-HTTPS (DoH) или DNS-over-TLS (DoT), которые шифруют запросы, но такая поддержка есть не везде. Большинство клиентов используют собственные DNS-серверы VPN, но некоторые этого не делают. Самый простой способ проверки утечки DNS зайти на dnsleaktest.com при активном VPN и посмотреть, какие DNS-серверы отображаются. Если там есть серверы провайдера утечка присутствует.
IPv6-трафик
IPv6 — новая версия интернет-протокола, которая постепенно вытесняет IPv4. Многие VPN-сервисы до сих пор поддерживают только IPv4. Если устройство и сеть используют IPv6, а VPN не обрабатывает этот трафик, все IPv6-запросы идут напрямую через провайдера. Утечка IPv6 раскрывает реальный IP-адрес. Проверка простая: при активном VPN зайди на test-ipv6.com и посмотри, отображается ли твой реальный IPv6-адрес. Если да VPN не защищает IPv6-трафик. Решение либо отключить IPv6 в настройках устройства, либо выбрать VPN-сервис с полноценной поддержкой IPv6.
WebRTC и локальный IP
WebRTC используется для видеозвонков и передачи данных прямо в браузере. Технология работает напрямую между устройствами, без посредников. Для установления соединения браузер отправляет специальные запросы, которые могут раскрыть локальный или даже публичный IP-адрес, даже если VPN включён.
Утечка через WebRTC не всегда критична. Локальный IP чаще всего выглядит как 192.168.x.x или 10.x.x.x и не выдаёт реальное местоположение. Но в некоторых сетях может утечь и публичный IP. Проверка проводится на сайте browserleaks.com/webrtc при активном VPN. Решение — отключить WebRTC в настройках браузера или установить расширение, которое блокирует такие запросы.
Как провайдер может обнаружить VPN
Глубокая инспекция пакетов
Deep Packet Inspection (DPI) — это метод глубокого анализа сетевых пакетов. Провайдер не может расшифровать содержимое зашифрованного трафика, но способен изучать его внешние характеристики: размеры пакетов, частоту передачи, порядок заголовков и другие паттерны. Каждый VPN-протокол оставляет свои уникальные «отпечатки».
OpenVPN имеет характерные структуры пакетов и сигнатуры в заголовках, по которым системы DPI могут его распознать даже без расшифровки. WireGuard использует UDP и генерирует минимум служебной информации, но всё равно отличается от обычного UDP-трафика по характеру пакетов. IKEv2/IPsec тоже имеет узнаваемые признаки. Провайдер может не знать, какие сайты ты посещаешь, но способен понять, что используется VPN. DPI-системы также смотрят на энтропию данных степень случайности и непредсказуемости в потоке информации. У зашифрованного трафика энтропия очень высокая, близкая к случайному шуму. Но на практике провайдеры редко блокируют трафик только по этому признаку, потому что под него попадает весь современный HTTPS-трафик, особенно HTTP/3 с QUIC. Поэтому основной упор делается на поиск конкретных сигнатур протоколов.
Сигнатуры протоколов
У каждого VPN-протокола есть свои особенности. OpenVPN по умолчанию работает на порту 1194, но легко маскируется под обычный HTTPS-трафик на порту 443. WireGuard использует UDP и чаще всего порт 51820. IKEv2/IPsec работает на портах 500 и 4500.
Провайдер может вести списки известных IP-адресов VPN-серверов и блокировать или сильно замедлять соединения с ними. Хорошие VPN-сервисы регулярно обновляют IP-адреса, чтобы избегать блокировок.
Обфускация специальные методы маскировки VPN-трафика под обычный HTTPS или другой легитимный трафик. Некоторые клиенты поддерживают такие режимы, что сильно усложняет обнаружение через DPI. Современные системы DPI уже научились распознавать многие популярные способы обфускации (obfs4, Stunnel, Shadowsocks-over-HTTP), но качественная обфускация всё ещё работает в большинстве случаев. К сожалению, такая функция есть далеко не у всех сервисов.
Когда VPN полезен
Корпоративные VPN используют для удалённого доступа сотрудников к внутренним сетям компании. Когда человек работает из дома, из кафе или из другого офиса, ему нужен доступ к файловым серверам, базам данных и внутренним системам. Прямое подключение через интернет создаёт риск перехвата трафика на любом участке пути. VPN создаёт зашифрованный туннель между устройством сотрудника и корпоративной сетью. Весь трафик к внутренним ресурсам шифруется. Провайдер сотрудника не видит содержимое и не знает, к каким именно системам идёт обращение. Промежуточные узлы на маршруте между устройством и корпоративным VPN-сервером тоже видят только зашифрованный поток.
Корпоративные VPN отличаются от потребительских. Их цель — не скрыть IP от внешних сайтов, а обеспечить безопасный канал связи между сотрудником и внутренней инфраструктурой компании. Корпоративный VPN-сервер находится внутри сети компании или в выделенном облачном окружении. Доступ требует аутентификации: логин, пароль, иногда двухфакторная аутентификация или сертификаты.
Корпоративные VPN используют те же протоколы (OpenVPN, IKEv2/IPsec, WireGuard), но настройки намного строже. Компания контролирует, какие устройства могут подключаться, какие ресурсы доступны через VPN и как долго длится сессия. Логи соединений ведутся для аудита и расследования инцидентов. VPN не заменяет другие меры безопасности. Если устройство сотрудника заражено вредоносным ПО, VPN не помешает утечке данных. Если сотрудник использует слабый пароль или передаёт учётные данные третьим лицам, VPN не спасёт. Он шифрует канал, но не проверяет легитимность запросов и не сканирует передаваемые файлы.
Скрытие IP от целевых сайтов
Сайты видят IP-адрес VPN-сервера вместо твоего реального IP. Это полезно, когда нужно скрыть географическое положение или обойти блокировку по IP. Например, если сайт заблокировал диапазон IP-адресов, VPN позволяет зайти с другого адреса. Но сайты используют не только IP для идентификации. Cookies, fingerprinting и логины связывают сессии между собой. Если ты заходишь под тем же аккаунтом, смена IP почти ничего не скрывает.
Защита в публичных сетях
Публичные Wi-Fi сети (в кафе, аэропортах, отелях) часто вообще не шифруют трафик или используют очень слабое шифрование. Другие устройства в той же сети могут перехватывать данные, если они идут открытым текстом. VPN шифрует весь трафик между твоим устройством и VPN-сервером, защищая от такого перехвата в локальной сети
Но если сайт использует HTTPS, то трафик между твоим устройством и сайтом уже зашифрован. В этом случае VPN добавляет дополнительный слой защиты, но не заменяет HTTPS.
Когда VPN бесполезен или вреден
VPN не даёт анонимности. VPN-сервис знает твой реальный IP-адрес, видит трафик и может вести логи. Если сервис передаёт данные властям, продаёт их или становится жертвой взлома, никакой анонимности нет. Настоящая анонимность требует, чтобы никто не мог связать активность с конкретным человеком или устройством. VPN это условие не выполняет. Tor ближе к анонимности, но и он не абсолютен.
Защита от отслеживания через cookies и fingerprinting
Cookies сохраняются в браузере и не зависят от IP-адреса. Если сайт установил cookie, он будет работать и с включённым VPN. Системы отслеживания используют cookies для связи разных сессий одного пользователя. Fingerprinting собирает данные о браузере и устройстве: разрешение экрана, установленные шрифты, плагины, языковые настройки, часовой пояс. Даже при смене IP отпечаток остаётся почти неизменным. VPN на fingerprinting не влияет. Защита от такого отслеживания требует блокировки cookies (через настройки браузера или расширения), использования режима инкогнито (он не сохраняет cookies между сессиями, но не скрывает fingerprint) и изменения настроек браузера, чтобы уменьшить уникальность отпечатка.
Блокировки со стороны банков и платёжных систем
Банки, платёжные системы и некоторые онлайн-сервисы применяют системы обнаружения мошенничества (fraud detection). Если пользователь обычно заходит из одного региона, а потом внезапно появляется запрос из другой страны, система может заблокировать аккаунт или потребовать дополнительную проверку. VPN вызывает много таких ложных срабатываний. Использование VPN при входе в банковские аккаунты, платёжные системы или биржи часто приводит к блокировке. Некоторые сервисы прямо запрещают VPN в пользовательском соглашении.
Системы обнаружения мошенничества смотрят не только на IP-адрес. Они анализируют паттерны поведения: в какое время суток обычно происходит вход, с каких устройств, как долго длится сессия, какие операции выполняются. Если поведение резко меняется, система считает аккаунт скомпрометированным. VPN может изменить сразу несколько параметров: IP показывает другую страну, часовой пояс устройства может не совпадать с поясом IP, время входа может отличаться от привычного (особенно если сервер находится на другом континенте).
Пример: человек регулярно заходит в банковское приложение из одного города, обычно вечером, с одного и того же устройства. Включает VPN — IP меняется на адрес в другой стране. Пытается войти — банк видит вход из незнакомого региона в необычное время. Система блокирует доступ и присылает уведомление о подозрительной активности. Приходится проходить дополнительную верификацию: отвечать на контрольные вопросы, вводить код из SMS, иногда звонить в поддержку.
Стриминговые платформы, онлайн-игры и сервисы подписок тоже часто блокируют известные IP-адреса VPN-серверов. Если сервис замечает VPN доступ ограничивают.
Выбор VPN-сервиса
Законы страны определяют, обязан ли сервис хранить логи и передавать данные по запросу властей. Страны с обязательным хранением данных требуют от интернет-сервисов вести логи активности пользователей. Сервисы, зарегистрированные в офшорных зонах (Британские Виргинские острова, Панама, Сейшелы), часто заявляют о политике no-logs. Но юрисдикция не гарантирует отсутствие логирования — всё зависит от внутренней политики компании. Политика логирования описывает, какие данные собирает сервис и как долго их хранит. Некоторые сервисы не ведут логи активности (какие сайты посещались, когда, сколько данных передано), но ведут логи соединений (когда подключился, с какого IP, как долго). Логи соединений могут использоваться для идентификации. Проверка политики: читать privacy policy на сайте сервиса целиком. Обращать внимание на формулировки. Фраза «мы не храним логи» часто означает только «не храним логи активности», но не исключает логи соединений. Политика no-logs должна чётко говорить, что не собираются ни логи активности, ни логи соединений.
Бесплатные и платные сервисы
Бесплатные VPN-сервисы зарабатывают через рекламу, продажу данных пользователей или ограничение функциональности с предложением платной версии. Многие бесплатные сервисы собирают данные и передают их третьим лицам. Некоторые внедряют рекламу прямо в трафик (подменяют баннеры на сайтах). Ещё один очень распространённый способ заработка бесплатных VPN продажа полосы пропускания: твой IP-адрес и канал используются как выходной узел для других пользователей сервиса. Бесплатные сервисы часто ограничивают скорость, объём трафика и количество серверов. Качество соединения обычно хуже. Серверы перегружены, задержки высокие.
Платные сервисы зарабатывают на подписке. Это не гарантирует отсутствие логирования, но сильно снижает вероятность продажи данных. Платные сервисы обычно дают больше серверов, выше скорость и лучшую поддержку. Некоторые платные сервисы тоже собирают данные. Важны репутация, политика логирования и наличие независимых аудитов.
Независимые аудиты
Независимые аудиты проверяют, соответствует ли реальная работа сервиса заявленной политике. Аудит проводит сторонняя компания, которая изучает код, инфраструктуру и логи. Результаты публикуются.
Не все VPN-сервисы проходят аудиты. Это дорого, и многие компании их не заказывают. Наличие аудита — большой плюс, но не абсолютная гарантия. Аудит проверяет состояние на момент проверки, но не гарантирует, что политика не изменится позже. Как проверять: искать упоминания аудитов на сайте сервиса, читать отчёты, обращать внимание на компанию-аудитора (известные — PwC, Cure53, Deloitte).
Практические шаги перед выбором VPN-сервиса
Проверить политику логирования. Читать privacy policy целиком, а не только короткое описание на главной странице. Искать конкретные формулировки: собирает ли сервис логи соединений, логи активности, IP-адреса, временные метки. Если формулировки расплывчатые («мы заботимся о вашей конфиденциальности»), считать, что логи ведутся.
Проверить юрисдикцию. Узнать, в какой стране зарегистрирован сервис. Изучить законы этой страны о хранении данных. Страны «14 глаз» (альянс разведывательных агентств США, Великобритании, Канады, Австралии, Новой Зеландии и ещё девяти стран) обмениваются данными о пользователях. Сервисы из этих стран могут передавать данные по запросу.
Проверить наличие аудитов. Искать независимые отчёты от известных компаний. Если аудитов нет — это не доказательство, что логи ведутся, но и не гарантия обратного.
Проверить утечки DNS, IPv6, WebRTC. Установить VPN, подключиться к серверу, зайти на dnsleaktest.com, test-ipv6.com, browserleaks.com/webrtc. Если утечки есть — сервис настроен плохо или не блокирует нужные типы трафика.
Проверить скорость. Подключиться к нескольким серверам в разных регионах. Измерить скорость загрузки, выгрузки и задержку (ping). Если скорость падает в несколько раз — серверы перегружены или канал ограничен.
Проверить поддержку протоколов. Узнать, какие протоколы есть.
- WireGuard быстрый и современный.
- OpenVPN надёжный, но медленнее.
- IKEv2/IPsec стабильный на мобильных устройствах. Если сервис предлагает только старые протоколы — качество может быть ниже.
Проверить Kill Switch. Отключить интернет, потом включить снова и посмотреть, блокирует ли клиент трафик при разрыве соединения. Если трафик идёт напрямую через провайдера до восстановления VPN — Kill Switch не работает или выключен.
Проверить отзывы и репутацию. Читать обсуждения на независимых форумах (не на сайте сервиса). Искать упоминания инцидентов: утечки данных, передача логов по запросу, внезапное изменение политики.
Чек-лист проверки VPN перед использованием
- Прочитана политика логирования — чётко указано, какие данные собираются и как долго хранятся
- Проверена юрисдикция сервиса — страна регистрации не входит в альянсы обмена данными
- Найдены независимые аудиты — есть отчёты от известных компаний
- Проверена утечка DNS — dnsleaktest.com показывает только DNS-серверы VPN
- Проверена утечка IPv6 — test-ipv6.com не показывает реальный адрес
- Проверена утечка WebRTC — browserleaks.com/webrtc чистый
- Протестирована скорость — падение не больше 20–30% от обычной
- Проверен Kill Switch — при разрыве трафик блокируется полностью
- Поддерживаются современные протоколы — WireGuard или OpenVPN
- Есть серверы в нужных регионах — хотя бы 10–15 стран
- Можно вручную выбирать сервер — не только автоматическое подключение
Если несколько пунктов из первых восьми не выполняются — риски очень высокие.
VPN и другие инструменты
Tor (The Onion Router) направляет трафик через несколько узлов (relay). Каждый узел знает только предыдущий и следующий в цепочке.
- Первый узел (entry node) знает IP устройства, но не знает конечный адрес.
- Промежуточные узлы (middle relay) не знают ни источник, ни пункт назначения.
- Последний узел (exit node) знает конечный адрес, но не знает источник.
Tor ближе к анонимности, чем VPN, но заметно медленнее. Трафик проходит через несколько узлов, задержка растёт. Выходной узел видит незашифрованный трафик, если сайт не использует HTTPS. Комбинация VPN + Tor: сначала подключаешься к VPN, потом к Tor. Провайдер видит только VPN. Первый узел Tor видит IP VPN-сервера, а не твой. Но задержка становится ещё больше, настройка сложнее.
Прокси-сервер перенаправляет трафик через промежуточный узел, как VPN, но без шифрования. Провайдер видит содержимое трафика, но не видит конечные адреса. Сайты видят IP прокси. Прокси используют для обхода блокировок, но он не защищает трафик. Он полезен, если нужна только смена IP без конфиденциальности. Прокси быстрее VPN (нет шифрования), но намного менее безопасен. SOCKS-прокси (например, SOCKS5) работает на более низком уровне, чем HTTP-прокси, и поддерживает любые типы трафика, а не только веб. Некоторые VPN-сервисы предлагают SOCKS-прокси как дополнительную опцию.
Split tunneling позволяет выбирать, какие приложения или сайты идут через VPN, а какие — напрямую. Это удобно, если нужно одновременно работать с локальными ресурсами (принтер, сетевое хранилище) и удалёнными через VPN. Но split tunneling создаёт дополнительные точки утечки. Если приложение исключено из VPN, его трафик идёт напрямую через провайдера. Провайдер видит этот трафик. Настройка split tunneling зависит от клиента. Некоторые сервисы позволяют выбирать приложения в интерфейсе, другие требуют ручной настройки через конфигурационные файлы. VPN не решает проблему доверия — он её переформулирует. Вопрос не в том, как защититься полностью, а в том, кому ты готов отдать контроль. На каждом уровне кто-то видит твой трафик. VPN лишь меняет, кто именно.
#технологии #кибербезопасность #инфобез #защитаданных #конфиденциальность #шифрование #безопасностьвсети