VPN sau Virtual Private Networks (Rețele Private Virtuale) reprezintă o zonă de care mulți utilizatori s-au lovit odată cu adoptarea pe scară largă a muncii de la distanță.
O rețea VPN îi permite un calculator legat la Internet să transmită și să primească date ca și cum ar fi conectat în rețeaua locală de la birou. Conexiunile VPN sunt ușor de implementat aproape oriunde există un serviciu de Internet disponibil, existând chiar și alternative gratuite sau open source, cum ar fi Softether. Rețeaua VPN oferă o mulțime de beneficii companiei cum ar fi acces simplificat, scalabilitate, compatibilitate extinsă, însă ridică și reale probleme de securitate, fiind unul dintre punctele vulnerabile ale rețelei. Rețelele VPN aduc o mulțime de termeni specifici pe care vom încerca să-i descriem mai jos.
Advanced Encryption Standard (AES)
Creat în 2001, Advanced Encryption Standard (AES) este un standard de codare care definește modul de criptare și decriptare a datelor. Cifrul este adesea descris cu lungimea cheii, de exemplu AES-128 criptează folosind o cheie de 128 de biți, AES-256 utilizează 256 de biți. O cheie mai lungă oferă o criptare mai puternică. Criptarea AES este foarte puternică și aproape imposibil de decriptat prin algoritmi de forță brută.
Black box
Este o tehnică de testare a software-ului în care auditorii privesc sistemul din punctul de vedere al utilizatorului final. Când este testat un VPN, auditorul poate instala și rula doar aplicațiile. Acest lucru nu oferă atât de multe informații precum operațiunile de inspectare și testare a codul sursă al aplicației și al serverului.
Catapult Hydra
Este un protocol VPN proprietar, conceput și utilizat de Hotspot Shield. Compania nu a prezentat detalii complete despre cum funcționează, dar site-ul Hotspot Shield a publicat câteva detalii tehnice. Aparent, protocolul Catapult Hydra folosește securitatea bazată pe TLS 1.2, adică certificate RSA cu cheie de 2048 de biți pentru autentificarea serverului și algoritmul Elliptic Curve Diffie-Hellman (ECDHE) pentru Ephemeral Key Exchange.
Cifrul
Un cifru este un set de reguli utilizate pentru criptarea și decriptarea datelor. Există multe cifruri diferite disponibile în prezent. Blowfish este cel mai cunoscut cifru gratuit. Acesta a fost creat în 1993 și încă folosit astăzi. Advanced Encryption Standard (AES) este mai puternic și a devenit standardul actual al industriei pentru majoritatea VPN-urilor, în timp ce ChaCha20 este un cifru rapid și sigur utilizat în WireGuard și HTTP/3 de la Google.
DD-WRT
DD-WRT este o tehnologie care permite ca routerele și punctele de acces să fie actualizate cu noi funcționalități. VPN-urile care pretind că au compatibilitate DD-WRT, cum ar fi ExpressVPN, NordVPN, ProtonVPN și Windscribe pot fi configurate să ruleze pe routere de la o gamă largă de producători.
Deep Packet Inspection (DPI)
Reprezintă un set de tehnologii utilizate pentru a analiza traficul de rețea și a înțelege scopul acestuia. Acest lucru poate fi folosit definitiv (pentru a detecta și bloca activitatea malware și atacurile în rețea), dar poate fi folosit și pentru a opri download-ul P2P sau de către instituții pentru a monitoriza utilizarea internetului de către utilizatori.
Conectarea la o rețea VPN criptează traficul de date și îngreunează folosirea DPI. Inspectarea și analiza pachetelor tranzitate poate fi totuși făcută odată ce unele echipamente detectează și blochează utilizarea conexiunilor VPN.
Domain Name System (DNS)
DNS-ul este un serviciu care traduce adresele tastate în bara de adrese a unui browser, în adresa IP numerică, care este folosită pentru a direcționa traficul pe internet. Spre exemplu, atunci când tastați pcnews.ro, adresa pcnews este tradusă de furnizorul DNS în IP 194.60.72.73 pentru a direcționa traficul criptat către serverul care găzduiește siteul. În timp ce furnizorul DNS implicit pentru mulți utilizatori este ISP-ul lor, atunci când utilizați un VPN, DNS-ul este oferit de furnizorul VPN.
Eavesdropping Attack (Ascultarea)
Eavesdropping Attack se numește încercarea de a fura informațiile care sunt transmise printr-o conexiune wireless necriptată la internet, cum ar fi o conexiune Wi-Fi gratuită care nu necesită nicio parolă. Este, de asemenea, cunoscut și sub numele de atac de sniffing sau spoofing.
Encryption Key (Cheie de criptare)
O cheie de criptare este un set de valori, care este utilizat de un cifru pentru a cripta și decripta datele. Cheile sunt adesea descrise după dimensiunea lor: 256, 512, 1024, 2048 și tot așa. Cu cât cheia este mai lungă, cu atât există mai multe variații posibile în procesul de criptare și cu atât este mai dificil pentru un atacator să spargă codul.
Geo-blocking
Reprezintă o tehnologie care restricționează accesul la conținut web în funcție de locația utilizatorului. Blocarea geografică este adesea folosită de platformele de streaming, permițând furnizorilor să licențieze conținutul pentru disponibilitate numai în anumite regiuni. Folosirea unui VPN poate permite utilizatorilor să pară a fi în acele regiuni, totuși, ocolind geo-blocarea și permițându-le să transmită în flux orice conținut doresc.
IP leak
Aflarea IP-urilor are loc atunci când adresa IP reală a utilizatorului este vizibilă pentru cei din exterior, în ciuda utilizării unui VPN. IPLeak.net, IPLeak.org și BrowserLeaks.com folosesc diverse tehnici pentru a detecta siguranța IP și DNS. Multe VPN-uri au propriile lor pagini de testare (testul DNS al ExpressVPN este cel mai bun exemplu în acest sens).
Kill Switch
Kill Switch este o caracteristică importantă care vă protejează datele prin blocarea accesului la internet dacă conexiunea VPN cade. Fără un kill switch, calculatorul poate trece la o conexiune necriptată, lăsând traficul neprotejat și poate duce la o scurgere de IP (IP leak). Cu un kill switch, aplicația nu vă permite să reveniți online până când VPN-ul nu este activ din nou și conexiunea este protejată.
Latența
Timpul necesar pentru ca datele să parcurgă o rețea, de la sursă la destinație. Conectarea la un VPN direcționează traficul prin serverul VPN înainte de a se duce către pe site, crescând latența și reducând viteza de internet.
Lightway
Lightway este un protocol VPN inspirat de WireGuard creat de ExpressVPN. Lightway este mult mai simplu decât OpenVPN, reducând cerințele de procesare și prelungind durata de viață a bateriei, în cazul laptopurilor. Se conectează mult mai rapid, oferă performanțe mai bune și este construit pentru a face față problemelor comune din rețeaua mobilă (cum ar fi căderea neașteptată a semnalului.) Lightway este open-source și oricine poate inspecta codul sursă pe Github.
Logging
În termenii rețelelor VPN, logarea se referă la orice înregistrări pe care le face un furnizor cu privire la accesarea serviciului său. Toți furnizorii VPN spun că nu rețin site-urile pe care le vizitați, fișierele pe care le descărcați sau orice detalii despre ceea ce faceți online. Dar există posibilitatea de înregistra sesiunea, care ar putea include detalii precum ora la care vă conectați, dispozitivul pe care îl utilizați, versiunea aplicației, adresa IP primită, serverul pe care îl accesați și lățimea de bandă pe care o utilizați.
Marii furnizori de rețele VPN sunt auditați în mod independent pentru a verifica politica lor de confidențialitate. ExpressVPN, NordVPN și VyprVPN au trecut prin verificări, iar TunnelBear are un audit anual important al aplicațiilor, serverelor și infrastructurii companiei. Declarațiile trecute în politica de confidențialitate nu sunt o garanție că în anumite circumstanțe, aceste date nu sunt furnizate către instituțiile de forță ale statelor.
Atacurile Man-in-the-middle
Metoda de hacking numită generic Man-in-the-middle presupune existența unui dispozitiv de rețea deturnat, cu ajutorul căruia o persoană rău intenționată interceptează comunicațiile, le poate modifica sau poate fura date personale. De exemplu, un hacker ar putea folosi un router fals sau deturnat pentru a captura parole sau pentru a vă redirecționa către site-uri de phishing sau alte site-uri periculoase. Utilizarea unui VPN vă protejează de multe tipuri de atacuri de tip man-in-the-middle prin criptarea comunicațiilor.
No Logs Policy
Aceasta este o politică a furnizorului VPN care acceptă să nu țină o evidență a activităților utilizatorilor. Serviciile VPN au această politică afișată pe site-ul lor, iar unele, cum ar fi NordVPN, garantează acest lucru printr-un audit independent.
Obfuscation
În termeni VPN, obfuscation se referă la orice tehnologie care face mai dificilă pentru site-urile web, furnizorii de Internet și orice alte servicii care monitorizează rețeaua să detecteze faptul că utilizați un VPN. Acest lucru este deosebit de important în țări precum China sau Iran, care depune eforturi uriașe pentru a cenzura Internetul și a bloca utilizarea VPN.
OpenVPN
OpenVPN este un protocol de criptare VPN, open-source, securizat și extrem de configurabil. OpenVPN nu este la fel de rapid ca WireGuard sau cele mai recente protocoale proprietare (Lightway, NordLynx), dar designul său flexibil și versatil îl recomandă.
Ping time
Timpul pentru ping reprezintă o măsură a latenței care descrie timpul minim necesar pentru ca datele să parcurgă o rețea de la un dispozitiv la altul și să primească un răspuns. După ce vă conectați la un VPN, datele trebuie direcționate prin serverul VPN înainte de a călători la destinație, reducând viteza și mărind timpul de ping. Comanda ping din Windows Shell este folosită și pentru a verifica existența unei conexiuni către o anumită adresă sau IP.
Wi-Fi public
Hotspot-uri Wi-Fi, adesea furnizate de municipalități, sunt concepute pentru a oferi Internet oricărui utilizator. Pentru a facilita accesul, nu este necesară nicio parolă pentru a stabili conexiunea. Deoarece acesta este necriptat, utilizatorii sunt expuși unui risc deosebit de mare, iar un VPN este important pentru a menține securitatea datelor transmise.
strongSwan
StrongSwan este o aplicație VPN open-source pentru Windows, Mac, Android și iOS. StrongSwan nu are multe funcții, dar poate fi configurat să funcționeze cu majoritatea VPN-urilor, ceea ce ar putea fi util dacă aveți probleme cu aplicațiile proprii ale unui furnizor. Versiunea pentru Android a lui aplicației StrongSwan este atât de fiabilă și apreciată (nota 4,3 în magazinul Google Play) încât unii furnizori au folosit codul său ca bază pentru propriile aplicații.
Throttling
Limitarea Internetului este un sistem de management al traficului care reduce viteza de conectare în anumite circumstanțe. Furnizorul de Internet vă poate reduce viteza atunci când accesați Netflix sau alte platforme de streaming, de exemplu, sau dacă detectează că descărcați torrente. Utilizarea unui VPN vă ajută să evitați această limitare, deoarece împiedică furnizorul să vadă ce site-uri web sau servicii de internet accesați.
Tunnel
Aceasta este o conexiune criptată, considerată sigură, între computerul vostru și o altă rețea. De exemplu, la un VPN sau la altă rețea.
VPN Client
Aplicația client instalată pe un dispozitiv, pe care îl are utilizatorul care se conectează, prin tunelul criptat, la serverul VPN. Dispozitivul poate include un computer, un smartphone, o tabletă, o consolă de jocuri, un dispozitiv de streaming TV, chiar și un router.
VPN Server
Serverul aparține, de regulă, unui furnizor VPN, care la rândul său se conectează la internet. Utilizatorii folosesc tunelul criptat pentru a-și conecta dispozitivul la serverul VPN. Cel mai mare serviciu VPN din lume – ExpressVPN – are peste 3.000 de servere. Serverul VPN poate fi instalat și în firmele mici și poate rula aplicații gratuite, open-source.
VPN Service
Un serviciu (adesea o companie) care furnizează servere VPN pentru ca utilizatorii săi să se conecteze printr-un tunel criptat.
Warrant canary
Un document care le spune tuturor utilizatorilor VPN dacă furnizorul a primit un ordin sau un mandat guvernamental prin care VPN-ul va furniza informații despre utilizator. Mandatele interzic adesea unui furnizor să spună unui utilizator că este investigat, dar consultarea Warrant Canary le permite tuturor utilizatorilor să vadă politica serviciului.
WebRTC
Creat de Google, Web Real-Time Communications (WebRTC) este o tehnologie open-source care permite browserelor web și altor aplicații să accepte comunicații audio, video și alte comunicații. WebRTC poate permite site-urilor web să detecteze adresa IP reală a unui vizitator, uneori chiar dacă folosesc un VPN, o problemă cunoscută sub numele de scurgere WebRTC.
White box
Reprezintă o modalitate aprofundată de testare software în care auditorii au acces atât la aplicații, cât și la codul sursă. Auditurile VPN White box oferă rezultate mai detaliate decât testele cu Black box, în care auditorii văd doar aceleași informații ca utilizatorii finali (pot testa aplicațiile, dar nu văd codul sursă).
WireGuard
Un protocol de criptare VPN de nouă generație, dezvoltat pentru ușurință în configurare în comparație cu protocoalele de criptare VPN mai vechi. Beneficiile includ fiabilitate ridicată și volume mai mari de date transferate mai rapid.