ТОП бесплатных VPN расширений для браузеров

Что лучше: VPN или прокси? Давайте рассмотрим преимущества и недостатки первого и второго варианта после чего вы выберете для себя подходящий. Несмотря на то, что результат обеих технологий позволяет добиться одной цели — посещение запрещенных сайтов, они имеют ряд отличий.

Чем же отличается VPN и прокси, и у чего больше преимуществ? Чтобы ответить на этот вопрос рассмотрим недостатки и преимущества как прокси-сервера, так и VPN. Потребность в использовании таких методов изменения своего географического положения вызвана запретом в Украине большинства российских сайтов, главные из которых — социальные сети (ВКонтакте, Одноклассники и др.). И чтобы общаться с друзьями и близкими, пользователи ищут обходы.

Многие задумываются, что лучше использовать для обхода блокировок: vpn или прокси. Ответ на этот вопрос каждый даст сам, а мы можем только рассказать о преимуществах и недостатках анонимайзеров. Проблема с доступом к веб-ресурсам присутствует и в других странах. Так, системный администратор блокирует доступ к любимым сайтам, видео т.д. и благодаря анонимайзеру вы легко обойдете любые ограничения и обеспечите себя анонимностью, общаетесь в чатах.

В чём различие между VPN и прокси?

VPN — это общее название технологий для объединения внутренних сетей на уровне сетевых пакетов или кадров через соединение, установленное поверх другой сети (чаще всего публичной).

Прокси — это серверное приложение, осуществляющее соединения или запросы от своего имени и сетевого адреса в пользу подключившегося к нему клиента, пересылая в результате ему все полученные данные.

VPN осуществляет пересылку полезной нагрузки, находящейся на третьем или втором уровне сетевой модели OSI. Прокси осуществляют пересылку полезной нагрузки между четвёртым и седьмым уровнями сетевой модели OSI включительно.

И VPN, и прокси могут иметь или не иметь шифрования между клиентом и сервером. Обе технологии пригодны для того, чтобы направить трафик пользователя через доверенный сервер, применяя шифрование по пути до него. Однако, подключение через прокси делает это более прямолинейным способом, не привнося дополнительную инкапсуляцию сетевых пакетов, серые адреса самой VPN сети и изменения таблицы маршрутизации, которые привносит VPN просто лишь для того, чтобы сетевой стек системы пользователя направил трафик через нужный сервер.

Opera со встроенным VPN

По моему мнению, это самое шикарное и простое решения, если вы неопытный пользователь ПК или не хотите заморачиваться со скачиванием и настройкой сервисов и расширений для браузеров. Разработчики браузера Opera уже позаботились о вас, встроив в свое детище VPN. Включить данный сервис очень просто. Достаточно скачать и установить браузер потом войти в меню, где Настройках найти опцию Безопасность.

Теперь достаточно найти пункт VPN и перевести ползунок в режим включения.

Сразу же возле строки поиска появится надпись VPN. Теперь прямо отсюда вы сможете руководить включением-выключением VPN, а также выбирать страну, IP-адрес которой будете использовать.

Стоит правда заметить, что таких стран в списке всего пять, но зато в вашем распоряжении безлимитный трафик Интернета. Следует также помнить, что использование VPN-соединения заметно снизит скорость соединения, поэтому желательно без необходимости его не включать.

Где брать: www.opera.com/ru

Преимущества прокси

1. В условиях реальной сети с потерями практическая скорость прокси зачастую выше, чем у VPN-решений. Это вызвано тем, что при проксировании TCP-соединений ретрансмиты на участках клиент-прокси и прокси-целевой узел происходят независимо. Прокси имеет свои TCP-буферы и кратковременные задержки ввода-вывода в обе стороны не сказываются на передаче с противоположной стороны. VPN же работает только на сетевом уровне (IP) и потерянные сегменты TCP будут пересылаться по всей длине пути от VPN-клиента до целевого сервера.
2. Гибкость. Проще настроить избирательное проксирование. Использование прокси можно ограничить конкретными приложениями, в браузере — конкретными доменами. Можно использовать несколько разных прокси для разных адресов назначения одновременно.
3. Трудно обнаружить с помощью DPI, в том числе DPI осуществляющими активные пробы. Однако, для этого необходима некоторая донастройка. В случае с прокси через TLS, такое соединение можно выдать за обычное HTTPS-соединение. В случае с VPN факт его использования виден даже пассивному DPI. Даже если это Wireguard.
4. Нет целого класса проблем с внезапно прервавшимся VPN-соединением. В худшем сценарии VPN-соединение может прерваться и пользователь не заметит, что его трафик уже не защищён и/или он уже работает со своего «домашнего» IP-адреса. В случае с прокси такие проблемы исключены.
5. Нет принципиальной возможности проводить атаки, пускающие трафик мимо VPN-туннеля. Пример такой проблемы.
6. Не нужны высокие привилегии в системе ни для клиента прокси, ни для сервера. Это может быть весьма полезно в случаях, когда у Вас нет высоких прав в системе.

Лучшие VPN 2020

• Подключение до 6 устройств
• Надежный и быстрый VPN
• Все платформы

Читать обзор →

$11.95 /м Купить

→

• Лучший VPN для Китая
• Подключение до 3х устройств
• 30 дней возврат денег

Читать обзор →

$12.95 /м Купить

→

• Гибкие настройки
• Сеть 1го уровня
• 31 дней возврат денег

Читать обзор →

$10.95 /м Купить

→

Все VPN сервисы

Плюсы:

• При выборе хорошего провайдера вы полностью защищены, и можно даже скрыть сам факт подключения к ВПН-серверу.
• Безлимитный трафик, минимальное снижение скорости, очень широкий выбор стран.
• Сервера для различных задач – для обмена файлами P2P, просмотра видео, серфинга.
• Работоспособность даже в странах, где доступ к сети жестко контролируется.
• Функция Kill Switch защитит вас, даже если связь с ВПН-сервером прервется.
• Функция CyberSec (или аналоги) блокирует нежелательную рекламу и вредоносное ПО.
• Шифрование военного уровня – для расшифровки понадобятся десятки лет.

Минусы:

• Хорошие сервисы – платные, стоимость может быть 10-13 долларов в месяц, а если покупать большие пакеты – 3-5 долларов, но тогда нужно сразу выложить всю сумму (около 60-100 USD).
• Некоторые провайдеры очень сильно снижают скорость и тормозят работу устройства.

Когда применять:

• Если нужна максимальная защита.
• В странах с жесткой цензурой или ограничениями интернета.
• Когда вы хотите сохранить абсолютную анонимность.

Выбрать ВПН

Как правило, одну платную лицензию можно использовать для нескольких устройств – от 3 до 6, так что получается относительно недорого. Все провайдеры предлагают скидки на большие пакеты.

Требования к прокси

Выбирая для себя реализацию защищённого прокси-сервера, я отметил несколько критериев, которым она должна удовлетворять:

1. Обязательное шифрование и защита целостности данных внутри соединения.
2. Надёжная и проверенная криптография. Доморощенные криптопротоколы крайне нежелательны.
3. Устойчивость к DPI, в том числе к активным пробам. В идеале протокол должен внешне выглядеть неотличимо от протоколов, к которым обычно не возникает претензий. Например, как HTTPS.
4. Отсутствие мультиплексирования нескольких TCP-соединений внутри одного. Причина этого требования такова: нежелательно, чтобы скорость нескольких соединений была ограничена скоростью одного TCP-соединения. Кроме того, при мультиплексировании нескольких соединений внутри одного приостановка получения данных из одного внутреннего (подвергнутого мультиплексированию) соединения может застопорить все остальные на неопределённое время. Для этого достаточно, чтобы со стороны прокси-сервера ожидало отправки больше данных, чем суммарный размер буфер отправки клиента-демультиплексора и буфер приёма сокета у застопорившего приём приложения. В частности такого эффекта можно иногда добиться, начав качать большой файл через SSH SOCKS5 прокси (ssh -ND 1080), и поставив скачивание на паузу. При неудачном стечении обстоятельств никакой трафик через туннель больше не будет принят. Более подробно о проблеме head-of-line blocking.
5. Отсутствие привязки к поставщику или сервису.

Я рассмотрел несколько известных протоколов для шифрования соединения с прокси:

Наименование	Резюме
OpenSSH dynamic port forwarding (ssh -ND 1080)	Использует мультиплексирование: низкая скорость, задержки
shadowsocks	Провал DPI
obfs4	По внешнему виду он удовлетворяет всем требованиям, но есть моменты, вызывающие сомнения

Особенности obfs4

В спецификации протокола obfs4 есть места, которые вызывают вопросы. В рукопожатии со стороны клиента используется номер часа от начала эпохи UNIX, который потом участвует в HMAC-подписи. Сервер, принимая такой пакет от клиента проверяет его, подставляя номер часа по своему времени. Если всё верно, то отвечает своей частью рукопожатия. Для борьбы с разбросом часов сервер должен ещё проверять предыдущий и следующий час.

Зная такое характерное поведение, можно проверить сервер на границе следующего и послеследующего часа, воспроизведя одно из прошлых записанных рукопожатий со стороны клиента. Если сервер перестанет отвечать своей частью рукопожатия в это самое время, то это достаточное основание, чтобы судить, что сервер обслуживает протокол obfs4.

Судя по всему, автор со временем осознал эту проблему и в коде obfs4 реализована защита от обнаружения через воспроизведение. В спецификации она нигде не описана.

Однако, такая защита наоборот упрощает работу по блокировке протокола: сетевому фильтру достаточно в случае сомнений задержать отправку рукопожатия от клиента, перехватив её, а затем отправить сообщение с рукопожатием первым. Таким образом он спровоцирует защиту от воспроизведения уже против клиента, вынуждая сам сервер блокировать клиента.

Следующий момент, вызывающий сомнения это формат «кадра» с данными. Выглядит он следующий образом:

+————+———-+———+—————+————+————+ | 2 bytes | 16 bytes | 1 byte | 2 bytes | (optional) | (optional) | | Frame len. | Tag | Type | Payload len. | Payload | Padding | +————+———-+———+—————+————+————+ _ Obfs. _/ ___________ NaCl secretbox (Poly1305/XSalsa20) ___________/ Первые два байта каждого кадра это длина пакета, гаммированная с ключом, который вычисляется от предыдущих ключей. Как он вычисляется ключ не столь важно, главное, что настоящая длина пакета подвергается операции побитового исключающего ИЛИ каким-то ключом. Это значит, что можно инвертировать бит в этой части данных и подмена не будет сразу замечена. Если инвертировать младший значащий бит этого поля, то длина кадра станет либо на единицу меньше истинной, либо на единицу больше. В первом случае это приведёт к сбросу соединения через небольшое случайное время из-за ошибки распаковки NaCl secretbox.

Второй случай более интересный: сервер будет ждать ещё один байт для того, чтобы начать распаковку криптобокса. Получив ещё ровно один байт он также сбросит соединение из-за ошибки распаковки криптобокса. Это поведение можно считать специфичным для obfs4 и можно судить, что мы с высокой вероятностью имеем дело с ним. Таким образом, удачно разрушив одно из соединений клиента, можно с примерно 50%-ным шансом обнаружить obfs4.

Конечно, определение границ одного кадра в потоке тоже может представлять непростую задачу, но нет чётких гарантий, что нерешаемую. В случае обмена короткими сообщениями границы одного кадра могут совпасть с границами TCP-сегмента.

Ну и последняя особенность заключается в том, что сам по себе протокол внешне не похож ни на один из общепринятых. Он спроектирован с предположением, что DPI играет по правилам и незнакомые протоколы просто не трогает. Суровая реальность может показать, что это не так.

По всем этим соображениям я воздержался от использования obfs4.

TLS и SSH в качестве криптографического транспорта

Разумно было бы воспользоваться стандартными защищёнными сетевыми протоколами вроде TLS или SSH для обёртывания соединений с прокси. Действительно, к таким протоколам обычно не возникает претензий со стороны DPI, потому что ими может быть зашифрован легетимный трафик. Что же касается активных проб со стороны DPI, этот вопрос можно решить в частном порядке, в зависимости от конкретного протокола прокси.

Ниже будут представлены несколько готовых решений на базе этих протоколов, пригодных для повседневной постоянной защиты трафика.

SOCKS5 внутри SSH

Вариант с использованием функции dynamic port forwarding у OpenSSH рассматривался выше, но он имеет большие проблемы со скоростью. Единственный способ избавиться от мультиплексирования соединений — это использовать альтернативную реализацию клиента SSH, который обеспечивал бы каждое проксируемое соединение отдельной SSH-сессией.

Я проделал такую работу и реализовал его: Rapid SSH Proxy. Эта реализация обеспечивает каждое проксируемое соединение отдельной SSH-сессией, поддерживая пул подготовленных SSH-сессий для удовлетворения поступающих запросов подключения с минимальной задержкой.

Порядок работы с ним такой же, как у ssh -ND 1080: на стороне клиента запускается локальный SOCKS5-прокси, принимающий соединения и напрявляющий их в туннель через SSH-сервер.

Следует особо отметить ключевую особенность: никакого стороннего ПО не нужно устанавливать на сервер — rsp работает как ssh-клиент с обычным сервером OpenSSH. Сервером может быть любая unix-подобная операционная система, а так же Windows и Windows Server (в новых версиях OpenSSH теперь доступен в компонентах системы).

Приведу сравнение скорости через сервер в США:

OpenSSH	rsp

Установка приложения iNinja VPN & Proxy на телефон

Также, iNinja VPN & Proxy можно установить на телефон с операционной системой Android. Для этого зайдите в магазин приложений Google Play и введите в поиске [iNinja]. Выберите его из списка и нажмите «Установить».

После установки приложения, зайдите в него и зарегистрируйтесь.

Затем войдите в приложение, используя созданный аккаунт. На главном экране приложения будет большая кнопка «Off», чтобы включить использование прокси нажмите на неё — кнопка изменит цвет на зелёный, а надпись будет «On».

При нажатии на выбор геолокации внизу под кнопкой, открывается окно с выбором доступных стран и городов.

 

SOCKS5 внутри TLS

В случае с TLS очевидным решением было бы использовать stunnel или аналогичную TLS-обёртку для TCP-соединений с SOCKS5-сервером. Это действительно вполне хорошо работает, но возникает следующая проблема: рукопожатие TLS для каждого нового соединения занимает дополнительное время и появляется заметная на глаз задержка при установлении новых соединений из браузера. Это несколько ухудшает комфорт при веб-серфинге.

Для того, чтобы скрыть эту задержку, я подготовил специализированную замену stunnel на клиенте, которая поддерживает пул уже установленных, готовых к запросу TLS-соединений. Даже целых два — первый из них послужил прототипом:

1. Pooling TLS Wrapper
2. steady-tun

В качестве сервера я предлагаю два варианта:

• Связка из реверс-прокси haproxy и SOCKS5-прокси dante, настроенная на защиту от активных проб со стороны клиентов, не прошедших аутентификацию по сертификату: github.com/Snawoot/ptw/tree/master/docker_deploy
• Мой форк go-socks5-proxy со встроенной поддержкой TLS: github.com/Snawoot/socks5-server

HTTP-прокси внутри TLS aka HTTPS-прокси

Есть небольшая путаница в отношении сочетания слов «HTTPS» и «прокси». Есть два понимания такого словосочетания:

1. Обычный HTTP-прокси без шифрования, который поддерживает метод HTTP CONNECT и через который может успешно работать HTTPS.
2. HTTP-прокси, принимающий TLS-соединения.

Речь пойдёт о втором. Все платные и бесплатные браузерные расширения, предоставляющие «VPN», по сути настраивают браузер на использование такого прокси.

Примечательно, что ни в одном браузере нет простой возможности задать в настройках HTTPS-прокси через пользовательский интерфейс (то поле HTTPS-прокси, которое там есть, как раз относится к первому случаю). Но это не представляет собой большой трудности.

Поперебирав различные готовые варианты, я решил написать свой HTTP(S) прокси-сервер: dumbproxy.

Ключевой особенностью получившегося решения является то, что современные браузеры (Firefox и семейство Chrome, включая новый MS Edge) могут работать с ним без какого-либо дополнительного ПО на клиенте (см. руководство по настройке клиентов).

Следует отметить особенности реализации в отношении противодействия активным пробам со стороны DPI. HTTP-прокси легко распознать, подключившись к нему и осуществив попытку какого-либо запроса стороннего ресурса. Если прокси имеет авторизацию, то по стандарту он должен отвергнуть запрос с кодом 407, специфичным именно для HTTP-прокси, и предложить возможную схему для авторизации. Если прокси работает без авторизации, то он выполнит запрос, чем так же себя выдаст. Есть как минимум два способа решения этой проблемы (и оба они реализованы в dumbproxy).

Первый способ заключается в том, чтобы использовать аутентификацию клиентов по сертификатам ещё на этапе TLS-рукопожатия. Это самый стойкий метод, и это действительно корректная причина, по которой любой обычный веб-сервер мог бы отвергнуть клиента.

Второй способ заключается в том, чтобы скрыть от неавторизованных клиентов код ответа 407, возвращая вместо него любой другой ответ с ошибкой. Это вызывает другую проблему: браузеры не смогут понять, что для прокси требуется авторизация. Даже если браузер имеет сохранённый логин и пароль для этого прокси, ответ 407 важен для определения схемы авторизации, по которой эти учётные данные должны быть отправлены (Basic, Digest и т. д.). Для этого нужно позволить прокси генерировать ответ 407 на секретный запрос, чтобы браузер мог запомнить схему авторизации. В качестве такого секретного запроса используется настраиваемый секретный домен (не обязательно реально существующий). По умолчанию этот режим выключен. Подробности можно посмотреть в разделе об аутентификации.

Что такое iNinja VPN & Proxy

Бесплатный VPN-сервис iNinja.org был запущен в 2020 году. Позволяет обойти блокировки сайтов и зашифровать канал трафика без установки дополнительных программ. Позволяет запускать Telegram, Linkedin, Instagram, ВКонтакте и прочие сервисы, которые заблокированы в определённых странах.

Интерфейс расширения адаптирован под 12 языков, включая русский, английский, немецкий и французский.

Дополнительный плагин, ответственный за проксирование других приложений, работает в фоновом режиме даже после закрытия всех вкладок Chrome. Прокси-сервера предлагаются в нескольких геолокациях: США, Россия, Британия, Голландия. Для шифрования данных используется 128-битный SSL алгоритм, ограничения по скорости отсутствуют.

Реальная скорость обмена данными зависит от географической удалённости тестового и тестируемого серверов, но в целом гораздо выше, чем в аналогичных VPN сервисах. Запуск и переключение между серверами не требует авторизации и не лимитирован по количеству.

Это интересно: Мобильные прокси для Инстаграм