Сегодня читатели из Минска сообщили в редакцию TUT.BY, что ночью, примерно с часу до двух, у них наблюдались проблемы в работе VPN — это безопасное, зашифрованное подключение между двумя сетями или между отдельным пользователем и сетью. Грубо говоря, это словно проложить виртуальный кабель в удаленную сеть (сервер). Причем сети VPN используются не только для работы, но и позволяют пользоваться интернетом, сохраняя конфиденциальность. В соцсетях уже стали говорить о «тренировке блокировки» со стороны государства, но официального подтверждения этому мы не нашли. Рассказываем, что заметили пользователи. VPN, или Virtual Private Network, переводится как «виртуальная частная сеть» — это обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети. VPN служит для создания туннеля между двумя компьютерами, по которому передается информация в зашифрованном виде. О том, что с VPN ночью 16 июля возникли проблемы, нам сообщило несколько пользователей. Также об этом пишут в соцсетях, и из технических сообществ поступала информация о проблемах с туннелями из Беларуси в США, Германию, Россию. Программист Павел Селицкас написал об этом подробный пост в Facebook. Цитируем его с согласия автора. По словам Павла, у него «сломались» IPSec (набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP) и SSH (сетевой протокол прикладного уровня, позволяющий производить удаленное управление операционной системой и туннелирование TCP-соединений), а также «все, что на него завязано». Например, у минчанина не работали Git (распределенная система управления версиями, которая была создана создана Линусом Торвальдсом для управления разработкой ядра Linux) и SFTP (протокол прикладного уровня, предназначенный для копирования и выполнения других операций с файлами поверх надежного и безопасного соединения). При этом некоторые другие сервисы, использующие так или иначе SSH, работали. «SSH блокировался не по Dst. Port (порт назначения. — Прим.TUT.BY). Кидал его на другие порты, на 80, на 443 — бесполезно», — пишет Павел. При этом, по словам автора, не работал и VPN-протокол OpenVPN, а вот новый VPN-протокол WireGuard «выстоял». Tor — бесплатный браузер для анонимной работы в Сети — также продолжил работать. Павел отмечает, что атака TCP Reset (способ манипулирования интернет-соединениями) не использовалась. «В зависимости от L7 протокола происходит первоначальный обмен одним-двумя информационными сообщениями, затем тишина в эфире. Дальше череда Retransmissions и один RST/ACK в пустоту», — пишет он (орфография и пунктуация сохранены). Все это продлилось примерно час, с 1.00?1.15 до 2.00 ночи. Что означают сокращения в посте Павла — IPSec — это один из самых популярных методов туннелирования именно в enterprise, то есть в бизнесе, — пояснил 42.TUT.BY Павел. — OpenVPN тоже любят — это разные реализации, которые, в принципе, позволяют достичь довольно схожих целей. Анонимизация и так далее — это побочный продукт использования технологии, а не цель. SSH — это технология для терминального доступа к удаленным серверам. По сути, он выполняет ту же функцию — шифрует трафик. Вот это можно использовать в том числе для создания других туннелей. Конкретно в IT эти технологии используются для работы — даже не столько IPSec, сколько SSH. У меня, например, ночью работа встала. Это используется повсеместно — и для доступа к удаленным серверам, и для использования систем контроля версии кода. Много для чего. — А что значит «SSH блокировался не по Dst. Port»? — У нас каждая машина имеет собственный адрес — мы называем это IP-адрес. Но у вас на одной машине, на компьютере или сервере есть много разных сервисов: веб-сайт или сервис с игрой, видео. В общем, у каждой службы, у каждого сервиса внутри этого хоста (машины) есть адресация по портам. Соответственно, каждому протоколу, каждой службе в соответствии с различными техническими стандартами присвоен по единому интернет-регистру собственный порт. У большинства перечисленных технологий есть свой стандартный порт, на котором они работают. Допустим, SSH — это порт 22. HTTP — у нешифрованного веб-трафика порт 80, у зашифрованного — 443 и так далее, и тому подобное. Некоторые протоколы не предполагают, что порт будет меняться. А некоторые, как OpenVPN, позволяют менять порт любым удобным способом. То же и с SSH. Я менял на сервере один порт на другой, в том числе и на порты, зарезервированные для веб-трафика — которые 443 и 80. Однако сами порты работали — в браузере сайты спокойно открывались. В чем может быть причина — возможные варианты В Сети предположили, что ночью была «тренировка блокировки VPN». Но можно ли в принципе заблокировать VPN? — VPN понятие обширное, классифицировать их можно по разным параметрам, — поясняет технический директор компании hoster.by Денис Отвалко. — Утверждать, что можно заблокировать все их типы, нельзя. Да, какие-то можно заблокировать легко и надежно, каким-то можно создать проблемы, но на 100% заблокировать все варианты мне представляется маловероятным или практически невозможным. Если IPsec, например, заблокировать легко, то c SSL VPN (OpenVPN и другие) есть вопросы. — Как считаете, есть ли сейчас у нашей страны ресурсы расшифровывать трафик «на лету»? — Честно говоря, я в этом сильно сомневаюсь. Telegram-канал «ЗаТелеком» сообщает, что, по их данным, в Беларуси GRE (Generic Routing Encapsulation — протокол туннелирования сетевых пакетов) никто не блокировал и что проблема «у одного из российских апстримов НЦОТа», проще говоря, поставщика соединений с интернетом за пределами страны. В НЦОТ нам сообщили, что не в курсе возможных проблем с зарубежными партнерами, но у Национального центра обмена трафиком «никаких аварий не было». Напомним, что 16 июля, по сообщениям наших читателей и пользователей Сети, примерно с двух до трех часов ночи также наблюдались проблемы в работе Telegram.