Неприступный VPS. Строим защищенный канал с внешним миром - «Новости»

warning

Ин­форма­ция пре­дос­тавле­на исклю­читель­но для озна­коми­тель­ных и ака­деми­чес­ких целей. Автор про­сит соб­людать законо­датель­ство той стра­ны, на тер­ритории которой ты находишь­ся!

Кто может инте­ресо­вать­ся тво­ими сетевы­ми соеди­нени­ями? Да кто угод­но! От хакер­ских груп­пировок до злоб­ных адми­нов, которые любят шей­пить раз­ные типы тра­фика (нап­ример, наши любимые тор­ренты). Да и прос­то иног­да тре­бует­ся сме­нить IP (нап­ример, что­бы пос­мотреть зарубеж­ную новин­ку в онлайн‑киноте­атре).

Итак, перед нас­трой­кой соф­та нам при­дет­ся занять­ся необ­ходимы­ми под­готови­тель­ными работа­ми:

• 
  
• ку­пить VPS;
• 
  
• ку­пить домен­ное имя;
• 
  
• за­регис­три­ровать­ся на Cloudflare и выпол­нить необ­ходимую нас­трой­ку.
• 
  

Раз­берем по поряд­ку.

VPS

Что­бы свес­ти рис­ки к миниму­му, необ­ходимо выбирать хос­тера VPS дос­таточ­но дотош­но — обра­щай вни­мание на то, в каком государс­тве зарегис­три­рова­но юри­дичес­кое лицо, в каких стра­нах физичес­ки рас­положе­ны сер­веры. Пред­почте­ние сле­дует отда­вать тем, где законо­датель­ство стро­го отно­сит­ся к лич­ной информа­ции (нап­ример, Швей­цария или Исландия). Это каса­ется как мес­та регис­тра­ции юри­дичес­кого лица, так и физичес­кого нахож­дения сер­веров.

Кро­ме того, не сле­дует забывать про «аль­янс 14 глаз» (Авс­тра­лия, Бель­гия, Великоб­ритания, Гер­мания, Дания, Испа­ния, Ита­лия, Канада, Нидер­ланды, Новая Зелан­дия, Нор­вегия, США, Фран­ция, Шве­ция) — это стра­ны, которые сво­бод­но обме­нива­ются раз­веддан­ными друг с дру­гом (законо­датель­ство у них соот­ветс­тву­ющее). Если твои дан­ные попали в руки одной стра­ны из это­го спис­ка, мож­но счи­тать, что осталь­ные тоже их получи­ли.

Кро­ме того, есть стра­ны, которые так или ина­че сот­рудни­чают с аль­янсом: Южная Корея, Япо­ния, Изра­иль, Син­гапур. Это на уров­не слу­хов, но, как извес­тно, дыма без огня не быва­ет. Мож­но мно­го говорить о том, что кон­крет­но ты им не нужен, что у них и без тебя забот пол­но, — тут каж­дый реша­ет для себя, что ему важ­нее. Нап­ример, автор эти стра­ны сра­зу вычер­кнул из спис­ка кан­дидатов. Итак, VPS купили, идем даль­ше.

Доменное имя

Здесь нет никаких осо­бых тре­бова­ний, хочу толь­ко отме­тить, что час­то хос­тинги VPS заод­но тор­гуют и домен­ными име­нами. На мой взгляд, более секь­юрно исполь­зовать воз­можнос­ти того же хос­тинга VPS, чем обра­щать­ся в дру­гую ком­панию и там по вто­рому кру­гу све­тить свои дан­ные. В этой статье мы будем исполь­зовать некий абс­трак­тный домен secret-site.com. Идем даль­ше.

info

По­чему не сле­дует исполь­зовать ESNI/ECH? Все очень прос­то: если некото­рые сетевые филь­тры не могут опре­делить сайт наз­начения, то они прос­то бло­киру­ют соеди­нение.

Cloudflare

Cloudflare в нашей цепоч­ке игра­ет роль защит­ного механиз­ма: мы скры­ваем нас­тоящий IP нашего VPS и защища­ем его от некото­рых видов атак. Тра­фик от нашего ком­па будет идти сна­чала в сеть Cloudflare и толь­ко из нее — к нашему VPS. Кро­ме того, Cloudflare сге­нери­рует сер­тификат для TLS-соеди­нения, и весь тра­фик на всем пути сле­дова­ния будет завер­нут в TLS 1.3.

Для начала нам нуж­но прой­ти регис­тра­цию и при­вязать к сер­вису куп­ленный домен. Далее на вклад­ке DNS нуж­но запол­нить стро­ки А (две шту­ки), в которые мы вво­дим наш домен (в одну стро­ку с прис­тавкой www, в дру­гую без нее) и IP нашего VPS.