中國的互聯(lián)網(wǎng)并不是真正開放的互聯(lián)網(wǎng)，有時候很多人耐不住自己想要窺探外面世界的好奇心，選擇用翻墻這種方式打開世界的大門，而虛擬專用網(wǎng)絡（虛擬專用網(wǎng)絡）就是看似用來幫助你混淆自己蹤跡的幫助者?？墒?，你真的了解虛擬專用網(wǎng)絡嗎？它真的老老實實的只為你工作嗎？

三年前斯諾登泄密事件揭露的東西，從安全的角度看對互聯(lián)網(wǎng)服務提供商來講并沒有太多的幫助，甚至可以說做的有些過火。同時也模糊了反恐政策的概念。而當新聞爆出像NSA的Vulcan數(shù)據(jù)庫或者它的Diffie-Hellman策略時，任何一個網(wǎng)絡隱私主義者看過了都會心中發(fā)顫。突然間似乎每個人都需要重新評估下某些網(wǎng)上用于保持隱私的工具——虛擬專用網(wǎng)絡。

傳統(tǒng)虛擬專用網(wǎng)絡簡介

虛擬專用網(wǎng)絡（虛擬專用網(wǎng)絡），這款工具通常用于混淆用戶的IP地址，或在用戶進行WEB瀏覽時增加一層安全保護。它會把你的流量轉到加密且安全的虛擬專用網(wǎng)絡服務器上。不同的人使用虛擬專用網(wǎng)絡的目的也不同，有些人可能是用它來改變自身的IP地址，這樣就可以獲取一些其他地域的媒體內容，或者能匿名下載一些東西。還有的人希望以此規(guī)避廣告商的網(wǎng)絡追蹤，或者防止盜用WIFI后的負面影響，甚至只是為了在他們訪問特定網(wǎng)站時隱藏真實的IP地址。

然而虛擬專用網(wǎng)絡的質量也是參差不齊的。事實上某些存在問題的虛擬專用網(wǎng)絡會讓用戶的安全更加脆弱。某些虛擬專用網(wǎng)絡是禁用了torrent下載的，還有些會記錄下信息，跟蹤上網(wǎng)行為，或者按照當?shù)氐姆蓪?shù)據(jù)進行保留。

去年我開始嘗試整理一份好的虛擬專用網(wǎng)絡列表，雖然網(wǎng)上已有不少類似的虛擬專用網(wǎng)絡清單，但是通常都充斥著附加內容鏈接，很難確認其準確性。這份虛擬專用網(wǎng)絡比較圖表，里面概述了虛擬專用網(wǎng)絡業(yè)務流程、日志記錄、服務配置和其他特性。但它存在矛盾策略，并誤導讀者，聲明各類的服務是100%有效的。但其實大部分內容是從真實的虛擬專用網(wǎng)絡網(wǎng)站導入的，這就意味著可能會混入一些錯誤信息。

幾個月的研究后，筆者的嘗試都失敗了。所以現(xiàn)在筆者仍然不能推薦一組安全的虛擬專用網(wǎng)絡列表給大家。相反的是，研究結果刷新了筆者對目前虛擬專用網(wǎng)絡的三觀。當涉及到日志記錄的時候，評估可行性和驗證準確性也不是件容易的事，所以，我覺得與其給大家一個簡單的列表，還是提供一些指導方針更加靠譜，讓大家自己了解在本年度哪些虛擬專用網(wǎng)絡是有效可用的。

虛擬專用網(wǎng)絡不是用來匿名的

關于虛擬專用網(wǎng)絡的一個常見的誤讀是：它們會給大家提供匿名功能，即使是針對民族主義者。但是，安全研究員Kenneth White表示：

“如果政府對目標進行專門的監(jiān)測追蹤，虛擬專用網(wǎng)絡是不足以做到這一點的。”

事實上，虛擬專用網(wǎng)絡聲稱的會給提供用戶匿名性，是“不可行的，不負責的，或者兩者兼?zhèn)涞?rdquo;。DNSleaktest.com的站長Jeremy Campbell在郵件里告訴記者：

“為了實現(xiàn)匿名去使用公共虛擬專用網(wǎng)絡是非常愚蠢而危險的，無論服務配置的有多么安全，匿名技術本身并沒有在這里實現(xiàn)。虛擬專用網(wǎng)絡服務要求你信任他們，但匿名系統(tǒng)本身是沒有這個屬性的。”

White沒有堅持完全放棄虛擬專用網(wǎng)絡，但是他警告說它應該作為一個輔助工具，而不是一個隱私的解決方案，他表示：

“相反，像專門的隱私工具如Tor瀏覽器之類的（里面可能包含了信用良好的虛擬專用網(wǎng)絡），那就是可以使用的。它們不僅實現(xiàn)了匿名化屬性，而且瀏覽器已經(jīng)進行了大量定制，以實現(xiàn)網(wǎng)絡隱私的最大化（比如弱化了cookie、Flash、Java插件等特征）。”

Tor分布式網(wǎng)絡，會嘗試在多個中繼傳輸流量來實現(xiàn)匿名。但其實它也很難進行核實，沒有人知道Tor這樣是否能夠獲得百分百成功。Tor瀏覽器最近受到了美國國防部的矚目，這只會強化這種擔心。某些批評者認為，Tor會讓人們更容易依賴過時版本的Firefox，但這些東西都不能保證是萬無一失的。

Johns Hopkins大學的密碼學教授Matthew Green表示：

“某些在俄羅斯出口節(jié)點的惡意Tor，實際上會偷偷修改二進制文件。所以，如果你不幸在Tor下載文件時碰巧遇到了這些節(jié)點，它們可能會將它轉換成惡意軟件。”

盡管Green并沒有聽說過虛擬專用網(wǎng)絡發(fā)生過這樣的事，但他指出這樣的攻擊是存在可能的。與多數(shù)虛擬專用網(wǎng)絡不同，Tor和Tor瀏覽器通常用于高風險的情況，工程師需要迅速修復安全漏洞，這樣的方式可能不適用于所有的虛擬專用網(wǎng)絡。

用虛擬專用網(wǎng)絡來BT下載安全嗎？

某些虛擬專用網(wǎng)絡提供商會禁用p2p，如果有必要還會把用戶的名字給版權所有者。代表版權所有者的利益的，可能會取消慣犯的賬戶。希望使用虛擬專用網(wǎng)絡進行torrent下載和流媒體觀看的親們，可以尋找那些特殊的服務提供商（或者不保留日志），但是問題又來了，Campbell表示：

“然而，我們并沒有辦法驗證虛擬專用網(wǎng)絡提供商所說的話。大家必須依靠新聞報道和網(wǎng)上論壇的討論等等，來判斷服務提供商的聲譽。”

看來，必須時刻保持警惕才行。

虛擬專用網(wǎng)絡可以“防御”廣告追蹤？

盡管虛擬專用網(wǎng)絡能掩飾你的IP地址，但它不一定能保證你免受間諜廣告和追蹤的困擾。

Campbell表示：

“虛擬專用網(wǎng)絡提供的防廣告追蹤的技術可以忽略不計，因為IP掩蓋是一個弱標志。網(wǎng)絡廣告更傾向于cookies、supercookies和瀏覽器指紋技術，這些東西虛擬專用網(wǎng)絡是無法進行保護的。”

為了防止無處不在的廣告跟蹤，廣告阻斷器uBlock、uBlock origin，以及追蹤阻斷器PrivacyBadger或Disconnect會提供一定程度的保護。禁用JS代碼，或者使用Firefox下的NoScript可以消除一些指紋。更高級的用戶可以使用虛擬機或者沙箱瀏覽器。當然，Tor瀏覽器也能防止產(chǎn)生特定瀏覽器指紋。

虛擬專用網(wǎng)絡讓你更危險？

用戶使用虛擬專用網(wǎng)絡的是為了保護自身網(wǎng)絡安全，特別是在處于公共WIFI之下的時候。GoGo被爆出使用了Youtube的偽造證書，這可能會泄露用戶的流量，包括用戶的Youtube密碼。

因為虛擬專用網(wǎng)絡建立了用戶和虛擬專用網(wǎng)絡商服務器之間的通道，所以用戶對于虛擬專用網(wǎng)絡提供商的信任非常重要。畢竟提供商能看到和記錄你所有的流量，甚至可以更改你的流量內容。一個虛擬專用網(wǎng)絡的配置不當，黑客就可能直接訪問你的本地局域網(wǎng)，這比別人在咖啡店網(wǎng)絡下，嗅探你的流量更加可怕。

“如果虛擬專用網(wǎng)絡服務供應商不老實的話，你只能自己做祈禱了。你得時刻擔心是否會在本地局域網(wǎng)被人黑掉，若是使用了一個粗制濫造的虛擬專用網(wǎng)絡服務，很可能就會把自己推入虎口。”

預共享密鑰

White提供了一個虛擬專用網(wǎng)絡的列表，在網(wǎng)上已有共享密鑰發(fā)布：

GoldenFrog、GFw虛擬專用網(wǎng)絡、虛擬專用網(wǎng)絡Reactor、Unblock虛擬專用網(wǎng)絡、IB虛擬專用網(wǎng)絡、Astril、Pure虛擬專用網(wǎng)絡、PrivateInternetAccess、TorGuard、IPVanish、Nordic虛擬專用網(wǎng)絡、Earth虛擬專用網(wǎng)絡。

“如果我知道了你正在使用的虛擬專用網(wǎng)絡預共享密鑰，并且我控制了你所在WIFI的熱點，那么就可以進行中間人攻擊并且解密你的上網(wǎng)行為。也就是說，當黑客擁有這預共享密鑰時，您的網(wǎng)絡安全系數(shù)就降低了。”

PPTP的代替品

一些虛擬專用網(wǎng)絡還使用了老掉牙的的PPTP 虛擬專用網(wǎng)絡協(xié)議，這在根本上就是不安全的。更好的選擇包括IPSec（有人積極維護）、L2TP/IPSec、IKEv2以及Open虛擬專用網(wǎng)絡等等。

在上述的幾個選項中，IPSec可以設置為不需要安裝額外的軟件，但有人認為這是故意破壞和削弱NSA（美國國家安全局）的力量。Open虛擬專用網(wǎng)絡比它還要安全，但是搭建手法更加復雜，需要第三方軟件的幫助，以及用戶進行正確且復雜的配置。

根據(jù)High-Tech Bridge最近的研究發(fā)現(xiàn)，SSL 虛擬專用網(wǎng)絡中，有90%會使用不安全的或者過時的加密。而有77%使用了不安全的SSLv3（甚至SSLv2）協(xié)議，76%用了不可信的SSL證書（黑客可以更輕易的進行中間人攻擊，攔截虛擬專用網(wǎng)絡連接中的流量），更有一大部分用的不安全的RSA密鑰長度的簽名，以及不安全的SHA-1簽名。不管你信不信，其中還有10%存在心臟出血漏洞。

數(shù)據(jù)保留和日志記錄

一些虛擬專用網(wǎng)絡會根據(jù)本國或當?shù)氐姆?，進行日志信息保存。而且許多虛擬專用網(wǎng)絡服務提供商會記錄大量信息，比如在特定的用戶來連接時，是從哪里、從什么時候連上的，甚至還有他們做了哪些連接。

甚至有些虛擬專用網(wǎng)絡服務提供商，日志量少時會記錄下重要日志，比如連接的IP地址和用戶名，以及內部路由使用的內部負載均衡和服務器維護。某些虛擬專用網(wǎng)絡服務提供商的日志記錄可能會很快銷毀，而其他的由于本地的相關法律，處理方式會有所不同。不管怎樣日志里保存的信息都是足以破除用戶匿名性的。

仔細閱讀服務條款會幫助你確定服務商日志維護保留的情況，并可以了解他們會如何使用收集到的信息。但是其中的真?zhèn)我埠茈y驗證。有人認為進行犯罪活動時虛擬專用網(wǎng)絡也會保護用戶的身份，但人家美國政府已經(jīng)與世界上數(shù)十個國家簽署了司法互助條約了。

泄露用戶隱私

即使用戶已經(jīng)連上了虛擬專用網(wǎng)絡服務器，但某些發(fā)出的包可能沒有經(jīng)過虛擬專用網(wǎng)絡通道進行通信，這就泄露了用戶的隱私。

Campbell表示：

“從技術角度來講，我認為最被低估的漏洞就是虛擬專用網(wǎng)絡軟件客戶端的網(wǎng)絡信息泄露。嚴重的時候，它可能會危及用戶的生命，許多網(wǎng)絡安全和隱私社區(qū)已經(jīng)對此漏洞進行了重點關注。”

一些虛擬專用網(wǎng)絡服務提供商設置了規(guī)則，在用戶出簍子之前，能阻止不安全的連接。比如你首次登入某個WIFI熱點，或者從一個熱點轉入另一個的時候。其他服務商還會允許用戶自己設置防火墻規(guī)則。

2015年6月，羅馬Sapienza大學和倫敦瑪麗女王大學的研究人員測試了14款熱門的商業(yè)虛擬專用網(wǎng)絡服務，他們發(fā)現(xiàn)了其中10個會泄露IP的數(shù)據(jù)，且都會遭受IPV6 DNS劫持攻擊。雖然后期研究人員并沒有全面復查他們是否修復了，但是也做了一些特別的測試，并發(fā)現(xiàn)情況有所改善。但是可能修復了問題后，還存在其他漏洞。

倫敦瑪麗女王大學的研究員GarethTyson博士表示：

“我給大家的建議是，如果你擔心被政府監(jiān)控，你應該全方面使用Tor。”

同樣，這可能也是一個不完美的解決方案。雖然Tor瀏覽器提供匿名、規(guī)避審查和反監(jiān)控追蹤，但是它并不像虛擬專用網(wǎng)絡一樣迅速。更糟糕的是，某些互聯(lián)網(wǎng)服務提供商會拒絕Tor。

營銷宣傳

許多聲稱安全的虛擬專用網(wǎng)絡服務提供商，其實缺乏可信度。某些虛擬專用網(wǎng)絡服務提供商聲明不會記錄日志，接受比特幣，浮夸地表示他們是軍用、政府、NSA級別的加密。

而且，虛擬專用網(wǎng)絡不僅僅會存在安全漏洞的問題，還可能是民族主義者的蜜罐，相反，那些事先聲明他們的威脅模型，講清楚能保護的和不能提供保護虛擬專用網(wǎng)絡服務提供商，可能更值得信任。

閱讀服務條款有時能給用戶一個清晰的認識。比如2015年，免費的以色列虛擬專用網(wǎng)絡 Hola被發(fā)現(xiàn)將用戶帶寬出售給Luminati 虛擬專用網(wǎng)絡。那些想要隱藏IP地址的用戶不知不覺就變成了虛擬專用網(wǎng)絡的出口節(jié)點和終點（暴露了自己的IP地址，混入了別人的流量）。直到8chan留言板運營商 Fredrick Brennan說，直到Hola用戶在不知不覺中被利用來攻擊他的網(wǎng)站后，才更新了自己的FAQ。

如何尋找可信的虛擬專用網(wǎng)絡

看到上面所有的預防措施和虛擬專用網(wǎng)絡說明了吧，靠它們去找可信的虛擬專用網(wǎng)絡靠譜么？虛擬專用網(wǎng)絡服務提供商表示購者自慎。

某家虛擬專用網(wǎng)絡服務提供商是否使用了最新的協(xié)議，該公司的背景和聲譽如何，服務條款是否容易理解，這些虛擬專用網(wǎng)絡 到底能防護什么和未能照顧到什么，它對于信息披露的細節(jié)表達了足夠誠實嗎？

拋開這些因素，Campbell建議大家看看公司的行為，他說這可能會顯示出一個服務商是否關心客戶的隱私。這三年來，他自己也在尋找一個清晰明確的隱私政策，而不是只有樣板政策的公司。

Campbell警告道：

“在斯諾登泄密事件后，過去幾年已有了很多廉價的虛擬專用網(wǎng)絡服務提供商。這些新入行的虛擬專用網(wǎng)絡服務提供商在安全方面做的不是很好。許多情況，他們想把部分服務器的主機業(yè)務轉為帶寬業(yè)務，但是他們完全沒有安全方面的經(jīng)驗。”

作為最后一個預防措施，Campbell也在尋找不通過第三方系統(tǒng)捕獲用戶敏感數(shù)據(jù)的虛擬專用網(wǎng)絡，他表示：

“任何尊重客戶隱私的虛擬專用網(wǎng)絡服務提供商，都不會去觸碰與客戶交互的系統(tǒng)，比如第三方聊天腳本、支持票務系統(tǒng)、博客評論等等。用戶通常會在請求包里提交非常敏感的數(shù)據(jù)，但是他們并不一定清楚他們的虛擬專用網(wǎng)絡服務提供商是否單獨監(jiān)控了流量系統(tǒng)。”

自己動手，豐衣足食

根據(jù)你的隱私需求，一個滿意的預解決方案可能并不存在。如果是這樣的話，懂技術的用戶可以自己搭建虛擬專用網(wǎng)絡。如果你的方案里更在意速度，你可以在DigitalOcean、Amazon主機、Vultur,、OVH或者其他可靠的主機商的VPS運行Streisand。Streisand是在土耳其推特全面被封殺后推出的，它的目的是為了幫助用戶繞過互聯(lián)網(wǎng)封鎖。

Streisand的Github頁面稱：

“Streisand可以在服務器上搭建L2TP/IPsec、OpenConnect、OpenSSH、Open虛擬專用網(wǎng)絡、Shadowsocks、sslh、Stunnel，以及Tor橋，它還會為這些服務生成自定義配置指令。”

其締造者Joshua Lund告訴記者，Streisand的目標之一就是使得安裝過程盡可能簡單。他設想這個開源服務能夠成長為一個“集中式知識存儲庫”，成為一個自動化升級最佳實踐的社區(qū)。

Lund 在郵件中告訴記者：

“Streisand將幾個最困難的步驟實現(xiàn)了自動化，大大提升了安全性。比如Streisand配置Open虛擬專用網(wǎng)絡時會啟用TLS認證（又名HMAC防火墻）”，生成了一個自定義組的Diffie-Hellman參數(shù)，啟用了一個更強大的多密鑰校驗機制（AES-256/SHA-256替代了原來默認的Blowfish/SHA1）。許多用戶在手動配置時，其實會跳過這些選擇性的耗時步奏。事實上，大多數(shù)商業(yè)虛擬專用網(wǎng)絡服務商并不啟用這些Open虛擬專用網(wǎng)絡配置。

Streisand還有個好處在于，當自動安全更新和安裝過程后，約十分鐘就能讓用戶得到一個全新的服務。相比商業(yè)虛擬專用網(wǎng)絡服務商，Streisand也不太可能成為審查、DDoS或者流媒體封鎖的目標。

像大多數(shù)虛擬專用網(wǎng)絡一樣，Streisand會不同。在2016年考察這些產(chǎn)品后，我們只得到一條準則：尋找虛擬專用網(wǎng)絡決定于你使用它的第一目的。尋求對自身網(wǎng)絡安全進行保護的用戶，與那些想隱藏自己真實地址的用戶目的是不同的。意識到虛擬專用網(wǎng)絡的局限性和具體的弱點缺陷，至少可以幫助你做出一個更明智的復雜決定。

最新評論