中國的互聯(lián)網并不是真正開放的互聯(lián)網，有時候很多人耐不住自己想要窺探外面世界的好奇心，選擇用翻墻這種方式打開世界的大門，而虛擬專用網絡（虛擬專用網絡）就是看似用來幫助你混淆自己蹤跡的幫助者?？墒?，你真的了解虛擬專用網絡嗎？它真的老老實實的只為你工作嗎？

三年前斯諾登泄密事件揭露的東西，從安全的角度看對互聯(lián)網服務提供商來講并沒有太多的幫助，甚至可以說做的有些過火。同時也模糊了反恐政策的概念。而當新聞爆出像NSA的Vulcan數(shù)據(jù)庫或者它的Diffie-Hellman策略時，任何一個網絡隱私主義者看過了都會心中發(fā)顫。突然間似乎每個人都需要重新評估下某些網上用于保持隱私的工具——虛擬專用網絡。

傳統(tǒng)虛擬專用網絡簡介

虛擬專用網絡（虛擬專用網絡），這款工具通常用于混淆用戶的IP地址，或在用戶進行WEB瀏覽時增加一層安全保護。它會把你的流量轉到加密且安全的虛擬專用網絡服務器上。不同的人使用虛擬專用網絡的目的也不同，有些人可能是用它來改變自身的IP地址，這樣就可以獲取一些其他地域的媒體內容，或者能匿名下載一些東西。還有的人希望以此規(guī)避廣告商的網絡追蹤，或者防止盜用WIFI后的負面影響，甚至只是為了在他們訪問特定網站時隱藏真實的IP地址。

然而虛擬專用網絡的質量也是參差不齊的。事實上某些存在問題的虛擬專用網絡會讓用戶的安全更加脆弱。某些虛擬專用網絡是禁用了torrent下載的，還有些會記錄下信息，跟蹤上網行為，或者按照當?shù)氐姆蓪?shù)據(jù)進行保留。

去年我開始嘗試整理一份好的虛擬專用網絡列表，雖然網上已有不少類似的虛擬專用網絡清單，但是通常都充斥著附加內容鏈接，很難確認其準確性。這份虛擬專用網絡比較圖表，里面概述了虛擬專用網絡業(yè)務流程、日志記錄、服務配置和其他特性。但它存在矛盾策略，并誤導讀者，聲明各類的服務是100%有效的。但其實大部分內容是從真實的虛擬專用網絡網站導入的，這就意味著可能會混入一些錯誤信息。

幾個月的研究后，筆者的嘗試都失敗了。所以現(xiàn)在筆者仍然不能推薦一組安全的虛擬專用網絡列表給大家。相反的是，研究結果刷新了筆者對目前虛擬專用網絡的三觀。當涉及到日志記錄的時候，評估可行性和驗證準確性也不是件容易的事，所以，我覺得與其給大家一個簡單的列表，還是提供一些指導方針更加靠譜，讓大家自己了解在本年度哪些虛擬專用網絡是有效可用的。

虛擬專用網絡不是用來匿名的

關于虛擬專用網絡的一個常見的誤讀是：它們會給大家提供匿名功能，即使是針對民族主義者。但是，安全研究員Kenneth White表示：

“如果政府對目標進行專門的監(jiān)測追蹤，虛擬專用網絡是不足以做到這一點的。”

事實上，虛擬專用網絡聲稱的會給提供用戶匿名性，是“不可行的，不負責的，或者兩者兼?zhèn)涞?rdquo;。DNSleaktest.com的站長Jeremy Campbell在郵件里告訴記者：

“為了實現(xiàn)匿名去使用公共虛擬專用網絡是非常愚蠢而危險的，無論服務配置的有多么安全，匿名技術本身并沒有在這里實現(xiàn)。虛擬專用網絡服務要求你信任他們，但匿名系統(tǒng)本身是沒有這個屬性的。”

White沒有堅持完全放棄虛擬專用網絡，但是他警告說它應該作為一個輔助工具，而不是一個隱私的解決方案，他表示：

“相反，像專門的隱私工具如Tor瀏覽器之類的（里面可能包含了信用良好的虛擬專用網絡），那就是可以使用的。它們不僅實現(xiàn)了匿名化屬性，而且瀏覽器已經進行了大量定制，以實現(xiàn)網絡隱私的最大化（比如弱化了cookie、Flash、Java插件等特征）。”

Tor分布式網絡，會嘗試在多個中繼傳輸流量來實現(xiàn)匿名。但其實它也很難進行核實，沒有人知道Tor這樣是否能夠獲得百分百成功。Tor瀏覽器最近受到了美國國防部的矚目，這只會強化這種擔心。某些批評者認為，Tor會讓人們更容易依賴過時版本的Firefox，但這些東西都不能保證是萬無一失的。

Johns Hopkins大學的密碼學教授Matthew Green表示：

“某些在俄羅斯出口節(jié)點的惡意Tor，實際上會偷偷修改二進制文件。所以，如果你不幸在Tor下載文件時碰巧遇到了這些節(jié)點，它們可能會將它轉換成惡意軟件。”

盡管Green并沒有聽說過虛擬專用網絡發(fā)生過這樣的事，但他指出這樣的攻擊是存在可能的。與多數(shù)虛擬專用網絡不同，Tor和Tor瀏覽器通常用于高風險的情況，工程師需要迅速修復安全漏洞，這樣的方式可能不適用于所有的虛擬專用網絡。

用虛擬專用網絡來BT下載安全嗎？

某些虛擬專用網絡提供商會禁用p2p，如果有必要還會把用戶的名字給版權所有者。代表版權所有者的利益的，可能會取消慣犯的賬戶。希望使用虛擬專用網絡進行torrent下載和流媒體觀看的親們，可以尋找那些特殊的服務提供商（或者不保留日志），但是問題又來了，Campbell表示：

“然而，我們并沒有辦法驗證虛擬專用網絡提供商所說的話。大家必須依靠新聞報道和網上論壇的討論等等，來判斷服務提供商的聲譽。”

看來，必須時刻保持警惕才行。

虛擬專用網絡可以“防御”廣告追蹤？

盡管虛擬專用網絡能掩飾你的IP地址，但它不一定能保證你免受間諜廣告和追蹤的困擾。

Campbell表示：

“虛擬專用網絡提供的防廣告追蹤的技術可以忽略不計，因為IP掩蓋是一個弱標志。網絡廣告更傾向于cookies、supercookies和瀏覽器指紋技術，這些東西虛擬專用網絡是無法進行保護的。”

為了防止無處不在的廣告跟蹤，廣告阻斷器uBlock、uBlock origin，以及追蹤阻斷器PrivacyBadger或Disconnect會提供一定程度的保護。禁用JS代碼，或者使用Firefox下的NoScript可以消除一些指紋。更高級的用戶可以使用虛擬機或者沙箱瀏覽器。當然，Tor瀏覽器也能防止產生特定瀏覽器指紋。

虛擬專用網絡讓你更危險？

用戶使用虛擬專用網絡的是為了保護自身網絡安全，特別是在處于公共WIFI之下的時候。GoGo被爆出使用了Youtube的偽造證書，這可能會泄露用戶的流量，包括用戶的Youtube密碼。

因為虛擬專用網絡建立了用戶和虛擬專用網絡商服務器之間的通道，所以用戶對于虛擬專用網絡提供商的信任非常重要。畢竟提供商能看到和記錄你所有的流量，甚至可以更改你的流量內容。一個虛擬專用網絡的配置不當，黑客就可能直接訪問你的本地局域網，這比別人在咖啡店網絡下，嗅探你的流量更加可怕。

“如果虛擬專用網絡服務供應商不老實的話，你只能自己做祈禱了。你得時刻擔心是否會在本地局域網被人黑掉，若是使用了一個粗制濫造的虛擬專用網絡服務，很可能就會把自己推入虎口。”

預共享密鑰

White提供了一個虛擬專用網絡的列表，在網上已有共享密鑰發(fā)布：

GoldenFrog、GFw虛擬專用網絡、虛擬專用網絡Reactor、Unblock虛擬專用網絡、IB虛擬專用網絡、Astril、Pure虛擬專用網絡、PrivateInternetAccess、TorGuard、IPVanish、Nordic虛擬專用網絡、Earth虛擬專用網絡。

“如果我知道了你正在使用的虛擬專用網絡預共享密鑰，并且我控制了你所在WIFI的熱點，那么就可以進行中間人攻擊并且解密你的上網行為。也就是說，當黑客擁有這預共享密鑰時，您的網絡安全系數(shù)就降低了。”

PPTP的代替品

一些虛擬專用網絡還使用了老掉牙的的PPTP 虛擬專用網絡協(xié)議，這在根本上就是不安全的。更好的選擇包括IPSec（有人積極維護）、L2TP/IPSec、IKEv2以及Open虛擬專用網絡等等。

在上述的幾個選項中，IPSec可以設置為不需要安裝額外的軟件，但有人認為這是故意破壞和削弱NSA（美國國家安全局）的力量。Open虛擬專用網絡比它還要安全，但是搭建手法更加復雜，需要第三方軟件的幫助，以及用戶進行正確且復雜的配置。

根據(jù)High-Tech Bridge最近的研究發(fā)現(xiàn)，SSL 虛擬專用網絡中，有90%會使用不安全的或者過時的加密。而有77%使用了不安全的SSLv3（甚至SSLv2）協(xié)議，76%用了不可信的SSL證書（黑客可以更輕易的進行中間人攻擊，攔截虛擬專用網絡連接中的流量），更有一大部分用的不安全的RSA密鑰長度的簽名，以及不安全的SHA-1簽名。不管你信不信，其中還有10%存在心臟出血漏洞。

數(shù)據(jù)保留和日志記錄

一些虛擬專用網絡會根據(jù)本國或當?shù)氐姆?，進行日志信息保存。而且許多虛擬專用網絡服務提供商會記錄大量信息，比如在特定的用戶來連接時，是從哪里、從什么時候連上的，甚至還有他們做了哪些連接。

甚至有些虛擬專用網絡服務提供商，日志量少時會記錄下重要日志，比如連接的IP地址和用戶名，以及內部路由使用的內部負載均衡和服務器維護。某些虛擬專用網絡服務提供商的日志記錄可能會很快銷毀，而其他的由于本地的相關法律，處理方式會有所不同。不管怎樣日志里保存的信息都是足以破除用戶匿名性的。

仔細閱讀服務條款會幫助你確定服務商日志維護保留的情況，并可以了解他們會如何使用收集到的信息。但是其中的真?zhèn)我埠茈y驗證。有人認為進行犯罪活動時虛擬專用網絡也會保護用戶的身份，但人家美國政府已經與世界上數(shù)十個國家簽署了司法互助條約了。

泄露用戶隱私

即使用戶已經連上了虛擬專用網絡服務器，但某些發(fā)出的包可能沒有經過虛擬專用網絡通道進行通信，這就泄露了用戶的隱私。

Campbell表示：

“從技術角度來講，我認為最被低估的漏洞就是虛擬專用網絡軟件客戶端的網絡信息泄露。嚴重的時候，它可能會危及用戶的生命，許多網絡安全和隱私社區(qū)已經對此漏洞進行了重點關注。”

一些虛擬專用網絡服務提供商設置了規(guī)則，在用戶出簍子之前，能阻止不安全的連接。比如你首次登入某個WIFI熱點，或者從一個熱點轉入另一個的時候。其他服務商還會允許用戶自己設置防火墻規(guī)則。

2015年6月，羅馬Sapienza大學和倫敦瑪麗女王大學的研究人員測試了14款熱門的商業(yè)虛擬專用網絡服務，他們發(fā)現(xiàn)了其中10個會泄露IP的數(shù)據(jù)，且都會遭受IPV6 DNS劫持攻擊。雖然后期研究人員并沒有全面復查他們是否修復了，但是也做了一些特別的測試，并發(fā)現(xiàn)情況有所改善。但是可能修復了問題后，還存在其他漏洞。

倫敦瑪麗女王大學的研究員GarethTyson博士表示：

“我給大家的建議是，如果你擔心被政府監(jiān)控，你應該全方面使用Tor。”

同樣，這可能也是一個不完美的解決方案。雖然Tor瀏覽器提供匿名、規(guī)避審查和反監(jiān)控追蹤，但是它并不像虛擬專用網絡一樣迅速。更糟糕的是，某些互聯(lián)網服務提供商會拒絕Tor。

營銷宣傳

許多聲稱安全的虛擬專用網絡服務提供商，其實缺乏可信度。某些虛擬專用網絡服務提供商聲明不會記錄日志，接受比特幣，浮夸地表示他們是軍用、政府、NSA級別的加密。

而且，虛擬專用網絡不僅僅會存在安全漏洞的問題，還可能是民族主義者的蜜罐，相反，那些事先聲明他們的威脅模型，講清楚能保護的和不能提供保護虛擬專用網絡服務提供商，可能更值得信任。

閱讀服務條款有時能給用戶一個清晰的認識。比如2015年，免費的以色列虛擬專用網絡 Hola被發(fā)現(xiàn)將用戶帶寬出售給Luminati 虛擬專用網絡。那些想要隱藏IP地址的用戶不知不覺就變成了虛擬專用網絡的出口節(jié)點和終點（暴露了自己的IP地址，混入了別人的流量）。直到8chan留言板運營商 Fredrick Brennan說，直到Hola用戶在不知不覺中被利用來攻擊他的網站后，才更新了自己的FAQ。

如何尋找可信的虛擬專用網絡

看到上面所有的預防措施和虛擬專用網絡說明了吧，靠它們去找可信的虛擬專用網絡靠譜么？虛擬專用網絡服務提供商表示購者自慎。

某家虛擬專用網絡服務提供商是否使用了最新的協(xié)議，該公司的背景和聲譽如何，服務條款是否容易理解，這些虛擬專用網絡 到底能防護什么和未能照顧到什么，它對于信息披露的細節(jié)表達了足夠誠實嗎？

拋開這些因素，Campbell建議大家看看公司的行為，他說這可能會顯示出一個服務商是否關心客戶的隱私。這三年來，他自己也在尋找一個清晰明確的隱私政策，而不是只有樣板政策的公司。

Campbell警告道：

“在斯諾登泄密事件后，過去幾年已有了很多廉價的虛擬專用網絡服務提供商。這些新入行的虛擬專用網絡服務提供商在安全方面做的不是很好。許多情況，他們想把部分服務器的主機業(yè)務轉為帶寬業(yè)務，但是他們完全沒有安全方面的經驗。”

作為最后一個預防措施，Campbell也在尋找不通過第三方系統(tǒng)捕獲用戶敏感數(shù)據(jù)的虛擬專用網絡，他表示：

“任何尊重客戶隱私的虛擬專用網絡服務提供商，都不會去觸碰與客戶交互的系統(tǒng)，比如第三方聊天腳本、支持票務系統(tǒng)、博客評論等等。用戶通常會在請求包里提交非常敏感的數(shù)據(jù)，但是他們并不一定清楚他們的虛擬專用網絡服務提供商是否單獨監(jiān)控了流量系統(tǒng)。”

自己動手，豐衣足食

根據(jù)你的隱私需求，一個滿意的預解決方案可能并不存在。如果是這樣的話，懂技術的用戶可以自己搭建虛擬專用網絡。如果你的方案里更在意速度，你可以在DigitalOcean、Amazon主機、Vultur,、OVH或者其他可靠的主機商的VPS運行Streisand。Streisand是在土耳其推特全面被封殺后推出的，它的目的是為了幫助用戶繞過互聯(lián)網封鎖。

Streisand的Github頁面稱：

“Streisand可以在服務器上搭建L2TP/IPsec、OpenConnect、OpenSSH、Open虛擬專用網絡、Shadowsocks、sslh、Stunnel，以及Tor橋，它還會為這些服務生成自定義配置指令。”

其締造者Joshua Lund告訴記者，Streisand的目標之一就是使得安裝過程盡可能簡單。他設想這個開源服務能夠成長為一個“集中式知識存儲庫”，成為一個自動化升級最佳實踐的社區(qū)。

Lund 在郵件中告訴記者：

“Streisand將幾個最困難的步驟實現(xiàn)了自動化，大大提升了安全性。比如Streisand配置Open虛擬專用網絡時會啟用TLS認證（又名HMAC防火墻）”，生成了一個自定義組的Diffie-Hellman參數(shù)，啟用了一個更強大的多密鑰校驗機制（AES-256/SHA-256替代了原來默認的Blowfish/SHA1）。許多用戶在手動配置時，其實會跳過這些選擇性的耗時步奏。事實上，大多數(shù)商業(yè)虛擬專用網絡服務商并不啟用這些Open虛擬專用網絡配置。

Streisand還有個好處在于，當自動安全更新和安裝過程后，約十分鐘就能讓用戶得到一個全新的服務。相比商業(yè)虛擬專用網絡服務商，Streisand也不太可能成為審查、DDoS或者流媒體封鎖的目標。

像大多數(shù)虛擬專用網絡一樣，Streisand會不同。在2016年考察這些產品后，我們只得到一條準則：尋找虛擬專用網絡決定于你使用它的第一目的。尋求對自身網絡安全進行保護的用戶，與那些想隱藏自己真實地址的用戶目的是不同的。意識到虛擬專用網絡的局限性和具體的弱點缺陷，至少可以幫助你做出一個更明智的復雜決定。

最新評論