VPN

Una VPN, Virtual Private Network, és una xarxa virtual capaç de connectar diversos dispositius com si estiguessin físicament a un mateix lloc.

Utilitzar una VPN aporta les següents avantatges:

  • Integritat: xifra les comunicacions entre l’usuari i el servidor VPN.
  • Privacitat: amaga l’IP de l’usuari. La pàgina web destí no sap realment des d’on s’ha connectat l’usuari.
  • Anti-Censura: Permet evadir la censura, per exemple cesures aplicades per geolocalització.

Funcionament

Per explicar com funcionen les VPNs, utilitzaré l’escenari en el qual un usuari es vol connectar des de l’ordinador de casa seva a les xarxes socials, però serveix qualsevol web:

Escenari: connexió directe

A l’esquerra de tot, l’usuari té els seus dispositius connectats al router de casa seva. A l’estar a la xarxa interna, cada dispositiu té una IP interna i el router té una IP pública, ja que és el que farà de pont entre els dispositius de l’usuari i Internet.

El tràfic que va a Internet, representat per un núvol, en realitat primer va fins al ISP, companyia d’Internet que tingui contractada l’usuari, i després va saltant entre diversos routers fins a arribar al destí. L’ISP pot veure les comunicacions dels seus usuari i els routers intermedis poden estar controlats per empreses d’espionatge, autoritats, criminals o governs.

Tot i que en principi el tràfic va xifrat (HTTPS), si intercepten les comunicacions poden veure l’origen i el destí. Per tant, poden saber a quina hora una persona s’ha connectat a una pàgina web. Per acabar-ho de complicar, desxifrar el tràfic HTTPS no és impossible i menys si parlem d’empreses amb pressupostos milionaris com la NSA o la GCHQ.

Per últim, l’empresa que controla la pàgina web a la qual es connecta l’usuari pot saber la seva IP i saber des d’on s’ha connectat.

Per tant, es podria resumir que els agents intermedis podrien veure el següent:

  • Origen: , veuen la IP pública router. Les autoritats podrien aconseguir l’indentitat real de l’usuari a través d’una ordre judicial entregada a les companyies de telèfon i Internet (ISP).
  • Destí: , veuen el domini de la pàgina destí.
  • Contingut: a priori no, ja que està xifrat (HTTPS), tot i que hi ha atacs que permetrien veure’l, com per exemple atacs de Man in The Middle (MiTM).

Quan un usuari contracta els serveis d’una empresa de VPN i s’hi connecta, el que està fent és crear un túnel xifrat entre el dispositiu i el servidor de VPN:

Escenari: connexió amb VPN

En aquest nou escenari, un agent que intercepti les comunicacions entre el dispositiu i el servidor VPN, sabrà la IP pública del router però no podrà veure ni el contingut del tràfic ni la pàgina destí. Si fan l’interceptació després del servidor VPN, si que podran veure la pàgina destí però no sabran la IP pública del router, sinó que només veuran la IP del servidor VPN.

Per tant, es podria dir que els agents intermedis situats entre el router i el servidor de VPN podrien veure el següent:

  • Origen: , veuen la IP pública router.
  • Destí: No, veuen la IP del servidor VPN.
  • Contingut: No, ja que està doblement xifrat (VPN + HTTPS).

En canvi, si els agents intermedis estan situats entre el servidor de VPN i la pàgina destí podrien veure el següent:

  • Origen: No, veuen la IP del servidor VPN
  • Destí: , veuen el domini de la pàgina destí
  • Contingut: a priori no, ja que està xifrat (HTTPS)

Com pots veure, utilitzar una VPN permet a l’usuari obtenir privacitat i anonimat, ja que els agents intermedis que puguin interceptar el tràfic no podran veure-ho tot (origen, destí i contingut).

Per últim, indicar que l’ús de VPNs és una bona manera d’evadir censures basades en geolocalització, ja que moltes empreses de VPN permeten als seus clients escollir el servidor VPN al que connectar-se. Per exemple, si hi ha una pàgina web que només permet connexions des d’IPs que no siguin d’Espanya, un usuari estant a Barcelona, podria connectar-se correctament si escull un servidor VPN que estigui a un altre país. Com que la pàgina final només veu la IP del servidor VPN, no podria saber que la connexió en realitat s’està fent des d’Espanya i per tant, permetrà l’accés.

Quina escollir?

Les VPN es basen en privacitat per política. Això vol dir que l’usuari tindrà tanta privacitat com fortes siguin les polítiques de l’empresa VPN. No hi ha una resposta fàcil a la pregunta de quina VPN escollir. La meva recomanació és que escullis la que et transmeti més confiança.

Per ajudar-te en l’elecció, aquestes són algunes característiques a tenir en compte:

  • Model de negoci: d’on obté el finançament? Si l’empresa VPN rep subvencions privades, és possible que vengui informació dels usuaris. El millor seria que l’empresa VPN obtingui els diners exclusivament de la quota dels usuaris.
  • Reputació: buscar si existeixen notícies negatives sobre l’empresa. Per exemple, si es coneixen filtracions de dades d’usuaris, siguin per atacs informàtics o per pactes amb autoritats o agències d’espionatge.
  • Recol·lecció de dades: assegurar-se que tenen una política de privacitat forta. Per exemple, quines dades emmagatzemen dels usuaris.
  • Jurisdicció: que operi fora dels “five/nine/fourteen-eyes” i que tingui lleis fortes que protegeixin la privacitat del consumidor.
  • Seguretat: assegurar-se que no utilitzi xifrat dèbil, com el PPTP, que passi auditories de seguretat o tingui un programa de bug-bounty.
  • DNS Leak: l’empresa VPN hauria de xifrar automàticament el tràfic DNS per evitar que es filtri la pàgina a la qual es connecta l’usuari.
  • Tecnologia: que ofereixi configuracions per OpenVPN. Si utilitza un client propi, assegurar-se que tingui “kill switch”. Així s’evita que, si la VPN cau, l’usuari segueixi navegant sense ser conscient que no està utilitzant una VPN.
  • Privacitat: que accepti bitcoins o targetes regals i que no demani informació personal. És a dir, que durant el registre et demani el mínim d’informació possible. Per exemple, només email i contrasenya.

Empreses VPN

Hi ha moltes empreses que ofereixen serveis de VPN. A continuació et mostro alguns exemples:

Gratuïtes:

  • Hotspot Shield Free VPN
  • ProtonVPN
  • TunnelBear

Pagament:

  • Mullvad: 5 euros/mes
  • ProtonVPN: 4 euros/mes
  • IVPN: 15 euros/mes
  • NordVPN: 10.5 euros/mes
  • ExpressVPN: 12.95 euros/mes
  • TorGuard: 9.99 euros/mes

Sempre que t’ho puguis permetre, utilitza una VPN que siguin de pagament. Si són completament gratuïtes hauries d’investigar ben bé d’on treuen els diners per pagar als treballadors i el manteniment de la infraestructura. N’hi ha moltes que, o bé altres empreses els hi paguen, o bé els obtenen venent informació a empreses de publicitat, cosa que disminueix la privacitat de l’usuari.

La meva recomanació personal és, que si no vols invertir temps en mirar i buscar totes les característiques de VPN, utilitza ProtonVPN. És una empresa amb seu a Suïssa que es pren molt en serio la privacitat de l’usuari. A més a més, està en constant desenvolupament i treien funcionalitats noves.

Punts dèbils

No hi ha una recepta per obtenir privacitat i anonimat completa. S’han de tenir en compte els punts dèbils de les VPNs per no tenir una falsa sensació de seguretat:

  • Les VPN no deixen de ser empreses privades, per tant s’ha de ser cautelós.
  • Les empreses VPN poden col·laborar amb governs
  • No protegeix contra malware
  • No protegeix contra la filtració d’informació personal de l’usuari. Per exemple, si omples un formulari indicant on vius, és igual que estigueu connectats a un servidor VPN del Japó, la pàgina web sabrà on vius realment.
  • Les VPN saben l’IP pública de l’usuari, per això és important confiar amb l’empresa. És molt important que l’empresa VPN no accepti ordres judicials de les autoritats.
  • Moltes requereixen fer un pagament. Utilitzar targeta de crèdit enllaça directament cap a l’usuari. Si es busca més anonimat absolut, paga amb bitcoins o targetes regal.

Tècniques avançades

A continuació, et mostro diverses tècniques per incrementar la privacitat i anonimat de l’usuari. Totes se centren a intentar reduir el que sap l’empresa VPN per evitar perdre tota la privacitat i anonimat si la comprometen o ven informació.

Combinació de dues VPN

Consisteix a contractar el servei de VPN a dues empreses diferents. D’aquesta manera, quan l’usuari es connecta amb les dues, aconsegueix que la primera VPN sàpiga l’origen però no el destí i la segona sàpiga el destí però no l’origen.

Escenari: connexió amb dues VPNs diferents

Això també dificulta la tasca de rastreig de les empreses d’espionatge, ja que haurien d’aconseguir obtenir les dades dels usuaris de dues empreses diferents i correlacionar-les.

El punt negatiu és que la connexió a Internet serà més lenta i té un cost econòmic més elevat.

VPN + pfSense

pfSense és un firewall/router de programari lliure basant en FreeBSD que s’instal·la a un ordinador o màquina virtual per controlar el tràfic que passa a través de la xarxa.

La idea d’aquesta configuració és incrementar la seguretat a la xarxa interna, evitant així que un atac informàtic afecti directament als nostres dispositius.

Escenari: connexió amb VPN i pfSense

Utilitzant Virtualbox, un programa que permet virtualitzar sistemes operatius, s’instal·la el pfSense i s’hi configura la VPN. Tots els dispositius o màquines virtuals que és vulguin connectar a través de la VPN, s’han de configurar perquè en lloc d’enviar el tràfic al router, l’enviïn al pfSense. Per últim, s’hauran de fer les regles de firewall de tal manera que permeti el tràfic sortint però no l’entrant.

Així, no només s’incrementa la seguretat, sinó que es pot utilitzar una VPN a tots els dispositius sense haver-la de configurar individualment a cada un d’ells.

Una manera més senzilla de fer això, és utilitzar el router en lloc del pfSense. Les avantatges és que si el router és bo, només hauràs de configurar la VPN al mateix router, que és més fàcil que muntar una màquina virtual i configurar el pfSense. Les desavantatges és que no tots els routers permeten configurar una VPN.

Dues VPN + pfSense

Aquesta és la configuració més avançada, ja que combina els dos escenaris anteriors. Incrementant així no només la seguretat, sinó també la privacitat i l’anonimat.

Escenari: connexió amb dues VPNs i dos pfSense

Utilitzant Virtualbox, s’han de crear dues màquines virtuals amb pfSense i instal·lar una VPN a cada un. El tràfic del primer pfSense ha d’anar dirigit al segon i el tràfic del segon al router. Per altra banda, els dispositius i màquines virtuals s’han de configurar perquè enviïn el tràfic al primer pfSense i no al router.

Conclusions

És molt recomanable utilitzar VPNs per incrementar la teva privacitat i anonimat. Avui en dia, són molt fàcils de configurar i la majoria d’empreses de VPNs ofereixen aplicacions pròpies per configurar-les amb un sol clic. A més a més, moltes també tenen aplicació mòbil.

Així i tot, has de tenir present els límits de les VPNs. Per exemple, de res et serveix connectar-te a les xarxes socials amb una VPN, ja que és molt probable que l’empresa que controla les xarxes socials pugui determinar qui ets i on vius només amb el contingut que has anat publicat.

Per últim, reiterar que les VPNs protegeixen a l’usuari per política i no per disseny. Això implica que la privacitat de l’usuari depèn completament de l’empresa de VPN, ja que aquesta sap l’origen, el destí i té informació sobre l’usuari. Per tant, si l’empresa VPN es corromp, la privacitat de tots els seus usuaris quedarà compromesa.

La meva recomanació personal és que utilitzis ProtonVPN.

Referències

  • Virtualbox: enllaç
  • pfSense: enllaç
  • Survilliance Self-Defense – Choosing the VPN that is right for you: enllaç
  • IVPN Privacy Guides – Advanced Privacy and Anonymity Using VMs: enllaç
  • IVPN Privacy Guides – What is a VPN?: enllaç
  • IVPN Privacy Guides – How to perform a VPN leak test: enllaç

Deixa un comentari