Šifrované spojení do internetu, které nikdo nemůže odposlouchávat, překoná Velký čínský firewall nebo regionální omezení Netflixu, nebo bezpečný způsob, jak se připojit do firemní sítě. To jsou důvody, proč miliony lidí používají VPN, virtuální privátní sítě.

Jejich bezpečnost a spolehlivost má ale limity.

Aktuálně se řeší problémy společnosti NordVPN, poskytovatele stejnojmenné VPN služby. Té utekly privátní klíče a neznámý útočník získal plnou kontrolu nad jejich serverem ve Finsku. NordVPN přitom patří mezi ty lepší společnosti, které VPN provozují.

Společnost VPNpro u velkého množství různých VPN služeb zjišťovala, komu vlastně patří. Výsledky byly pozoruhodné: 97 služeb vlastní jenom 23 společností, z nichž řada sídlí v zemích, které neslynou zrovna nejlepší pověstí, pokud jde o dodržování soukromí internetových uživatelů - například v Číně nebo Pákistánu. Jenom čínské společnosti vlastní přibližně třetinu z nejznámějších VPN služeb (29 z 97).

Otázkou tedy je, co s tím. A my máme možnou odpověď. 

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Co je vlastně VPN

VPN znamená Virtual Private Network, tedy virtuální privátní síť.

Můžete si ji představit jako virtuální kabel, který je natažen mezi dvěma body Internetu, skrze různé jiné sítě. Jako tunel, skrz který tečou data.

Formálně vzato, většina služeb nabízených koncovým uživatelům jako VPN ve skutečnosti nenabízí virtuální privátní síť. Technologicky se často jedná o nějakou formu proxy. Nicméně efekt je tentýž a označení VPN se zažilo.

Typické použití VPN je ve firemní sféře, kde se mohou uživatelé z vnější sítě (Internetu, třeba zaměstnanci z domova nebo z hotelu na služební cestě) připojit do vnitřní sítě firmy a tváří se, jako kdyby byli fyzicky přítomni. Skrze VPN se ovšem můžete připojit i do dalších sítí a do Internetu. Pokud máte "vytočeno" VPN spojení, jde (respektive může jít - v závislosti na nastavení) veškerý provoz do Internetu nejdříve skrz VPN a poté z tamní sítě "zpět" do Internetu. Pro zbytek světa to přitom vypadá, jako by se uživatel připojoval z místa, kde VPN končí. Lze tak "schovat" fyzické i síťové umístění uživatele.

VPN jsou navíc typicky šifrované. Provozovatelé sítí, skrz které provoz teče, do něj na rozdíl od obvyklého stavu nemohou nijak zasahovat a nedokáží jej ani přečíst.

Poznají sice, že je ustaveno VPN spojení a že jsou přes něj přenášena nějaká data (a jejich objem), ale to je zhruba všechno.

Proč používat VPN

Právě tato vlastnost virtuálních privátních sítí vede k tomu, že se používají i v případě, že chceme přistupovat k Internetu, ne do nějaké konkrétní vnitřní sítě. V praxi se často k Internetu připojujeme do sítí, jimž zcela nedůvěřujeme. Například do veřejných sítí v restauracích, hotelech a na letištích a podobně. Provozovatele těchto sítí zpravidla neznáme a nevíme, zda jim můžeme důvěřovat. Zabezpečení těchto sítí navíc nebývá na moc vysoké úrovni, takže i pokud nepodezíráme ze zlých úmyslů přímo provozovatele, musíme se mít na pozoru před nekalými úmysly ostatních uživatelů.

Některé protokoly – například HTTPS a další protokoly zabezpečené pomocí TLS – jsou sice proti útokům tohoto typu do jisté míry chráněny, ale stoprocentně spolehnout se na to zpravidla nemůžeme, potenciál k útokům je příliš velký.

Navíc pro řadu úspěšných útoků stačí, když uživatel navštíví jakýkoliv HTTP (ne HTTPS) web.

Takovou nedůvěryhodnou síť můžeme přesto bezpečně využívat – pokud ji použijeme jenom jako cestu k ustavení tunelu – VPN – do nějakého důvěryhodného bodu, odkud pak přistupujeme dále do Internetu.

Použití VPN nás také může ochránit před cenzurou Internetu nebo blokováním "nevhodných" stránek. Jednoduše se z cenzurované sítě připojíme někam, kde omezení již neplatí.

Provoz VPN jako takové samozřejmě lze blokovat také. Ovšem pouze jako celek, nelze zabránit pouze určitému druhu provozu nebo dalšímu spojení. A ačkoliv je to technicky možné – a celkem snadné – zpravidla se tak neděje. Jak již bylo popsáno výše, VPN se rutinně využívají v profesionální praxi. Používají se ve firemním prostředí, používají se pro správu serverů a sítí (na řadu serverů není z bezpečnostních důvodů možný přístup z Internetu, ale jenom z vnitřní sítě, do níž se lze dostat VPNkou).

Pokud tedy budete chtít přistupovat k webu, který je z rozhodnutí ministerstva financí blokován v ČR, stačí vytočit VPN kamkoliv za hranice, kde je Internet ještě svobodný, a připojit se odtamtud.

Použití VPN obecně neznamená anonymitu. Sice se změní IP adresa a vypátrání koncového uživatele se poněkud zkomplikuje, zejména pokud provozovatel VPN serveru neudržuje žádné logy, ale to pro spolehlivě anonymní přístup nestačí.

VPN jako služba a proč ji nepoužívat

Poslední dobou se roztrhl pytel s komerčními i bezplatnými službami, které nabízejí VPN nebo se tak přinejmenším tváří. Zdánlivě se jedná o nejjednodušší řešení – stačí využívat příslušnou službu a je hotovo. Nicméně tento postup obecně nedoporučuji.

Použitím VPN se bezpečnostní problémy neřeší, jenom se přesunou – na provozovatele VPN, do jehož rukou svěřujete svou bezpečnost a své soukromí. Protože on vidí a obecně může modifikovat váš provoz. Ukazuje se, že všichni provozovatelé VPN (zejména těch bezplatných nebo levných) nejsou až tak důvěryhodní. Někteří modifikují váš provoz a vkládají do webových stránek svou reklamu nebo affiliate kódy pro internetové obchody.

Většinou si musíte nainstalovat speciální klientský program, který může nainstalovat pokud ne přímo malware, tak přibalené další programy, bez kterých byste se obešli. Bezpečnost samotných VPN také není vždy dobrá, nedávné studie prokázaly, že mnoho poskytovatelů má své servery nastavené špatně a provoz lze dešifrovat nebo na něj úspěšně útočit jinak. Již v úvodu článku bylo řečeno, že nemalá část poskytovatelů má domicil v zemích, jimž není radno důvěřovat.

Vlastní brána v oblacích

Pokud toho jsme technicky a organizačně schopni, je samozřejmě nejlepší si provozovat vlastní VPN server (také se mu někdy říká VPN gateway, brána) v prostředí, kterému důvěřujeme. Odkudkoliv se pak můžeme připojit na server pod naší kontrolou a pak z něj dále.

Tento postup je výhodný i v případě, že se nacházíme v síti (nebo zemi), která si nepřeje, aby její uživatelé VPN obecně používali, třeba k obcházení vynucené cenzury. Jak již bylo řečeno, není obvykle žádoucí blokovat VPN jako takové. Ale je snadné blokovat konkrétní populární poskytovatele VPN služeb – to dělají například v Číně.

Technologií pro provoz VPN je navíc celá řada a některé z nich jsou navržené tak, že při pohledu zvenčí nevypadají jako VPN, ale jako běžný provoz, např. HTTPS.

VPN gateway můžeme rozběhnout například u sebe doma nebo ve firmě, pokud k tomu máme vhodné připojení a server, ale jednodušší a výhodnější může být umístit ji k některému poskytovateli cloudových služeb. A to hned z několika důvodů:

  • - Je to snadné a levné; dále popisované řešení jste schopni provozovat s nákladem v desetikorunách měsíčně.

  • - Cloudové služby nabízejí dostatečné rychlosti připojení, aby nás VPN příliš nezpomalovala.

  • - Na připojení ke cloudovým serverům není nic nestandardního ani podezřelého. Běží tam statisíce různých webů a různých služeb.

  • - Je snadné změnit IP adresu cloudového serveru, pokud to potřebujeme.

  • - Lze si vybírat z mnoha datacenter po celém světě. Můžeme se tvářit jako uživatel z jiné země a obejít tak například různá regionální omezení.

VPN bez instalace

Pokud potřebujete VPN jenom pro občasné použití a opravdu si nechcete vytvářet vlastní server, máte několik snadných a více či méně důvěryhodných možností.

  • Uživatelsky patrně nejjednodušší je "VPN" (ve skutečnosti proxy), která je vestavěná v prohlížeči Opera. Není třeba nic platit ani nastavovat, stačí použít vestavěnou funkci. Nicméně řada služeb tuto VPN umí detekovat a její uživatele při obcházení regionálních omezení blokuje. Navíc Operu vlastní čínská firma.

  • Nějakou formu VPN plánuje v budoucnosti nabízet i Firefox od Mozilly. V současnosti je v běhu beta program, který je ale dostupný jenom pro uživatele z USA.

  • Pro mobilní zařízení s Androidem a IOS je k dispozici aplikace/služba WARP+ od CloudFlare. Pokud si aplikaci stáhnete přes tento odkaz, měli byste dostat 1 GB přenesených dat zdarma. Neomezený objem pak vyjde na 108 korun měsíčně.

Vlastní VPN server

V minulosti jsem pro tvorbu vlastního serveru doporučoval projekt Streisand a napsal jsem pro něj dokonce i český návod. Nicméně projekt mezitím zastaral, potýká se s problémy a nadále není nejvhodnější volbou. Naštěstí ale existuje více než dostatečná alternativa v podobě projektu Outline.

Cílem Outline je umožnit vytvoření a používání vlastního VPN serveru každému, bez jakýchkoliv technických znalostí. Je primárně určen pro novináře a zpravodajství, ale může ho využívat kdokoliv.

Princip jeho fungování je následující:

  1. Na jeden počítač (typicky v redakci nebo někde v bezpečné zóně) se nainstaluje Outline Manager, což je program, který umožňuje vytvářet a spravovat VPN servery a účty na nich (přístupové klíče).

  2. Pomocí tohoto programu můžete na dálku vytvořit a nainstalovat VPN server u cloudových poskytovatelů nebo ve vlastní infrastruktuře. Přímo je podporován DigitalOcean, Google Cloud Platform a Amazon Web Services, ale lze použít cokoliv jiného, jenom je postup instalace poněkud komplikovanější.

  3. Na klientská zařízení (počítače, mobily...) se nainstaluje Outline Client.

  4. V Outline Manageru vygenerujete klíče a nějakým bezpečným způsobem je předáte uživateli na klientské zařízení.

Outline sám neřeší VPN jako takovou, využívá k tomu open source projekt Shadowsocks. Nabízí ale jednoduché rozhraní pro vytváření a správu VPN serverů a klientů.

Připravil jsem bezplatný návod, který krok za krokem popisuje, jak pomocí Outline vytvořit a nainstalovat VPN server a jak ho poté používat. Pokud jako poskytovatele použijete DigitalOcean, při registraci přes tento link dostanete na vyzkoušení kredit 50 dolarů na 30 dnů. Po jeho vyčerpání pak nejlevnější server, který pro použití jako VPN gateway bohatě postačí, vyjde na pět dolarů měsíčně, tedy asi na 120 korun. To je cena srovnatelná s většinou komerčních VPN, ale s mnohem většími možnostmi.