Xây dựng một mạng VPN WireGuard thực sự phi tập trung

Mô hình VPN truyền thống: Một điểm tin cậy duy nhất

Sự bảo vệ của VPN

Trong thiết lập VPN thông thường, tất cả lưu lượng truy cập internet của bạn đều được truyền qua một máy chủ duy nhất do nhà cung cấp VPN vận hành. Trong thực tế, điều đó có nghĩa là:

• Mã hóa: Lưu lượng truy cập của bạn được mã hóa giữa thiết bị của bạn và máy chủ VPN, ngăn chặn những kẻ nghe lén cục bộ (như nhà cung cấp dịch vụ Internet hoặc nhà điều hành Wi-Fi công cộng) xem được những gì bạn đang làm.
• Ẩn danh (một phần): Địa chỉ IP của bạn được che giấu khỏi thế giới bên ngoài và được thay thế bằng địa chỉ IP của máy chủ VPN.

Các lỗ hổng của VPN truyền thống

Tuy nhiên, có một điểm quan trọng cần lưu ý: chính máy chủ VPN lại trở thành một điểm giám sát mạnh mẽ. Nó nhìn thấy địa chỉ IP thực của bạn và điểm đến cuối cùng của lưu lượng truy cập của bạn. Ngay cả khi kết nối được mã hóa, nhà cung cấp VPN vẫn có thể theo dõi mọi trang web bạn và thời điểm bạn truy cập. Về cơ bản, bạn đã chuyển sự tin tưởng từ nhà cung cấp dịch vụ Internet sang nhà cung cấp dịch vụ VPN.

Trong hầu hết các trường hợp sử dụng thực tế, chẳng hạn như duyệt web, dữ liệu bên trong VPN tunnel được mã hóa ở lớp ứng dụng bằng giao thức HTTPS. Điều này có nghĩa là mặc dù nhà cung cấp VPN có thể thấy bạn đang kết nối đến máy chủ nào (ví dụ: địa chỉ IP hoặc thậm chí là tên miền, thông qua DNS hoặc siêu dữ liệu TLS), nhưng họ không thể đọc nội dung thực tế của quá trình giao tiếp của bạn, chẳng hạn như các trang web bạn xem hoặc dữ liệu bạn gửi trong các biểu mẫu. Tuy nhiên, nhà cung cấp vẫn giữ quyền truy cập vào siêu dữ liệu kết nối như địa chỉ IP đích, tên miền (trong một số trường hợp), lưu lượng truy cập và thông tin thời gian, những thông tin này vẫn có thể được sử dụng để lập hồ sơ hoạt động của người dùng.

Tại sao lại cần hai bước nhảy? Hãy tìm hiểu về VPN đa bước nhảy

Để giảm thiểu vấn đề tập trung hóa này, các mạng VPN 2 bước nhảy, thường được gọi là mạng VPN phi tập trung (dVPN), định tuyến lưu lượng truy cập thông qua hai máy chủ riêng biệt: một node vào và một node thoát. Ý tưởng cốt lõi là không một máy chủ nào có thể liên kết danh tính của bạn với hoạt động của bạn:

• Node vào (hay cổng) chỉ nhìn thấy địa chỉ IP của bạn chứ không thấy địa chỉ IP của điểm đến cuối cùng của lưu lượng truy cập trên web
• Node thoát nhìn thấy địa chỉ IP của đích đến cuối cùng, nhưng không biết bạn là ai.

Mô hình phân chia niềm tin này làm tăng đáng kể quyền riêng tư nếu hai node được vận hành bởi các thực thể độc lập, không thông đồng. Nhưng đó là một điều kiện lớn. Ví dụ, nếu một công ty hoặc thực thể duy nhất vận hành cả máy chủ đầu vào và đầu ra, họ có thể liên kết và tái tạo lại dấu vết toàn bộ hoạt động của bạn. Câu chuyện khi đó lại quay trở lại với vấn đề ban đầu về lòng tin tập trung đã nêu ở trên.

WireGuard: Bốn cách thiết kế VPN 2 bước nhảy

Hãy cùng khám phá các cách khác nhau để xây dựng VPN 2 bước nhảy bằng cách sử dụng WireGuard, một giao thức VPN nhanh, hiện đại nổi tiếng về sự đơn giản và hiệu suất. Mỗi phương pháp đều có những tác động khác nhau đến quyền riêng tư.

1. Một đường hầm WireGuard duy nhất đến node thoát

Cách thức hoạt động

Máy khách tạo một đường hầm WireGuard trực tiếp với node thoát. Node vào chỉ đơn thuần chuyển tiếp các gói được mã hóa trong đường hầm mà không thực hiện bất kỳ mã hóa hoặc giải mã nào. Kết nối từ máy khách đến node vào có thể sử dụng bất kỳ giao thức vận chuyển nào, ví dụ: QUIC, TCP, hoặc thậm chí là một đường hầm được làm mờ, tùy thuộc vào những gì hệ thống hỗ trợ.

Ảnh hưởng đến quyền riêng tư

Vì lưu lượng truy cập được chuyển tiếp bởi node vào được mã hóa trong đường hầm WireGuard giữa máy khách và node thoát, nên node vào không có quyền truy cập vào nội dung của lưu lượng truy cập hoặc địa chỉ IP đích. Vì không có kết nối trực tiếp giữa máy khách và node thoát, nên node thoát không biết địa chỉ IP của máy khách.

Tuy nhiên, cần lưu ý rằng đường hầm WireGuard được thiết lập giữa máy khách và node thoát yêu cầu trao đổi khóa công khai. Có nghĩa là node thoát biết khóa công khai của máy khách, và vì các khóa WireGuard có thời hạn sử dụng dài theo mặc định, về nguyên tắc, node thoát có thể theo dõi và liên kết hoạt động của máy khách trên nhiều phiên, ngay cả khi địa chỉ IP thay đổi. Mặc dù việc xoay vòng khóa có thể giảm thiểu rủi ro này, nhưng WireGuard không tự động xử lý việc này. Do đó, node thoát có thể liên kết danh tính của máy khách với đích đến cuối cùng của lưu lượng truy cập. Vì vậy, thiết lập này có khả năng cho phép lập hồ sơ máy khách trong thời gian dài.

2. Đường hầm WireGuard duy nhất đến node vào

Cách thức hoạt động

Máy khách thiết lập một đường hầm WireGuard với node vào, node này sẽ giải mã lưu lượng truy cập và chuyển tiếp nó đến node thoát thông qua các kênh thông thường. Kết nối giữa node vào và node thoát có thể sử dụng bất kỳ giao thức vận chuyển nào, nhưng nó không phải là một phần của đường hầm WireGuard được thiết lập với máy khách.

Ảnh hưởng đến quyền riêng tư

Vì đường hầm WireGuard kết thúc tại node vào, nên node vào có thể thấy địa chỉ IP của máy khách và đích đến dự định. Mặc dù node thoát chỉ thấy lưu lượng truy cập từ node vào và không thể liên kết nó với máy khách ban đầu, node vào vẫn có quyền truy cập vào cả danh tính của máy khách và đích đến, cho phép node này xác định người dùng là ai và họ đang đi đến đâu. Nếu mục tiêu của bạn là không thể liên kết danh tính máy khách với đích đến, mô hình này sẽ thất bại vì node vào có thể nhìn thấy cả hai đầu của cuộc hội thoại. Do đó, từ góc độ bảo mật, đây cũng không tốt hơn VPN truyền thống.

3. Đường hầm WireGuard nối tiếp (mã hóa lại tại node vào)

Cách thức hoạt động

Máy khách thiết lập một đường hầm WireGuard với node vào. Node vào giải mã lưu lượng truy cập của máy khách, sau đó mã hóa lại nó đến node thoát trong một đường hầm WireGuard mới. Node thoát giải mã đường hầm thứ hai này và chuyển tiếp lưu lượng truy cập đến đích cuối cùng.

Thiết kế này bao gồm hai đường hầm WireGuard riêng biệt:

1. Một từ máy khách đến node vào
2. Một từ node vào đến node thoát

Máy khách chỉ tham gia vào đường hầm đầu tiên. Đường hầm thứ hai được quản lý hoàn toàn bởi node vào và node thoát.

Ảnh hưởng đến quyền riêng tư

Vì đường hầm WireGuard của máy khách kết thúc tại node vào, node vào có thể nhìn thấy đầy đủ thông tin về danh tính và hoạt động của người dùng. Nó thấy địa chỉ IP thực của máy khách và nội dung đã được giải mã của lưu lượng truy cập, bao gồm địa chỉ IP đích và bất kỳ dữ liệu nào chưa được mã hóa. Điều này có nghĩa là node vào có thể kiểm tra, ghi nhật ký hoặc sửa đổi lưu lượng truy cập trước khi chuyển tiếp.

Mặt khác, node thoát nhận lưu lượng truy cập từ node vào bên trong một đường hầm WireGuard riêng biệt. Nó không biết địa chỉ IP của máy khách ban đầu nhưng có thể thấy địa chỉ IP đích và bất kỳ nội dung văn bản gốc nào. Cách tiếp cận này mang lại sự cải thiện một phần so với VPN một bước nhảy bằng cách liên quan đến hai node, nhưng node vào vẫn có thể nhìn thấy cả danh tính của máy khách và đích đến. Chỉ có node thoát là không biết nguồn gốc của lưu lượng truy cập. Ngoài ra, nếu không có mã hóa lớp ứng dụng (ví dụ: HTTPS), nội dung của thông tin liên lạc cũng bị lộ cho cả hai node.

4. Đường hầm WireGuard lồng nhau (phương pháp đường hầm trong đường hầm của NymVPN)

Cách thức hoạt động

Trong thiết lập này, máy khách thiết lập hai đường hầm WireGuard lồng nhau: một đường hầm bên trong đến node thoát và một đường hầm bên ngoài đến node vào. Đường hầm bên trong được tạo trước và đóng gói lưu lượng truy cập thực tế; đường hầm bên ngoài sau đó bao bọc đường hầm bên trong này.

Lưu lượng truy cập được mã hóa trước tiên cho node thoát, sau đó lại được mã hóa cho node vào. Node vào chỉ giải mã đường hầm WireGuard bên ngoài và chuyển tiếp đường hầm WireGuard bên trong, vẫn được mã hóa hoàn toàn, đến node thoát. Node thoát sau đó giải mã lớp bên trong và chuyển tiếp lưu lượng truy cập đến đích cuối cùng.

Ảnh hưởng đến quyền riêng tư

Đây là phương pháp được sử dụng bởi chế độ Nhanh của NymVPN, tận dụng các đường hầm WireGuard lồng nhau để duy trì tính độc lập giữa người dùng và điểm đến của họ. Vậy hãy cùng xem nó hoạt động như thế nào.

Vì node vào chỉ giải mã đường hầm WireGuard bên ngoài, nên nó không có quyền truy cập vào nội dung lưu lượng truy cập hoặc địa chỉ IP đích. Nó biết địa chỉ IP của máy khách vì nó thiết lập đường hầm bên ngoài trực tiếp với máy khách, nhưng nó chỉ nhìn thấy đường hầm WireGuard bên trong dành cho node thoát. Node này không thể kiểm tra, sửa đổi hoặc tìm hiểu bất cứ điều gì về điểm đến.

Trong khi đó, node thoát giải mã đường hầm WireGuard bên trong và thấy địa chỉ IP đích cuối cùng cũng như lưu lượng truy cập đã được giải mã. Tuy nhiên, node thoát chỉ nhận các gói dữ liệu từ node đầu vào và không thể biết được địa chỉ IP gốc hoặc danh tính của máy khách.

Sự tách biệt thông tin nghiêm ngặt này có nghĩa là không một node nào tự mình có thể liên kết nguồn (địa chỉ IP của máy khách) với đích (địa chỉ IP của máy chủ). Node vào biết người dùng là ai, nhưng không biết họ đang đi đến đâu. Node thoát biết lưu lượng truy cập đang hướng đến đâu, nhưng không biết nó đến từ đâu. Miễn là hai node được vận hành độc lập và không chia sẻ nhật ký hoặc siêu dữ liệu, thiết lập này đảm bảo tính không thể liên kết mạnh mẽ giữa danh tính người dùng và hoạt động trực tuyến của họ. Ngay cả khi một node mạng bị xâm nhập, cũng không thể tự mình làm lộ danh tính người dùng một cách hoàn toàn.

Cũng giống như trường hợp đường hầm WireGuard đơn lẻ đến node thoát, máy khách phải trao đổi khóa công khai của mình với node thoát. Do đó, trừ khi khách hàng thường xuyên thay đổi khóa của mình, node thoát có thể liên kết danh tính WireGuard của khách hàng với hoạt động trực tuyến của họ theo thời gian.

Tuy nhiên, trong thiết lập đường hầm đơn dẫn đến điểm thoát, nếu không sử dụng mã hóa truyền tải bổ sung, một trình quan sát mạng có khả năng giám sát cả liên kết giữa máy khách và node vào, cũng như liên kết giữa node vào và node thoát, có thể đối chiếu các mẫu lưu lượng truy cập và có khả năng liên kết các máy khách với các node thoát cụ thể. Điểm này làm suy yếu khả năng không thể liên kết và làm tăng nguy cơ bị lập hồ sơ thông qua phân tích lưu lượng truy cập.

Kết luận: Thiết kế VPN rất quan trọng

"Phi tập trung hóa" thường được nhắc đến nhiều trong tiếp thị VPN, nhưng lợi ích thực sự về quyền riêng tư đến từ cách các hệ thống được thiết kế, chứ không phải từ tên gọi của chúng. Thiết lập VPN 2 bước nhảy có thể mang lại lợi ích đáng kể về bảo mật, nhưng chỉ khi:

• Các node vào và thoát được vận hành bởi các bên độc lập, không thông đồng với nhau
• Giao thức và thiết kế đường hầm ngăn cản việc kiểm tra và tương quan lưu lượng truy cập

Nếu bạn đang đánh giá một giải pháp dVPN hoặc đang cân nhắc thiết lập một giải pháp như vậy, hãy nhớ rằng: phi tập trung không chỉ đơn thuần là việc có nhiều node hơn, mà là việc phân bổ niềm tin theo cách mà không một bên nào có thể nắm bắt được toàn bộ bức tranh về cuộc sống trực tuyến của bạn.