Fexyn
Fexyn
All posts

VPN для безопасности удалённой работы

Fexyn Team··7 min read

VPN для безопасности удалённой работы — частый запрос с 2020 года, когда удалёнка вырастила поколение работников, чьё основное рабочее место — не корпоративный офис. Кофейни, домашние офисы, отели, коворкинги, конференц-залы, аэропорты. У каждой из этих сетей свои характеристики безопасности. Совет «используй VPN» распространился широко; технические детали того, что VPN реально должен делать, — нет.

Практическая версия. Что идёт не так на сетях удалёнки, где VPN реально помогает, где нет, и что корпоративные VPN-деплои конкретно должны обрабатывать.

Что идёт не так на сетях удалёнки

Три класса риска:

1. Видимость оператору сети. Кто бы ни управлял сетью, к которой подключён, видит твои паттерны трафика. Кофейный Wi-Fi: владелец кафе. Отельный: оператор отельной сети и их провайдер. Коворкинг: здание. Конференц-Wi-Fi: организаторы события и их провайдеры. Никто из них не злонамерен по природе, но у всех разные уровни мониторинга, ретенции и (изредка) коммерческого использования трафик-данных.

2. Rogue access points. Ноут с airbase-ng в кофейне может бродкастить Wi-Fi с тем же именем, что у легитимного. Устройства, подключавшиеся к «Hilton Honors» или «Boingo Free» раньше, автоподключаются к rogue. Атакующий теперь видит весь незашифрованный трафик и может MITM-нуть HTTPS, где TLS-pinning отсутствует. Не теоретически; задокументированные атаки на security-конференциях специально таргетят посетителей, разумно privacy-aware в профессиональной жизни, но автоподключающихся к знакомым именам.

3. Целевой корпоративный шпионаж. Senior-исполнители, юристы в активной litigation, M&A-практики и финансисты в трейдинговых фирмах — реальные цели. Таргетинг может быть оппортунистическим (захватить любого, подключающегося в high-value-локации, как крупный аэропорт) или конкретным (следить за человеком и подключаться к Wi-Fi, к которому подключается он). Последнее редко на практике, но задокументировано; первое чаще.

VPN адресует все три на сетевом уровне. Оператор сети, rogue AP и любой оппортунистический атакующий на той же сети видят зашифрованный трафик к VPN-провайдеру. Не видят сайты-назначения, контент, печатаемые credential-ы.

Split-туннелирование: когда и когда нет

Split-туннелирование — фича, позволяющая маршрутизировать часть трафика через VPN, часть мимо. Вопрос когда использовать — по двум осям:

Performance vs security trade-off. Маршрутизация всего через VPN добавляет латенси и пропускной оверхед. Для трафика, не нуждающегося в шифровании (Spotify, стримящий подкаст, Netflix на стабильном коннекте, видеоигра в LAN) — маршрутизация мимо VPN сохраняет скорость. Для трафика, нуждающегося в шифровании (рабочая почта, document-management, что угодно с client-данными или company IP) — маршрутизация через VPN имеет значение.

Geographic vs all-traffic split. Часть юзеров хочет VPN на всё, кроме локально-сетевых ресурсов (домашний принтер, NAS, smart-home). Другие хотят VPN только на конкретные приложения (VPN на рабочем браузерном табе, off на остальном).

Для корпоративного использования split-туннелирование иногда мандатно, иногда запрещено. Мандатно: компании, маршрутизирующие весь корпоративный трафик через свой VPN, но исключающие SaaS (Slack, Salesforce), которые корпоративный VPN всё равно не может проинспектировать. Запрещено: компании, требующие, чтобы каждый байт был виден корпоративному мониторингу.

Для personal-VPN-удалённки правильный ответ обычно:

  • VPN on для работ-related трафика (корпоративная почта, document-management, внутренние тулзы)
  • VPN on для любого privacy-sensitive личного (банкинг, healthcare-порталы, журналистика, любая коммуникация с чувствительными контактами)
  • VPN off для стриминга, гейминга и casual-браузинга, где приватность менее критична и важна производительность

Fexyn поддерживает per-app split-туннелирование на Windows. Не поддерживаем на macOS или Linux. Для тех, чья настройка удалёнки требует per-app-роутинг — у Mullvad и ProtonVPN более зрелые имплементации split-туннелирования сегодня.

Always-on политики

Часть корпоративных сетапов требует always-on VPN — VPN поднят до любого другого трафика и никогда не падает. Имплементация:

  • VPN-клиент запускается до пользовательского логина при загрузке
  • Kill switch (kernel-level firewall) энфорсит no-traffic-without-VPN
  • Юзер не может тоггл-нуть VPN off через UI
  • VPN автореконнектится на любом падении

Fexyn поддерживает always-on для personal-аккаунт-использования: kill switch может быть настроен оставаться активным через ребуты, клиент может запускаться при старте, и WFP-правила персистентны. Сейчас не имеем централизованного IT-managed always-on с энфорсментом политик (то, что IT-департамент компании деплоит на ноуты сотрудников). Для этого NordLayer или Perimeter81 — правильные business-tier-продукты.

Для соло-удалёнщиков и маленьких команд personal-аккаунт-always-on-конфигурация обычно достаточна. Настрой раз, оставь, забудь.

Что personal VPN не покрывает для корпоративной работы

Personal VPN шифрует трафик между устройством и exit-сервером VPN-провайдера. Не:

Даёт доступ к внутренним корпоративным ресурсам. Если у компании корпоративный VPN, открывающий внутренние ресурсы (файл-серверы, внутренние приложения, dev-окружения) — нужен этот корпоративный VPN. Personal VPN не заменяет. Часть сетапов требует обоих: корпоративный VPN для внутреннего доступа, personal VPN для приватности вне корпоративного туннеля.

Соответствует корпоративным политикам мониторинга. Если работодатель требует DLP-мониторинг на рабочем ноуте — personal VPN это не меняет. DLP-агент гоняется на устройстве и видит трафик до шифрования VPN.

Защищает от скомпрометированных endpoints. Keylogger или screen-recorder на ноуте читает инпут до шифрования. VPN downstream от этих компромисов.

Соответствует регуляторным требованиям, нуждающимся в конкретных vendor-отношениях. HIPAA Business Associate Agreement, ABA 477R reasonable efforts, нуждающиеся в задокументированной vendor-compliance, ISO 27001 control mapping. Им нужны vendor-отношения, которых personal VPN-провайдеры могут не предоставлять.

Для этих нужд требуются слоёные решения. Personal VPN как один кусок широкой security-позы, не как полный ответ.

Корпоративный VPN vs personal VPN

Это разные продукты, хотя у обоих в названии «VPN»:

Корпоративный VPN (Cisco AnyConnect, GlobalProtect, Pulse Secure, OpenVPN-based корпоративные сетапы). Даёт доступ к внутренним корпоративным сетям. Управляется корпоративным IT. Соединение к собственной инфраструктуре компании, не third-party VPN-провайдеру. Политики логирования — что компания установит (обычно высокое логирование для compliance). Используется для достижения только того, что компания может предоставить.

Personal VPN (Fexyn, NordVPN, ProtonVPN и т.д.). Даёт приватность от third-party-сетевых-наблюдателей и доступ к публичному интернету с другого IP. Используется для добавления слоя приватности поверх публичных сетей; не используется для достижения корпоративных внутренних ресурсов.

Для удалёнщиков вопрос часто — гонять ли оба одновременно (корпоративный VPN для рабочих ресурсов, personal VPN для приватности от публичных сетей, по которым корпоративный гоняется). Большинство корпоративных VPN-клиентов это разрешает; некоторые нет. У части компаний есть политики; у части нет.

Для business-tier-VPN-with-personal-features (то, что продают NordLayer или Perimeter81) тот же провайдер даёт оба: централизованное управление доступом IT-департамента плюс современные VPN-протоколы и consumer-стиль-фичи. Для соло- и small-team-удалёнщиков без IT-департамента personal-VPN-with-corporate-VPN-on-top — более распространённый паттерн.

Куда вписывается Fexyn

Для безопасности удалённой работы Fexyn покрывает:

  • WireGuard (Bolt) для low-overhead-шифрования на типичных домашних и кофейных сетях
  • VLESS Reality (Stealth) для редкого случая, когда едешь куда-то с активной VPN-фильтрацией и нужно поддерживать доступ
  • Kernel-level WFP kill switch на Windows для предотвращения exposure трафика во время падений VPN
  • No-logs-операция для приватной позы
  • Per-app split-туннелирование на Windows для performance-sensitive split-политик
  • Always-on-конфигурация для индивидуальных юзеров

Что не покрываем:

  • Централизованный IT-managed-деплой (для этого NordLayer или Perimeter81)
  • Корпоративный-VPN-replacement (для внутренних корпоративных ресурсов нужен корпоративный VPN компании)
  • DLP, EDR или endpoint security (отдельные категории продуктов)
  • BAAs или другие compliance vendor-отношения за пределами того, что предлагаем

Часто спрашивают

Использовать personal VPN с рабочим ноутом?

Зависит от политики работодателя. Часть запрещает (DLP и корпоративный мониторинг должны видеть трафик). Часть разрешает. Часть требует для не-корпоративно-сетевых соединений. Читай acceptable-use-политику или спрашивай IT.

Защищает ли VPN от мониторинга работодателем рабочего ноута?

Обычно нет. Корпоративные мониторинг-агенты (Endpoint DLP, MDM-тулзы, определённые антивирусы) гоняются на устройстве и видят трафик до VPN-шифрования. Часть агентов конкретно детектят и могут мешать использованию personal VPN; часть — нет.

Должна ли моя компания использовать Fexyn для удалёнщиков?

Для соло- или small-team без выделенного IT — Fexyn разумный выбор. Для больших компаний с IT, желающих централизованного provisioning, энфорсмента политик и compliance-отчётности — business-tier VPN (NordLayer, Perimeter81, ZeroTier для части кейсов) подходят лучше. Fexyn пока не предлагает IT-management-фичи.

А Zero Trust как замена VPN?

Zero Trust Network Access (ZTNA) — другая модель: вместо VPN к доверенной сети, ZTNA оценивает каждый запрос индивидуально с сильными identity-and-context-проверками. Часть компаний мигрирует с VPN на ZTNA для корпоративного доступа. Для приватности от публично-сетевых-наблюдателей оба дают шифрование в транзите. ZTNA не замена для personal-VPN-кейсов вроде кофейной приватности; замена для части корпоративных VPN-кейсов.

Безопасно ли делать банкинг на отельном Wi-Fi?

С VPN — обычно да. Без VPN — оператор сети и любой оппортунистический атакующий на той же сети видят паттерны трафика; HTTPS-pinned банковские приложения митигируют худшие атаки, но не все. С VPN сеть видит только зашифрованный трафик к VPN-провайдеру; TLS-соединение банка — внутренний слой, с шифрованием VPN снаружи. Защита в глубину.

Попробуй Fexyn бесплатно 7 дней. Kernel-level kill switch, no-logs, WireGuard для типичных сетей, VLESS Reality с Vision flow для restricted. Гайд как выбрать VPN — шире покупочное решение; Kill switch объяснение — WFP-based-имплементация.

Последняя проверка 2026-05-09.

VPN для безопасности удалённой работы | Fexyn VPN