标题:谷歌母公司推新服务Outline,一键部署VPN
作者: Romain Dillet
日期:2018-05-22 23:27:43
内容:
谷歌母公司 Alphabet 旗下网络安全部门 Jigsaw 推出了一个名为“Outline”的新项目。如果简单概括的话,那就是 Outline 可以让任何人在 DigitalOcean 上面创建并运行 VPN 服务器,然后允许你的团队访问这台服务器。
我试用了一下 Outline,这是一个很有意思的产品,由两部分组成,即管理应用和客户端。我们先从管理应用说起。
Outline 管理应用暂时只能在 Windows 和 Linux 上面使用,不久会推出 macOS 版本。它是一个 Electron 应用,所以感觉就像是在使用网页应用。默认情况下,Outline 建议你使用知名云托管提供商 DigitalOcean 的服务。
你也可以在另一台服务器上创建 VPN 服务器,但这不是 Outline 核心所在。Outline 是尽可能简单地运行你自己的服务器。不然的话,你可能已经在使用 Algo VPN 或 Streisand 了。
如果你选择 DigitalOcean,Outline 应用将打开 Web 视图并要求你输入登录名、密码和一次性密码。之后,你需要让 Outline 使用 DigitalOcean API。这就是你在初始设置阶段需要做的所有事情。
现在,我们先创建 VPN 服务器。Outline 会自动选择 DigitalOcean 上面最便宜的传输点——每传输 1TB 的数据,每个月的费用为 5 美元。DigitalOcean 目前在全世界 8 个不同城市拥有数据中心——阿姆斯特丹、新加坡、班加罗尔、法兰克福、伦敦、旧金山、多伦多和纽约。
在选好城市之后,管理应用会自动下载一个 Docker 镜像 ,并基于这个 Docker 镜像在 DigitalOcean 上面创建服务器。服务器上的软件每小时会自动更新一次。DigitalOcean 服务器还会自动对操作系统进行安全更新,并在必要时重新启动服务器。
现在,让我们回到你当前使用的计算机。你现在可以从管理应用控制你的 VPN 服务器。默认情况下,Outline 只为你生成一个密钥。但是,你可以添加更多的用户并邀请你的同事使用你的服务器。
你可以使用管理应用创建更多服务器,如果用户不再需要使用你的服务器,你可以将服务器或用户删除。该应用还会告诉你每个用户使用了多少带宽。
邀请页面只是托管于 Amazon S3 的一个静态网页,它主要做两件事情。首先,该页面邀请你在手机或计算机上下载 Outline 客户端。其次,密钥在 URL 上面。当你加载页面时,浏览器会显示密钥。
正因为如此,你不应使用未加密的方法来邀请朋友——不要使用 Facebook,不要使用电子邮件。请记住,密钥也会保存在你的浏览器历史记录中。
但是,连接到 VPN 服务器却轻而易举,只要安装应用并点击邀请链接一样。对于不懂技术的用户来说,这是一次非常棒的体验。
接下来,我们再来谈一谈客户端。你用于连接 VPN 服务器的应用,目前支持 Windows、Android 和 Chrome OS 等平台。Jigsaw 正在开发 macOS 版和 iOS 版客户端。它有一块屏幕,可让你连接和断开服务器,整个过程相当简单、直接。
表面看来,Outline 依赖于 Shadowsocks 协议。但如果你熟悉 VPN 协议,Shadowsocks 与 OpenVPN、IPSec 或 WireGuard 完全不同。实际上,Shadowsocks 根本不是 VPN 协议。
Shadowsocks 是一个开源项目,旨在创建加密的 socks5 代理来重定向互联网流量。这稍微有点技术性,但 VPN 就像设备和服务器之间的 加密通道 。你的所有网络流量都会经过这一通道,而 VPN 服务器(不是你的电话或计算机)就成了与互联网对话的设备。
这一点很不错,因为你能确定 Wi-Fi 网络上的 ISP 和其他用户无法查看你的流量(除非发生 DNS 外泄的情况)。你还可以假装自己在另一个国家上网。
但糟糕的是,任何有权访问你 VPN 服务器的人,都可以看到你的互联网流量。正因为如此,你永远不应依赖于 VPN 公司,即使他们承诺尊重你的隐私。原因就在于,他们会分析你的浏览习惯,将其出售给广告商,在不安全的网页上插入他们自己的广告或是盗取你的身份信息。 你不能 100%确定是否可以信任它们。
如果有关当局和互联网服务提供商(ISP)使用深度包检测(deep packet inspection)的话,传统 VPN 协议也有可能遭到封杀,因为它们使用特定端口,而且看起来就像 VPN 流量。这就是一些国家可以彻底封杀 VPN 的原因。
然而,socks5 代理看起来就像正常的互联网流量。Shadowsocks 正在利用这一优势,并将代理的优势与流量加密结合起来。例如,它应该在中国有很不错的表现。
不过,你不能保证所有互联网流量都会经过代理服务器——这取决于每个应用。代理增加了一个粒度等级,虽然此举方便了用户,但也带来安全问题。例如,Outline 客户端眼下不会将所有的 Windows 流量重定向到 Outline 服务器。
因此,如果你想使用网络浏览器访问经过审查的网站,Outline 可以成为完美的工具。但是,你不会因为 Outline 连接而从网络中销声匿迹。
很难想象,Outline 是一个 Jigsaw 项目。参与这个项目的人员由谷歌母公司 Alphabet 提供报酬。换句话说,就隐私而言,我们很难相信一个谷歌项目。
但 Jigsaw 真的希望你因为这个项目而信任他们。Outline 是一个 开源项目 。专家能够以这种方式查看代码,以了解是否存在什么不能见光的东西。这项服务还由第三方安全公司进行审计。
Jigsaw 使用不可识别的数据来 收集崩溃日志 。他们还收集所有服务器 IP 地址,但无法访问这些服务器——我不确定 Jigsaw 为什么要查看所有 IP 地址。你也可以选择共享更多使用数据。
Outline 服务器不保留你互联网流量的任何日志。因此,即使美国国家安全局(NSA)有权访问 Outline 服务器,也只能发现每个用户使用该服务器的带宽多少。但是,NSA 根本没有办法连接这些点,并且找出这个 Outline 服务器背后的人。
最大的风险可能是 DigitalOcean。要想创建 DigitalOcean 帐户,你必须输入自己的姓名、电子邮件和信用卡。有关当局可能会要求 DigitalOcean 提供付费使用你 Outline 服务器付费的用户信息,然后将这笔钱返还给你。
Outline 并不是最安全的 VPN 服务。你可以创建自己的硬件服务器,使用不以自己名字付费的连接并自己动手安装 VPN 软件,然后将其连接到互联网,这始终是更好的解决办法。
但没有人会这样做。
隐私始终是安全性与可访问性之间的平衡。最安全的工具,也是最难使用的工具。
许多项目现在都在努力使安全性更易于访问。这是一种使人耳目一新的想法。Algo VPN 让你只需一些命令行就可以构建自己的 IPSec VPN 服务器 。另外借助于 Streisand,你还可以创建一个具有各种协议的服务器,即便你没有什么技术知识。
这些都是很棒的项目,如果你想创建自己的 VPN,我建议你看看。但 Outline 在这方面更进一步。你无需输入一个命令行,也能创建 Shadowsocks 服务器。
Jigsaw 表示,对于新闻机构而言,它是完美的工具。事实上,大多数记者都知道如何安装应用。这不像添加 VPN 认证那么可怕。如果你生活在中国或其他对互联网访问有限制的国家,即使你不是记者,我也会说这是访问被审查网站的绝佳办法。
你必须评估自己的风险级别,选择适合你的技术解决方案。如果你没有从事任何违法活动,只是想访问被封杀的网站,你可以做出一些让步。
但有一点是肯定的,Outline 要比任何免费或商用 VPN 服务好用得多。
翻译:皓岳
Alphabet’s Outline lets you build your own VPN
来自https://techcrunch.cn/2018/03/23/alphabets-outline-lets-you-build-your-own-vpn/