Go-VPN-Client/Markdown/SECURITY_GUIDE.md

🔒 Руководство по безопасности VPN клиента

Обзор

VPN клиент теперь включает комплексную систему безопасности для защиты вашей конфиденциальности и предотвращения утечек данных.

⚠️ ВАЖНОЕ ПРЕДУПРЕЖДЕНИЕ О KILL SWITCH

Kill Switch ОТКЛЮЧЕН ПО УМОЛЧАНИЮ!

• Kill Switch может заблокировать весь интернет при неправильном использовании
• Включайте его ТОЛЬКО если понимаете, как он работает
• ВСЕГДА отключайте VPN через меню программы (не закрывайте крестиком)
• Если интернет сломался: запустите файл ОТКЛЮЧИТЬ_KILLSWITCH.bat

Для восстановления интернета:

1. Запустите ОТКЛЮЧИТЬ_KILLSWITCH.bat от имени администратора
2. Или см. файл ЕСЛИ_СЛОМАЛСЯ_ИНТЕРНЕТ.txt

Основные функции безопасности

1. 🛡️ Kill Switch (Аварийное отключение)

⚠️ ОТКЛЮЧЕНО ПО УМОЛЧАНИЮ - включайте только если понимаете риски!

Что это? Kill Switch автоматически блокирует весь интернет-трафик при разрыве VPN соединения, предотвращая утечку вашего реального IP адреса.

Как работает:

• При подключении к VPN создаются правила Windows Firewall
• Блокируется весь исходящий и входящий трафик
• Разрешается только трафик к VPN серверу и через VPN туннель
• При разрыве VPN весь интернет блокируется до восстановления соединения

⚠️ ВАЖНО:

• ВСЕГДА отключайте VPN через меню программы!
• НЕ закрывайте программу крестиком при активном Kill Switch!
• Если интернет сломался: запустите ОТКЛЮЧИТЬ_KILLSWITCH.bat

Настройка:

Меню → Безопасность и защита → Настроить Kill Switch → Включить

Восстановление интернета:

Запустите файл: ОТКЛЮЧИТЬ_KILLSWITCH.bat (от имени администратора)
Или см.: ЕСЛИ_СЛОМАЛСЯ_ИНТЕРНЕТ.txt

---

2. 🌐 Защита от DNS утечек

Что это? Защита DNS гарантирует, что все DNS запросы идут через VPN, а не через DNS провайдера.

Как работает:

• Автоматически изменяет системные DNS серверы на безопасные (1.1.1.1, 8.8.8.8)
• Применяется ко всем сетевым интерфейсам
• Очищает DNS кэш для немедленного применения
• Восстанавливает оригинальные DNS при отключении VPN

Настройка:

Меню → Безопасность и защита → Настроить защиту DNS

Рекомендуемые DNS серверы:

• Cloudflare: 1.1.1.1, 1.0.0.1
• Google: 8.8.8.8, 8.8.4.4
• Quad9: 9.9.9.9, 149.112.112.112

---

3. 🔐 Шифрование конфигураций

Что это? Все конфигурационные файлы (включая пароли и ключи VPN) шифруются с использованием AES-256-GCM.

Как работает:

• Использует алгоритм AES-256 в режиме GCM (Galois/Counter Mode)
• Ключ шифрования привязан к вашему компьютеру (hostname + путь к программе)
• Применяется PBKDF2 с 100,000 итераций для усиления ключа
• Каждый файл имеет уникальную соль и nonce

Настройка:

Меню → Безопасность и защита → Управление шифрованием конфигов

Безопасность:

• Конфигурации невозможно расшифровать на другом компьютере
• Защита от перебора паролей благодаря PBKDF2
• Аутентифицированное шифрование предотвращает подделку данных

---

4. 📁 Защита файлов и директорий

Что это? Устанавливает строгие права доступа к конфигурационным файлам.

Как работает:

• Директория .vpn_client/: права 0700 (только владелец)
• Конфигурационные файлы: права 0600 (только чтение/запись владельцем)
• Предотвращает доступ других пользователей системы

Настройка:

Меню → Безопасность и защита → Защитить директорию конфигураций

---

5. 🌍 Системный прокси для всего ПК

Что это? Автоматическая настройка системного прокси Windows для работы VPN во всех приложениях.

Как работает:

• Изменяет настройки прокси в реестре Windows
• Применяется ко всем приложениям, использующим системные настройки
• Использует SOCKS5 прокси на 127.0.0.1:10808
• Исключает локальные адреса из прокси

Автоматическая настройка: При подключении к VLESS серверу системный прокси настраивается автоматически.

Ручная настройка:

1. Откройте: Настройки Windows → Сеть и Интернет → Прокси
2. Включите "Использовать прокси-сервер"
3. Адрес: 127.0.0.1, Порт: 10808
4. Тип: SOCKS5

---

Проверка безопасности

Проверка утечек

Используйте встроенную функцию проверки:

Меню → Безопасность и защита → Проверить утечки

Проверяет:

• ✅ DNS утечки
• ✅ Статус Kill Switch
• ✅ Правильность настройки прокси

Внешние сервисы проверки

После подключения к VPN проверьте:

1. IP адрес:

   • https://whoer.net
   • https://ipleak.net

2. DNS утечки:

   • https://dnsleaktest.com
   • https://www.dnsleaktest.org

3. WebRTC утечки:

   • https://browserleaks.com/webrtc

---

Рекомендации по безопасности

✅ Обязательно

1. Всегда включайте Kill Switch при работе с конфиденциальными данными
2. Используйте защиту DNS для предотвращения утечек
3. Включите шифрование конфигов для защиты учетных данных
4. Регулярно проверяйте утечки через меню безопасности
5. Используйте надежные VPN серверы с поддержкой современных протоколов

⚠️ Важно

1. Не отключайте Kill Switch во время активного VPN соединения
2. Не делитесь конфигурационными файлами - они содержат ваши ключи
3. Проверяйте DNS после каждого подключения
4. Используйте HTTPS сайты для дополнительной защиты
5. Обновляйте клиент для получения последних исправлений безопасности

🔴 Никогда

1. Не запускайте VPN без Kill Switch для критичных задач
2. Не используйте публичные VPN для конфиденциальных данных
3. Не игнорируйте предупреждения о утечках
4. Не отключайте шифрование без веской причины

---

Устранение проблем

Kill Switch не отключается

# Вручную удалите правила файрвола
netsh advfirewall firewall delete rule name=all dir=out
netsh advfirewall firewall delete rule name=all dir=in

DNS не восстанавливаются

# Восстановите автоматическое получение DNS
netsh interface ip set dns "Ethernet" dhcp
netsh interface ip set dns "Wi-Fi" dhcp
ipconfig /flushdns

Системный прокси не работает

1. Проверьте настройки: Настройки → Сеть и Интернет → Прокси
2. Убедитесь, что VPN подключен
3. Перезапустите браузер/приложение
4. Проверьте, что порт 10808 не занят

---

Технические детали

Алгоритмы шифрования

• Алгоритм: AES-256-GCM
• Деривация ключа: PBKDF2-SHA256
• Итерации: 100,000
• Размер ключа: 256 бит
• Размер соли: 256 бит

Правила файрвола

Kill Switch создает следующие правила:

• VPN_KillSwitch_Block_Out - блокировка исходящего трафика
• VPN_KillSwitch_Block_In - блокировка входящего трафика
• VPN_KillSwitch_Allow_Localhost - разрешение локального трафика
• VPN_KillSwitch_Allow_<IP> - разрешение трафика к VPN серверу

Изменения реестра

Системный прокси изменяет:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
  - ProxyEnable: 1
  - ProxyServer: socks=127.0.0.1:10808
  - ProxyOverride: <local>;localhost;127.*;10.*;172.16.*;172.31.*;192.168.*

---

FAQ

Q: Безопасно ли хранить конфигурации на диске? A: Да, при включенном шифровании конфигурации защищены AES-256 и привязаны к вашему компьютеру.

Q: Что делать если Kill Switch заблокировал интернет? A: Запустите клиент и отключите Kill Switch через меню безопасности, или используйте команды из раздела "Устранение проблем".

Q: Можно ли использовать VPN без системного прокси? A: Да, но тогда VPN будет работать только в приложениях с ручной настройкой SOCKS5 прокси.

Q: Защищает ли Kill Switch от утечек WebRTC? A: Нет, для защиты от WebRTC утечек используйте расширения браузера или отключите WebRTC.

Q: Как проверить, что VPN работает? A: Используйте встроенную проверку утечек или внешние сервисы типа whoer.net.

---

Поддержка

При возникновении проблем с безопасностью:

1. Проверьте логи в папке logs/
2. Используйте встроенную проверку утечек
3. Убедитесь, что у вас права администратора
4. Проверьте настройки файрвола Windows

---

Версия документа: 1.0
Дата обновления: 2026-04-12