Su proveedor de VPN puede, técnicamente, "ver" su tráfico, y también su ISP después de que haya sido "lavado" a través de la propia VPN.
En este ejemplo, voy a hablar sobre OpenVPN porque estoy más familiarizado con él y la mayoría de las VPN lo usan. También voy a suponer que estamos hablando de tráfico no https (como el correo HTTP o SMTP normal). Cuando su tráfico VPN sale de su computadora a través del adaptador VPN, se cifra, es decir, sus datos se convierten en ruido pseudoaleatorio, y luego se coloca una envoltura en él para que su ISP pueda enrutar correctamente el tráfico. Los paquetes deben ser enrutables a la VPN, lo que significa que su ISP debe tener alguna información
Por lo tanto, su ISP ve que tiene datos (que parecen basura ininteligible). Su ISP ve que está enviando tráfico, pero no tiene idea de qué es o dónde está su destino final. Solo sabe "Tengo que enviar esto a x.y.z.a", que es el proveedor de VPN.
Una vez que el paquete llega al proveedor de VPN, pueden descifrar el paquete con su clave privada. En este punto, podrían almacenarlo en caché, registrarlo, conservarlo, examinarlo, etc. Pero una VPN confiable estaría haciendo un mal servicio para hacerlo ya que viola la confianza del cliente y Tal revelación los sacaría del negocio. Además, la mayoría de ellos quieren la capacidad de decirle a una autoridad gubernamental "no podemos ayudarlo porque no tenemos registros".
Ahora, una vez que descifran el tráfico que les enviaste, lo reenvían a donde está destinado a ir. En ESTE PUNTO, el tráfico es visible para los standers.
Pero, debido a que está "emergiendo" en Internet desde la dirección IP del proveedor de VPN en lugar de la suya, efectivamente "lavamos" su tráfico ocultando su dirección IP de origen a través del proveedor de VPN. Los terceros, incluido el servidor web remoto, no conocen la fuente original del tráfico. Cuando responden, lo envían de vuelta a la VPN, la VPN luego lo vuelve a cifrar y se lo envía a usted. Entonces, ahora es la parte remota, pero la parte remota no lo conoce.
Por lo tanto, suponiendo que el servidor VPN del proveedor tenga una conexión de fibra grande y gorda, el ISP no puede leer sus paquetes entrantes, sino que puede leer completamente los paquetes salientes destinados al servidor remoto. (Más tarde, en el viaje de regreso, puede leer los paquetes "entrantes" del servidor web al proveedor de VPN, pero no puede leer los paquetes "salientes" del proveedor de VPN para usted).
Entonces, se ve así:
You < ---- Encrypted --- > VPN Provider < --- in the clear --- > webserver
Ahora, si está visitando un sitio HTTPS (SSL / TLS), se ve así:
you < === double encrypted === > VPN provider < --- single encrypted --- >
Porque la sesión HTTPS cifra sus datos de extremo a extremo. Por lo tanto, envolverlo en la VPN encripta los datos encriptados mientras está en ruta de usted al proveedor de VPN. Cuando el proveedor de VPN lo desempaqueta para reenviarlo, las cargas útiles que ve son encriptados de datos que son inútiles para ellos. Solo la computadora remota puede descifrar esos datos.
Por lo tanto, con https (SSL / TLS) su ISP no puede ver los datos independientemente de la presencia de la VPN; sin embargo, la VPN encripta dos veces los datos ocultos a los que va y los ocultas al servidor remoto. Por lo tanto, todavía hay protección adicional aquí.
Una nota sobre DNS
Su conexión VPN también debe configurarse para proporcionarle protección adicional para su DNS. La VPN debe cifrar las solicitudes de DNS al proveedor de VPN y permitir que su búsqueda de DNS se realice en el proveedor de VPN o en el proveedor de vpn , lo que le da una posibilidad de negación plausible. incluso buscó el sitio que visitó.