Перейти до основного вмісту

Як працює Outline

Встановлення сервера

​Хоча встановлення Outline може здаватися простим, насправді це досить складна процедура, яка включає цілий ряд кроків і відбувається непомітно. Під час встановлення сервера Outline сценарій встановлення виконує перелічені нижче дії.

  • Отримується стабільна версія образу Shadowbox, яка імпортується за допомогою інфраструктури Docker. Зображення розміщено на сайті Quay.io за адресою https://quay.io/repository/outline/shadowbox?tab=tags. Це зображення містить сервер Outline і Management API, які пізніше використовуються додатком Outline Server Management для створення й вилучення ключів доступу, увімкнення та вимкнення надсилання анонімних показників тощо.
  • Встановлюється додаток Watchtower, який налаштовується щогодини перевіряти оновлення образу, щоб забезпечити постійне встановлення останніх функцій і покращень безпеки на всіх серверах Outline.
  • На випадково вибраному порту із секретним і довільним шляхом запускається вебсервер, який використовувався для доступу до Management API.
  • Створюється самопідписаний сертифікат SSL, щоб керування сервером Outline можна було шифрувати за допомогою протоколу TLS, незважаючи на відсутність доменного імені. Також створюється унікальний цифровий відбиток цього сертифіката, який зберігається в додатку Диспетчер Outline, допомагаючи уникнути атак посередника (MITM).

Встановлений сервер Outline не потребує додаткового налаштування.

Безпека сервера

Outline – це програмне забезпечення з відкритим кодом, тобто будь-хто може бачити цей код і виправляти виявлені вразливі місця. Наш код розміщено на платформі GitHub.

Крім того, усі встановлені сервери Outline автоматично оновлюються після появи нової версії, тому жоден із них не може використовувати старі версії програмного забезпечення.

Щоб керувати ключами доступу на сервері, додаток Диспетчер Outline взаємодіє із сервісом Management Service на сервері Outline. Management Service використовує випадково вибраний порт і має унікальний секретний шлях. Сам сервіс Management Service стійкий до зондування, оскільки не відповідає на запити, якщо не вказано відповідний секретний шлях. Також усі звернення до Management Service шифруються за допомогою самопідписаного сертифіката SSL.

Зверніть увагу, що сервер Outline не зберігає жодних журналів, тому навіть у разі зламу дані користувачів не буде розголошено. Докладніше. У 2018 році програмне забезпечення Outline пройшло аудит у двох організаціях із кібербезпеки – Radically Open Security і Cure53. Звіти можна переглянути тут.

Обробка трафіку UDP

Outline може працювати як віртуальна приватна мережа на рівні системи, тобто весь трафік UDP буде проходити через сервер Outline.

Трафік DNS

Програмне забезпечення Outline виконує всі DNS-запити через сервер Outline і захищає їх, використовуючи той самий метод шифрування, що й для інших дій у мережі. Ваші DNS-запити скеровуються через сервер Outline на сервіси Dyn Internet Guide, OpenDNS, Cloudflare DNS або Quad9 DNS. Outline ніколи не реєструє ваші DNS-запити.