Маршрутизация всего трафика через TOR: за и против

Все наши подписчики знают, как важно пользоваться сетью Tor при сёрфинге и поэтому использует Tor Browser Bundle. При помощи TBB мы не только выходим в сеть через Tor, посещаем onion сайты, скрывая наши реальные IP, но также используем множество встроенных плагинов для повышения нашей анонимности (например, HTTPS Everywhere и NoScript). Почему бы не использовать все эти инструменты при любом действии на нашем компьютере, пропуская весь трафик через сеть Tor?

Маршрутизация всего трафика через TOR: это правда так замечательно?

Мы хотели бы, чтобы все наши программы использовали сеть Tor для скрытия нашего IP-адреса, когда мы пользуемся почтой или качаем фильм с торрента. Но так ли это просто? Правда в том, что это крайне не рекомендуется разработчиками Tor. Применение стратегии "всё в одном", при которой весь трафик пропускается через сеть Tor, не исключает неправильного поведения некоторых программ с небезопасными настройками или протоколами, которые повлекут за собой раскрытие IP-адреса. Известный пример такого события описывается разработчиками torproject в документе о Bittorrent. Говоря простыми словами, клиенты Bittorrent, такие как uTorrent, просто игнорируют настройки прокси, если мы настраиваем подключение через Tor. Фактически Tor поддерживает TCP, пока торрент-трекер работает через UDP, поэтому для uTorrent невозможно использовать эти настройки. Результатом будет раскрытие IP-адреса.

Таким образом, использование Bittorrent через Tor это глупая идея, но как насчет других программ? Дело в том, что каждое приложение ведет себя по-разному с разными настройками, поэтому глупо ожидать, что все приложения будут стараться защитить вашу анонимность. Тем ни менее, во многих продуктах реализована возможность маршрутизации трафика через Tor (например, Mozilla Thunderbird) с плагином TorBirdy. Изучите вопрос подробней, чтоб выбрать подходящий инструмент именно для вас.

Кстати, если вы все еще хотите найти способ пропустить весь ваш трафик через Tor, то torproject имеет две различные реализации этой затеи:

Прозрачная маршрутизация трафика через Tor

Изолированный Proxy

Прозрачная маршрутизация всего трафика через Tor

Прокси-сервер называется «прозрачным», когда клиенты не осознают, что их трафик проходит через прокси. В любом случае сервер знает, что запросы поступают из прокси. Обычно недостаточно просто настроить сервера SOCKS, поэтому вы должны настроить каждое приложение для подключения через прокси-сервер, но все же не все существующие приложения позволяют подключиться через SOCKS. Кроме того, если вы являетесь сетевым администратором, вы можете пожелать, чтоб пользователи не знали, что они используют такой прокси. Этих проблем можно избежать, используя прозрачный прокси для маршрутизации всего трафика. Tor имеет функции прозрачности, которые мы можем использовать, как прозрачный прокси, но существует много проблем с утечками разного типа. Поэтому рекомендуемым решением является изолированный прокси.

Изолированный прокси: как это работает?

Изолированный прокси решает проблему утечек путем изоляции. Это решение требует двух физических или виртуальных машин, одна из которых «Шлюз», а вторая - «Рабочая станция». Шлюз имеет только два интерфейса: один подключен к Clearnet, а другой подключен к рабочей станции через кабель LAN. Tor может работать как через первый интерфейс, так и через второй. Рабочая станция полностью изолирована и используется только для запуска приложений, таких как Tor Browser Bundle или Hexchat, соединённая с шлюзом через порт SOCKS. Эта система защитит вас от вирусов, которые могут сделать ваш компьютер частью ботнет сети, от утечек DNS и IP.

WHONIX

Whonix - лучшая из существующих реализация концепции изолированного прокси.

Whonix - это бесплатная ОС на базе Debian, специально разработанная для защиты вашей конфиденциальности методом маршрутизации всего трафика через Tor или блокируя его. Whonix запускается внутри нескольких виртуальных машин, а все приложения, которые могут вам понадобиться, уже установлены и настроены для работы через Tor. Утечки DNS невозможны, так же, как и утечки IP.

Установленный SocksPort защищает анонимность пользователя путём подключения каждого приложения через отдельный Tor SocksPort, в то время, как при обычном использовании все приложения одновременно выходят в сеть через одну ноду.

Whonix может быть использован с Qubes OS для работы с наивысшей степенью анонимности, но так же будет работать и в Linux, Windows и OS X.

В заключение подрезюмирую, что существуют инструменты, которые будут обещать вам маршрутизировать весь ваш трафик через Tor. Такие встроенные инструменты (чаще всего написанные под Windows) НЕ НАДЁЖНЫ! Единственная существующая надёжная система - это Whonix внутри Qubes.