qa

Как показано в таблице исследовательских ресурсов в руководстве Leak and Onion Soup , есть несколько полезных веб-сервисов, которые отклоняют пользователей Tor в соответствии с политикой. Если вам нужен анонимный доступ к этим сайтам - или если вам вообще нужен доступ к ним во время использования Tails - ваши запросы должны исходить не из известного ретранслятора Tor. Один из способов достижения этого, при этом сохраняя большинство преимуществ анонимности Tor, состоит в добавлении VPN-перехода после выхода-ретранслятора в конце схемы Tor. Этот метод часто называют «VPN через Tor», чтобы отличать его от конфигураций «Tor через VPN», которые работают в противоположном направлении. (Маршрутизация Tor через VPN добавляет VPN-переход до вашего ретранслятора входа Tor и иногда используется для доступа к сети Tor из мест, где она заблокирована. Мы не будем подробно обсуждать эту технику, поскольку мостовые мосты Tor обычно считаются лучшим способом. для достижения этой цели.)

риски

Важно понимать, что добавление Tor в VPN не повышает безопасность и анонимность вашей онлайн-активности. Фактически, это значительно снижает вашу анонимность, что мы обсудим ниже. Единственная причина, по которой вам следует использовать VPN поверх Tor, - это получить доступ к сервисам, которые блокируют пользователей Tor.

Вики-проект Tor Project содержит объяснение рисков, связанных с этой конфигурацией, но мы суммируем три основных момента ниже.

1. VPN через Tor не поддерживает «коммутацию каналов» :

Tor обычно позволяет различным сетевым запросам использовать разные пути через сеть Tor, что означает, что они часто приходят из разных выходных реле с разными адресами Intenet. В противоположность этому весь трафик, использующий VPN-подключение через Tor, будет поступать из одного и того же местоположения (вашего VPN-сервера). Это, конечно, суть. Но это также позволяет веб-сайтам, которые вы посещаете, легче соотнести трафик.

Вот упрощенный пример:

• Вы входите в какой-либо сервис под своим обычным именем пользователя. Скажем, учетная запись электронной почты или дискуссионный форум, на котором вам нужно разместить свою личность.
• На другой вкладке вы входите в службу с псевдонимом. (См. Наш ресурс Domain Games для объяснения псевдонимности и нескольких конкретных примеров.)
• Со временем любой, у кого есть возможность сравнивать записи трафика или журналы доступа из обеих служб, будет иметь хорошую возможность выяснить, что эти две учетные записи принадлежат одному и тому же человеку. И это может быть проще, чем кажется, если оба сайта полагаются на одну и ту же рекламную платформу или сеть доставки контента (CDN) , например, или если они находятся под постоянным пассивным наблюдением.

2. Анонимность VPN через Tor полностью зависит от анонимности вашего VPN :

Одна из причин, по которой люди используют Tor, заключается в том, что он обеспечивает анонимность, которая не требует доверия к технической компетенции конкретного сервиса или его приверженности конфиденциальности своих пользователей. Но если вы добавите VPN-сервер к миксу таким образом, он будет подключен напрямую к сервисам, к которым вы обращаетесь. Таким образом, если ваш VPN-провайдер скомпрометирован (или продает вас), то тот факт, что вы использовали Tor для этого, может стать неактуальным. В идеале вы должны:

• Найдите VPN-сервис, которому вы доверяете;
• Убедитесь, что он поддерживает протокол OpenVPN ;
• Создайте свою учетную запись на этом сервисе, используя Tor Browser или Tails;
• Зарегистрируйтесь с псевдонимом и адресом электронной почты, который не может быть связан с вами;
• При необходимости используйте анонимный способ оплаты (как описано в ресурсе « Доменные игры» ); и
• Не подключайтесь через VPN и не управляйте своей учетной записью, если вы не используете Tor Browser или Tails.

3. Вы должны использовать VPN через Tor только тогда, когда вам абсолютно необходимо

Описанная ниже методика позволяет одновременно запускать две версии браузера Tor. Один будет работать нормально, а другой будет маршрутизировать ваш VPN через Tor. По причинам, указанным выше, вы должны по возможности использовать экземпляр Tor Browser, не относящийся к VPN, даже если это означает необходимость периодически просматривать CAPTCHA .

Наконец, имейте в виду, что некоторые сайты также блокируют доступ из VPN. Однако, согласно эксперименту одного исследователя , только 11 из топ-1000 сайтов Alexa блокируют пользователей VPN, а 40 - пользователей Tor. (По иронии судьбы, блог этого исследователя сам по себе недоступен, по крайней мере, из некоторых выходных узлов Tor. Поэтому, если вы используете Tails, вам, возможно, придется закончить работу с этим руководством, прежде чем вы сможете взглянуть.) Проект Tor также поддерживает вики-страницу со списком сайтов, которые, как известно, недоступны из Tor.

Настройка VPN для работы через Tor on Tails

Это руководство было написано для Tails и не было протестировано с браузером Tor, работающим в обычной системе Linux. Он также не будет работать на устройствах с Windows или Mac OS X, хотя, возможно, можно изменить сценарий vot.sh и vot.sh ниже действия для достижения того же результата в этих операционных системах.

После того, как вы загрузили Tails с включенным постоянством, подготовка вашей системы Tails к использованию VPN поверх Tor требует пяти шагов. Вам нужно будет пройти этот процесс только один раз:

1. Зарегистрируйтесь анонимно у провайдера OpenVPN и выберите надежный пароль
2. Запомните эту фразу-пароль или запишите ее надежно, используя KeePassX
3. Загрузите сертификат CA вашего провайдера VPN в соответствующее место и переименуйте его
4. Убедитесь, что у вас есть правильно названный и настроенный файл .ovpn в соответствующем месте
5. Скачайте скрипт vot.sh который вы будете использовать для активации VPN через Tor

Шаг 1: Зарегистрируйтесь у провайдера OpenVPN

В оставшейся части этого руководства мы будем использовать VPN- сервис Red, предоставляемый RiseUp . Это бесплатный, ориентированный на конфиденциальность сервис, который хорошо настроен и поддерживается надежной организацией. Чтобы создать учетную запись, вам понадобится «код приглашения» от текущего пользователя RiseUp. Если он у вас есть, вы можете перейти на страницу новой учетной записи , выбрать имя пользователя, которое не дает никаких подсказок для вашей реальной личности, и установить надежную фразу-пароль. Вы должны делать все это через Tor Browser или во время работы Tails.

Если вы не знаете ни одного пользователя RiseUp, у которого можно запросить код приглашения, или если вас беспокоит то, что вас используют VPN, которая явно связана с активистами, вы можете попытаться настроить приведенные ниже инструкции для работы с любым поставщиком OpenVPN. Если вы выбираете коммерческую услугу, вы можете обратиться к ресурсу « Игры с доменом» для получения информации о совершении онлайн-покупок анонимно.

Шаг 2. Запишите информацию о новой учетной записи в KeePassX

Вместо того, чтобы пытаться запомнить еще одно имя пользователя и пароль, мы рекомендуем сохранить его в KeePassX , который предварительно установлен на Tails. Это также поможет вам помнить, чтобы не использовать этот VPN вне Tails, что важно для анонимности.

Шаг 3: Загрузите сертификат CA вашего провайдера

Безопасность вашего VPN-соединения зависит от получения правильного сертификата CA от вашего провайдера. При загрузке сертификатов обязательно используйте ссылку HTTPS, которая указывает на веб-страницу вашего провайдера. Вы можете скачать сертификат RiseUp здесь и узнать больше о том, почему это важно здесь .

Многие коммерческие VPN поставляются с установщиком, который включает сертификат CA вместе с предварительно настроенным клиентом OpenVPN. Мы не рекомендуем запускать такие программы установки на Tails, но если вы изменяете это руководство для работы в обычной системе Linux и не можете найти безопасную ссылку для загрузки сертификата CA своего провайдера, вам, возможно, придется установить их программное обеспечение и поискать его на своем компьютере. Система, чтобы найти сертификат, чтобы вы могли скопировать его в правильное место, как показано ниже.

Загрузите файл RiseupCA.pem по приведенной выше ссылке, сохраните его в /home/amnesia/Tor Browser , затем выполните следующие команды в терминале :

mkdir /home/amnesia/Persistent/vpn cp /home/amnesia/Tor\ Browser/RiseupCA.pem /home/amnesia/Persistent/vpn/vot-ca.pem 

Эти команды будут:

1. Создайте папку с именем vpn в каталоге персистентности Tails,
2. Переместите туда сертификат CA и
3. Переименуйте его в vot-ca.pem .

Шаг 4: Создайте файл конфигурации OpenVPN

Рекомендуемая конфигурация RiseUp здесь . Ниже приведена упрощенная версия с несколькими незначительными изменениями, чтобы сделать ее совместимой с нашей настройкой VPN через Tor.

client cipher AES-256-CBC auth SHA256 dev tun auth-user-pass proto tcp remote vpn.riseup.net 443 ca /etc/openvpn/vot-ca.pem nobind persist-tun persist-key resolv-retry infinite remote-cert-tls server chroot 

Скопируйте текст выше, затем выполните следующую команду в Терминале, чтобы открыть текстовый редактор и создать новый файл с именем vot.ovpn внутри папки vpn :

gedit /home/amnesia/Persistent/vpn/vot.ovpn 

Теперь вставьте в конфигурацию выше, нажмите [Сохранить] и выйдите из редактора.

Шаг 5: Загрузите скрипт vot.sh

Сценарий, который установит временную копию клиента OpenVPN и использует ее для подключения к вашему провайдеру через Tor, находится здесь . Скопируйте содержимое этого сценария, затем выполните следующие команды в терминале, чтобы создать новую папку с именем bin в каталоге персистентности Tails и новый файл с именем vot.sh в этой папке:

mkdir /home/amnesia/Persistent/bin gedit /home/amnesia/Persistent/bin/vot.sh 

Теперь вставьте содержимое скрипта по ссылке выше, нажмите [Сохранить] и выйдите из редактора. Наконец, выполните следующую команду в Терминале, чтобы сделать этот скрипт исполняемым:

chmod u+x /home/amnesia/Persistent/bin/vot.sh 

Запуск VPN через Tor

После того, как вы выполнили начальные шаги настройки выше, активация VPN через Tor требует четырех шагов:

1. Из терминала запустите скрипт vot.sh , который установит необходимое программное обеспечение, настроит клиент OpenVPN для использования Tor и запросит ваше имя пользователя и пароль, чтобы он мог подключиться к вашей VPN-службе через Tor;
2. Из нового окна терминала запустите второй экземпляр браузера Tor с разрешением подключиться через VPN;
3. Отключить настройку прокси в новом окне Tor Browser; и
4. Отключите параметр конфигурации DNS в новом окне браузера Tor.

Шаг 1: Запустите скрипт vot.sh

Запустите новое окно терминала и запустите скрипт с:

sudo ~/Persistent/bin/vot.sh 

Введите ваш административный пароль Tails при появлении запроса. Когда он будет готов к подключению, скрипт также запросит ваше имя пользователя VPN и пароль.

Когда сценарий vot.sh перестает прокручиваться - при условии, что он не вернулся обратно в запрос - ваше VPN-соединение должно быть готово. Обычно это происходит во второй раз, когда говорится: «Последовательность инициализации завершена».

Шаг 2: Запустите новый экземпляр Tor Browser

Когда ваше VPN-соединение будет готово, вам нужно будет открыть еще одно окно терминала и запустить второй экземпляр браузера Tor с помощью следующей команды:

sudo -u vpnuser tor-browser --new-instance 

В отличие от обычного браузера Tor, этот экземпляр будет отправлять ваш трафик через сервер VPN после того, как он покинет сеть Tor:

Как показано выше, вы, скорее всего, увидите ряд предупреждений и ошибок в терминале, пока этот экземпляр браузера Tor активен.

Шаг 3: перенастроить ваш новый экземпляр Tor Browser

Прежде чем вы сможете использовать свой новый браузер Tor для посещения веб-сайтов, которые блокируют доступ из Tor, вам необходимо изменить его конфигурацию двумя способами:

1. Отключите SOCKS прокси Tor с помощью экрана настроек браузера Tor
2. Отключите конфигурацию network.proxy.socks_remote_dns используя страницу about:config

Эти модификации, как правило, были бы очень плохой идеей, потому что они по сути говорят вашему браузеру не использовать Tor. Однако благодаря vot.sh у нас теперь есть VPN-соединение, которое проходит через Tor. И эта версия Tor Browser будет настроена на его использование. Просто убедитесь, что вы изменяете правильный экземпляр Tor Browser!

Чтобы изменить настройки прокси-сервера, выполните следующие действия:

Затем введите about:config в строку URL, найдите remote_dns и следуйте приведенным ниже инструкциям, чтобы изменить способ обработки удаленных DNS-запросов:

Теперь вы сможете посещать веб-сайты, в том числе те, которые блокируют доступ из Tor, используя окна и вкладки вашего нового экземпляра Tor Browser.

Примечание . В этом новом браузере нажатие клавиши <Enter> после ввода URL-адреса может не загрузить страницу, как обычно. Чтобы загрузить URL-адрес, просто нажмите кнопку со стрелкой справа от адресной строки вместо нажатия клавиши <Enter> . Не волнуйтесь, ссылки по-прежнему работают нормально, как и правой кнопкой мыши возможность открыть ссылку в новой вкладке . (Если это поможет, подумайте об этом как о функции безопасности, разработанной для предотвращения случайного использования неправильного браузера.)

Имейте в виду, что если вы посетите веб-сайт Tor Check , это будет означать, что Tor не работает. Это связано с тем, что ваше соединение с этой страницей не происходит напрямую через выходное реле Tor. Аналогично, если вы посещаете веб-сайт, предназначенный для отображения вашего собственного IP-адреса, на нем должен отображаться адрес вашего VPN-сервера:

Как упоминалось ранее , хотя скрипт vot.sh позволяет вам vot.sh VPN без предварительного прохождения через Tor , эта настройка еще меньше анонимнее, чем обычно использовать Tor Browser. Поэтому обязательно следите за тем, какое окно есть какое, и используйте экземпляр Tor-over-VPN только тогда, когда это абсолютно необходимо.

Когда вы закончите доступ к сайтам, которые блокируют доступ из Tor, вы можете закрыть все, перезапустив Tails или:

1. Выход из нового экземпляра Tor Browser,
2. vot.sh скрипта vot.sh , нажав <Ctrl-C> в терминале, где он запущен, и
3. В ожидании Tor, чтобы восстановить соединение.