VPN Over Tor

käyttämällä VPN over Tor-verkkoa suojattuun anonyymiin internetyhteyteen

kuten vuoto ja sipulikeitto-oppaan tutkintaresurssitaulukosta ilmenee, on olemassa joitakin hyödyllisiä verkkopalveluita, jotka torjuvat Tor-käyttäjät käytäntönä. Jos tarvitset anonyymin pääsyn näille sivustoille — tai jos sinun täytyy käyttää niitä lainkaan Tailsin käytön aikana-pyyntösi tulee tulla jostain muualta kuin tunnetusta Tor-poistumisreleestä. Yksi tapa saavuttaa tämä, nauttien edelleen suurimmasta osasta Tor-verkon anonymiteetin eduista, on lisätä VPN ”hop” poistumisreleen jälkeen Tor-piirin loppuun.

tätä menetelmää kutsutaan usein nimellä ”VPN over Tor” erottamaan se ”Tor over VPN” – konfiguraatioista, jotka toimivat päinvastaiseen suuntaan. (Reititys Tor yli VPN lisää VPN hop ennen Tor syöttörele ja sitä käytetään joskus päästä Tor-verkkoon paikoista, joissa se on estetty. Emme keskustele tästä tekniikasta yksityiskohtaisesti, koska Tor-sillan releitä pidetään yleisesti parempana tapana saavuttaa tämä tavoite.)

riskit

on tärkeää ymmärtää, että Tor-verkon täydentäminen VPN: llä ei vahvista verkkotoimintasi turvallisuutta tai anonymiteettiä. Itse asiassa, se vähentää nimettömyyttä merkittävillä tavoilla, että keskustelemme alla. Ainoa syy, miksi sinun pitäisi käyttää VPN: ää Tor-verkon yli, on pääsy palveluihin, jotka estävät Tor-käyttäjiä.

Tor Project wiki sisältää selityksen tähän kokoonpanoon liittyvistä riskeistä, mutta tiivistämme alla olevat kolme pääkohtaa.

1. VPN TOR-verkon yli ei tue ”piirikytkentää”:

Tor sallii yleensä eri verkkopyynnöt käyttää eri reittejä Tor-verkon läpi, eli ne tulevat usein eri poistumisreleiltä, joilla on eri Intenet-osoitteet. Sen sijaan kaikki VPN-yhteyttä Tor-verkon kautta käyttävä liikenne näyttää tulleen samasta paikasta (VPN-palvelimestasi). Tämä on tietenkin asian ydin. Mutta se mahdollistaa myös sivustot vierailet korreloida liikennettä helpommin.

tässä on yksinkertainen esimerkki:

  • kirjaudut johonkin Palveluun normaalilla käyttäjätunnuksellasi. Sähköpostitili, vaikkapa, tai keskustelufoorumi, jossa sinun täytyy lähettää oikealla henkilöllisyydelläsi.

  • toisessa välilehdessä kirjaudutaan palveluun, jossa on pseudonyymi tili. (Katso Domain Games resource selitystä pseudonymity ja muutamia konkreettisia esimerkkejä.)

  • ajan myötä jokaisella, jolla on mahdollisuus vertailla liikennetietoja tai käyttää lokitietoja molemmista palveluista, on hyvät mahdollisuudet saada selville, että nämä kaksi tiliä kuuluvat samalle henkilölle. Ja tämä saattaa olla helpompaa kuin miltä se kuulostaa, jos molemmat sivustot luottavat samaan mainosalustaan tai sisällön jakeluverkkoon (CDN), esimerkiksi, tai jos ne ovat jatkuvan passiivisen valvonnan kohteena.

2. VPN: n anonymiteetti Tor-verkon suhteen riippuu täysin oman VPN: n anonymiteetistä:

yksi syy siihen, miksi ihmiset käyttävät Tor-verkkoa, on se, että se tarjoaa anonymiteetin, joka ei vaadi luottamista tietyn palvelun tekniseen pätevyyteen tai sen sitoutumista käyttäjiensä yksityisyyteen. Mutta jos lisäät VPN-palvelimen tällä tavalla, se on asia, joka yhdistää suoraan käyttämiisi palveluihin. Joten jos VPN-palveluntarjoajasi on vaarantunut (tai myy sinut ulos), silloin se, että käytit Tor-verkkoa päästäksesi sinne, voi jäädä merkityksettömäksi. Ihannetapauksessa sinun pitäisi:

  • Etsi VPN-palvelu, johon luotat;
  • varmista, että se tukee OpenVPN protokolla;
  • Luo tili kyseiseen Palveluun Tor-selaimella tai Tailsilla;
  • Rekisteröidy salanimellä ja sähköpostiosoitteella, jota ei voi yhdistää sinuun;
  • käytä tarvittaessa anonyymiä maksutapaa (KS.Domain Games resource), ja
  • älä muodosta yhteyttä VPN: n kautta tai hallinnoi tiliäsi, ellet käytä Tor-selainta tai Tailsia.

3. Sinun tulisi käyttää VPN: ää Tor-verkon yli vain silloin, kun sinun on ehdottomasti

alla mainitun tekniikan avulla voit käyttää kahta versiota Tor-selaimesta samanaikaisesti. Toinen toimii normaalisti ja toinen reitittää VPN: n Tor-verkon kautta. Edellä mainituista syistä sinun tulisi käyttää Tor-Selaimen ei-VPN-instanssia aina, kun se on mahdollista, vaikka se merkitsisi sitä, että sinun on käytävä s: n läpi säännöllisesti.

muista lopuksi, että jotkin verkkosivustot estävät pääsyn myös VPN: istä. Erään tutkijan kokeen mukaan kuitenkin vain 11 Alexan ”top 1000” – verkkosivustoista estää VPN-käyttäjiä, kun taas 40 estää Tor-käyttäjiä. (Ironinen käänne, tämä tutkija blogi on itse saavuttamattomissa ainakin joitakin Tor exit solmut. Niin, Jos käytät Tails, saatat joutua viimeistelemään läpi tämän oppaan ennen kuin voit katsoa.) Tor-projekti ylläpitää myös wiki-sivua, joka listaa sivustot, joiden tiedetään olevan Tor-verkon ulottumattomissa.

VPN: n määrittäminen toimimaan Tor-verkon yli Tailsilla

Tämä opas on kirjoitettu Tailsille, eikä sitä ole testattu Tor-Selaimen toimiessa tavallisessa Linux-järjestelmässä. Se ei toimi Windows – tai Mac OS X-laitteet joko, vaikka voisi todennäköisesti muokata vot.sh script, ja vaiheet alla, saavuttaa saman tuloksen kyseisissä käyttöjärjestelmissä.

kun olet käynnistänyt Tailsin pysyvyys käytössä, Tails-järjestelmän valmistelu VPN: n käyttämiseksi Tor-verkon yli vaatii viisi vaihetta. Sinun tarvitsee käydä tämä prosessi läpi vain kerran:

  1. Rekisteröidy anonyymisti OpenVPN-palveluntarjoajalle ja valitse vahva salasana
  2. paina kyseinen salasana muistiin tai tallenna se turvallisesti KeePassX: llä
  3. lataa VPN-palveluntarjoajasi .pem CA-varmenne sopivaan paikkaan ja nimeä se uudelleen

    4. varmista, että sinulla on oikein nimetty ja määritetty .ovpntiedosto sopivaan paikkaan

  4. lataa vot.shskripti, jonka avulla aktivoit VPN: n torin kautta

Vaihe 1: Rekisteröidy OpenVPN-palveluntarjoajaan

tämän oppaan loppuosassa, käytämme RiseUp-palvelun tarjoamaa VPN ”Red” – palvelua. Tämä on ilmainen, yksityisyyteen keskittynyt palvelu, joka on hyvin konfiguroitu ja jota ylläpitää luotettava organisaatio. Luodaksesi tilin, tarvitset ”kutsukoodin” nykyiseltä RiseUp-käyttäjältä. Jos sinulla on sellainen, voit mennä uuden tilin sivulle, valita käyttäjätunnuksen, joka ei anna mitään vihjeitä todellisesta henkilöllisyydestäsi ja asettaa vahvan tunnuslauseen. Kaikki tämä kannattaa tehdä Tor-selaimen kautta tai Tailsia ajettaessa.

Jos et tiedä yhtään RiseUp — käyttäjää, jolta pyytää kutsukoodia — tai jos olet huolissasi siitä, että sinun nähdään käyttävän VPN: ää, joka liittyy selvästi aktivisteihin-voit yrittää räätälöidä alla olevat ohjeet toimimaan minkä tahansa OpenVPN-palveluntarjoajan kanssa. Jos valitset kaupallisen palvelun, haluat ehkä viitata Domain Games-resurssiin saadaksesi tietoa verkko-ostosten tekemisestä anonyymisti.

Vaihe 2: Tallenna uudet tilitiedot KeePassX

sen sijaan, että yrittäisit muistaa vielä yhden käyttäjätunnuksen ja salasanafraasin, suosittelemme, että tallennat ne Keepassxiin, joka tulee esiasennettuna Tailsiin. Tämä auttaa sinua myös muistamaan, ettet käytä tätä VPN: ää Tailsin ulkopuolella, mikä on tärkeää anonymiteetin kannalta.

Vaihe 3: Lataa palveluntarjoajasi CA-varmenne

VPN-yhteytesi turvallisuus riippuu oikean CA-varmenteen saamisesta palveluntarjoajaltasi. Kun lataat varmenteita, muista käyttää HTTPS-linkkiä, joka osoittaa palveluntarjoajasi ylläpitämälle verkkosivulle. Voit ladata RiseUp-sertifikaatin täältä ja lukea lisää siitä, miksi sillä on merkitystä täällä.

monissa kaupallisissa VPN: issä on asennusohjelma, joka sisältää CA-varmenteen sekä valmiiksi määritetyn OpenVPN-asiakasohjelman. Emme suosittele tämän kaltaisten asennusohjelmien suorittamista Tailsissa, mutta jos muokkaat tätä ohjetta toimiaksesi tavallisessa Linux-järjestelmässä etkä löydä turvallista latauslinkkiä palveluntarjoajasi CA-varmenteelle, saatat joutua asentamaan ohjelmiston ja etsimään järjestelmääsi löytääksesi sertifikaatin, jotta voit kopioida sen oikeaan sijaintiin alla esitetyllä tavalla.

Lataa RiseupCA.pem tiedosto yllä olevasta linkistä, tallenna se /home/amnesia/Tor Browser ja suorita sitten alla olevat komennot terminaalissa:

mkdir /home/amnesia/Persistent/vpncp /home/amnesia/Tor\ Browser/RiseupCA.pem /home/amnesia/Persistent/vpn/vot-ca.pem

nämä komennot:

  1. Luo kansio nimeltä vpn häntien pysyvyyshakemiston sisällä,
  2. siirrä CA-varmenne sinne ja
  3. nimeä se uudelleen vot-ca.pem.

Vaihe 4: Luo OpenVPN: n asetustiedosto

RiseUp: n suositeltu kokoonpano täällä.Alla on yksinkertaistettu versio, jossa on muutamia pieniä muutoksia, jotta se olisi yhteensopiva VPN over Tor-asennuksen kanssa.

 client cipher AES-256-CBC auth SHA256 dev tun auth-user-pass proto tcp remote vpn.riseup.net 443 ca /etc/openvpn/vot-ca.pem nobind persist-tun persist-key resolv-retry infinite remote-cert-tls server chroot

Kopioi yllä oleva teksti, suorita päätteessä seuraava komento tekstieditorin avaamiseksi ja uuden tiedoston luomiseksi vot.ovpnvpn kansio:

gedit /home/amnesia/Persistent/vpn/vot.ovpn

liitä nyt yllä olevaan asetukseen, napsauta ja lopeta muokkain.

Vaihe 5: Lataa vot.sh-skripti

skripti, joka asentaa väliaikaisen kopion OpenVPN-asiakasohjelmasta ja käyttää sitä yhteyden muodostamiseen palveluntarjoajaan Tor-verkon kautta, on täällä. Kopioi komentosarjan sisältö ja suorita sitten seuraavat komennot päätteessä luodaksesi uuden kansion bin Tails persistence-kansion sisälle ja uuden tiedoston vot.sh kyseisen kansion sisälle:

mkdir /home/amnesia/Persistent/bingedit /home/amnesia/Persistent/bin/vot.sh

liitä nyt komentosarjan sisältö yllä olevasta linkistä, napsauta ja lopeta editori. Suorita lopuksi seuraava komento terminaalissa tehdäksesi skriptistä suoritettavan:

chmod u+x /home/amnesia/Persistent/bin/vot.sh

VPN: n käynnistäminen Tor: n kautta

kun olet suorittanut yllä olevat alustavat määritysvaiheet, VPN: n aktivointi Tor: n kautta vaatii neljä vaihetta:

  1. terminaalista, suorita vot.sh skripti, joka asentaa tarvittavat ohjelmistot, määrittää OpenVPN-asiakkaan käyttämään Tor-verkkoa ja pyytää käyttäjätunnuksesi ja salasanasi jotta se voi muodostaa yhteyden VPN-palveluusi torin kautta;
  2. uudesta pääteikkunasta, Käynnistä Tor-Selaimen toinen esiintymä, jolla on lupa muodostaa yhteys VPN: n kautta;
  3. Poista välityspalvelinasetus käytöstä uudessa Tor-selainikkunassa ja
  4. Poista DNS-asetusasetus käytöstä uudessa Tor-selainikkunassa.

Vaihe 1: Suorita vot.sh skripti

Käynnistä Uusi pääteikkuna ja suorita skripti ohjelmalla:

sudo ~/Persistent/bin/vot.sh

Anna Tailsin hallintalappu pyydettäessä. Kun se on valmis muodostamaan yhteyden, skripti kysyy VPN käyttäjätunnuksesi ja salasanasi samoin.

Launch TerminalRun vot.shKirjaudu VPN: äänVPN käynnissä

kun vot.sh script lopettaa vierityksen — olettaen, ettei se poistunut takaisin kehotukseen — VPN-yhteytesi pitäisi olla valmis. Tämä tapahtuu tyypillisesti toisen kerran se sanoo, ” alustus sekvenssi valmis.”

Vaihe 2: Käynnistä Uusi Tor-Selaimen instanssi

kun VPN-yhteys on valmis, sinun on avattava vielä yksi pääteikkuna ja käynnistettävä Tor-Selaimen toinen instanssi seuraavalla komennolla:

sudo -u vpnuser tor-browser --new-instance

toisin kuin tavallinen Tor-selain, tämä instanssi lähettää liikenteen VPN-palvelimen kautta sen poistuttua Tor-verkosta:

Käynnistä Uusi Tor-selainUusi Tor-selain käynnistettyUusi Tor-selain

kuten yllä näkyy, näet todennäköisesti useita varoituksia ja virheitä päätteessä, kun tämä Tor-Selaimen esiintymä on aktiivinen.

Vaihe 3: Määritä Uusi Tor-Selainilmaisimesi uudelleen

ennen kuin voit käyttää uutta Tor-selainta vierailemaan verkkosivustoilla, jotka estävät pääsyn Tor-selaimesta, sinun on muutettava sen asetuksia kahdella tavalla:

  1. Poista Tor-selaimen SOCKS-välityspalvelin käytöstä Tor-Selaimen asetusnäytön avulla
  2. Poista käytöstä network.proxy.socks_remote_dns kokoonpano about:config page

nämä muutokset olisivat yleensä erittäin huono idea, koska ne käytännössä kertovat selaimesi olevan käyttämättä Tor-verkkoa. vot.sh Scriptin ansiosta meillä on kuitenkin nyt VPN-yhteys, joka kulkee Tor-verkon kautta. Ja tämä Tor-Selaimen versio määritetään käyttämään sitä.Varmista vain, että olet muokkaamassa Tor-Selaimen oikeaa esiintymää!

seuraa alla olevia ohjeita vaihtaaksesi välityspalvelimen asetuksia:

PreferencesYleiset preferencesAdvanced preferencesNetwork preferencesVerkkoasetuksetpoista välityspalvelin käytöstä tässä tapauksessa

kirjoita sitten about:config URL-palkkiin, etsi remote_dns ja muuta alla olevien ohjeiden mukaisesti, miten se käsittelee DNS-etäkyselyt:

tietoja:config-varoitustietoja:config screenSearch for remote_dnsSet remote_dns to false

sinun pitäisi nyt pystyä käymään verkkosivustoilla — mukaan lukien ne, jotka estävät pääsyn Tor — selaimesta-käyttämällä uuden Tor-Selainilmaisimesi ikkunoita ja välilehtiä.

Huom: tässä uudessa selaimessa <Enter> – näppäimen painaminen URL-osoitteen kirjoittamisen jälkeen ei välttämättä lataa sivua kuten normaalisti. Lataa URL painamalla osoiterivin oikealla puolella olevaa nuolinäppäintä sen sijaan, että painaisit <Enter>. Älä huoli, linkit toimivat edelleen normaalisti,kuten myös hiiren kakkospainikkeella * _option avataksesi linkin uudessa välilehdessä*. (Jos se auttaa, ajattele tätä tietoturvaominaisuutena, joka on suunniteltu estämään sinua vahingossa käyttämästä väärää selainta.)

Tails-sivusto Torin kautta ja VPNAvencorporates-sivusto Torin kautta ja VPN

muista, että jos käyt Tor-Tarkistussivustolla, se ilmoittaa, että Tor ei toimi. Tämä johtuu siitä, että yhteys kyseiselle sivulle ei tule suoraan Tor-poistumisreleestä. Samoin, jos vierailet sivustolla, joka on suunniteltu näyttämään oma IP-osoitteesi, siinä pitäisi näkyä VPN-palvelimesi osoite:

näennäinen IP-osoite ei ole Tor-relenäennäinen IP-osoite on VPN

kuten aiemmin mainittiin, vaikka vot.sh script estää sinua saavuttamasta VPN: ää käymättä ensin Tor-verkon läpi, tämä asetelma on silti vähemmän samanniminen kuin Tor-selaimen käyttäminen normaalisti. Muista siis seurata, mikä ikkuna on mikä, ja käytä Tor-over-VPN-instanssia vain silloin, kun sinun on ehdottomasti pakko.**

kun olet käyttänyt sivustoja, jotka estävät pääsyn Tor-verkosta, voit sulkea kaiken käynnistämällä Tailsin uudelleen tai:

  1. lopettaa uuden Tor-Selaimen instanssin,
  2. lopettaa vot.sh script painamalla <Ctrl-C> päätteessä, jossa se on käynnissä, ja
  3. odottaa Tor yhdistää uudelleen.

julkaistu ensimmäisen kerran 20. syyskuuta 2017

admin

Vastaa

Sähköpostiosoitettasi ei julkaista.