VPN su Tor

Utilizzando VPN su Tor per una connessione anonima sicura a Internet

Come mostrato nella tabella delle risorse investigative nella guida Leak and Onion Soup, ci sono alcuni servizi web utili che rifiutano gli utenti Tor come una questione di politica. Se hai bisogno di un accesso anonimo a questi siti — o se hai bisogno di accedervi durante l’utilizzo di Tails — le tue richieste dovranno provenire da un luogo diverso da un noto relè di uscita Tor. Un modo per raggiungere questo obiettivo, pur godendo la maggior parte dei vantaggi di anonimato di Tor, è quello di aggiungere una VPN “hop” dopo il relè di uscita alla fine del circuito Tor.

Questo metodo è spesso chiamato “VPN su Tor” per distinguerlo dalle configurazioni “Tor su VPN”, che funzionano nella direzione opposta. (Routing Tor su una VPN aggiunge un hop VPN prima del relè di ingresso Tor e viene talvolta utilizzato per raggiungere la rete Tor da posizioni in cui è bloccato. Non discuteremo questa tecnica in dettaglio perché i relè a ponte Tor sono generalmente considerati un modo migliore per raggiungere tale obiettivo.)

Rischi

È importante capire che integrare Tor con una VPN non rafforza la sicurezza o l’anonimato delle tue attività online. In effetti, riduce il tuo anonimato in modi significativi che discuteremo di seguito. L’unica ragione per cui dovresti usare una VPN su Tor è ottenere l’accesso ai servizi che bloccano gli utenti Tor.

Il Tor Project wiki include una spiegazione dei rischi associati a questa configurazione, ma riassumeremo i tre punti principali di seguito.

1. Una VPN su Tor non supporta la”commutazione di circuito”:

Tor normalmente consente a diverse richieste di rete di utilizzare percorsi diversi attraverso la rete Tor, il che significa che spesso provengono da diversi relè di uscita con diversi indirizzi Intenet. Al contrario, tutto il traffico che utilizza una connessione VPN su Tor sembra provenire dalla stessa posizione (il server VPN). Questo è, ovviamente, il punto. Ma permette anche i siti web visitati per correlare il traffico più facilmente.

Ecco un esempio semplicistico:

  • Accedi a un servizio con il tuo normale nome utente. Un account di posta elettronica, per esempio, o un forum di discussione in cui è necessario pubblicare con la tua vera identità.

  • In un’altra scheda, si accede a un servizio con un account pseudonimo. (Vedi la nostra risorsa Domain Games per una spiegazione della pseudonimia e pochi esempi concreti.)

  • Nel corso del tempo, chiunque abbia la capacità di confrontare i record di traffico o i registri di accesso da entrambi i servizi avrà buone possibilità di capire che questi due account appartengono alla stessa persona. E questo potrebbe essere più facile di quanto sembri se entrambi i siti si basano sulla stessa piattaforma pubblicitaria o content Delivery network (CDN), per esempio, o se sono soggetti a sorveglianza passiva in corso.

2. L’anonimato di una VPN su Tor dipende interamente dall’anonimato della tua VPN:

Uno dei motivi per cui le persone usano Tor è perché fornisce l’anonimato che non richiede la fiducia nella competenza tecnica di un particolare servizio o il suo impegno per la privacy dei suoi utenti. Ma se aggiungi un server VPN al mix in questo modo, sarà la cosa che si connette direttamente ai servizi a cui accedi. Quindi, se il tuo provider VPN è compromesso (o ti vende), il fatto che tu abbia usato Tor per arrivarci potrebbe diventare irrilevante. Idealmente, dovresti:

  • Trovare un servizio VPN di cui ti fidi;
  • Assicurati che supporti il protocolloOpenVPN;
  • Crea il tuo account su quel servizio usando il Tor Browser o Tails;
  • Registrati con uno pseudonimo e un indirizzo email che non può essere collegato a te;
  • Utilizzare un metodo di pagamento anonimo (come discusso nella risorsa Domain Games) se necessario; e
  • Non connettersi tramite VPN o amministrare il proprio account a meno che non si stia utilizzando il browser Tor o Tails.

3. Dovresti usare una VPN su Tor solo quando devi assolutamente

La tecnica discussa di seguito ti consente di avere due versioni del browser Tor in esecuzione contemporaneamente. Uno funzionerà normalmente e l’altro instraderà la tua VPN su Tor. Per i motivi di cui sopra, è necessario utilizzare l’istanza non VPN di Tor Browser ove possibile, anche se questo significa dover sgobbare attraverso s periodicamente.

Infine, tieni presente che alcuni siti web bloccano anche l’accesso dalle VPN. Secondo l’esperimento di un ricercatore, tuttavia, solo 11 dei siti Web “top 1000” di Alexa bloccano gli utenti VPN, mentre 40 bloccano gli utenti Tor. (In un tocco ironico, il blog di questo ricercatore è di per sé inaccessibile da almeno alcuni nodi di uscita Tor. Quindi, se stai usando Tails, potrebbe essere necessario finishworking attraverso questa guida prima di poter dare un’occhiata.) Il progetto Tor mantiene anche una pagina wiki che elenca i siti Web noti per essere inaccessibili da Tor.

Configurazione di una VPN per lavorare su Tor su Tails

Questa guida è stata scritta per Tails e non è stata testata con il browser Tor in esecuzione su un normale sistema Linux. Non funzionerà su dispositivi Windows o Mac OS X, anche se probabilmente si potrebbe modificare il vot.sh script, e la procedura riportata di seguito, per ottenere lo stesso risultato su quei sistemi operativi.

Una volta avviato Tails con la persistenza abilitata, preparare il sistema Tails per utilizzare una VPN su Tor richiede cinque passaggi. Devi solo passare attraverso questo processo una volta:

  1. Registro in modo anonimo con OpenVPN fornitore e scegliere una passphrase
  2. imparare a memoria che passphrase o registrare in modo sicuro utilizzando KeePassX
  3. Scarica la VPN provider .pem certificato CA per la posizione appropriata e rinominarlo
  4. assicurarsi di aver correttamente nome e configurato .ovpn file nella posizione appropriata
  5. Scaricare vot.sh script da utilizzare per attivare la VPN su Tor

Step 1: Registrati con un provider OpenVPN

Per il resto di questa guida, useremo il servizio VPN “Red” fornito da RiseUp. Si tratta di un servizio gratuito, orientato alla privacy che è ben configurato e gestito da un’organizzazione affidabile. Per creare un account, è necessario un “codice di invito” da un utente RiseUp corrente. Se ne hai uno, puoi andare alla pagina nuovo account, scegliere un nome utente che non fornisce alcun suggerimento per la tua vera identità e impostare una passphrase forte. Si dovrebbe fare tutto questo attraverso il browser Tor o durante l’esecuzione di Tails.

Se non conosci alcun utente RiseUp da cui richiedere un codice di invito — o se sei preoccupato di essere visto usare una VPN che è chiaramente associata agli attivisti — puoi provare a personalizzare le istruzioni riportate di seguito per lavorare con qualsiasi provider OpenVPN. Se scegli un servizio commerciale, potresti voler fare riferimento alla risorsa Giochi di dominio per informazioni su come effettuare acquisti online in modo anonimo.

Passo 2: Registra le informazioni del tuo nuovo account in KeePassX

Invece di cercare di memorizzare ancora un altro nome utente e passphrase, ti consigliamo di salvarlo in KeePassX, che viene preinstallato su Tails. Questo ti aiuterà anche a ricordare di non usare questa VPN al di fuori di Tails, che è importante per l’anonimato.

Passo 3: Scarica il certificato CA del tuo provider

La sicurezza della tua connessione VPN dipende dall’ottenimento del certificato CA corretto dal tuo provider. Quando scarichi i certificati, assicurati di utilizzare un collegamento HTTPS che punta a una pagina Web gestita dal tuo provider. È possibile scaricare il certificato RiseUp qui e saperne di più sul perché è importante qui.

Molte VPN commerciali sono dotate di un programma di installazione che include il certificato CA insieme a un client OpenVPN preconfigurato. Non è consigliabile eseguire installatori come questo su Tails, ma se stai modificando questa guida per lavorare su un normale sistema Linux e non riesci a trovare un link di download sicuro per il certificato CA del tuo provider, potresti dover installare il loro software e andare a caccia sul tuo sistema per trovare il certificato in modo da poterlo copiare nella posizione corretta come mostrato di seguito.

Scaricare RiseupCA.pem file dal link di cui sopra, salvarlo /home/amnesia/Tor Browser, quindi eseguire i seguenti comandi nel Terminale:

mkdir /home/amnesia/Persistent/vpncp /home/amnesia/Tor\ Browser/RiseupCA.pem /home/amnesia/Persistent/vpn/vot-ca.pem

Questi comandi:

  1. Creare una cartella denominata vpn all’interno del Code persistenza directory
  2. Spostare il certificato CA c’e
  3. Rinomina vot-ca.pem.

Passo 4: Creare il file di configurazione OpenVPN

La configurazione consigliata di RiseUp è qui.Di seguito è riportata una versione semplificata con alcune modifiche minori per renderla compatibile con la nostra configurazione VPN su Tor.

 client cipher AES-256-CBC auth SHA256 dev tun auth-user-pass proto tcp remote vpn.riseup.net 443 ca /etc/openvpn/vot-ca.pem nobind persist-tun persist-key resolv-retry infinite remote-cert-tls server chroot

Copiare il testo di cui sopra, quindi eseguire il seguente comando nel Terminale per aprire un editor di testo e creare un nuovo file chiamato vot.ovpn all’interno del tag vpn cartella:

gedit /home/amnesia/Persistent/vpn/vot.ovpn

incollare nella configurazione di cui sopra, fare clic e chiudere l’editor.

Passo 5: Scarica il voto.sh script

Lo script che installerà una copia temporanea del client OpenVPN e lo utilizzerà per connettersi al proprio provider tramite Tor è qui. Copiare il contenuto dello script, quindi eseguire i seguenti comandi nel Terminale per creare una nuova cartella denominata bin all’interno del Code persistenza directory e un nuovo file chiamato vot.sh all’interno di una cartella:

mkdir /home/amnesia/Persistent/bingedit /home/amnesia/Persistent/bin/vot.sh

incollare il contenuto dello script dal link di cui sopra, fare clic su e chiudere l’editor. Infine, eseguire il seguente comando in Terminale per rendere questo script eseguibile:

chmod u+x /home/amnesia/Persistent/bin/vot.sh

il Lancio di una VPN su Tor

Dopo aver completato la configurazione iniziale procedura di cui sopra, di attivazione della VPN su Tor richiede quattro passaggi:

  1. Da Terminale, eseguire il vot.sh script, in cui sarà installato il software necessario, configurare il client OpenVPN per usare Tor e richiedi il tuo nome utente e la parola chiave, in modo da poter collegare al vostro servizio VPN attraverso Tor;
  2. una nuova finestra di Terminale, avviare una seconda istanza di Tor Browser con il permesso di connettersi tramite VPN;
  3. Disabilita un’impostazione proxy nella nuova finestra del Browser Tor; e
  4. Disabilita un’opzione di configurazione DNS nella nuova finestra del Browser Tor.

Passo 1: Eseguire il vot.sh script

Avvia una nuova finestra di terminale ed esegui lo script con: 

sudo ~/Persistent/bin/vot.sh

Inserisci la passphrase amministrativa Tails quando richiesto. Quando è pronto per la connessione, lo script chiederà anche il nome utente e la passphrase VPN.

Avvia terminaleEsegui vot.shAccedi alla VPNVPN in esecuzione

Quando lo scriptvot.sh interrompe lo scorrimento — supponendo che non sia tornato al prompt — la tua connessione VPN dovrebbe essere pronta. Questo accade in genere la seconda volta che dice: “Sequenza di inizializzazione completata.”

Passo 2: Avvia una nuova istanza Tor Browser

Quando la tua connessione VPN è pronta, dovrai aprire un’altra finestra del terminale e lanciare una seconda istanza del Tor Browser con il seguente comando:

sudo -u vpnuser tor-browser --new-instance

a Differenza dei normali Tor Browser, in questo caso inviare il traffico attraverso una rete VPN server dopo che lascia la rete Tor:

Lancio nuova Tor Browserla Nuova Tor Browser lanciatola Nuova Tor Browser

Come sopra indicato, è probabile vedere un certo numero di avvisi ed errori nel terminale, mentre l’istanza di Tor Browser è attivo.

Punto 3: Riconfigurare la nuova Tor istanza del Browser

Prima di poter utilizzare la nuova Tor Browser per visitare i siti web che blocca l’accesso da Tor, è necessario modificare la configurazione in due modi:

  1. Disattiva Tor proxy SOCKS utilizzando il Browser Tor Preferenze schermo
  2. Disattivare il network.proxy.socks_remote_dns configurazione utilizzando il about:config pagina

Queste modifiche normalmente sarebbe una cattiva idea, perché essi in sostanza, dire al vostro browser in modo da non usare Tor. Grazie allo scriptvot.sh, tuttavia, ora abbiamo una connessione VPN che passa attraverso Tor. E questa versione del Browser Tor sarà configurata per usarlo.Assicurati di modificare l’istanza corretta di Tor Browser!

Seguire la procedura riportata di seguito per modificare le impostazioni del proxy:

Preferenzepreferenze Generalipreferenze Avanzatepreferenze di Reteimpostazioni di ReteDisabilita il proxy per questa istanza

Quindi digitare about:config nella barra degli URL, ricerca remote_dns e seguire la procedura descritta di seguito per modificare come gestisce i DNS remoto query:

about:config avvertenzeinformazioni su:config screenCerca remote_dnsImposta remote_dns su false

Ora dovresti essere in grado di visitare siti Web — compresi quelli che bloccano l’accesso da Tor — usando le finestre e le schede della tua nuova istanza Tor Browser.

Nota: in questo nuovo browser, premendo il tasto <Enter> dopo aver digitato un URL potrebbe non caricare la pagina come farebbe normalmente. Per caricare un URL, è sufficiente premere il pulsante freccia a destra della barra degli indirizzi invece di premere <Enter>. Non preoccuparti, i collegamenti funzionano ancora normalmente, così come il pulsante destro del mouse*_option per _Open Link in New Tab*. (Se aiuta, pensare a questo come una funzione di sicurezza progettata per impedire di utilizzare accidentalmente il browser sbagliato.)

Il sito web Tails tramite Tor e una VPNIl sito web OpenCorporates tramite Tor e una VPN

Tieni presente che se visiti il sito web Tor Check, indicherà che Tor non funziona. Questo perché la tua connessione a quella pagina non proviene direttamente da un relè di uscita Tor. Allo stesso modo, se si visita un sito web progettato per mostrare il proprio indirizzo IP, è necessario visualizzare l’indirizzo del server VPN:

Apparente indirizzo IP non è un relay TorApparente indirizzo IP è una VPN

Come accennato in precedenza, anche se il vot.sh script vi impedisce di raggiungere il vostro VPN senza prima passare attraverso Tor, questa configurazione è ancora lessanonymous di utilizzare Tor Browser normalmente. Quindi, essere sicuri di tenere traccia di quale finestra è che, e utilizzare solo l’istanza Tor-over-VPN quando è assolutamente necessario.**

Quando si è fatto l’accesso ai siti che blocca l’accesso da Tor, si può chiudere il tutto riavviando Code o da parte di:

  1. l’uscita del nuovo Browser Tor esempio,
  2. Smettere di fumare vot.sh script premendo <Ctrl-C> nel terminale in cui è in esecuzione, e
  3. in Attesa di Tor di riconnettersi.

Pubblicato per la prima volta il 20 settembre 2017

admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.