VPN sobre Tor

Uso de VPN sobre Tor para una conexión anónima segura a Internet

Como se muestra en la tabla de recursos de investigación en la guía de fugas y Sopa de cebolla, hay algunos servicios web útiles que rechazan a los usuarios de Tor como una cuestión de política. Si necesitas acceso anónimo a estos sitios, o si necesitas acceder a ellos mientras usas Tails, tus solicitudes tendrán que venir de otro lugar que no sea un relé de salida de Tor conocido. Una forma de lograr esto, sin dejar de disfrutar de la mayoría de los beneficios de anonimato de Tor, es agregar un «salto» VPN después del relé de salida al final de su circuito Tor.

Este método a menudo se llama «VPN sobre Tor» para distinguirlo de las configuraciones de «Tor sobre VPN», que funcionan en la dirección opuesta. (Enrutar Tor a través de una VPN agrega un salto VPN antes de su relé de entrada Tor y, a veces, se usa para llegar a la red Tor desde ubicaciones donde está bloqueada. No discutiremos esta técnica en detalle porque los relés de puente Tor generalmente se consideran una mejor manera de lograr ese objetivo.)

Riesgos

Es importante entender que complementar Tor con una VPN no fortalece la seguridad ni el anonimato de sus actividades en línea. De hecho, reduce su anonimato de maneras significativas que discutiremos a continuación. La única razón por la que debe usar una VPN a través de Tor es para obtener acceso a servicios que bloquean a los usuarios de Tor.

La wiki del Proyecto Tor incluye una explicación de los riesgos asociados con esta configuración, pero resumiremos los tres puntos principales a continuación.

1. Una VPN a través de Tor no admite»conmutación de circuitos»:

Tor normalmente permite que diferentes solicitudes de red utilicen diferentes rutas a través de la red Tor, lo que significa que a menudo provienen de diferentes relés de salida con diferentes direcciones de Intenet. Por el contrario, todo el tráfico que usa una conexión VPN a través de Tor parecerá provenir de la misma ubicación (su servidor VPN). Este es, por supuesto, el punto. Pero también permite que los sitios web que visitas correlacionen tu tráfico más fácilmente.

Este es un ejemplo simple:

  • Inicia sesión en algún servicio con su nombre de usuario normal. Una cuenta de correo electrónico, por ejemplo, o un foro de discusión donde necesitas publicar con tu identidad real.

  • En otra pestaña, inicia sesión en un servicio con una cuenta con seudónimo. (Consulte nuestro recurso de Juegos de dominio para obtener una explicación de la seudonimidad y algunos ejemplos concretos.)

  • Con el tiempo, cualquiera que tenga la capacidad de comparar registros de tráfico o registros de acceso de ambos servicios tendrá una buena oportunidad de descubrir que estas dos cuentas pertenecen a la misma persona. Y esto podría ser más fácil de lo que parece si ambos sitios dependen de la misma plataforma de publicidad o red de distribución de contenido (CDN), por ejemplo, o si están sujetos a vigilancia pasiva continua.

2. El anonimato de una VPN sobre Tor depende completamente del anonimato de tu VPN:

Una de las razones por las que las personas usan Tor es porque proporciona anonimato que no requiere confiar en la competencia técnica de un servicio en particular o su compromiso con la privacidad de sus usuarios. Pero si agrega un servidor VPN a la mezcla de esta manera, será la cosa que se conecta directamente a los servicios a los que accede. Por lo tanto, si su proveedor de VPN está comprometido (o lo vende), el hecho de que haya utilizado Tor para llegar allí puede volverse irrelevante. Lo ideal es que:

  • Encuentre un servicio VPN en el que confíe;
  • Asegúrese de que sea compatible con el protocolo OpenVPN;
  • Cree su cuenta en ese servicio utilizando el navegador Tor o Tails;
  • Regístrese con un seudónimo y una dirección de correo electrónico que no se pueda vincular a usted;
  • Use un método de pago anónimo (como se explica en el recurso de Juegos de dominio) si es necesario; y
  • No se conecte a través de la VPN ni administre su cuenta a menos que esté utilizando el Navegador Tor o Tails.

3. Solo debe usar una VPN a través de Tor cuando sea absolutamente necesario

La técnica que se describe a continuación le permite tener dos versiones del navegador Tor ejecutándose al mismo tiempo. Una funcionará normalmente y la otra enrutará su VPN a través de Tor. Por las razones mencionadas anteriormente, debe usar la instancia no VPN del navegador Tor siempre que sea posible, incluso si significa tener que pasar por s periódicamente.

Finalmente, tenga en cuenta que algunos sitios web también bloquean el acceso desde VPN. Sin embargo, según el experimento de un investigador, solo 11 de los sitios web «top 1000» de Alexa bloquean a los usuarios de VPN, mientras que 40 bloquean a los usuarios de Tor. (En un giro irónico, el blog de este investigador es en sí mismo inaccesible desde al menos algunos nodos de salida de Tor. Por lo tanto, si estás usando Colas, es posible que tengas que terminar de trabajar esta guía antes de poder echar un vistazo.) El Proyecto Tor también mantiene una página wiki que enumera sitios web conocidos por ser inaccesibles desde Tor.

Configurar una VPN para que funcione sobre Tor en Tails

Esta guía fue escrita para Tails y no se ha probado con el navegador Tor que se ejecuta en un sistema Linux normal. Tampoco funcionará en dispositivos Windows o Mac OS X, aunque probablemente se podría modificar el vot.sh script, y los pasos a continuación, para lograr el mismo resultado en esos sistemas operativos.

Una vez que haya arrancado Tails con persistencia habilitada, preparar su sistema Tails para usar una VPN a través de Tor requiere cinco pasos. Solo tendrá que pasar por este proceso una vez:

  1. Registrarse de forma anónima con un proveedor de OpenVPN y elegir una frase de contraseña fuerte
  2. Memorizar esa frase de contraseña o grabarla de forma segura utilizando KeePassX
  3. Descargar el certificado de CA.pem de su proveedor de VPN en la ubicación adecuada y cambiarle el nombre
  4. Asegúrese de tener un.ovpn archivo en la ubicación adecuada
  5. Descargue el scriptvot.sh que usará para activar la VPN a través de Tor

Paso 1: Regístrese con un proveedor de OpenVPN

Para el resto de esta guía, usaremos el servicio VPN «Red» proporcionado por RiseUp. Este es un servicio gratuito orientado a la privacidad que está bien configurado y administrado por una organización confiable. Para crear una cuenta, necesitarás un «código de invitación» de un usuario actual de RiseUp. Si tiene uno, puede ir a la página de nueva cuenta, elegir un nombre de usuario que no proporcione ninguna pista a su identidad real y establecer una contraseña fuerte. Debes hacer todo esto a través del Navegador Tor o mientras corres Tails.

Si no conoces a ningún usuario de RiseUp de quien solicitar un código de invitación — o si te preocupa que te vean usar una VPN que está claramente asociada con activistas, puedes intentar adaptar las instrucciones a continuación para trabajar con cualquier proveedor de OpenVPN. Si elige un servicio comercial, es posible que desee consultar el recurso Juegos de dominio para obtener información sobre cómo realizar compras en línea de forma anónima.

Paso 2: Graba la información de tu nueva cuenta en KeePassX

En lugar de intentar memorizar otro nombre de usuario y contraseña, te recomendamos que la guardes en KeePassX, que viene preinstalado en Tails. Esto también te ayudará a recordar que no debes usar esta VPN fuera de Tails, lo cual es importante para el anonimato.

Paso 3: Descargue el certificado de CA de su proveedor

La seguridad de su conexión VPN depende de obtener el certificado de CA correcto de su proveedor. Al descargar certificados, asegúrese de usar un enlace HTTPS que apunte a una página web gestionada por su proveedor. Puedes descargar el certificado RiseUp aquí y obtener más información sobre por qué es importante aquí.

Muchas VPN comerciales vienen con un instalador que incluye el certificado de CA junto con un cliente OpenVPN preconfigurado. No recomendamos ejecutar instaladores como este en Tails, pero si está modificando esta guía para que funcione en un sistema Linux normal y no puede encontrar un enlace de descarga seguro para el certificado de CA de su proveedor, es posible que tenga que instalar su software y buscar en su sistema para encontrar el certificado para que pueda copiarlo en la ubicación correcta, como se muestra a continuación.

Descargue el archivo RiseupCA.pem desde el enlace anterior, guárdelo en /home/amnesia/Tor Browser, luego ejecute los comandos a continuación en Terminal:

mkdir /home/amnesia/Persistent/vpncp /home/amnesia/Tor\ Browser/RiseupCA.pem /home/amnesia/Persistent/vpn/vot-ca.pem

Estos comandos:

  1. Crearán una carpeta llamada vpn dentro del directorio de persistencia de Tails,
  2. Mueva el certificado de CA allí y
  3. Cámbielo de nombre vot-ca.pem.

Paso 4: Cree el archivo de configuración de OpenVPN

La configuración recomendada de RiseUp está aquí.A continuación se muestra una versión simplificada con algunos cambios menores para que sea compatible con nuestra configuración de VPN sobre Tor.

 client cipher AES-256-CBC auth SHA256 dev tun auth-user-pass proto tcp remote vpn.riseup.net 443 ca /etc/openvpn/vot-ca.pem nobind persist-tun persist-key resolv-retry infinite remote-cert-tls server chroot

Copie el texto anterior, luego ejecute el siguiente comando en la Terminal para abrir un editor de texto y crear un nuevo archivo llamado vot.ovpn dentro de la carpeta vpn:

gedit /home/amnesia/Persistent/vpn/vot.ovpn

Ahora pegue la configuración anterior, haga clic y salga del editor.

Paso 5: Descargue el vot.script sh

El script que instalará una copia temporal del cliente OpenVPN y lo utilizará para conectarse a su proveedor a través de Tor está aquí. Copie el contenido de ese script y, a continuación, ejecute los siguientes comandos en Terminal para crear una nueva carpeta llamada bin dentro del directorio de persistencia de Tails y un nuevo archivo llamado vot.sh dentro de esa carpeta:

mkdir /home/amnesia/Persistent/bingedit /home/amnesia/Persistent/bin/vot.sh

Ahora pegue el contenido del script desde el enlace anterior, haga clic y salga del editor. Finalmente, ejecute el siguiente comando en Terminal para hacer que este script sea ejecutable:

chmod u+x /home/amnesia/Persistent/bin/vot.sh

Lanzar una VPN a través de Tor

Después de completar los pasos de configuración iniciales anteriores, la activación de su VPN a través de Tor requiere cuatro pasos:

  1. Desde el Terminal, ejecute el script vot.sh, que instalará el software necesario, configurará el cliente OpenVPN para usar Tor y solicitará su nombre de usuario y contraseña para que puede conectarse a su servicio VPN a través de Tor;
  2. Desde una nueva ventana de Terminal, inicie una segunda instancia del navegador Tor con permiso para conectarse a través de la VPN;
  3. Deshabilita una configuración de proxy en la nueva ventana del navegador Tor; y
  4. Deshabilita una opción de configuración de DNS en la nueva ventana del navegador Tor.

Paso 1: Ejecute el vot.sh script

Inicie una nueva ventana de terminal y ejecute el script con:

sudo ~/Persistent/bin/vot.sh

Ingrese su contraseña administrativa de Tails cuando se le solicite. Cuando esté listo para conectarse, el script también le pedirá su nombre de usuario y contraseña de VPN.

Iniciar terminalEjecutar vot.shInicie sesión en la VPNVPN en ejecución

Cuando el script vot.sh deje de desplazarse, suponiendo que no vuelva al mensaje, su conexión VPN debería estar lista. Esto suele ocurrir la segunda vez que dice: «Secuencia de inicialización completada.»

Paso 2: Inicie una nueva instancia de navegador Tor

Cuando su conexión VPN esté lista, deberá abrir otra ventana de terminal e iniciar una segunda instancia del Navegador Tor con el siguiente comando:

sudo -u vpnuser tor-browser --new-instance

A diferencia del navegador Tor normal, esta instancia enviará su tráfico a través de un servidor VPN después de que salga de la red Tor:

Lanzar un nuevo navegador TorLanzar un nuevo navegador TorNuevo Navegador Tor

Como se muestra arriba, es probable que vea una serie de advertencias y errores en el terminal mientras esta instancia del Navegador Tor está activa.

Paso 3: Reconfigure su nueva instancia de Navegador Tor

Antes de que pueda usar su nuevo Navegador Tor para visitar sitios web que bloquean el acceso desde Tor, deberá modificar su configuración de dos maneras:

  1. Desactivar el proxy SOCKS de Tor usando la pantalla de preferencias del Navegador Tor
  2. Desactivar la configuración network.proxy.socks_remote_dns utilizando la configuración about:config

Estas modificaciones normalmente serían una muy mala idea porque esencialmente le dicen a su navegador que no use Tor. Sin embargo, gracias al script vot.sh, ahora tenemos una conexión VPN que pasa por Tor. Y esta versión del Navegador Tor estará configurada para usarlo.¡Solo asegúrate de que estás modificando la instancia correcta del navegador Tor!

Siga los pasos a continuación para cambiar la configuración del proxy:

PreferenciasPreferencias generalesPreferencias avanzadasPreferencias de red/div>Deshabilitar proxy para esta instancia

Luego escriba about:config en la barra de URL, busqueremote_dns y siga los pasos a continuación para cambiar la forma en que maneja las consultas DNS remotas:

acerca de:advertencia de configuraciónacerca de:pantalla de configuraciónBuscar dominios remotosEstablecer dominios remotos en false

Ahora debería poder visitar sitios web, incluidos aquellos que bloquean el acceso desde Tor, utilizando las ventanas y pestañas de su nueva instancia de navegador Tor.

Nota: En este nuevo navegador, presionar la tecla <Enter> después de escribir una URL puede no cargar la página como lo haría normalmente. Para cargar una URL, simplemente presione el botón de flecha a la derecha de la Barra de direcciones en lugar de presionar <Enter>. No se preocupe, los enlaces siguen funcionando normalmente, al igual que el enlace de clic con el botón derecho*_opción para _abrir en la pestaña Nueva*. (Si ayuda, piense en esto como una función de seguridad diseñada para evitar que use accidentalmente el navegador incorrecto.)

El sitio web de Tails a través de Tor y una VPNEl sitio web de OpenCorporates a través de Tor y una VPN

Tenga en cuenta que si visita el sitio web de Verificación de Tor, indicará que Tor no está funcionando. Esto se debe a que su conexión a esa página no proviene directamente de un relé de salida Tor. Del mismo modo, si visita un sitio web diseñado para mostrarle su propia dirección IP, debe mostrar la dirección de su servidor VPN:

La dirección IP aparente no es un relé TorLa dirección IP aparente es una VPN

Como se mencionó anteriormente, a pesar de que vot.sh script le impide llegar a su VPN sin pasar primero por Tor, esta configuración sigue siendo menos anónima que usar el navegador Tor normalmente. Así que asegúrese de realizar un seguimiento de qué ventana es cuál, y solo use la instancia de Tor-over-VPN cuando sea absolutamente necesario.**

Cuando haya terminado de acceder a sitios que bloquean el acceso desde Tor, puede apagar todo reiniciando Tails o:

  1. Saliendo de la nueva instancia del navegador Tor,
  2. Saliendo del script vot.sh pulsando <Ctrl-C> en el terminal donde se está ejecutando, y
  3. Esperando a que Tor se vuelva a conectar.

publicado por Primera vez el 20 de septiembre de 2017

admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.