Безопасность и анонимность в сети: VPN, TOR, ORBOT, CloudFlare

В этой статье я расскажу о сетевой безопасности. Но не только. Разберёмся с Secure Delete, отключим в приложениях трекеры отслеживания.

Зачем нужен VPN?

Запомните как аксиому: весь ваш трафик должен идти через VPN-туннель.

Главный функционал VPN заключается не столько в обеспечении анонимности, сколько в шифровании трафика. Перехватить и расшифровать туннелированный трафик в 100 раз сложнее.

Чтобы было нагляднее, рассмотрим на примере недавнего закона, согласно которому операторы и провайдеры обязаны этот трафик коллекционировать и хранить довольно приличное время. Так вот, если ваш трафик открыт, в случае необходимости заинтересованным лицам не составит никакого труда выяснить когда, как часто и к каким ресурсам и адресам в сети вы обращаетесь.

Это как взять ваш личный дневник и посмотреть сделанную вами собственноручно запись за позапрошлое воскресенье : “Сегодня я весь день лупился в сериалы, а в 21:15 мне пришла транзакция в биткоинах, и я ломанулся в Tor”. Причем “дневник” этот ведется без вашего желания и непосредственного участия.

Но если у вас настроено постоянное VPN-туннелирование ВСЕГО трафика, все что получает в свою копилку провайдер – это один единственный адрес в сети, адрес самого сервера VPN (первого сервера, если при соединении используется цепочка из нескольких).

Привожу приложения для настройки VPN на смартфоне Android. Это разумеется “варианты”, они носят рекомендательный характер. Кто-то предпочитает личный сервер на протоколе Wireguard, кто-то юзает PIA за 7$ в месяц, кто-то удовлетворится этими бесплатными вариантами. Но сначала расскажу как сделать так, чтобы VPN-соединение было постоянным и через него шёл весь интернет-трафик.

Особенности настройки VPN до Android 10

До Android 10 был ряд особенностей. Чтобы запустить весь трафик через VPN, на многих прошивках сначала необходимо было установить блокировку экрана. Но она у вас уже есть. Далее, чтобы настроить постоянный VPN, на смартфоне (опять же в зависимости от версии прошивки) нужно было настроить несколько вариантов такого подключения. Это могли быть несколько разных приложений или несколько самостоятельно настроенных подключений в любой комбинации.

Начиная с Android 10 таких заморочек нет, и можно настроить одно единственное подключение. Самостоятельно настроить VPN-подключение можно в соответствующем разделе настроек вашего устройства.

OpenVPN и сервис RiseUP, настройка VPN на телефоне

Отличный вариант для рядового пользователя – OpenVPN. Мы настроим его в бесплатной конфигурации и, как альтернативу, установим сервис RiseUP, рекомендованный создателями Tor и заслуживший авторитет в мировом сообществе своей политикой конфиденциальности.

Сразу же акцентирую внимание на том, что ВСЕ “бесплатные серверы” OVPN хранят логи подключений минимум две недели.

• OpenVPN for Android (OpenVPN without root).
• Bitmask (шифрование данных).

Для начала запускаем Bitmask. Приложение предложит выбрать провайдера. Выбираем RiseUp (хотя Calyx тоже неплох). Серверы выбрать нельзя. Трафик пойдет через Канаду, Францию или Нидерланды, в зависимости от загруженности серверов.

Сервис RiseUP, так сказать, широко известен в узких кругах. Работает как часы. Не входит в список распиаренных сервисов, на которые положил глаз РКН. Преимущества очевидны. Недостатки очевидны тоже. IP серверов находятся в серых списках, и на Авито вы с такого сервера не проскочите. Скорость оставляет желать лучшего.

Теперь OVPN. Для начала, если вы намерены использовать бесплатные открытые сервера, необходимо скачать готовые конфигурации профилей. Я рекомендую отличный сервис VPN Gate (www.vpngate.net).

На сайте можно скачать готовые профили различных серверов из разных стран. В основном это азиатские сервера: Япония, Корея. Отечественные, естественно, отпадают. Обращайте внимание на скорость соединения и количество пользователей. Быть одним из 400 000 или 600? Ответ очевиден.

В таблице серверов ищем “Файл конфигурации OpenVPN”. UDP быстрее, TCP стабильнее, остальное – тема для отдельного статьи по настройке персонального VPN.

Заходим в приложение OVPN и кнопкой (+) добавляем уже готовые профили.

Теперь возвращаемся в настройки смартфона. Выбираем пункт “VPN” в категории “Сеть и Интернет”. Устанавливаем любой из понравившихся вариантов (Bitmask или OpenVPN) как “Постоянную VPN”.

Затем выбираем в её настройках “Блокировать соединения без VPN” (опция есть не во всех прошивках). Так мы разрешим выход в сеть только после запуска выбранного сервиса. После этого весь ваш трафик будет проходить только через зашифрованный туннель.

Проблема может быть и на сервере, поэтому файлов с различными конфигурациями должно быть несколько. Вообще бесплатные серверы достаточно нестабильны. Про хорошую скорость говорить не приходится. Причин для этого несколько, основная – это загрузка из-за большого количества пользователей.

Кратко о работе DNS серверов

Даже если вы пользуетесь VPN-соединением, существует вероятность утечки вашего реального IP. И не только IP, но и информации о том когда, как часто и на какие сайты вы заходите.

Дело в том, что в сети на самом деле не существует таких адресов, как blabla.com или android.ru. Все ресурсы и сайты в сети имеют один или несколько IP-адресов. Адреса эти состоят из цифр. И чтобы попасть на сайт, вам пришлось бы запоминать и вводить целую кучу не связанных между собой цифр.

Разберем на примере сайта вКонтакте. Гораздо проще запомнить vk.com, чем 87.240.129.71 (и ещё 240 IP-адресов, которые ВКонтакте использовал за последние три месяца). Поэтому существует так называемая DNS, Система Доменных Имён. Эта система преобразует буквенное название ресурса в принадлежащий этому ресурсу IP-адрес, и таким образом предоставляет пользователю доступ к нему.

Наравне с интернет-, VPN- и прочими, существуют DNS-провайдеры. Как правило, при входе в сеть с телефона или ПК вы пользуетесь DNS-серверами, которые прописал вам в настройках ваш поставщик интернет-услуг (провайдер или сотовый оператор). Эти серверы, например, прописаны в настройках смартфона по умолчанию, когда вы подключаетесь к домашней сети.

Речь о том, что возможны конфигурации сети, когда для разрешения доменного имени, запрос идёт на DNS-сервер не зашифрованным, минуя VPN. И тогда ваш провайдер видит все сайты и прочее, на которые вы заходите, видит все ресурсы на которых вы совершаете какие-либо действия. Правда не видит самих действий.

Оптимальный вариант, это когда VPN-провайдер пропускает запросы через собственный DNS-сервер. Очень многие сервисы так и делают. Но по какому протоколу идёт запрос? Мы не знаем. Тем не менее, нас устроит только протокол DNSCrypt или DNS поверх HTTPS (DoH). Эти протоколы повышают конфиденциальность и безопасность пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа MITM.

Доп. защита через DNS от CloudFlare

Что из себя представляет Cloudflare можете загуглить, но думаю и так все слышали. Огромный кусок интернета работает сейчас именно через их сервера. Относиться к тому что они обрабатывают такой огромный массив данных можно по разному.

Пустить DNS-запросы через Cloudflare можно разными способами. Если вы используете OpenVPN for Android, то лучше всего открыть Конфигурации – ваш конфиг – значок редактирования – IP-адрес и DNS. Ставим галочку на Переопределить параметры DNS и в строках DNS-сервер и Резервный сервер DNS прописываем, соответственно, адреса 1.1.1.1 и 1.0.0.1

Дополнительно советую прописать свой вариант DNS-сервера непосредственно в настройках смартфона: Настройки – Сеть и Интернет – Персональный DNS-сервер: one.one.one.one (опять же Cloudflare).

Cloudflare хорош еще тем, что всегда старается подобрать сервер на основе вашего IP. То есть если у вас штатовский VPN или прокси, то и DNS в 90% случаев будет такой же. Для многих это важный фактор в их движениях.

Сеть Tor, Orbot и Privacy Browser

Основное её преимущество – то, что она децентрализована. То есть нет единого сервера (группы серверов), на которых хранятся данные пользователей. Это НЕ САМАЯ анонимная сеть. Например сеть i2P намного более анонимна. Но ей пользуется довольно ограниченное количество людей. Потому что она даёт доступ только к ресурсам, входящим в неё. Очень скудно и низкая до тошноты скорость.

Недостаток сети Tor в том, что все её публичные входные и выходные релеи известны и провайдерам, и владельцам ресурсов, и, естественно, тем кто пытается контролировать интернет. С точки зрения беспалевности пользоваться Tor’ом для доступа к открытым ресурсам не лучшая идея, если вы используете его отдельно от VPN, потому что провайдер видит, когда вы в него заходите. А значит, следуя логике контролёров, вам есть что скрывать.

Сейчас скачиваем приложение для настройки Tor на смартфоне и браузер, который хотел бы порекомендовать:

• Orbot (Proxy with Tor).
• Privacy Browser (Веб-браузер, уважающий вашу конфиденциальность).

Умышленно не советую браузер от Tor Project вместо двух этих приложений, потому что его и так все знают, и потому что Tor можно и нужно использовать по полной для всего трафика и не ограничивать возможности в рамках одного браузера.

Orbot может работать в качестве VPN-клиента, когда весь трафик смартфона идет через Tor. А данный браузер, не единственный, конечно, имеет возможность проксификации (см. настройки браузера) через Tor + много других плюшек.

После установки заходим в Orbot. НЕ ЗАПУСКАЕМ его. Для правильной работы Tor требует тонкой настройки.

Важно!!! Не включайте VPN, который вам предложит приложение, если не хотите чтобы вместо вашего настроенного VPN-туннеля ВЕСЬ трафик смартфона шел через Tor.

Настройка Orbot и Tor

Заходим в “Пользовательские настройки Tor “Только для экспертов”. Это они так лохов пугают, чтобы они куда не надо пальцами не тыкали. А мы как раз эксперты))

Здесь мы должны настроить серверы (ноды). Объясню почему именно здесь, а не в пунктах “Входные узлы”, “Выходные” и “Исключенные”. Дело в том, что если указать серверы определенных стран или конкретные IP-адреса узлов, и при этом жёстко не прописать что можно использовать ТОЛЬКО серверы, расположенные в этих странах, маршрутизация, в случае если выбранные серверы недоступны, может пойти через любые доступные ноды. Например отечественные, принадлежащие людям с серенькими глазками.

Чтобы прописать разрешенные страны для входа в строке настроек вводим: EntryNodes { }

В фигурных скобках латинскими буквами через запятую вводится код страны/стран, разрешенных для входа в Tor. Например {DE} – Германия, {NL},{LU} – Нидерланды, Люксембург.

Чтобы запретить любые другие страны в качестве входных набираем в следующей строке: StrictEntryNodes 1

Аналогично и с выходными узлами: ExitNodes { } – код страны, StrictExitNodes 1

Чтобы исключить использование узлов определенных стран: ExcludeNodes {RU},{UA},{BY}

Коды стран качать здесь.

Также можно прописать конкретный заданный сервер в качестве выходного узла. Тогда ваш IP будет постоянным. Серверы можно найти в сети, но делать этого не рекомендую. Так теряется половина смысла в этой песне. Tor хорош тем, что IP меняется. Нужна статика – лучше использовать прокси.

Серверы в сети Tor хранят данные так же, как и серверы OpenVPN, то есть две недели. По крайней мере, так обещают владельцы публичных выходных нод.

Обфускационные мосты в Tor

Так как мы выходим в Tor из под VPN, проблемы со входом не возникнут. Но на случай, если начнут тотально блокировать VPN-сервисы и входные узлы Tor’а, а отечественный сегмент интернета нам неинтересен, есть возможность обойти и эти блокировки. Для этого можно использовать обфускационные мосты входа в Tor. Эти мосты генерируются создателями torproject, и скрывают от провайдера сам факт входа в Tor. Работает эта кухня прямо скажем через раз, но лучше это знать.

Для их использования в настройках Orbot ставим галочку на “Использовать мосты” и в пункте ниже вводим адреса мостов, которые всегда можно получить здесь- https://bridges.torproject.org.

Серфинг через Tor

Теперь пускаем через Tor наш конкретный браузер (для трафика остальных приложений, если они не поддерживают торификацию в своих настройках, нужно как и сказал включить Tor VPN). В браузере по умолчанию отключены JavaScript, скриншоты страниц и различные трекеры типа Google Analytics, трекеры Facebook и прочее.

Присутствует возможность смены User Agent и настройке серфинга через пользовательские прокси-серверы. Для направления всех движений браузера в Tor в разделе настроек ищем пункт “Прокси” и выбираем соответствующее положение. Также можно открывать через Tor только отдельные выбранные страницы. Для этого в правом верхнем углу тапаем “три точки”. Там есть нужный пункт. Нажатием на значок щита с глобусом можно переключать состояние JavaScript на каждой отдельной странице.

Кстати, смена User Agent занятие довольно бессмысленное. Лишний маркер, вызывающий подозрение и не прибавляющий очков к анонимности и прочему. Такая смена никак не отражается на движке браузера и еще ряде параметров, и если у вас браузер с отпечатком от Chrome будет светиться как работающий на движке от Mozilla, то такое “мамкино хацкерство” не вызовет ничего кроме улыбки.

Приложение для ленивых – InviZible Pro

Ну и как альтернатива для ленивых – следующее приложение. Так сказать, все в одном – InviZible Pro.

Приложение, после установки, загружает и устанавливает три модуля: DNS, TOR и I2p. Есть возможность направить через Tor весь трафик или трафик определенных приложений, а также открывать лишь выбранные сайты.

Настроить конфигурации можно в соответствующих пунктах меню. Например, выбрать DNS-серверы той страны, из-под IP которой вы выходите в сеть. Серверы, естественно, DoH и DNSCrypt. Возможна фильтрация только серверов с поддержкой безопасного расширения DNSSEC.

Маршрутизация I2p включается одним нажатием, без частых сложностей, возникающих при работе со стандартным маршрутизатором.

Внимание!!! Я настоятельно не рекомендую использовать вход в Tor через данную программу, если вы не просто зашли посерфить. Это не приложение от разработчиков Tor и, несмотря на схожие настройки, за конфиденциальность данных никто не ручается.

В остальном очень полезная программа. При ее использовании достаточно одного браузера для входа в любую сеть: Clearnet, Darknet, I2p. Акцентирую: для БЕЛЫХ движений!!!