Tor apvedceļa bloķēšana. Caurspīdīgs bloķēšanas apvedceļš un piekļuve Tor tīklam. Ko vēlas panākt Valsts dome un Roskomnadzor
Daudzi biroji jau ilgu laiku ir bloķējuši sociālos tīklus, video pakalpojumus, failu koplietošanas un izklaides vietnes. Daži pat bloķē populāros anonimizācijas pakalpojumus. Tādā veidā darba devēji cenšas piespiest darbiniekus pildīt savus tūlītējos pienākumus, nevis tērēt darba laiku izklaidēm. Šajā rakstā es jums soli pa solim pastāstīšu, kā mēs, parastie lietotāji, varam apiet šo bloķēšanu un baudīt neierobežotu piekļuvi internetam.
Patiesībā mums jau viss ir izdomāts un izmantosim jau gatavu risinājumu.
Iepazīstieties ar Toru.
Tor ir sistēma, kas ļauj izveidot anonīmu tīkla savienojumu, kas organizē datu pārsūtīšanu šifrētā veidā. Izmantojot Tor lietotāji var palikt anonīmi, apmeklējot vietnes, publicējot saturu, sūtot ziņojumus un izmantojot citas lietojumprogrammas, kas izmanto TCP protokolu. Tehnoloģija Tor nodrošina arī aizsardzību pret trafika analīzes mehānismiem, kas apdraud ne tikai lietotāju anonimitāti, bet arī datu konfidencialitāti.
Sistēma Tor tika izveidots ASV Jūras spēku pētniecības laboratorijā pēc federāla pasūtījuma. 2002. gadā viņi nolēma deklasificēt šo izstrādi, un pirmkodi tika nodoti neatkarīgiem izstrādātājiem, kuri izveidoja klienta programmatūru un publicēja pirmkodu saskaņā ar bezmaksas licenci, lai ikviens varētu pārbaudīt, vai tajā nav kļūdu un aizmugures durvju.
Pabeigsim ar teoriju un pāriesim pie sistēmas instalēšanas un konfigurēšanas.
Mēs ejam uz Tor sistēmas lejupielādes lapu, kur mēs izvēlamies opciju ar krievu interfeisu un lejupielādējam instalācijas failu. Faila lielums ir aptuveni 25 megabaiti.
Palaidiet lejupielādēto failu, atlasiet instalēšanas vietu un noklikšķiniet uz pogas Izvilkt
Kad instalēšana ir pabeigta, mūsu darbvirsmā neparādīsies jauni saīsnes, tāpēc mēs atveram direktoriju, kurā instalējām sistēmu, un palaižam no tā failu Start Tor Browser.exe.
Tiks atvērts programmas logs, kurā tiks parādīts savienojuma process
Ja jūsu tīkls piekļūst internetam, izmantojot starpniekserveri, savienojuma process tiks pārtraukts šifrēta savienojuma izveides posmā.
Noklikšķiniet uz pogas Iestatījumi
Parādītajā logā dodieties uz cilni Tīkls
Mēs konfigurējam visu, kā parādīts attēlā, norādot jūsu starpniekservera adresi un portu
Noklikšķiniet uz pogas Iziet
Restartējiet Startējiet Tor Browser.exe
Mēs gaidām savienojumu ar Tor sistēmu
Pēc tam jūs atvērsit sistēmā iebūvēto pārlūkprogrammu Firefox, caur kuru varat anonīmi apmeklēt visas vietnes
Kāpēc jums ir nepieciešams VPN
Izmantojot VPN pakalpojumus, varat apiet bloķēšanas vietnes, kas nedarbojas Krievijā (piemēram, Spotify). Bet tas nav vienīgais iemesls, kāpēc tie ir vajadzīgi. Attālinātie darbinieki un filiāles darbinieki pieslēdzas korporatīvajiem pakalpojumiem caur VPN, tādējādi nepakļaujot riskam uzņēmuma datus. Cilvēki, kuri piekļūst internetam, izmantojot publisko Wi-Fi un baidās, ka viņu dati tiks pārtverti, arī izmanto VPN, lai pasargātu sevi no iebrucējiem.
Kā tas darbojas? Ja jūsu dators parasti izveido savienojumu ar internetu, izmantojot ISP serveri, tad VPN pakalpojums izveido tuneli starp jūsu datoru un attālo serveri. Tādējādi jūs piekļūstat internetam apļveida ceļā. Visi dati tunelī ir šifrēti, tāpēc pakalpojumu sniedzējs un hakeri nezina, kur jūs dodaties, izmantojot VPN savienojumu un ko jūs darāt internetā. Tajā pašā laikā vietnes neredz jūsu datora patieso IP adresi, jo jūs strādājat ar kāda cita adresi. VPN (virtuālais privātais tīkls) izveido drošu privāto tīklu nenodrošinātā internetā.
Kā tas tiks bloķēts?
Sargis Darbinjans: “Ir daudzi veidi, ko persona var izmantot: izpētīt problēmu un viegli iestatīt savu VPN, izmantot citus risinājumus, piemēram, Psiphon, Tor, pārlūkprogrammas turbo režīmus, spraudņus, iegādāties citu VPN pakalpojumu, kas rūpējas par lietotājiem un nekavējoties rīkojas. ”.
Pie kā novedīs bloķēšana?
Artjoms Kozļuks: “Praktiski viss bizness ir saistīts ar VPN. Jebkura uzņēmuma, no maza līdz lielam, virtuālie privātie tīkli ir apdraudēti. VPN kļūmes var rasties jebkurā laikā nepareizas jaunā likuma izpildes dēļ. Mēs redzam bezgalīgi daudz reižu, kā Roskomnadzor īsteno šos likumus. Pirmkārt, tie ir analfabēti rakstīti no tehniskās puses, otrkārt, likuma izpildes procesā Roskomnadzor šo tehnisko analfabētismu palielina līdz jauniem apmēriem.
Markuss Sārs: “Joprojām nav skaidrs, kā notiks pārbaude un kontrole. VPN, atšķirībā no anonimizētāja formas, ir slēgts tīkls, un, lai tam piekļūtu, ir jāiegādājas maksas abonements un jāinstalē programmatūra. Turklāt dažiem pakalpojumiem nav savas programmatūras, un savienojums ir jākonfigurē manuāli, izmantojot konfigurācijas failus, atslēgas un sertifikātus. Otrs jautājums ir par to, cik racionāli ir “trāpīt” tehnoloģiju lietpratīgus lietotājus, kuri ir sākuši izmantot VPN, Tor un citus rīkus. Galu galā, ja viņi reiz atrada spēku un vēlmi apiet cenzūru, viņi to darīs atkal un atkal.
Sargis Darbinjans: “Telekomunikāciju operatoru VPN trafika bloķēšana nepārprotami nozīmē milzīgu kaitējumu visam korporatīvajam sektoram, valsts digitālajai ekonomikai un Krievijas pilsoņu drošības samazināšanos globālajā digitālajā vidē, saskaroties ar ārvalstu izlūkdienestiem, korporācijām un iebrucējiem, kuri izmantot ievainojamības novērošanai un datu zādzībām. Neviens vēl nav spējis 100% aizvērt iespēju pārraidīt un saņemt informāciju, izmantojot VPN, pat Āzijas un musulmaņu valstīs ar represīviem režīmiem. Pakalpojumu sniedzējiem ir populārāko VPN IP adrešu saraksti, kurus tie ar noteiktu biežumu atjaunina un bloķē. Bet arī VPN trafiks ir iemācījies maskēties. VPN pakalpojumu sniedzējs var izveidot jaunas IP adreses vismaz katru minūti (plus bezgalīgs IPv6), tāpēc to izdarīt kļūs arvien grūtāk un dārgāk.
Krievijas varas iestādes aizliedz pakalpojumus, lai apietu bloķēšanu. Tas ietekmē Tor pārlūkprogrammu, kas izmanto vairāku IP adrešu viltošanu, taču to nav tik viegli pārvarēt. Tor nodrošina aizsardzību pret bloķēšanu, izmantojot tā sauktos "tiltus".
Kā apiet Tor bloku:
1. Palaidiet Tor pārlūku un dodieties uz bridges.torproject.org.
2. Noklikšķiniet uz Get Bridges un ievadiet attēla rakstzīmes (visticamāk, pirmajā reizē tas nedarbosies).
3. Nokopēt izsniegto tiltu sarakstu.
4. Noklikšķiniet uz Tor ikonas pa kreisi no adreses joslas un atlasiet "Tor Network Settings".
5. Atlasiet "Mans interneta pakalpojumu sniedzējs (ISP) bloķē savienojumus ar Tor tīklu".
6. Noklikšķiniet uz "Ievadīt pielāgotos tiltus".
7. Ielīmējiet iepriekš kopētos tiltus un noklikšķiniet uz Labi.
8. Restartējiet Tor pārlūku. Tagad varat apmeklēt vietnes, kuras jūsu ISP ir bloķējis Tor.
Ja nevarat piekļūt vietnei bridges.torproject.org, lūdzu, nosūtiet e-pastu ar jebkādu saturu uz
Ko darīt, ja vēlaties doties uz tīklu bez tāliem ierobežojumiem, bet nevēlaties katru reizi pārlūkprogrammā nomainīt starpniekserveri? Ko darīt, ja vēlaties apmeklēt gan aizliegtās, gan parastās vietnes, un tajā pašā laikā parasto vietņu atvēršanas ātrums necieš? Ko darīt, ja vēlaties uzzināt, kas notiek globālā tīkla attālās daļās?
Pamatojoties uz šiem apsvērumiem, mums ir nepieciešams:
- Parastas vietnes tika atvērtas kā parasti
- Aizliegtas vietnes, kas atvērtas, izmantojot Tor bez iestatījumiem
- Visas vietnes .onion zonā tiek atvērtas arī bez iestatījumiem
No vienas puses, prasības ir pretrunīgas. No otras puses, ko gan nevar darīt ērtības labad!
Varētu atgādināt dažādus veidus un līdzekļus, kā apiet DPI, bet, ja ne par ko tādu negribas domāt, bet drīzāk pat gribas to iestatīt un aizmirst, tad uzdevuma risināšanai Tor analogu nav. noteikumi par vieglu piekļuvi bloķētām vietnēm.
Jūs neiegūsit pilnīgu anonimitāti, ja izpildīsit tikai šos norādījumus. Anonimitāte bez OPSEC pasākumiem nav iespējama. Norādījumi nozīmē tikai ierobežojumu apiešanu.
Kas mums vajadzīgs?
Sākumā mums ir nepieciešams maršrutētājs vai serveris, kas darbojas kā caurspīdīgs tilts, kas laiž visu trafiku caur sevi. Tas varētu būt esošs serveris, tas varētu būt Raspberry Pi kaste. Var strādāt arī parastie kompaktie rūteri ar Linux, ja principā var uzlikt vajadzīgās paketes.
Ja jums jau ir piemērots maršrutētājs, tad jums nav nepieciešams atsevišķi konfigurēt tiltu un varat.
Ja Tor instalēšana maršrutētājā ir problēma, jums būs nepieciešams jebkurš dators ar divām tīkla saskarnēm un Debian Linux. Galu galā jūs to pievienosit tīkla spraugai starp maršrutētāju, kas izskatās uz ārpasauli, un vietējo tīklu.
Ja ne uz serveriem un maršrutētājiem, tad varbūt.
Uzstādīsim tiltu
Tilta iestatīšana uz Debian nav problēma. Jums būs nepieciešama programma brctl, kas atrodas Bridge-utils pakotnē:
apt instalēt bridge-utils
Pastāvīgā tilta konfigurācija ir iestatīta mapē /etc/network/interfaces. Ja veidojat tiltu no saskarnēm eth0 un eth1, konfigurācija izskatīsies šādi:
# Atzīmēt saskarnes kā manuāli konfigurējamas iface eth0 inet manual iface eth1 inet manual # Bridge parādās automātiski pēc atsāknēšanas auto br0 # Tilts ar DHCP IP iegūšanu iface br0 inet dhcp bridge_ports eth0 eth1 # Tilts ar statisku IP iface br0 inet static bridge_ports 6 address8 eth1 eth2. .1.2 tīkla maska 255.255.255.0 vārteja 192.168.1.1
Jums jāizvēlas viena tilta konfigurācija: ar dinamisku IP vai statisku.
Lūdzu, ņemiet vērā, ka šajā posmā nav nepieciešams iekļaut serveri tīkla pārtraukumā. Jūs varat iztikt ar vienu savienotu interfeisu.
Lūgsim sistēmai piemērot jaunos iestatījumus:
pakalpojumu tīkla atkārtota ielāde
Tagad jūs varat pārbaudīt tilta esamību ar komandu brctl show:
# brctl rādīt tilta nosaukumu tilta ID STP iespējotas saskarnes br0 8000.0011cc4433ff no eth0 eth1
Varat apskatīt izsniegto IP adresi un parasti pārbaudīt, vai IP ir izsniegta, izmantojot DHCP vai statiski, izmantojot ip komandu:
# ip -- ģimenes inet addr rādīt dev br0 tvērumu globālā 4: br0:
Ja ar IP adresēm viss kārtībā, tad jau var mēģināt iekļaut serveri tīkla pārtraukumā...
Galu galā visām jūsu tīkla ierīcēm, kas ir iekļautas caur serveri, ir jābūt pilnai piekļuvei globālajam tīklam tā, it kā starp tām un ārējo maršrutētāju nebūtu servera. Tas pats attiecas uz DHCP darbību un citām lietām. Tos visus ir vērts pārbaudīt, pirms pāriet uz Tor iestatīšanu.
Ja kaut kas nedarbojas tāpat kā iepriekš vai nedarbojas vispār, vispirms jāatrisina problēmas, tikai pēc tam pāriet uz paša Tor iestatīšanu.
Iestatiet Tor dēmonu
Tor instalēšana tiek veikta kā parasti. Instalēsim arī valstij saistošo datu bāzi:
apt instalēt tor tor-geoipdb
Konfigurācijas faila /etc/tor/torrc beigās ir jāpievieno direktīvas, lai iespējotu starpniekservera funkciju:
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300
Restartēsim Tor un pārbaudīsim, vai DNS mūsu konfigurācijā darbojas kādā zināmā vietnē:
# serviss tor restart # dig +īss facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
Pēdējai komandai ir jāizvada IP no 10.0.0.0/8 apakštīkla.
Restartējot, Tor gadījumā zvēr izmantot publisku IP TransPort un DNSPort, kam faktiski var piekļūt nepiederošas personas. Novērsīsim šo pārpratumu, atļaujot tikai savienojumus no lokālā tīkla (manā gadījumā tas ir 192.168.1.0/24):
iptables -I INPUT -s 192.168.1.0/24 -p tcp -dport 9040 -j ACCEPT -dport 9040 -j DROP iptables -A INPUT -p udp -dport 5300 -j DROP
Pēdējie divi noteikumi var tikt izlaisti, ja jums ir noklusējuma DROP kārtula INPUT ķēdei.
Iestatiet piekļuvi visam lokālajam tīklam
Lai visas tīklā esošās ierīces varētu piekļūt Tor vietnēm, mums ir jāpārsūta visi pieprasījumi uz speciālo tīklu 10.0.0.0/8 uz iebūvētā Tor starpniekservera portu:
iptables -t nat -A PRIEKŠROTĒŠANA -p tcp -d 10.0.0.0/8 -j REDIRECT --uz portu 9040 iptables -t nat -A IZZETE -p tcp -d 10.0.0.0/8 -j REDIRECT --uz- ports 9040
Mēs pievienojam divus noteikumus ķēdēm PREROUTING un OUTPUT, lai shēma darbotos ne tikai no tīkla ierīcēm, bet arī no paša servera. Ja šai shēmai nav nepieciešams darboties no paša servera, kārtulas pievienošanu ķēdei OUTPUT var izlaist.
DNS vaicājumu pārsūtīšana uz .onion zonu
Šo problēmu var atrisināt, vai nu aizstājot DNS serveri ar savu DHCP atbildēs klientiem, vai, ja jūsu tīklā nav ierasts izmantot vietējo DNS serveri, pārtverot visu DNS trafiku. Otrajā gadījumā jums vispār nekas nebūs jākonfigurē, bet visi jūsu klienti, ieskaitot jūs, zaudēs iespēju veikt patvaļīgus pieprasījumus patvaļīgiem serveriem. Tās ir acīmredzamas neērtības.
Mēs pārsūtīsim tikai tos DNS pieprasījumus, kuros minēts domēns .onion uz iebūvēto DNS servera portu, atstājot visus citus pieprasījumus vienus:
iptables -t nat -A PREROUTING -p udp --dport 53 -m virkne \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --uz portiem 5300
Burvju virkne 056f6e696f6e00 ir saistīta ar punkta nodošanas īpatnībām DNS vaicājumos: tā tiek pārraidīta kā tai sekojošās rindas garums. Tāpēc mūsu burvju virkne sākas ar 0x05 piecām vārda sīpola rakstzīmēm. Virknes beigās ir nulles baits 0x00, jo saknes domēna (punkta) garums ir nulle.
Šī pieeja ļauj jūsu lietotājiem (un jums pašiem) izmantot jebkurus viņiem ērtus DNS serverus, kā arī bez starpniekiem pieprasīt informāciju no jebkura DNS servera. Taču neviens pieprasījums .sīpolu zonā nesasniegs atvērto internetu.
Tagad mēģiniet sasniegt kādu populāru vietni Tor tīklā no jebkuras vietējā tīkla ierīces. Piemēram, šādi:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Pārvietots pastāvīgi Atrašanās vieta: https://facebookcorewwwi.onion/
Atkļūdošana un traucējummeklēšana
Ja vēlaties pārliecināties, ka .onion DNS pieprasījumi nepārsniedz serveri, to neesamību var pārbaudīt šādi:
ngrep -q -d br0 -q -W byline onion udp ports 53
Parasti šai komandai, kas tiek izpildīta serverī, nevajadzētu parādīt nekādas pakotnes, t.i., neizvadīt neko tādu, kas jums nav.
Ja Firefox neredz .onion
Ja tas jūs traucē un netraucē nejaušas deanonimizācijas iespējamība (jo mēs vairs neatļaujam DNS vaicājumus .onion atvērtajā internetā), varat atspējot šo iestatījumu sadaļā about:config, izmantojot atslēgu network.dns.blockDotOnion .
Mobilais Safari un .sīpols
iOS lietotnēs, tostarp Safari un Chrome, šādā veidā tiek ignorēts .onion. Es nezinu, kā novērst šo problēmu šādas shēmas ietvaros.
Pakalpojumu sniedzējs DNS aizstāj IP
Daži pakalpojumu sniedzēji ekonomisku iemeslu dēļ tā vietā, lai bloķētu vietnes, izmantojot IP vai DPI, DNS pieprasījumus aizstāj tikai ar IP saskaņā ar aizliegto vietņu sarakstu.
Vienkāršākais šīs problēmas risinājums būtu pārslēgties uz Google publiskajiem DNS serveriem. Ja tas nepalīdz, kas nozīmē, ka jūsu pakalpojumu sniedzējs kopumā novirza visu DNS trafiku uz savu serveri, varat pārslēgties uz Tor DNS izmantošanu, savukārt visu trafiku novirzot uz to:
iptables -t nat -A PREROUTING -p udp -dport 53 -j REDIRECT -uz portiem 5300 iptables -t nat -A OUTPUT -p udp -dport 53 -j REDIRECT -to-ports 5300
Mans tīkls izmanto IP no 10.0.0.0/8
Nekādu problēmu! Visās iepriekš minētajās direktīvās izmantojiet kādu citu apakštīklu no tiem, kas paredzēti šim, izņemot rezervētos. Ja nopietni, pievērsiet uzmanību rezervētajiem.
Turklāt nav nepieciešams uzreiz izmantot visu diapazonu - jūs varat aprobežoties ar apakštīklu. Piemēram, derēs 10.192.0.0/10.
Apvedceļa bloķēšana caur Tor
Lai piekļūtu bloķētām vietnēm, izmantojot Tor, vispirms ir jāpārliecinās, ka nemaināt ziepju adatu, izmantojot izejas mezglus, uz kuriem attiecas tie paši ierobežojumi kā uz jums ģeogrāfiskās atrašanās vietas dēļ. To var izdarīt, torrc norādot izvades mezglus, kuros valstis nevar izmantot.
Izslēgšanas mezgli (RU), (UA), (BY)
Reģistra atjaunināšana
Reģistrs nestāv uz vietas, un bloķēto vietņu saraksts tiek papildināts. Tāpēc jums laiku pa laikam ir jālejupielādē faktiskais IP saraksts un jāpievieno tas ipset . Labākais veids, kā to izdarīt, ir nevis lejupielādēt visu sarakstu katru reizi, bet gan lejupielādēt tikai izmaiņas, piemēram, no šejienes GitHub .
#!/bin/bash set -e mkdir -p /var/local/blacklist cd /var/local/blacklist git pull -q || git klons https://github.com/zapret-info/z-i.git. ipset flush melnā saraksta asti +2 dump.csv | izgriezt -f1 -d \; | grep-Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/blacklist/blacklist.txt | xargs -n1 ipset pievieno melno sarakstu
Sarakstā ir iespējams noņemt un pievienot tikai mainītos IP, kuriem var būt nepieciešams git whatchanged .
Ja iepriekš minētais skripts jums ir piemērots, tam jābūt mapē /etc/cron.daily/blacklist-update. Neaizmirstiet piešķirt šim failam izpildes atļaujas.
chmod +x /etc/cron.daily/blacklist-update
Saglabāt iestatījumus
apt instalēt iptables-persistent
dpkg-reconfigure iptables-persistent
Diemžēl ipset vēl nav tik ērtas pakotnes, taču šo problēmu atrisina /etc/network/if-pre-up.d/ipset skripts:
#!/bin/sh ipset -exist izveidot melnā saraksta hash :ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist melnais saraksts
Noteikti piešķiriet šim skriptam izpildes tiesības:
chmod +x /etc/network/if-pre-up.d/ipset
Nākamajā atsāknēšanas reizē šis skripts tiks izpildīts un atjaunos bloķēto IP sarakstu.
Ja aizmirsti par serveriem...
Labi, sakiet man, ja es vēlos iegūt tikpat ērtu piekļuvi failam .onion, bet bez serveriem - lokāli, tajā pašā datorā?
Nekādu problēmu! Šajā gadījumā viss ir vēl vienkāršāk. Pārtrauciet pievienot šīs trīs rindas torrc:
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300
Tad šie divi iptables noteikumi:
iptables -t nat -A OUTPUT -p tcp -d 127.192.0.0/10 -j REDIRECT --uz portu 9040 iptables -t nat -A OUTPUT -p udp --dport 53 -m virkne \ --hex-string " |056f6e696f6e00|" --algo bm -j REDIRECT --uz portiem 5300
Un jūs varat pārbaudīt. Piekļuve bloķētajām vietnēm tiek konfigurēta saskaņā ar iepriekš sniegtajiem norādījumiem.
Darvas karote
Neskatoties uz vienkāršību un ērtību, šī pieeja manto dažus Tor tīkla trūkumus.
Jūs piekļūstat aizliegtām vietnēm tīklā, vārdā izejas mezgli, kas dod izejas mezgla administratoriem fundamentālu iespēju novērot jūsu trafiku un jūsu paroles, ja mērķa vietne nav šifrēta (adreses sākumā jābūt https vai adreses joslā zaļai piekaramajai slēdzenei 🔒).
Varētu cerēt, ka šādu vietņu administratori nesekos tev pašam labu miegu, bet...
Ja piekļūstat vietnei, izmantojot nedrošu savienojumu, vai nu tieši caur Tor, vienmēr paturiet prātā, ka jūsu pieteikumvārdi un paroles būtībā var nonākt mapē ar burtiem uz formas tērpa cilvēka galda.
Tas ir viss!
Vai kaut kas joprojām nav skaidrs? Vai ir kaut kas, kas jums jālabo, vai ir kaut kas, kas jums īpaši patika? Rakstiet zemāk komentāros.
Ar šādu iniciatīvu bezmaksas internets kļūst mazāks mūsu acu priekšā. Tajā pašā laikā lielākā daļa lietotāju ir pārliecināti, ka Tor un VPN nekādā veidā nevar ierobežot. Mēs lūdzām padomu šajā jautājumā Mihailam Lisņakam, meditatīvā pakalpojuma Zenrus izveidotājam valūtu kotāciju un naftas cenu izsekošanai, un Maskavas kodēšanas skolas skolotājam, kura reģistrācija kursiem sākās šodien.
Īsumā VPN ir virtuāla tīkla izveide cita tīkla virspusē, piemēram, mūsu internetam. Tas ir, starp lietotāju un VPN serveri tiek izveidots šifrēts kanāls, caur kuru lietotājs pieslēdzas citam tīklam, un izrādās, ka cilvēks no Maskavas piekļūst internetam tā, it kā būtu no, piemēram, Amsterdamas. Šobrīd apsveram vienu no VPN iespējām, kas attiecas uz ziņu pārtraukumu, kopumā ir daudz vairāk dažādu veidu un aplikāciju, taču to darbības principi ir absolūti vienādi.
Tor ir maršrutēšanas sistēma, kuras pamatā ir šifrēšana un sadalīts starpmezglu tīkls (tie var būt arī regulāri Tor lietotāji). Pieslēdzoties Tor, klients apkopo pieejamo starpmezglu sarakstu, atlasa vairākus no tiem un katru nosūtīto paketi pēc kārtas šifrē ar izvēlēto mezglu atslēgām. Tālāk šī ar vairākām atslēgām šifrētā pakete tiek nosūtīta uz pirmo (ievades) starpmezglu. Šis mezgls atšifrē savu atslēgu un nosūta paketi tālāk, otrais mezgls atšifrē savu un tā tālāk. Beigās pēdējais mezgls atšifrē pēdējo "slāni" un nosūta paketi uz internetu. To var iedomāties kā sīpolu, no kura katrs nākamais mezgls noņem slāni. Patiesībā tas ir tas, kā Tor apzīmē - sīpolu maršrutēšana, tas ir, "sīpolu maršrutēšana". Tā kā gandrīz viss paketes ceļš ir šifrēts un neviens, izņemot ievades mezglu, nezina paketes sūtītāju, sistēma nodrošina trafika anonimitāti un drošību.
Bet jūs varat bloķēt Tor darbību. Pirmkārt, Tor klientam kaut kādā veidā jāiegūst ievades mezglu saraksts. Lai to izdarītu, klients izveido savienojumu ar šo mezglu saknes reģistru. Ja bloķēsit piekļuvi šim saknes serverim, klients nevarēs iegūt tīkla ievades mezglu sarakstu un, protams, nevarēs izveidot savienojumu ar tīklu. Ir manuāls mezglu saņemšanas veids (piemēram, pa pastu), taču tas, pirmkārt, nav īpaši ērti, un, otrkārt, ja uzraudzības iestādes atrod šo mezglu adreses, tos joprojām var nekavējoties bloķēt.
Turklāt ir tāda sistēma kā DPI - pakešu analīzes un filtrēšanas sistēma. Tagad pakalpojumu sniedzēji pakāpeniski šo sistēmu ievieš Krievijā. Tas ir diezgan dārgs, tāpēc ne visi pakalpojumu sniedzēji to izmanto. Bet tas pagaidām. Domāju, ka tuvākajā laikā visi mugurkaula pakalpojumu sniedzēji to instalēs. Šī sistēma var analizēt trafiku zemā līmenī, noteikt šīs trafika veidu (pat šifrētu, bet nesaņemot pašu saturu), filtrēt to un, ja nepieciešams, bloķēt. Tagad šīs sistēmas jau spēj noteikt Tor trafiku pēc noteiktiem kritērijiem. Tor, atbildot, nāca klajā ar satiksmes maskēšanas sistēmu (obfsproxy), bet pamazām viņi mācās to noteikt. Un to visu izmantot vidusmēra lietotājam kļūst arvien grūtāk.
Ja iestādes vēlas, tās bloķēs visu lielākajai daļai lietotāju. Īpaši spītīgi dīki spēs atrast nepilnības, taču vidusmēra lietotājam tas nav risinājums.
Tas ir, Tor var tikt aizliegts visā valstī, izmantojot to pašu DPI. Kad viņi ieviesīs kriminālatbildību par šādas programmatūras lietošanu, viņi ātri rīkos vairākus paraugprāvas, un ar to lielākā daļa beigsies. Toram vēl nav saprātīgu aizstājēju. Tas pats i2p ir aizliegts tāpat. Tagad Tor bloķēšana nav vienkārša, dārga, bet diezgan iespējama, ja valsts to patiešām vēlas.
Vispār jau viss ir izdomāts un izmantots, piemēram, krāšņajā Ķīnā. Zināmie resursdatori tiek bloķēti, trafiku analizē DPI, un noteiktās paketes tiek bloķētas (un sūtītāja informācija tiek nosūtīta uz pareizo vietu). Turklāt ir "pārsūtīšanas savienojuma" sistēma, kad aizdomīga pakete tiek "apturēta" uz kādu serveri uz Lielā ugunsmūra, un pats ugunsmūris izdara tādu pašu pieprasījumu šim serverim un analizē atbildi. Un tad pēc dažādiem kritērijiem tiek noteikts, vai tas ir iespējams vai nē.
Ja iestādes vēlas, tās bloķēs visu lielākajai daļai lietotāju. Protams, īpaši spītīgi gīki spēs atrast nepilnības, tās tiks aizsegtas, būs jaunas nepilnības - tas ir mūžīgs process, kā tas notiek ar vīrusiem un antivīrusiem. Bet vidusmēra lietotājam tas nav risinājums. Turklāt vienmēr ir iespēja ieviest baltos sarakstus vai vienkārši pilnībā aizvērt visu ārējo internetu. Bet es ceru, ka līdz tam nenonāks.
