Работаем в сети анонимно. Как работает TOR

How to turn a Raspberry Pi into a TOR network router and keep your privacy online

TOR: The Onion Router is software that enables you to use the internet anonymously. By setting up TOR on a Raspberry Pi you can create a network router that scrambles all of your internet connection.

Turning a Raspberry Pi into a TOR Router has suddenly become much more appealing in the US. A recent change in law enables ISPs to track customer usage and use it to sell advertising.

Father Robert Ballecer on Know How explains why this is important.

The way that they justified this change in rules was: ‘well it’s not fair’ because some businesses are bound by these security laws and privacy policies. Whereas Google and Facebook can sell your information to anyone.’

Here’s the difference: if I don’t like Google’s privacy policy; I don’t use Google. If I don’t like Facebook’s privacy policy; I don’t use Facebook. Which I don’t. Because I don’t like their privacy policy. I have no other option than to use Comcast. There is literally no other broadband provider.

Turn a Raspberry Pi 3 into a TOR network router

Know How uses a Raspberry Pi 3 to set up a TOR network router. They choose a Raspberry Pi 3 specifically because it has built-in wireless networking (the Pi Zero W would work well in this regard too).

The Raspberry Pi connects to the TOR network. All you have to do is then connect the Raspberry Pi to your broadband network, and connect your device to the Raspberry Pi.

The instructions are reasonably clear and Know How has show notes available for download. The build is based on the RPI-Wireless-Hotspot software script by Harry Allerston.

This software enables you to configure a Raspberry Pi to act as a WPA encrypted hotspot and select from a series of DNS providers.

The build is based on the RPI-Wireless-Hotspot software script by Harry Allerston. This software enables you to configure a Raspberry Pi to act as a WPA encrypted hotspot and select from a series of DNS providers.

Мы уже писали что использовать TOR не есть хорошо но пользователи все равно спрашивают как его лучше настроить. Исходя из таких просьб я решил выложить статью как установить и настроить TOR на роутер. Для этого необходимо купить любой роутер на который можно установить OpenWRT, многие роутеры серии TP-Link, которые имеют свободное место в памяти, позволяют это сделать. Сам много писать не люблю поэтому сделаю копипаст))

Установка TOR на OpenWRT

Для установки tor на OpenWrt достаточно выполнить

Opkg install tor

Если вы собираете пакеты для себя вручную, либо хотите встроить этот пакет прямо в прошивку то на этапе конфигурации прошивки OpenWRT нужно выбрать:

Network ---> tor

Для сборки в виде пакета, или

Network ---> <*> tor

Для того чтобы встроить пакет прямо в прошивку.

Несколько подводных камней, которые могут возникнуть после инсталляции пакета.

1. Обязательно настройте и синхронизируйте время чеpез ntp. Tor использует системное время для каких то своих действий. Неправильная дата может привести к проблемам при старте tor или к его не корректной работе.

2. При установке tor должен создать пользователя tor и группу tor. При создании группы инсталлятор у меня допустил ошибку и в файле /etc/group не поставил перенос строки для группы tor. Скорее всего это у меня единичный баг, однако будьте внимательны.

3. Проверьте все права на файлы необходимые tor они должны иметь маску 755 и принадлежать tor:tor
Настройка TOR.

Открываем конфигурационный файл /etc/tor/torrc и правим:

1. Если вы хотите чтобы все компьютеры которые подключены к роутеру (неважно по кабелю или wifi) имели возможность получить доступ к TOR через SOCKS proxy необходимо раскоментировать и проправить строку:

SocksListenAddress 192.168.120.1:9100 # listen on this IPort also

Где 192.168.120.1 – ip адрес вашего роутера для локальной сети, а 9100 – порт на котором будет socks сервер для сети tor.

2. Опциями SocksPolicy можно явно указать какие ip адреса будут иметь (или не иметь) доступ к socks серверу. В файле конфигурации эти опции закомментированы – рекомендую их раскомментировать и настроить под себя.

3. Если по каким то причинам tor не стартует воспользуетсь опцией Log для выяснения проблемы.

Собственно больше никаких настроек не нужно, и можно запускать tor.
Запуск Tor

Запускаем тор следующей командой:

/etc/init.d/tor start

Если tor уже запущен либо при старте возникают ошибки вида:

Could not bind to 127.0.0.1:9050: Address already in use. Is Tor already running?

Необходимо остановить tor:

И запустить его заново как написано выше.

Если лог включен, то признаком успешного запуска и подключения к сети tor будет строка:

Feb 21 19:12:17.034 Tor has successfully opened a circuit. Looks like client functionality is working.
Feb 21 19:12:17.035 Bootstrapped 100%: Done.

Однако есть ряд программ которые не умеют работать с socks протоколом. Эту проблему можно решить средствами самого tor + iptables. Для этого необходимо включить в tor режим прозрачного проксирования. В таком случае на подключенных к роутеру машинах вообще никаких настроек делать не нужно. Весь трафик будет сразу проходить через tor.
Использование прозрачного прокси в Tor

Для этого в конфигурационном файле /etc/tor/torrc правим:

AutomapHostsOnResolve 1
TransPort 9040
DNSPort 53

Тем самым прозрачный прокси будет слушать порт 9040.

Перезапускаем tor:

Killall -9 tor
/etc/init.d/tor start

Настройка iptables

Далее необходимо весь трафик завернуть на этот порт. Для этого необходимо использовать iptables с опцией REDIRECT –to-port. Для использования этой опции необходимо дополнительно собрать и установить пакет iptables-mod-nat-extra. В противном случае вы получите ошибку вида:

Iptables v1.4.6: unknown option `--to-ports"

Установить пакет можно тривиально выполнив

Opkg install kmod-ipt-nat-extra

А можно собрать в своем репозитории или включить этот пакет сразу в прошивку. В конфигураторе OpenWrt этот пакет находится в

-> Network
-> iptables
iptables-mod-nat-extra

После установки пакета необходимо “завернуть” трафик на прозрачный прокси сервер:

Iptables -t nat -A PREROUTING -p tcp -d ! 192.168.120.1 --dport 80 -j REDIRECT --to-ports 9040

Что означает – перебрасывать весь трафик идущий на 80-й порт (и не адресованый для 192.168.120.1) на порт 9040, на котором как раз и находится прозрачный прокси.

Тоже делаем и для dns запросов:

Iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53

Остальной udp трафик прийдется либо пропускать без анонимизации, либо резать.

Собственно все. Весь трафик приходящий на роутер будет перенаправлен в сеть tor без каких – либо настроек компьютеров в вашей локальной сети! Все ваши действия в сети будут анонимны.

Многие современные домашние роутеры по сути представляют собой мини-компьютер - у которого разве что нет монитора и мыши/клавиатуры. Впрочем, учитывая назначение этих самых железяк, последнее - вовсе не проблема.

Как правило, в базовой прошивке роутер умеет раздавать интернет на один или несколько LAN-портов, а также обслуживать собственную беспроводную сеть. Более продвинутые модели зачастую включают один или несколько портов USB, куда можно подключить, например, принтер или флэшку с файлами.

Однако всё богатство возможностей этого железа открывается при использовании открытых прошивок. Для новичков - dd-wrt, для более продвинутых - серия open-wrt и прочие wrt-based.
В настоящей статье речь пойдёт о настройке анонимизированной wifi-точки на базе роутера Asus RT-N16 с прошивкой dd-wrt и optware.

Изначальная идея не нова - она давно витает в воздухе, и одна из реализаций даже как-то анонсировалась на Хабре. Тем не менее, что касается деталей - то их, как правило, не найти. В рядовых «how-to» я этого не нашёл, а явно знающим гуру, видимо, не до написания подобных инструкций. Поэтому пришлось во всём разбираться самому. Ну и заодно фиксировать сделанное - на будущее.

Итак, имеем роутер с прошитым dd-wrt. У этой специфической модели, увы, нет поддержки Open-wrt (или, по крайней мере, не было на тот момент, когда это потребовалось. Сейчас уже появилась бета, но она пока что не претендует на стабильность).

Что потребуется ещё? Если ограничиться только лишь tor, то, возможно, ничего. Можно обойтись без всего optware и даже без внешней флэшки. Нужно лишь найти, куда упихать в роутер около 1,5Мб бинарника. Я, тем не менее, поднимал у себя не только лишь точку доступа, а полноценный домашний сервер, основной задачей которого было поддерживать сеть (основные службы - DNS, DHCP), раздавать интернет, содержать небольшую (гигабайт этак на 500) файлопомойку с доступом по NFS (ну, звиняйте. Windows не использую, поэтому SAMBA не нужна), самостоятельно пополнять эту файлопомойку свежими торрентами, хостить несколько веб-морд для разных поделок (весь фарш: - lighttpd, php, mysql и даже sphinx), служить failsafe-сервером для загрузки Ubuntu по сети (чтобы при надобности в «мёртвое тело» вставлять не флэшку с образом, а сетевой кабель). И, видимо, всё (а может и забыл чего). Для того, чтобы внешне всё было красиво и с минимумом проводов - жёсткий диск на 640гб для всего задуманного был помещён прямо внутрь роутера, и свободного места тем самым существенно прибавилось. А tor на роутере ставился, скорее, из любопытства. Однако - прижился и стабильно работает.

Для установки и настройки необходим доступ к роутеру через telnet или (что гораздо безопаснее) через ssh. Доступ можно устроить (или подсмотреть) в веб-интерфейсе dd-wrt.
Сперва устанавливаем tor:

Root@DD-WRT:~# ipkg install tor

Затем правим его конфиг. В случае с optware он располагается в /opt/etc/torrc. Опять же, замечу, что путь к конфигу по умолчанию вовсе не является обязательным. Программу всегда можно запустить с другим файлом конфигурации, но его придётся явно указывать в опциях запуска. В этом плане путь по умолчанию всё же проще, покуда делает запуск программы более лаконичным.

Конфиг по умолчанию хорошо прокомментирован, и основную настройку можно произвести, просто читая эти комментарии, без всяких сторонних руководств. В моём случае роутер обслуживает домашнюю сеть 192.168.1.0/24. В ней я решил сделать классический tor с доступом как через прокси socks5 на порту 9100. Помимо этого я решил сделать анонимизированную точку доступа, которая пустит пользователей в сеть 192.168.2.0/24, где вся связь с внешним миром будет лишь через tor (прозрачный прокси), либо просто обрублена. Иными словами - мы имеем wifi-точку, подключившись к которой мы никак не попадём ни к соседям из той же сети (192.168.2.0/24), ни в мою домашнюю сеть (192.168.1.0/24), ни на локальные сервисы роутера. А можем попасть только в интернет, причём только анонимным образом (через tor).

Для этого в конфиге прописаны следующие локальные параметры:
Для домашней сети:

SockListenAddress 192.168.1.5:9100

По сути это означает, что для того, чтобы попасть анонимно в интернет я должен настроить браузер на подключение через socks5-прокси с указанным адресом (это внутренний адрес роутера).

Для анонимной сети:

TransPort 9040
TransListenAddress 192.168.2.1
DNSPort 9053
DNSListenAddress 192.168.2.1

В анонимной сети клиенты никуда подключаться не будут, а указанные порты и адрес нужны лишь для настройки правил iptables.

Помимо этих настроек также имеет смысл назначить адрес виртуальной сети:

VirtualAddrNetwork 10.192.0.0/10

Этот адрес необходим в случае перехода по внутренним анонимным сервисам (т.н. "hidden service") тор-сети. Это адреса сайтов, располагающиеся в домене.onion. Такого домена в реальной жизни нет; однако будучи в tor, их собственный DNS распознаёт такие адреса и выводит вас к нужному ресурсу, спрятанному где-то в глубине сети. При этом фактический ip-адрес такого сайта скрыт, и узнать его невозможно. В этом случае для программ, которые сперва разрешают адрес узла через DNS, а потом подключаются к полученному ip-адресу, tor-демон создаёт временный адрес из указанной маски виртуальной сети. Иными словами, при попытке подключиться к какому-нибудь узлу superpuper.onion он «разрешится» в адрес, например, 10.192.0.1. И программа, подключаясь к этому адресу, будет через «луковые слои» tor-шифрования достигать нужного ресурса.

Что касается настройки «публичной» части конфига - там всё, согласно комментариям в самом файле.
В результате этих настроек мы получим демона, который
1) является proxy-socks с адресом 192.168.1.5:9100
2) является прозрачным proxy с адресом 192.168.2.1, причём помимо tcp-трафика умеет обрабатывать DNS-запросы.

С локальным socks-прокси всё ясно. Просто настраиваем любой браузер в домашней сети на выход в интернет через указанный прокси - и всё работает.

Ничуть не сложнее доступ с удалённой машины (у нас же есть ssh-консоль на роутер - значит, ничего не мешает просто пробросить порт:

Ssh -L localhost:9100:192.168.1.5:9100 homerouter

И после этого на той машине заработает Socks5 по адресу localhost:9100.

Теперь настраиваем точку доступа.

Для этого в gui dd-wrt заходим во вкладку wireless и там добавляем виртуальный интерфейс. Имя придумайте сами (я назвал бесхитростно: tor_network). Конфигурация сети - unbridged (т.е. точка не имеет связи с другими интерфейсами и как бы образует свой собственный замкнутый мирок). Запрещаем там же маскарадинг и мультикаст и назначаем адрес сети: 192.168.2.1/255.255.255.0. Затем на вкладке wireless security настраиваем, если нужно, доступ к точке. Я в своём случае поставил «disabled», т.е. создал открытую точку.

Таким образом у нас на роутере работают одновременно две разные сети: домашняя (защищённая WPA2) и вновь созданная tor_network, которая изначально открыта. Впрочем, это не даёт никому никаких привилегий, поскольку подключившись к этой открытой сети мы никуда не попадём:)

Двигаемся дальше. На вкладке Setup/Networking ищем в самом низу раздел DHCPD и добавляем запись для интерфейса wl0.1 (это, собственно, и есть железячное имя нового виртуального wifi-интерфейса), чтобы он назначал адреса из подсети 192.168.2.0/24. Скажем, 50 адресов начиная со 100 вполне хватит.

Теперь подключаясь к нашей открытой точке мы получим внутренний ip-адрес.
Осталось лишь подключить эту точку к прозрачному tor.
Это делается с помощью iptables:

CRNET="192.168.2.0/24"
TORCMD="iptables -t nat -A PREROUTING -i wl0.1"
TORPORT="9040"
TORDNS="9053"

# transparent tor for tor_network wireless
$TORCMD -p udp --dport 53 -j REDIRECT --to-ports $TORDNS
$TORCMD -p udp --dport 67 -j RETURN
$TORCMD -d $CRNET -j DROP
$TORCMD -p tcp --syn -j REDIRECT --to-ports $TORPORT
$TORCMD -j DROP

Что делаем?
1. Редиректим весь udp-трафик на 53-й порт (dns) на порт нашего демона.
2. Пропускаем спокойно весь udp-трафик на 67-й порт (там висит dhcp)
3. Весь остальной трафик во внутреннюю открытую сеть, откуда бы он ни был, отсекаем.
4. Редиректим весь tcp-трафик на порт прозрачного прокси нашего демона.
5. Весь остальной трафик открытой сети отсекаем.

Этот скрипт можно вставить в Administration/commands и сохранить как firewall-скрипт.

Проверяем работу: подключаемся к точке tor_network и открываем адрес

TOR считается одним из самых надежных и эффективных методов защиты анонимности онлайн и обхода цензуры в Интернете.

TOR - аббревиатура «The Onion Router» - или «многослойного раутера»

После установки прокси TOR на компьютер пользователя, TOR начинает использовать несколько уровней в системе частных компьютеров и шифрование интернет-трафика.

TOR устанавливает соединение со всеми возможными узлами связи в сети TOR

Пользователь пропускает данные чрез тройную серию узлов TOR

Каждый из которых имеет уникальный шифр

Узел входа

Распознает пользователя и активный узел сети

Узел передачи

Распознает узлы входа и выхода

Узел выхода

Распознает узел передачи и конечное направление

Благодаря трем узлам защиты ни один из компьютеров сети TOR не обладает информацией об источнике запроса и конечном направлении, что защищает информацию о пользователе.

TOR хорошо подходит для сохранения личных данных в тайне и защиты информации о работе онлайн в случае попыток внешнего слежения за вашей активностью в Интернете.

TOR – одно из самых старых и популярных приложений, созданных для того, чтобы обойти цензуру в Интернете. Многие пользователи считают TOR одним из самых надежных и эффективных инструментов для защиты личных данных в сети, который также позволяет получать доступ к заблокированному контенту. Далее – подробнее о том, как использовать это приложение и какую пользу оно может принести конкретно вам при работе онлайн.

Что такое TOR?

TOR (аббревиатура англ. «The Onion Router» или «многослойного раутера») – использует сеть частных компьютеров, называемых еще узлами, которые пересылают и шифруют интернет-трафик. В целом эта система достаточно сложная и запутанная, поэтому обеспечивает хорошую защиту от слежения со стороны властей.

TOR начали разрабатывать еще в 90-х годах. Основой разработок стали исследования федерального агенства DARPA. Первоначально исследования проводились на средства управления научно-исследовательских работ ВМС США. Позднее в число спонсоров разработок вошел Совет управляющих вещанием США, куда входит и «Голос Америки».

С момента запуска TOR в 2002-м году вышло его несколько версий, каждая последующая из которых сужала возможные лазейки для слежки за пользователями. Тысячи программистов-волонтеров по всему миру создали основу сети TOR – частную рассеянную паутину, которая «взбалтывает» данные и защищает от слежения и блокирования.

Как работает TOR

Обычно при работе в Интернете данные передаются от вашего компьютера к цели (сайту или результатам поиска) по глобальной сети из общественных серверов. По своей структуре «всемирная паутина» – открытое, свободное пространство, позволяющее данным свободно передвигаться от одного компьютера к другому. Тем не менее, такой дизайн имеет ряд недостатков в части обеспечения безопасности.

Для сравнения, cеть TOR с первого же шага при работе в ней пропускает трафик исключительно через ее узлы – входа, передачи и выхода – каждый из которых обладает собственным шифром. Благодаря такой конфигурации ни один из компьютеров сети TOR не имеет данных об источнике запроса и его конечном направлении и даже шифрах сети, что позволят защитить информацию о пользователях.

Анонимная передача данных от одного узла к другому в подсети TOR зарекомендовала себя как надежный инструмент защиты, взломать который очень трудно. Передача данных через TOR подобна игре в кошки-мышки, при этом у мышки – тройной уровень защиты. Задача кота в этом случае становится очень сложной.

Плюсы работы в сети TOR

TOR – эффективный инструмент навигации в несвободном Интернете, позволяющий обходить блокировку контента и файерволы, однако его главное достоинство – защита анонимности пользователя. В случае, если пользователь обеспокоен возможным мониторингом его компьютера со стороны властей, он может загрузить TOR на домашний компьютер и продолжить пользоваться Интернетом, сохраняя анонимность. Тот факт, что большое число волонтеров-энтузиастов TOR поддерживают сеть серверов по всему миру, делает блокировку TOR затруднительно. Это дает возможность жителям тех стран, где, к примеру, запрещены Facebook или Google продолжать ими пользоваться.

Возможные минусы TOR

TOR – эффективный инструмент, однако он не гарантирует стопроцентную защиту анонимности и обхода цензуры. В целом сеть TOR проявила иммунитет даже к агрессивным попыткам взлома, однако некоторые хакеры могут воспользоваться пробелами в защите сети – как с целью нападения на пользователя, так и с целью атаковать конкретный сайт.

Популярные браузеры Firefox, Chrome, Internet Explorer и другие имеют недостатки в системах защиты, которыми могут воспользоваться заинтересованные лица для того, чтобы получить личную информацию пользователей. Именно поэтому, вместо традиционных, настоятельно рекомедуется использовать специальный браузер, уже встроенный в TOR.

Браузер TOR также блокирует такие плагины как Java и Flash, которые не зашифрованы и могут стать лазейкой для осуществления слежения в Интернете.

Компьютеры пользователей также могут быть инфицированы вирусами и различными вредоносными программами – это одна из предполагаемых тактик, использованных Агенством национальной безопасности США (NSA) для взлома анонимности пользователей TOR. По этой причине TOR – значительно менее безопасный инструмент при работе в интернет-кафе, где на компьютерах уже может быть установлены программы слежения.

Также не стоит забывать, что в то время, как информация о вас может быть защищена от посторонних глаз в Интернете, ваша конечная цель защищенной не является. Как только данные покидают пределы сети TOR, они вновь попадают в открытый доступ, становясь уязвимыми, что, в свою очередь, означает, что сайт, доступ к котому вы хотите получить, может быть заблокирован и отслеживаться, и если вы направляется какую-либо информацию третьим лицам, они также попадут в поле зрения лиц, ведущих мониторинг.

Хороший вариант решения этой проблемы – использование TOR вместе с VPN – безопасной сетью – на выходе. Это защитит вас, и доставит данные к конечной цели.

Подведем итоги

Если вы заинтересованы в защите личной информации и эффективном инструменте для обхода цензуры, TOR – отличный вариант.

Тем не менее, TOR – сложный и относительно медленный инструмент для работы в сети, поэтому тем, кому в этом процессе не хватает терпения, могут посчитать TOR не слишком подходящей программой.

Не стоит при этом забывать об одном: как следует из документов, «слитых» Эдвардом Сноуденом, аналитики Агенства национальной безопасности США назвали TOR «королем высокой безопасности, его Величеством Анонимностью в Интернете», добавив, что «что пока на этот трон других претендентов нет».