Будем настраивать более безопасный сёрфинг в Интернете, чем нам предоставляется по умолчанию. Всё делается под Ubuntu Linux и используется браузер Firefox, но ничего не мешает реализовать описанное и под другими операционными системами и браузерами. Firefox выбран из-за большого количества плагинов, которые расширяют его стандартный функционал.
А зачем это всё?
Дело в том, что многие используют бесплатные Wi-Fi сети в различных кафе, чтобы зайти в социальные сети и вводят свои логины и пароли, рискуя быть перехваченными. Ведь вы работаете по открытому протоколу http.
Главная мысль статьи: мы поднимем tor для шифрования трафика, который по своей природе открытый (протокол http, icq). Прокси сервер polipo позволит программам через себя пустить трафик на tor, который умеет только SOCK, а многие программы не умеют работать с SOCK. Браузер Firefox открытый трафик http будет пускать на связку polipo + tor. Шифрованный трафик https будем пускать напрямую, мимо Тора, так как природа Tor по своей сути медленная и латентная.
А теперь всё помедленнее и подробнее.
Вначале нам понадобится Tor. Данный проект позволит улучшить анонимность при посещении сайтов по http протоколу. Тор шифрует трафик и использует 3 своих случайных сервера прежде чем выпустит ваш трафик в Интернет.
Устанавливаем в систему - sudo apt-get install tor
.
Тор по умолчанию, мягко говоря, не быстр. Его задача ваша анонимность и шифрация. Раньше были только вы и веб-сервер, на который вы зашли браузером. Теперь вы, веб-сервер и сеть Тора, которая меняет свои сервера с каждым вашим запросом и шифрует ваш трафик.
Но есть настройки ускоряющие Тор.
# Время, отводимое на постройку нового кольца CircuitBuildTimeout 5 # Закрыть соединение, если не было никакого обмена информацией в течение заданного периода времени (по умолчанию 5 минут) KeepalivePeriod 60 # Каждые NUM секунд Тор просматривает другие варианты построения цепей. NewCircuitPeriod 15 # Увеличим количество Guards NumEntryGuards 8
Данные настройки нужно внести в файл /etc/tor/torrc. Если параметры уже там есть, то изменить дефолтные на новые данные.
Параметр SocksPort 9050 намекает, что работать мы будем через порт 9050. Если ваши программы умеют работать через SOCK, то смело указывайте им localhost:9050. Но много программ не умеют работать с SOCK и тогда переходим к ещё одному звену безопасности - Polipo.
Polipo - это маленький, легковесный прокси сервер.
Его задача:
Установите polipo - sudo apt-get install polipo
. В /etc/polipo/config должны быть строки
socksParentProxy = "localhost:9050" socksProxyType = socks5
Данные строки означают, что трафик полученный Полипо будет отправлен Тору.
Пускай Polipo уменьшает информацию о вас, которая доступна веб сайтам. Для этого нужны настройки.
disableVia=true
Если вы умеренный параноик. Сайты должны работать нормально.
censoredHeaders = from, accept-language censorReferer = maybe
Если вы вздрагиваете от каждого шороха за дверями. Сайты могут работать не корректно.
censoredHeaders = set-cookie, cookie, cookie2, from, accept-language censorReferer = true
Полипо ждёт вас по адресу 127.0.0.1:8123 и теперь в программах можно указывать адрес прокси, как 127.0.0.1:8123. Приятным бонусом идёт возможность Polipo кешировать результаты сёрфинга, что сэкономит вам секунду другую при посещении сайтов.
На данном этапе можно программы мгновенных сообщений типа ICQ настроить на свой прокси polipo + tor, указав в настройках 127.0.0.1:8123.
У Skype свой закрытый протокол с шифрацией, так что можно не заморачиваться по поводу прокидывания шифрованного трафика скайпа через polipo + tor. Можно только ухудшить итоговый результат, так как голос и видео чувствительны к латентности сети, а Тор только ухудшает её, занимаясь вашей анонимностью и шифрацией.
Нет смысла пускать шифрованный трафик https через систему Тор. Только лишние секунды ожидания. Шифровать шифрованное - это не очень умная мысль. Мы сделаем так, чтобы открытый трафик http шифровался, а шифрованный https шёл шифрованным напрямую. В Firefox ставим расширение FoxyProxy Standard. Выставляем режим: Использовать прокси, основанные на шаблонах.
Прямой Интернет. Рекомендую сделать на всякий случай пункт direct_inet - прямой доступ в Интернет для своих белых сайтов. Данный список вы можете пополнять и, таким образом, заходить на эти веб сайты, МИНУЯ защиту в виде Tor + Polipo.
БУДЬТЕ ОСТОРОЖНЫ и не вводите логины и пароли, не занимайтесь финансовыми вопросами на этих сайтах. Данный пункт нужен, только для убыстрения работы с данным сайтом или если работа с сайтом через Тор вызывает больше проблем.
Кеширующий Полипо и Тор. Пункт ниже под названием tor_polipo - использование прокси сервера polipo + tor. Вбейте шаблон httр://* с именем http_via_tor, используя Белый список и Метасимволы. Укажите адрес прокси 127.0.0.1:8123. Теперь весь http трафик будет FoxyProxy заворачивать на Polipo с Тором, другими словами - шифровать и анонимизировать.
HTTPS идёт прямо. Последний пункт "по умолчанию" пустит весь трафик так же напрямую, а значит шифрованный https будет идти напрямую, минуя tor + polipo, так как https не попадёт под фильтр httр://* с именем http_via_tor, описанный выше.
Протоколов, кроме http(s), обычно мало кто использует, поэтому не будем усложнять схему из-за редкостных динозавров. Тем более у Polipo хроническое не умение работать с ftp.
НЕ РАБОТАЙТЕ с ftp требующих вашей авторизации и запрашивающих ваш логин и пароль.
Похожие материалы:
Безопасность Ubuntu.
Правила AppArmor.
Ubuntu стала безопаснее с seccomp фильтрами.
Ускоряем сёрфинг в Интернете.