Как обойти блокировку Tor
Обновлено: 21.11.2024
Сеть Tor (The Onion Router) скрывает личность пользователя, перемещая его данные между разными серверами Tor и шифруя этот трафик, чтобы его нельзя было отследить до пользователя. Любой, кто попытается отследить, увидит, что трафик исходит от случайных узлов в сети Tor, а не от компьютера пользователя.
Следующие конфигурации брандмауэра нового поколения Palo Alto Networks могут блокировать трафик приложений Tor в вашей сети.
Примечание. Для блокировки любого уклончивого приложения, такого как Tor, требуется сочетание различных возможностей, как описано выше. Во многих случаях недостаточно использовать только одну возможность. Используйте столько этих конфигураций, сколько необходимо, чтобы должным образом заблокировать Tor.
1. Политика безопасности для блокировки идентификатора приложения Tor
Компания Palo Alto Networks создала такие приложения, как tor и tor2web, для идентификации соединений Tor. Как и любой другой анонимайзер, Tor использует различные методы для обхода вашей системы безопасности. Просто заблокировать приложения tor и tor2web в политике безопасности недостаточно.
Создайте политику безопасности, чтобы заблокировать следующие приложения в Интернете:
В WebGUI > Политика > Безопасность обязательно создайте правило, запрещающее доступ к приведенному выше списку, и убедитесь, что для параметра "Служба" установлено значение "Приложение по умолчанию".
2. Используйте фильтры приложений
Существует множество приложений для обхода ограничений, которые создаются по мере роста спроса со стороны пользователей, желающих обойти ограничения. Хороший способ не отставать от новых приложений — использовать фильтр приложений и блокировать приложения на основе поведения, а не вручную добавлять каждое отдельное приложение в политику безопасности.
Используя фильтр приложений («Объекты» > «Фильтры приложений»), мы можем создать новую группу (имя — VPN) приложений на основе категории «сеть» и подкатегории «прокси». В этот фильтр войдут такие приложения, как psiphon, tor2web, your-freedom. и т. д.
Затем в разделе «Политики» > «Безопасность» создайте политику безопасности, чтобы блокировать приложения, относящиеся к категории прокси. Включите фильтр приложений "VPN" в политику безопасности и установите действие "Запретить".
Примечание. Рекомендуется, чтобы при добавлении приложений в белый список в политике безопасности для Службы использовалось значение application-default. Брандмауэр сравнивает используемый порт со списком портов по умолчанию для этого приложения. Если используемый порт не является портом по умолчанию для приложения, брандмауэр прерывает сеанс и записывает в журнал сообщение "Запрет поиска политики приложения" .
3. Блокировка опасных категорий URL
Создайте профиль фильтрации URL-адресов, который блокирует доступ к веб-сайтам, отнесенным к следующим категориям:
- защита от прокси-серверов и анонимайзеры
- вредоносное ПО
- фишинг
- динамический DNS
- неизвестно
- припарковано
- фишинг
- под вопросом
Свяжите профиль фильтрации URL-адресов с политикой безопасности, чтобы обеспечить более строгий контроль. Сделайте это внутри «Объекты» > «Профили безопасности» > «Фильтрация URL». Найдите каждую категорию и заблокируйте доступ к этим категориям выше.
Примечание. Перейдите по ссылке: Создайте передовые профили безопасности, чтобы ознакомиться с рекомендациями по настройке профилей безопасности.
4. Запретить неизвестные приложения
Рекомендуется блокировать в сети любые приложения, относящиеся к категории unknown-tcp, unknown-udp и unknown-p2p.
Если есть приложения, к которым пользователи должны получить доступ в Интернете, которые идентифицируются брандмауэром как unknown-tcp или unknown-udp, и если есть необходимость разрешить доступ к этим приложениям, создайте политику безопасности, которая разрешает unknown- tcp или unknown-udp на определенных портах, используемых этим конкретным приложением.
Для другого трафика, который идентифицируется как "неизвестный-tcp", "неизвестный-udp" или "неизвестный-p2p", мы создадим политику безопасности, запрещающую этот трафик.
Убедитесь, что вы создали это правило внутри Политики > Безопасность, как показано ниже.
5. Блокировка ненадежных проблем и сертификатов с истекшим сроком действия с помощью профиля расшифровки
Это может быть достигнуто без фактической расшифровки трафика и может быть весьма эффективным при блокировке Tor. Мы рекомендуем клиентам использовать «профиль расшифровки», как показано ниже, как часть правила запрета расшифровки, чтобы ограничить подключение Tor.
Для этого перейдите в «Объекты» > «Профиль расшифровки». Если у вас еще нет правила запрета расшифровки, добавьте его с помощью кнопки «Добавить». На вкладке «Без расшифровки» убедитесь, что выбраны 2 параметра.
Затем в разделе «Политики» > «Расшифровка» и снова, если у вас нет правила «Нет расшифровки», добавьте его с помощью кнопки «Добавить», а затем внутри этого правила на вкладке «Параметры»
После этого вы должны увидеть имя профиля расшифровки, указанное в правилах.
6. Включить расшифровку SSL
Если, несмотря на реализацию всех предложенных выше элементов управления, Tor по-прежнему может подключаться, то мы рекомендуем включить расшифровку SSL для этого трафика, что поможет заблокировать Tor.
Создайте профиль расшифровки в разделе «Объекты» > «Профиль расшифровки». Нажмите «Добавить» внизу и дайте ему имя. Я использовал «расшифровать». Обязательно выберите любые параметры для проверки сертификата сервера и проверки неподдерживаемого режима.
Затем обязательно перейдите в раздел Политики > Расшифровка и свяжите профиль расшифровки с политикой расшифровки. Сделайте это на вкладке «Параметры» в правиле политики расшифровки.
Для получения дополнительной информации о настройке расшифровки SSL см.:
7. Управление на основе источника/получателя с использованием внешнего динамического списка
В дополнение к мерам предосторожности, принятым на предыдущих шагах для предотвращения трафика Tor, мы можем использовать функцию внешнего динамического списка, чтобы заблокировать подключение приложения Tor к узлам Tor. Это будет блокироваться на основе IP-адреса назначения, соответствующего политике безопасности, в которой настроен EDL.
- Сведения о создании внешнего динамического списка см. в руководстве по администрированию PAN-OS.
- Новое обновление содержимого Пало-Альто (динамические обновления 8435 от 7 июля 21 г.) поддерживает встроенные внешние динамические списки. Этот список можно использовать в конфигурации EDL для блокировки нежелательного трафика.
Чтобы настроить внешний динамический список, перейдите в «Объекты» > «Внешние динамические списки» и создайте новый список с помощью «Добавить». Дайте ему имя - Тор. Обязательно поместите URL-адрес в исходное поле.
Затем в разделе Политики > Безопасность создайте новое правило (Добавить) для нового EDL (Внешний динамический список).
На вкладке "Назначение" обязательно используйте только что созданный EDL "Tor".
Для блокировки любого уклончивого приложения, такого как Tor, требуется сочетание различных возможностей, как описано выше. Во многих случаях недостаточно использовать только одну возможность.
Примечания к выпуску содержания приложений и угроз
Версия 8435
(7/7/21) Подписки Threat Prevention для брандмауэров под управлением PAN-OS 9.0 и более поздних версий теперь включают встроенный внешний динамический список (EDL), который можно использовать для блокировки выходных узлов Tor. Записи в списке включают IP-адреса, предоставленные несколькими поставщиками, и данные об угрозах Palo Alto Networks подтвердили их активность
.
Недавно Россия присоединилась к другим авторитарным странам в блокировании местных новостных сайтов РСЕ/РС. Мы призываем читателей в России подписаться на наш канал в Telegram и на нашу рассылку The Week In Russia, чтобы иметь постоянный доступ к нашим репортажам.
Вот несколько других способов получить доступ к материалам Радио Свобода не только на английском, но и на русском, чеченском, татарском, украинском, белорусском и других языках:
VPN
Читатели могут использовать VPN, такие как nthLink или Psiphon, которые являются бесплатными решениями, поддерживаемыми Open Technology Fund. VPN предоставят читателям доступ к заблокированным платформам социальных сетей. Вот несколько более подробных инструкций на русском языке, которые также включают несколько других бесплатных альтернатив VPN.
САЙТЫ TOR ONION
Читателям также следует рассмотреть возможность загрузки браузера Tor для анонимного и безопасного доступа к нашим onion-сайтам.
Как загрузить браузер Tor:
Там, где Tor заблокирован, мосты помогают читателям получить доступ к сети Tor. Читатели должны запросить мост одним из следующих способов:
-- Отправка "/bridges" в выделенный канал Telegram @GetBridgesBot и последующее добавление строк мостов, полученных вручную путем копирования и вставки в браузере Tor [Настройки > Tor > Мосты > Предоставить мост]
-- Подключение через Snowflake из браузера Tor [Настройки > Tor > Мосты > Выбрать встроенный мост > Snowflake]
Чтобы ввести запрошенные мосты:
Компьютер: Настройки > Tor > Мосты > Предоставить мост
Android: Config Bridge > Предоставить известный мне мост
iOS: Конфигурация моста > Пользовательские мосты
Проект Tor поддерживает канал поддержки пользователей в Telegram на английском и русском языках: @TorProjectSupportBot.
Если вы заметили странные ссылки на наших российских сайтах:
Возможно, вы заметили более длинные и необычные ссылки на наших русскоязычных сайтах. Мы используем так называемые «зеркала» наших сайтов, распределенные по нескольким местам, чтобы властям было намного сложнее заблокировать доступ к нашим сайтам. Если вы хотите поделиться нашим контентом с коллегами или друзьями, которые не используют VPN, мы рекомендуем использовать эти более длинные ссылки.
Иногда ссылки на зеркала могут перестать работать, потому что они также заблокированы властями. На всякий случай скачайте это расширение для Chrome и Firefox. Он предоставит вам рабочую ссылку на зеркало.
Приложение РСЕ/РС
В наших приложениях есть технология для обхода цензуры. Вы можете найти их в магазинах приложений Google и Apple. Если у вас есть телефон Android и магазины приложений заблокированы в вашей стране, вы можете скачать приложение здесь.
Twitter стал последним технологическим гигантом, запустившим специальный луковый сервис Tor через несколько дней после того, как он был заблокирован в России после вторжения на Украину. Запуск позволит пользователям в России обойти правительственные интернет-блокировки, которые препятствуют потоку информации по стране.
Алек Маффет, исследователь кибербезопасности с большим опытом работы с сетью Tor, стоял за проектом, о запуске которого было объявлено во вторник. Новый сервис Tor Twitter основан на версии Enterprise Onion Toolkit (EOTK), инструмента, разработанного Маффетом, чтобы помочь владельцам веб-сайтов добавить URL-адрес .onion для домена своего сайта за считанные минуты, который был настроен в соответствии с требованиями Twitter. чрезвычайные производственные требования».
«Возможно, это самый важный и долгожданный твит, который я когда-либо писал», — написал Маффет. «От имени Twitter я рад объявить об их новом луковом сервисе Tor Project».
По словам Маффета, версия социальной сети Tor медленно разрабатывается с 2014 года, когда он помог Facebook запустить сервис Tor. К 2016 году Facebook заявил, что количество людей, использующих браузер Tor для доступа к его платформе, превысило отметку в один миллион.
Сеть Tor, также известная как «луковый маршрутизатор», шифрует интернет-трафик и направляет его через ряд тысяч серверов по всему миру, предлагая своим пользователям анонимность и свободу от слежки и цензуры.
Twitter работает в браузере Tor (Изображение: TechCrunch)
Запуск сервиса Tor в Твиттере произошел всего через несколько дней после сообщений о том, что сервис социальной сети был заблокирован российским регулятором связи, Роскомнадзором, поскольку страна продолжает ограничивать свободный поток информации. После этих сообщений Twitter подтвердил TechCrunch, что пользователи в стране испытывают «все большие трудности» с доступом к его сервису, добавив, что он проводит расследование и работает над восстановлением полного доступа.
Twitter не сообщил, был ли своевременный запуск сервиса Tor напрямую связан с очевидной блокировкой в России, но представитель Twitter заявил, что его усилия по повышению доступности сервиса для пользователей являются «постоянным приоритетом» для компании. а также указал нам на список поддерживаемых браузеров Twitter, который теперь включает Tor.
Когда OCCRP опубликовало наше расследование 2017 года о схеме отмывания денег на сумму 2,9 миллиарда долларов США, которую мы назвали «Азербайджанская прачечная», многие люди в Азербайджане не смогли его прочитать. Элиты страны, опасаясь разоблачения своих коррупционных действий, заблокировали наш веб-сайт в надежде, что новости не распространятся.
Это был не первый раз, когда нас заблокировали, и не последний. Чтобы наши расследования могли прочитать все и везде, мы составили это руководство о том, как анонимно просматривать материалы OCCRP — где бы вы ни жили.
Источник: OCCRP Одно из многих сообщений об ошибках, которые вы можете увидеть, если живете в районе, где веб-сайты OCCRP заблокированы.
Сохраните эту информацию в автономном режиме, если считаете, что OCCRP может быть заблокирован в вашей стране.
Проект Tor – это некоммерческая организация, занимающаяся продвижением прав и свобод человека с помощью бесплатного программного обеспечения с открытым исходным кодом, уделяя особое внимание анонимности и конфиденциальности.
Один из его проектов, Tor Browser, подключается к сети тысяч добровольцев, которые запускают программное обеспечение, которое позволяет пользователям скрывать свое местоположение во время просмотра веб-страниц, а также места, где они хотят подключиться. Браузер можно использовать на большинстве платформ, включая смартфоны.
Вы можете скачать Tor Browser с их веб-сайта. Дополнительные инструкции по установке и использованию Tor Browser см. в этом руководстве. Для Android также есть Tor Browser, как и для iPhone.
Доступ к сети Tor заблокирован в некоторых странах. Однако есть способы обойти это с помощью технологии Tor Bridges, которая предлагает зашифрованные и анонимные способы доступа к сети. Вы можете запросить мост Tor, перейдя по ссылке https://bridges.torproject.org или отправив электронное письмо по адресу bridges@torproject.org. Оставьте тему письма пустой и напишите «get transport obfs4» в теле письма. Это работает только с адресами Gmail.
В мире доступны различные службы VPN (виртуальные частные сети), которые можно использовать для обхода интернет-цензуры. Выберите тот, который, по вашему мнению, будет ответственно обращаться с вашими данными. Сервисы без абонентской платы, скорее всего, получают прибыль от ваших данных.
Дополнительные параметры
Гонка вооружений между репрессивными государствами и людьми, стремящимися обойти цензуру, еще не закончилась. OCCRP будет добавлять на эту страницу новые инструменты по мере их появления, чтобы вы могли продолжать читать наш контент, где бы вы ни находились.
Читайте также: