Настройка клиента Tor

Русский

В случае, когда Вас блокирует вышестоящее оборудование, в общем-то можно выйти в darknet, но когда цензура "крепчает" или, например, если Вы выходите в internet через вышестоящий прокси-сервер, который режет Вам добрую половину сайтов - увы, но установка должна быть минималистичная. Как бы Вы ни желали, но Вы не сможете полноценно выглянуть во внешний сетевой мир и открыть порт извне - поэтому мы и начинаем рассмотрение с этого случая. Также хочу обратить внимание, что при установке всех остальных конфигураций на данное руководство будут опираться как на базу все дальнейшие руководства. Итак - постановка задачи :

  • Дано:
    1. Имеется вышестоящий proxy-сервер, который осуществляет цензуру. Вместо него или в паре с ним может работать прозрачный прокси, который выдает себя за маршрутизатор, и тоже нарушает Ваши конституционные права путем осуществления цензуры.
    2. Есть риск того, что Ваши коммуникации вскрываются и читаются
    3. Есть риск того, что Ваши коммуникации протоколируются без законных на то оснований
  • Имеющиеся технические средства:
    1. Компьютер под управлением ОС Windows 7 или старше. Под XP тоже должно работать, но не рекомендуется ее использовать, так как она полностью без поддержки, включая обновления безопасности самой системы. Linux или Unix случаи более просты, и решение такое же
    2. Вы не можете устанавливать программное обеспечение, так как у Вас нет прав администратора
    3. Нет ограничения по запуску программ по их имени И цифровой подписи
  • Конечное явление / Ожидаемый результат :
    1. Вы можете нормально пользоваться сетью Internet и, в частности, в полной мере реализуете свои законные права на доступ к информации
    2. Ваши коммуникации закрываются шифрованием так, что значительно осложняется возможность "встать посередине" между Вами и удаленным сервером
    3. Ваши коммуникации бесполезно протоколировать в виду того, что прочесть их технически невозможно, не участвуя в них



Дистрибутив Tor на самом деле в установке НЕ нуждается, и - более того - его можно собрать из исходных текстов вообще таким образом, что это будет один запускаемый файл. Такой же вариант будет и для браузера. Этот случай рассматривает не Ваше устройство, а - например - компьютер в университете или в школе. Если у Вас свой ноутбук, который Вы принесли в школу, университет или на работу, или вообще просто выходите в публичный Wi-Fi - смотрите случаи настройки полного узла и защитного узла(для публичного Wi-Fi) соответственно. Такие дистрибутивы программ, которые можно просто носить с собой на флэшке и с нее и запускать - они называются portable, или свободно переносимыми.

Собственно - что нам нужно, так это на съемном накопителе или еще каким-либо образом(тут уж включите свое воображение) принести нужные дистрибутивы. И тут - тонкость! Можно обойтись одной флешкой, но ее Вы каждый раз после использования в недоверенном месте будете вынуждены дома форматировать и заливать на нее образ "с нуля". Делается это для того, чтобы Вы были уверены, что ничего с недоверенного узла не проникло в образ и не попыталось изменить его работу. Поэтому - лучше присмотреться к флэшкам, у которых есть как у дискет write protector, кнопка защиты от записи. Есть далеко не на всех, но - можно поступить еще проще : купить SD-карту, даже microSD - их часто продают даже вместе с кард-ридером для USB, и вот на картах памяти как раз защита от записи есть практически всегда. А на второй флэшке Вы всегда будете держать "временный подвальчик", куда будут писаться все временные файлы. Это поможет как не оставить на недоверенном диске шпаргалок для злоумышленника, так и сохранит от перезаписей карту/флешку с эталонным образом дистрибутивов Tor и остального, что нужно для его работы. Данный пункт имеет смысл, если это именно случай с "чужим" компьютером, если это Ваша "железка" - просто выделите под софт отдельную папку, например "C:\tor". Не используйте не-английских названий и пробелов в именах файлов и папок, это значительно осложнит конфигурирование, а также может привести к непредвиденным глюкам : тот же tor изначально разрабатывался на таких файловых системах, где пробелов и не-английских названий не практикуется. Далее эту папку на флэшке или на Вашем компьютере мы будем называть просто "папка Тор" или "отдельная папка"

Сам дистрибутив Tor Вы можете как скачать с официального сайта проекта tor - он там называется Expert Bundle, так и собрать из исходных текстов со всеми Вашими пожеланиями. Для просмотра страниц Вы можете использовать как отдельно взятый переносимый дистрибутив браузера, например Firefox, так и воспользоваться уже готовым Tor Browser Bundle. Что выбирать Вам - смотрите сами. Если Вы выбрали тор браузер в виде бандла(bundle - несколько пакетов в одном установщике), то посмотрите в отдельной статье по нему, где и как настроить тор. Если Вы скачали сам тор непосредственно - установите его в отдельную папку. Итак, что важно знать о запуске программы клиента :

  • Поскольку tor и все его подключаемые транспорты разрабатывались на Unix/Linux семействе, то на системный реестр и вообще что-либо Windows-специфичное эти компоненты не завязаны. Нет нужды в правке реестра и даже собственно в установке - все стартует их отдельной папки, там же должны быть подключаемые библиотеки, если они есть. В случае трудностей с библиотеками можно собрать все так, чтобы у Вас получился просто один исполняемый файл(EXE-файл), которому из динамических библиотек вообще ничего не нужно.
  • У программ есть настройки, и тор - не исключение. Часть настроек "зашиты"(жестко прописаны) в коде самой программы и не настраиваются извне, и этому есть хорошая причина : нужно достаточно глубоко понимать, как и что работает, чтобы менять такие вещи. И если Вы смогли разобраться в таких тонкостях и Вы видите логически обоснованную причину все-таки поменять зашитую настройку - Вы без проблем сможете это сделать. Остальные настройки задаются в файле конфигурации. Сначала, как Вы поставите программу - его может и не быть, и по умолчанию программа ищет его в домашней папке пользователя, от лица которого она запущена. Чтобы так не "наследить" - нужно запускать с ключом "-f " в командной строке, например вот так :C:\tor\tor.exe -f C:\tor\torrc Это с учетом того, что сам тор у меня в папке "C:\tor"
  • Если Вы подозреваете, что на прокси-сервере стоит цензура, то самый первый запуск сделайте из-под нормального выхода в сеть интернет : тор загрузит все данные, и потом он сможет уже на основании их работать. Также в этом случае получите мосты через письмо на почту(как - уже описано ранее тут), а также крайне желательно настроить свой мост у себя дома
  • Скоординируйтесь с друзьями! Краудсорсинг - это сила! Поднимайте мосты - и помогайте друг другу!



Теперь - настроим параметры сети. Если Вы выходите через непрозрачный прокси-сервер, то есть его адрес нужно указывать вручную, то вот какие настройки tor за это отвечают:
HTTPProxy адрес[:порт, если не указать порт слитно через двоеточие, то 80 ]
HTTPProxyAuthenticator имя_пользователя:пароль
HTTPSProxy адрес[:порт, если не указать порт слитно через двоеточие, то 443 ]
HTTPSProxyAuthenticator имя_пользователя:пароль
Socks4Proxy адрес[:порт, если не указать порт слитно через двоеточие, то 1080 ]
Socks5Proxy адрес[:порт, если не указать порт слитно через двоеточие, то 1080 ]
Socks5ProxyUsername имя_пользователя
Socks5ProxyPassword пароль
KeepalivePeriod 30

Соответственно HTTP, HTTPS(или как ее еще называют - SSL proxy) или Socks прокси-сервера. Если у Вас сокс, то при наличии используйте 4-й(Socks4), иначе Socks5. Авторизация через домен Windows прописывается как "домен\имя_пользователя". Если у Вас доменная авторизация, то нажав клавишу с логотипом Windows и латинскую L, или просто Ctrl-Alt-Delete и выбрав заблокировать компьютер(Lock Computer) Вы увидите табличку, что компьютер заблокирован таким-то пользователем как раз в формате "домен\имя_пользователя", и вот именно так и впишите имя пользователя, если требуется доменная учетная запись. Последняя директива - KeepalivePeriod - напрямую к прокси серверу не относится, она в принципе отвечает раз в сколько секунд нужно послать пакет по соединению, чтобы его не закрыл прокси-сервер сам на своей стороне. По-умолчанию там пять минут, то есть 300 секунд, но настройки у проксей разные... Поэтому 15 или 30, или 45 секунд Вас могут вполне выручить. Если есть HTTPS и SOCKS то рекомендую использовать SOCKS, с него начните по крайней мере.

Также в случае жесткой фильтрации на уровне сверху могут ограничивать, на какие порты удаленных адресов Вы можете направлять запрос - бывает и такое. Но - чтобы вообще не закрыть Вам доступ, на 80 и 443 порты доступ не закрывают по номеру порта. Поэтому - есть еще две директивы настройки tor, которые в этом случае очень спасают :
FascistFirewall 1
FirewallPorts 80,443
ReachableDirAddresses *:80
ReachableORAddresses *:443

Да, такой фильтр создатели тор'а назвали фашистским межсетевым экраном - в чем-то они правы =) Первая директива говорит о том, что у нас такой случай. Вторая директива - она несколько устаревшая, можете ее не использовать - FirewallPorts говорит о том, на какие порты фильтрующий узел выпускает во внешний мир, чтобы не стучаться в заведомо закрытую дверь. Если есть другие порты, на которые выпускает фильтр - то впишите и их. Две последние директивы - более новые, они заменяют собой FirewallPorts. Первая говорит, как можно попытаться достучаться до директорий(каталогов узлов сети тор), вторая - через какие порты можно связываться собственно с самими узлами для организации луковичной маршрутизации. Используйте либо их, либо FirewallPorts. По личному мнению автора, если работает FirewallPorts - то ее и проще, и эффективнее использовать.

Далее - скажем программе то, что мы собственно ТОЛЬКО клиент, указав в файле настроек ClientOnly 1Во всех других случаях обязательно выставляйте это в ноль вот так :ClientOnly 0. Остались последние штрихи :
AvoidDiskWrites 1
DataDirectory c:\tor\data
GeoIPFile c:\tor\geoip
Log notice stdout
SocksListenAddress 127.0.0.1

Вот в общем-то и вся настройка клиента. Также - советуем настроить работу с подключаемыми транспортами и вписать сетевые мосты для клиента, если вариант для работы с чужого компьютера или из публичной сети, например бесплатного Wi-Fi.