אנונימיות באמצעות Tor ו Privoxy

מתוך הויקי של ג'נטו.

קפיצה אל: ניווט, חיפוש

תוכן העניינים

[עריכה] הקדמה

מדריך זה מסביר כיצד לגלוש באינטרנט באופן אנונימי על ידי שימוש ב Tor (קיצור של TheOnionRouter) וב-Privoxy. ב-Tor אפשר להשתמש כדי להפוך לקוחות רשת אחרים (מסרים מיידיים, Usenet, וכו') להתנהג בצורה אנונימית. מדריך זה גם יסביר כיצד להפוך את המחשב שלך לזמין באופן אנונימי דרך מנגנון ה"שירותים חבויים" של Tor.

אל תשתמש ב-tor כדי לגרום נזק באתרים... הבה נשמור את קהילת tor נקייה!

[עריכה] גלישה באינטרנט באופן אנונימי

[עריכה] הבה נגדיר את זה

בתור root: 

# emerge net-misc/tor net-proxy/privoxy


הוסף את השורה הבאה ל ‎/etc/privoxy/config (כל מקום זה בסדר, אבל שורה 1010 נראית כמו המקום הנכון):

קובץ: /etc/privoxy/config 
forward-socks4a / localhost:9050 .
# לא לשכוח את סימן הנקודה בסוף השורה
שים לב: בהגדרות ברירת המחדל של privoxy, הוא ישלח את כתובת IP המקורית בתוך כותר HTTP. דבר זה כמובן שובר את האנונימיות שלך אם זו כתובת ה IP הפומבית שלך. כדי למנוע, הפעל לכל הפחות את האפשרות hide-forwarded-for-headers ובטל את האפשרות add-header. תוכל לעשות זאת או בתוך קובצי action. (קרא את המדריך), או, בזמן ש-privoxy כבר רץ, דרך http://config.privoxy.org/show-status.

הערה: כיום, זו כבר קונפיגורציית ברירת המחדל.

שים לב: אם ברצונך להתחבר אל הפרוקסי שלך ממחשבים אחרים, תצטרך לבצע עריכה נוספת ב etc/privoxy/config/. חפש את "listen-address" וקרא את ההסבר בהערות.

זהו דבר נפוץ שיהיה לך פרוקסי ברשת המקומית שזמין לכל המחשבים ברשת. כך שאם הרשת שלך היא 192.168.0.1, ומחשב הפרוקסי שלך יושב ב 192.168.0.1, תוכל להשתמש ב:

קובץ: /etc/privoxy/config 
listen-address  192.168.0.1:8118
שים לב: אם הפיירוול שלך עובד על ידי חסימת פורטים (כמו שלי), אז תוכל להגיד ל Tor להשתמש רק בפורטים שהפיירוול שלך מרשה, על ידי הוספת "FascistFirewall 1" לקובץ התצורה (torrc) שלך.

בברירת מחדל, כאשר תגדיר אפשרות זאת, Tor יניח שהפיירוול שלך מאפשר תעבורה לפורט 80 ופורט 443 בלבד (HTTP ו-HTTPS בהתאמה). תוכל לבחור סט אחר של פורטים עם האפשרות FirewallPorts.

נכון לגירסא Tor 0.1.1.6-alpha, האפשרויות FascistFirewall ו- FirewallPorts הוחלפו עם אפשרות קונפיגורציה חדשה: 

ReachableAddresses *:80,*:443

החל מ Tor 0.1.1.14-alpha, האפשרות ReachableAddresses תפוצל לשתי אפשרויות: 

ReachableDirAddresses *:80
ReachableORAddresses *:443

המידע הנ"ל נלקח מהלינק הזה

קוד: הפעלת tor 
# cp /etc/tor/torrc.sample /etc/tor/torrc
# /etc/init.d/tor start
קוד: הפעלת privoxy

/etc/init.d/privoxy start

הוסף את tor ואת privoxy לרמת הריצה "ברירת המחדל" אם אתה רוצה שהם יופעלו באופן אוטומטי כשמערכת ההפעלה עולה

קוד: הרצת tor ו-privoxy בזמן עליית המערכת 
# rc-update add privoxy default
# rc-update add tor default

הגדר את שרת ה HTTP Proxy בדפדפן שלך כך שיצביע לכתובת המארח 127.0.0.1, לפורט 8118.

  • תחת פיירפוקס, לך ל - Edit menu -> Preferences -> General -> Connection (כמו כן ראה בהמשך לגבי תוסף מיוחד לפיירפוקס)
  • תחת אופרה, לך ל - Tools menu -> Preferences -> Advanced -> Network -> Proxy Servers
  • תחת קונקרור, לך ל - Settings menu -> Configure Konqueror. גלול עד ל Proxy. לחץ על Manually specify the proxy settings ואז לחץ על Setup
  • תחת אפיפני, בקר ב ‎about:config, כתוב proxy בתיבת הסינון, ומלא את השדות proxy.http.host ו- proxy.http.port. ייתכן שתרצה לבדוק גם את השדות proxy.ftp, proxy.ssl וכו'.

תוכל גם להגדיר את פרוקסי ה-SSL שלך באותה הגדרה, אם אתה מעוניין להחביא את מקור תעבורת ה SSL שלך.

אנשי Tor ממליצים שתעביר את כל הפרוטוקולים דרך privoxy, אפילו אם הדבר מקלקל אותם :)


מהשאלות הנפוצות של Tor (קישור: [1])

"למרבה חוסר המזל, Privoxy מסוגל להיות proxy עבור http ו-https בלבד. זה אומר שלא תוכל להשתמש ב Privoxy כדי לטפל בתעבורת FTP, למשל. יותר מכך, אם לא תציין אף proxy עבור תעבורת ה FTP שלך, הדפדפן שלך יתחבר ישירות לשרת ה FTP. כך שדף אינטרנט יכול להשתמש בתג הצגת תמונה שיגרום לך לגלות את מיקומך האמיתי!"

בשלב זה, אתה גולש באופן אנונימי. או לכל הפחות, יש לך סיכוי טוב יותר לאנונימיות, ואתה תורם להתפתחות של פתרונות אלה - יוצרי Tor מצהירים בפירוש שאסור לך להסתמך על Tor כדי לספק לך אנונימיות חזקה.

[עריכה] כיצד להשתמש ב - Gaim עם tor

ודא שהנך מריץ את privoxy ואת tor כפי שהוסבר לעיל.

בתוך Gaim:

  • לך לתפריט Tools , ובחר ב - Accounts
  • בחר את פרוטוקול המסרים המיידיים שבו אתה רוצה להיות אנונימי
  • לחץ על Modify
  • לחץ על Show more options
  • תחת Proxy Options בחר את סוק הפרוקסי SOCKS 5
  • הכנס 127.0.0.1 בתוך כתובת המארח
  • הכנס 9050 בתור הפורט
  • השאר את שם המשתמש והסיסמא ריקים

[עריכה] לקוחות רשת אחרים

השיטה שצויינה לעיל תעבוד עם כל לקוח רשת שתומך בשרתי proxy מסוג SOCKS, כמו למשל x-chat.

[עריכה] IRSSI 

$ torify irssi

אל תשתמש ב-Tor עם לקוחות Bittorrent! הרשת של Tor עדיין בשלביה הראשונים, והיא לא תוכל להתמודד עם כזו כמות של תעבורה.

[עריכה] תוסף לפיירפוקס

FoxyProxy מאפשר לכתובות המתאימות לביטויים רגולריים ו/או סימוני Wildcard לבחור פרוקסי באופן אוטומטי, על בסיס כתובת וכתובת. יש לו תמיכה ישר-מהקופסא "לשוחח" ישירות עם Tor (לא מומלץ, פיירפוקס עשוי לדווח את הIP שלך, ובכך לפספס את כל הנקודה...), או שהוא יכול לשלוח ל-Privoxy או כל Proxy אחר לפי בחירתך. הוא מטפל בצורך לבחור פרוקסי באופן ידני, והנטייה המעצבנת לביטול/הגדרת הפרוקסי המתבצעת בחלון/טאב אחד לאורך כל הטאבים והחלונות של הדפדפן, כפי שיש בתוספי פרוקסי אחרים לפיירפוקס. הוא גם מבטל את גורם ה"אופס" בביטול/הגדרת הפרוקסי.

ישנו תוסף שימושי לפיירפוקס, Switchproxy Extension שמו, אשר מאפשר לעבור בקלות ובמהירות ממצב אנונימי למצב לא אנונימי.

ישנו תוסף פחות כללי, שנקרא Torbutton, שמאפשר לך פשוט לעבור בין "חיבור ישיר" ותצורת tor/privoxy.


[עריכה] הצעת שירותים חבויים

שירות חבוי הוא שרת שרץ על המחשב שלך שאתה מאפשר לו להיות זמין דרך רשת tor תחת מרחב השמות ‎.onion.

לשירותים חבויים יש מספר פגיעויות ידועות שבאמצעות הם יכולים להחשף/להיות מזוהים/מאותרים אשר מתועדים ונדונים כאן. צעדים נלקחו. מחקר נוסף של התוצאות של צעדים אלו, או מחקרים עם התקפות בקנה מידה גדול יותר, לא נעשו עדיין (למיטב ידיעתנו) הרעיון שהשירות החבוי שלך יישאר אנונימי, אינו בטוח.

אתר שמוצע דרך שירות חבוי נראה כך: http://6sxoyfb3h2nvok2d.onion/tor/SocatHelp. לדוגמא, תוכל לגשת לויקי החבוי של Tor בכתובת הבאה: http://6sxoyfb3h2nvok2d.onion/tor/

אתה יכול להציע שירותים חבויים בין אם tor רץ כלקוח, ובין אם כסרבר.

כדי להפוך את שרת הווב שלך לאנונימי, ערוך את הקובץ ‎/etc/tor/torrc ובחלק hidden services הוסף את השורות הבאות:

קובץ: /etc/tor/torrc 
HiddenServiceDir /var/lib/tor/apache_hidden/ 
HiddenServicePort 80 127.0.0.1:80

כעת צור קובץ ‎/var/lib/tor/apache_hidden, בצע עליו chown ל tor:tor (אתה לא באמת חייב לעשות את זה, הספריה תיווצר על ידי tor אם היא אינה קיימת) והפעל את tor. הסתכל בקובץ ‎/var/lib/tor/apache_hidden/hostname עבור כתובת ה-‎ .onion שאתה רוצה לפרסם.

[עריכה] שירותים שאינם מבוססי-HTTP

שימוש ב-tor וב-privoxy מאפשר להציע שירותים עבור שרתי web בקלות, אבל מה קורה אם אתה רוצה להפוך שירות שאינו מבוסס http לזמין דרך הרשת?

נניח שיש לך שרת mud שרץ על פורט 5454 ואתה רוצה להפוך אותו לזמין בתור שירות חבוי. עקוב אחרי הצעדים שלעיל, צור ספריה שנקראת ‎~/mud_hidden/ במקום.

כדי להגיע ל mud שלך, אנשים יצטרכו להיכנס לכתובת 34vss3f3tohrri.onion:5454. אבל telnet לא יכול להשתמש במרחב השמות .onion, ולכן נצטרך להשתמש ב socat. 

$ emerge net-misc/socat
$ socat TCP4-LISTEN:2222,fork SOCKS4A:localhost:34vss3f3tohrri.onion:7878,socksport=9050

כעת תוכל לבדוק זאת על ידי ביצוע טלנט אל localhost בפורט 2222. עשה זאת ממחשב אחר כדי לוודא שאתה פועל באנונימיות :)

[עריכה] הערה לגבי שרת/לקוח

כל השלבים שצויינו לעיל יאפשרו ל-tor לפעול כלקוח בלבד. במילים אחרות, לא תהיה מרכז-עצבים שמשתמש ב-20 ג'יגהבייט רוחב פס לחודש, אלא רק מה שאתה רגיל לו כשאתה גולש באינטרנט.

[עריכה] אפשרויות הפעלה

הרצת Tor עם שורת הפקודה --runasdaemon 1 תגרום לו לרוץ במצב שירות (daemon), ותנתק אותו מהמסוף שממנו הרצת אותו. ניתן גם לציין זאת בקובץ התצורה, כך:

קובץ: ~/.tor/torrc 
RunAsDaemon 1

There is now an initscript available for Tor. To make Tor start on boot run the following as root: 

 $ rc-update add tor default

[עריכה] קביעת תצורה אוטומטית עבור חלק מהתוכנות

כדי לגרום לתוכנות שמשתמשות ב-http, כגון wget, lynx, curl וכו' להשתמש ב- tor באופן אוטומטי, עלייך לעדכן את ‎~/.profile, או ‎~/.bashrc:

קובץ: ~/.profile או ~/.bashrc 
http_proxy=http://127.0.0.1:8118/
HTTP_PROXY=$http_proxy
export http_proxy HTTP_PROXY

[עריכה] תצורת Privoxy

באפשרותך לגשת לדף קביעת התצורת של privoxy על ידי גלישה לכתובת http://config.privoxy.org/ כאשר privoxy מופעל.

[עריכה] הערה לגבי מהירות

גלישה דרך פרוקסי תאט את החיבור שלך. זה לא רעיון טוב להשתמש ב-tor יחד עם wget (אשר נמצא בשימוש על ידי emerge).

ג'נטו חוסמת תעבורה מצמתי היציאה של Tor משרתי ההפצה הראשיים שלה (בין השאר), וכמעט כל אתרי המראה הרשמיים בכל מקרה. כדי לראות בעצמך, נסה להפעיל את Tor בתוך ה ‎ /root/.bashrc שלך , ואז הרץ את mirrorselect, wget, או emerge. אני לא מצליח להבין את יתרון האבטחה בחסימת פעולה של קריאה-בלבד, אשר בדרך כלל משתמשת ב-http, והיא בכניסה אנונימית ממילא... כנראה שלמפתחים של ג'נטו יש הנאה מלהפוך את החיים של משתמשי Tor למסובכים :-)

כדי לכבות את הפרוקסי עבור wget, שנה את #use_proxy = on ל- use_proxy = off בתוך ‎/etc/wget/wgetrc באיזור שורה 80.

[עריכה] שימוש מתקדם

[עריכה] הצעת פרוקסי tor/privoxy עבור אחרים

ההוראות עד עכשיו מכסות רק את הגדרת tor ו-privoxy על מחשב בודד. כמובן, אם אתה מנהל רשת או מעוניין להציע שירות שזמין באופן פומבי, תוכל לעשות זאת גם כן. כדי לעשות זאת, עלייך להנחות את tor ואת privoxy להאזין לחיבורים לא רק באופן מקומי, אלא על כתובת שזמינה באופן פומבי ברשת. בדוגמא הבאה, אניח שהשרת ברשת המקומית 192.168.0.0/24, שכתובת ה- IP שלו היא 192.168.0.1. חובה עלייך לבצע את השינויים הבאים בנוסף לאלו שהוזכרו לעיל:

קובץ: /etc/tor/torrc 
SocksBindAddress 192.168.0.1
SocksPolicy accept 192.168.0.0/24
SocksPolicy reject *
קובץ: /etc/privoxy/config 
listen-address  192.168.0.1:8118
# replace the line "forward-socks4a / localhost:9050 ." with this:
forward-socks4a / 192.168.0.1:9050 .

הפעל מחדש את tor ואת privoxy, והגדר את כתובת הפרוקסי בלקוחות ה-web שברשת שלך ל- 192.168.0.1:8118.


[עריכה] הרצת שרת tor

אם יש לך הרבה רוחב פס, אולי תרצה לתרום לרשת של tor על ידי הרצת ה-tor שלך בתור שרת tor לאחרים. ככל שישנם יותר שרתים, הרשת עובדת יותר טוב: עוד שרתים פירושים רוחב פס גבוה יותר ואנונימיות טובה יותר. ישנן שתי דרכים שבהן אתה יכול לעזור: לפעול כאיש-באמצע או כתחנת-יציאה. תחנת יציאה מאפשרת לתעבורה לעזוב את הרשת של tor מהשרת שלך, כך שהתעבורה נראית לעולם כאילו היא הגיע מהמחשב שלך. תלוי בחוק במדינתך, דבר זה עלול להכניס אותך לצרות. אם אינך רוצה להסתכן בכך, תוכל להריץ תכנת איש-באמצע. תוכל לקרוא בתיעוד הרשמי על הגדרת Tor כשרת. כמו כן תוכל לקרוא את השאלות הנפוצות על Tor אם אתה רוצה להריץ שרת. ישנם מספר נוסעים שהם פשוט מעבר ל-scope של ויקי זה :-) בכל מקרה, הנה הוראות מינימליות כדי שתוכל להתחיל:

קובץ: /etc/tor/torrc 
## This is required, but you can choose the port
ORPort 9001

## Required: A unique handle for this server. Choose one.
Nickname ididntedittheconfig

## The IP or fqdn for this server. Leave commented out and Tor will guess.
## This may be required, if tor cannot guess your public IP.
Address <your.public.ip>

## To limit your bandwidth usage, define this. Note that BandwidthRate
## must be at least 20 KB.
BandwidthRate 20 KB        # Throttle traffic to 20KB/s (160Kbps)
BandwidthBurst 50 KB       # But allow bursts up to 50KB/s (400Kbps)

## If you don't want to run an Exit Node, add this
#ExitPolicy reject *:* # middleman only -- no exits allowed

[עריכה] פתרון בעיות

הצעדים שצויינו לעיל אמורים לעבוד ברוב המחשבים. אם יש לך חוקי פיירוול קשיחים, תצטרכך לאפשר חיבורים מקומיים לפורט 8118 ולפורט 9050. אם הפיירוול שלך חוסם חיבורים יוצאים, תצטרך להתיר תקשורת יוצאת לפורטי TCP מספר 80, 443 ו 9001-9033.

כמו כן שמתי לב שייתכן שאת:

קובץ: /etc/privoxy/config 
listen-address localhost:8118

צריך לשנות ל:

קובץ: /etc/privoxy/config 
listen-address 127.0.0.1:8118

כדי שדברים יעבדו, ייתכן שבגלל שב-‎/etc/hosts חסר הערך localhost (מה שלא אמור לקרות!) .

[עריכה] לקריאה נוספת


מקור: http://he.gentoo-wiki.com/%D7%90%D7%A0%D7%95%D7%A0%D7%99%D7%9E%D7%99%D7%95%D7%AA_%D7%91%D7%90%D7%9E%D7%A6%D7%A2%D7%95%D7%AA_Tor_%D7%95_Privoxy
כלים אישיים