Какой бы прозрачной политикой конфиденциальности не обладал сервис, в какой-то степени всё равно многое строится на доверии. Да, отчёт о прозрачности, несомненно повышает наше доверие, но где гарантия того, что этот отчёт абсолютно полный? Проведение дорого аудита также вызывает наше доверие, как и открытый исходный код, но где гарантия, того, что ничего не осталось за кадром?
Выбор определенного VPN сервиса также исходит из нашего доверия. Мы могли выбрать его по весьма различным критериям: репутация в определённых кругах, открытый код клиента, проведение ежегодного аудита, или убедительная реклама.
Для того, чтобы понять имеет ли смысл проксировать TOR через VPN, нужно ответить на вопрос - кто заслуживает больше нашего доверия: локальный поставщик интернет услуг (наш интернет провайдер и далее ISP) или выбранный нами VPN сервис? Так как использование VPN в нашем случае подразумевает всего лишь услугу транспортировки нашего интернет трафика в другую геолокацию для последующей обработки, можно сказать, что таким образом мы просто меняем интернет провайдера. Трафик всё равно будет проходить через шлюз нашего ISP, но уже не сможет быть им распознан из-за использования шифрования на всём пути следования трафика до нашего VPN шлюза (например до Швеции). После чего будет распакован и обработан другим ISP (в этом случае интернет провайдером Швеции). Из за того, что TOR трафик размещается внутри зашифрованного трафика VPN тоннеля, он становится не видим для систем блокировки интернет провайдера и таким образом у нас появляется возможность использовать TOR browser и другие инструменты сети TOR
Тем не менее, тот же Tails дистрибутив не предусматривает встроенную поддержку VPN, объясняя это здесь vpn_support · Wiki · tails / blueprints · GitLab
Если кратко, то использование TOR в комбинации с VPN нецелесообразно в данном контексте, так как это требует некоторых технических модификаций в программном обеспечении Tails, а также предполагает некоторые риски, когда существует более рациональное решение для обхода геоблокировок - это bridge relay (мосты-ретрансляторы). Здесь я так же согласен с разработчиками, беря во внимание то, что система изначально сконфигурирована на прозрачное проксирование через TOR с минимизацией утечек через клирнет и использование VPN не принесёт здесь какого-либо ощутимого преимущества. Если всё же приминение мостов не возможно, по какой-либо причине, используйте отдельный роутер, который поддерживает внутреннюю установку VPN. Идеальным решением здесь будут роутеры на основе прошивок с открытым кодом, таких как OpenWrt, DD-WRT, pfSense, OPNsense и др. В случае необходимого использования VPN после TOR для доступа к ресурсам, которые ведут чёрные списки IP адресов TOR, Tails рекомендуют использовать SSH соединение с переадресацией портов в качестве прокси сервера.
Что касается команды whonix, то они также склоняются больше в сторону отказа от использования VPN TorPlusVPN · Wiki · Legacy / Trac · GitLab
аргументируя это тем, что трафик, направляемый в центр обработки данных, где находится, наш VPN шлюз, может быть подвергнут любому виду анализа и регистрации активности и впоследствии передан третьим лицам. По сравнение с ISP, дата центр имеет более слабую правовую основу для того, чтобы хранить ваши данные в секрете. И здесь мы можем вернуться к первому вопросу: кому мы можем доверять больше? Нашему домашнему интернет провайдеру или нашему VPN сервису?
Думаю на этот вопрос никогда не будет однозначного ответа, так как всё зависит от модели угроз, от выбора операционной системы, от политики конфиденциальности ISP и VPN и ряда других причин. Вышеприведенные ОС настроены специальным образом для проксирования всего трафика в TOR и они врят ли нуждаются в дополнительнном VPN туннелировании. Если вы пользуетесь другими системами, то, возможно, весьма целесообразным будет использование на них VPN. Так сможете избежать мониторинга и регистрации активности со стороны своего ISP. Но и здесь нужно учитывать множество факторов при выборе VPN провайдера - это зона юрисдикции компании, зона юрисдикции центра обработки данных (возможно это целая облачная инфраструктура), уровень ведение журналов, открытый код клиента, наличие встроенных систем трекинга и аналитики для профилирования пользователя на сайте или в приложении, количество необходимых регистрационных данных, возможность анонимной оплаты, например Monero и др. факторы.
Все же, независимо от всего вышеперечисленного, VPN туннелирование имеет некоторые уязвимости при использовании с TOR. На IP адресах VPN сервиса в дата центре могут располагаться ретрансляторы TOR, что при некотором стечении обстоятельств выбора маршрута, может привести к повторному использованию такого IP адреса в качестве входа и выхода TOR трафика, что скажется на анонимности. Но это заслуживает отдельного рассмотрения.
Информация будет дополняться по мере поступления, так как невозможно рассмотреть многие аспекты разом.
Выбор определенного VPN сервиса также исходит из нашего доверия. Мы могли выбрать его по весьма различным критериям: репутация в определённых кругах, открытый код клиента, проведение ежегодного аудита, или убедительная реклама.
Для того, чтобы понять имеет ли смысл проксировать TOR через VPN, нужно ответить на вопрос - кто заслуживает больше нашего доверия: локальный поставщик интернет услуг (наш интернет провайдер и далее ISP) или выбранный нами VPN сервис? Так как использование VPN в нашем случае подразумевает всего лишь услугу транспортировки нашего интернет трафика в другую геолокацию для последующей обработки, можно сказать, что таким образом мы просто меняем интернет провайдера. Трафик всё равно будет проходить через шлюз нашего ISP, но уже не сможет быть им распознан из-за использования шифрования на всём пути следования трафика до нашего VPN шлюза (например до Швеции). После чего будет распакован и обработан другим ISP (в этом случае интернет провайдером Швеции). Из за того, что TOR трафик размещается внутри зашифрованного трафика VPN тоннеля, он становится не видим для систем блокировки интернет провайдера и таким образом у нас появляется возможность использовать TOR browser и другие инструменты сети TOR
Тем не менее, тот же Tails дистрибутив не предусматривает встроенную поддержку VPN, объясняя это здесь vpn_support · Wiki · tails / blueprints · GitLab
Если кратко, то использование TOR в комбинации с VPN нецелесообразно в данном контексте, так как это требует некоторых технических модификаций в программном обеспечении Tails, а также предполагает некоторые риски, когда существует более рациональное решение для обхода геоблокировок - это bridge relay (мосты-ретрансляторы). Здесь я так же согласен с разработчиками, беря во внимание то, что система изначально сконфигурирована на прозрачное проксирование через TOR с минимизацией утечек через клирнет и использование VPN не принесёт здесь какого-либо ощутимого преимущества. Если всё же приминение мостов не возможно, по какой-либо причине, используйте отдельный роутер, который поддерживает внутреннюю установку VPN. Идеальным решением здесь будут роутеры на основе прошивок с открытым кодом, таких как OpenWrt, DD-WRT, pfSense, OPNsense и др. В случае необходимого использования VPN после TOR для доступа к ресурсам, которые ведут чёрные списки IP адресов TOR, Tails рекомендуют использовать SSH соединение с переадресацией портов в качестве прокси сервера.
Что касается команды whonix, то они также склоняются больше в сторону отказа от использования VPN TorPlusVPN · Wiki · Legacy / Trac · GitLab
аргументируя это тем, что трафик, направляемый в центр обработки данных, где находится, наш VPN шлюз, может быть подвергнут любому виду анализа и регистрации активности и впоследствии передан третьим лицам. По сравнение с ISP, дата центр имеет более слабую правовую основу для того, чтобы хранить ваши данные в секрете. И здесь мы можем вернуться к первому вопросу: кому мы можем доверять больше? Нашему домашнему интернет провайдеру или нашему VPN сервису?
Думаю на этот вопрос никогда не будет однозначного ответа, так как всё зависит от модели угроз, от выбора операционной системы, от политики конфиденциальности ISP и VPN и ряда других причин. Вышеприведенные ОС настроены специальным образом для проксирования всего трафика в TOR и они врят ли нуждаются в дополнительнном VPN туннелировании. Если вы пользуетесь другими системами, то, возможно, весьма целесообразным будет использование на них VPN. Так сможете избежать мониторинга и регистрации активности со стороны своего ISP. Но и здесь нужно учитывать множество факторов при выборе VPN провайдера - это зона юрисдикции компании, зона юрисдикции центра обработки данных (возможно это целая облачная инфраструктура), уровень ведение журналов, открытый код клиента, наличие встроенных систем трекинга и аналитики для профилирования пользователя на сайте или в приложении, количество необходимых регистрационных данных, возможность анонимной оплаты, например Monero и др. факторы.
Все же, независимо от всего вышеперечисленного, VPN туннелирование имеет некоторые уязвимости при использовании с TOR. На IP адресах VPN сервиса в дата центре могут располагаться ретрансляторы TOR, что при некотором стечении обстоятельств выбора маршрута, может привести к повторному использованию такого IP адреса в качестве входа и выхода TOR трафика, что скажется на анонимности. Но это заслуживает отдельного рассмотрения.
Информация будет дополняться по мере поступления, так как невозможно рассмотреть многие аспекты разом.
