Безопасный серфинг в интернете без Tor и I2P

Предлагаемая конфигурация системы и браузера Firefox 70 призвана сделать серфинг в интернете максимально безопасным, свободным от отслеживания, рекламы, различных видов атак и, как бонус, анонимным.

◄ 15.08.2019
Статья рассчитана на более или менее продвинутых пользователей, которые понимают, для чего именно они делают то или иное изменение. Поэтому не все из предлагаемых советов можно (нужно) применять в конкретном случае.
Безопасный серфинг в интернете без Tor и I2P
Привязки к определенной ОС здесь нет. Настройки не исчерпывающие, и, со временем, могут пополняться и изменяться.
1. DNS
1.1 DNS-прокси с параллельными запросами
1.2 Шифрование DNS-запросов
2. VPN
3. Настройка времени системы
4. Очистка системы
4.1. Блокирование шпионства
4.2. Уборка мусора
5. Настройка браузера Firefox
5.1. Общие настройки браузера
5.2. Установка дополнений безопасности
5.3. Специальные настройки браузера
6. Проверки

1. DNS

DNS-сервер — это «записная книжка», в которой доменному имени сайта (например, aganin.org) соответствует его IP-адрес (например, 185.93.108.104). К DNS-серверу ваш браузер обращается всякий раз, когда получает команду перехода по некоторому доменному имени (или ссылке).
Сервер DNS в большинстве случаев ведет логи, сохраняя ваш IP и адрес, куда вы обращались, дату, время и т. д., и делится ими с кем им угодно.
Ваш провайдер тоже имеет свой сервер DNS, которым вы пользуетесь по умолчанию. Как правило, DNS-сервер провайдера является самым быстрым, но и он тоже все журналирует. Само по себе, это, может, и ничего, но как быть, если, например, вы хотите пойти в TOR, и не хотите, чтобы об этом знал ваш провайдер, или просто не хотите слишком светить свои предпочтения в сети?
Для этого можно использовать альтернативные публичные серверы DNS, коих существует множество — Google DNS, Яндекс DNS и другие. Вопрос в том, что они тоже ведут логи, и пишут об этом в своих пользовательских соглашениях.
Однако, можно использовать те DNS-серверы, которые этого вроде бы не делают, например, OpennicDNS — «проект за свободу и отсутствие цензуры в интернете» (правда, сервера этого проекта часто работают медленно и неустойчиво, т. к. поддерживаются волонтерами). В то, что логов у них нет, придется поверить, поскольку проверить это нельзя.
Идем в каталог серверов OpennicDNS, и выбираем пару DNS-серверов, возле которых указан лиловый флажок «No logs kept», т.е. логов нет, и, желательно, оранжевые «DNSCrypt», и они не российские:
Прописать нужные DNS можно, например, в настройках подключения к сети на вашей машине, или в настройках подключения к интернету в роутере:
Все это хорошо и здорово, особенно если мы пропишем альтернативный DNS в роутере, но анонимности и скорости в сети нам это не прибавит (но и не убавит, конечно). Дело в том, что запросу к DNS делает не только браузер (в котором мы принудительно транслируем все запросы к DNS через прокси, см. ниже, настройки в браузере), но и система, и множество программ.

1.1 DNS-прокси с параллельными запросами (+1 к скорости, -1 к удобству)

Тут нам на помощь приходит программа Acrylic DNS Proxy. Она делает следующее: транслирует все DNS запросы системы к нескольким (до 10) DNS-серверам — тем, которые мы ей укажем. А мы ей можем указать те самые публичные DNS-сервера.
Безопасный серфинг в интернете без Tor и I2P
и выбираем пару десятков DNS-серверов, возле которых указан лиловый флажок «No logs kept», т.е. логов нет, и, желательно, оранжевые «DNSCrypt», и они не российские, добавляем их адреса в программу DNS Benchmark:
Безопасный серфинг в интернете без Tor и I2P
Узнав, таким образом, DNS-сервера с самым малым временем отклика, и выкинув нерабочие, прописываем их в программе AcrylicDNSProxy.
В папке установки программы, в файле AcrylicConfiguration.ini нужно прописать самые быстрые сервера. Выглядеть это будет, например, так (сокращенно):
PrimaryServerAddress=5.9. 49.12
SecondaryServerAddress=62.113.203.55
TertiaryServerAddress=...
и так далее.
А в настройках вашего соединения нужно прописать в качестве DNS 127.0. 0.1:
Безопасный серфинг в интернете без Tor и I2P
И:: 1 в свойствах IPv6 вашего соединения:
Безопасный серфинг в интернете без Tor и I2P
Не забудьте добавить StartAcrylicService.bat в автозагрузку, а в свойствах ярлыка поставить «запуск от имени администратора».
Папка автозагрузки в Windows 7 и XP доступна из меню «Пуск», а в Windows 10 по адресу:
C: \Users\Имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Теперь ваши DNS-запросы отправляются одновременно на десяток DNS-серверов, самый быстрый из которых вам и отвечает.
Проверить утечку DNS можно здесь, здесь, или здесь. Если в списке нет DNS вашего провайдера, значит, все в порядке.
Не лишним было бы раз в полгода обновлять список альтернативных DNS-серверов, проверяя их в программе DNSBenchmark, выбрасывая нерабочие и включая наиболее быстрые из них.
Таким образом, мы решили вопрос независимости от DNS вашего провайдера (или Гугла, если ваш DNS 8.8. 8.8), избавились от логов DNS и увеличили скорость загрузки страниц.
Кроме того, DNS-сервера от OpenNIC позволят нам заходить на сайты.lib. Разделегировать домены.lib решением суда нельзя, поэтому некоторые из заблокированных путем разделегирования доменов сайты доступны в зоне.lib.

1.2 Шифрование DNS-запросов

Однако, есть еще две проблемы. Запрос к DNS-серверу и ответ от него передаются в открытом виде, а это означает, что а) вынуждая пользоваться своим DNS-сервером, ваш провайдер может блокировать запросы к чужим DNS, и вы не сможете обратиться ни к какому сайту в Интернете, и б) злоумышленник может перехватить ваш трафик и подменить, например, страницу банка поддельной. Поэтому DNS-запросы нужно шифровать.
Для шифрования DNS-запросов воспользуемся программой DNS Crypt, которая соединяет нас с DNS-сервером не напрямую, а через DNS-резольвер, который шифрует соединение.
Итак, для Windows:
1) скачиваем [DNS Crypt Proxy https://download.dnscrypt.org/dnscrypt-proxy/] (выбираем LATEST-win64-full.zip или LATEST-win32-full.zip в зависимости от разрядности вашей ОС), распаковываем в Program Files;
2) Скачиваем DNSCrypt WinClient, файл dnscrypt-winclient.exe кладем в ту же папку, куда распаковали DNS Crypt Proxy и запускаем от имени администратора dnscrypt-winclient.exe. Можно сделать на рабочем столе ярлычок для dnscrypt-winclient.exe, и в его свойствах — дополнительно поставить галку «запускать от имени администратора».
Во вкладке Config выбираем сервис шифрования, какой больше нравится (кое-какие из них могут не работать):
А во вкладке NICs выбираем свою сетевую карту:
Нажимаем Install. Все, теперь соединение с DNS-серверами зашифровано. При закрытии или перезагрузке DNSCrypt WinClient, при установках по умолчанию, шифрование сохранится.
Сервис проверки утечек DNS теперь покажет только один адрес DNS-резольвера.
+1 к анонимности будет, если география DNS-резольвера будет совпадать с географией используемого вами VPN-сервера.
Внимание: при внезапном офлайне первое место, куда надо смотреть, это DNSCrypt WinClient. В подавляющем большинстве случаев нужно просто сменить сервис шифрования.
Список этих сервисов находится в файле dnscrypt-resolvers.csv, который лежит в той папке, куда вы распаковали DNS Crypt Proxy. Самую свежую его версию можно взять здесь.

2. VPN

VPN шифрует ваш трафик и подменяет ваш IP-адрес на IP того сервера VPN, к которому вы подключаетесь, делая, таким образом, ваш серфинг анонимным (от вашего провайдера, большого брата и сайтов в интернете, но не от администрации сервера VPN, поэтому анонимность относительная), отвязанным от вашего местонахождения (что тоже позволяет обойти блокировки сайтов), защищенным от перехвата (например, в сетях публичного Wi-Fi) и ненужных записей в логах провайдера.
Доступ к VPN может быть платным, а может быть и свободным. Какой выбрать — дело вкуса, с учетом того, что платные VPN работают, как правило, быстро и устойчиво, но при оплате его услуг вы рассказываете его администрации многое о себе — имя, номер банковской карты, и прочее.
Как бесплатным, анонимным и удобным вариантом, можно воспользоваться возможностями японского проекта VPNGate. Для подключения к серверу VPN у них есть свой клиент, не сразу понятный, но зато с подробным мануалом.
В списке доступных в данный момент серверов в клиенте VPNGate стоит выбрать самый быстрый.
Минус VPNGate в том, что время жизни сервера VPN (и устойчивой связи с ним) может сильно разниться. Выбирайте тот, у которого uptime повыше.
Плюс — бесплатность и анонимность (?).
Можно, как вариант, купить любой платный VPN, который больше нравится (-1 к анонимности, +1 к стабильности).
Нужна ли вам анонимность или достаточно будет только безопасности? Можно и не пользоваться VPN, но тогда об относительной приватности можно забыть — ваш IP увидят все, но зато это +1 к удобству и скорости.
Однако, тут есть элегантное решение: если не пользуетесь VPN, рекомендую воспользоваться расширением для браузера Firefox под названием IPFlood (см. ниже).

3. Настройка времени системы

Настройте часовой пояс вашей системы, соответствующий часовому поясу того VPN-сервера, к которому подключаетесь.

4. Очистка системы

4.1. Блокирование шпионства

Если у вас Windows 7 или 8.1, удалите обновления KB3080149 и KB3075249. Если Windows 10, то ее нужно пролечить программой Destroy Windows Spying (или тут, поскольку гитхаб автора и его сайт уже не отвечают.)

4.2. Уборка мусора

Установите CCleaner и расширение к нему — CCEnhancer. Запустите CCleaner, во вкладке приложений отметьте все галки, запустите очистку. Такая очистка уберет из системы все, что можно — кэши, куки, сохраненные пароли, временные файлы, истории посещений и прочее подобное. В идеале, проводите такую очистку после каждого сеанса работы в интернете. В версии CCleaner Professional в настройках можно активировать функцию слежения за браузерами, в этом случае программа сама будет очищать мусор после их (браузеров) закрытия.

5. Настройка браузера Firefox

Блокировка/изменение некоторых опций повышает уникальность браузера (позволяет выделить вас из массы пользователей путем отслеживания реакций браузера), поэтому желательно понимать, что вы делаете, чтобы ваш браузер не выглядел негром на собрании ку-клукс-клана. Контролируйте уникальность здесь.

5.1. Отключение автообновления браузера

В связи с тем, что браузер после установки мгновенно обновляется до свмой свежей версии, скачаем в репозитории Firefox нужную версию. Перед установкой отключим интернет, После установки идем в настройки, мотаем вниз, и выбираем:
Безопасный серфинг в интернете без Tor и I2P
Затем в любой вкладке наберите about: config и внесите следующие правки:
app.update.auto false
app.update.auto.migrated false
app.update.channel false
Отредактируйте файл C:\Program Files\Mozilla Firefox\defaults\pref\channel-prefs.js и замените «release» на «false».
Теперь автообнобление браузера мы, во избежание неожиданностей, отключили. Включите интернет обратно.

5.2. Общие настройки браузера

Зайдите в настройки Firefox и установите следующие настройки:
В основных:
Безопасный серфинг в интернете без Tor и I2P
В поиске:
Установите DuckDuckGo или Startpage или YaCy в качестве поисковика по умолчанию, остальные — по желанию.
Безопасный серфинг в интернете без Tor и I2P
В приватности:
Безопасный серфинг в интернете без Tor и I2P
Безопасный серфинг в интернете без Tor и I2P
Безопасный серфинг в интернете без Tor и I2P
Безопасный серфинг в интернете без Tor и I2P
Теперь в дополнениях:
Обязательно отключите все плагины flash:
Безопасный серфинг в интернете без Tor и I2P
С 56 версии Firefox больше не поддерживает Silverlight, Java и Adobe Acrobat, и это то, что нужно.

5.2. Установка дополнений безопасности

uBlock Origin — блокировщик рекламы и не только по черным спискам. В настройках отметьте дополнительные списки, и обязательно список Easy Privacy. Отметьте необходимые галки.
Это дополнение блокирует практически всю рекламу, кнопки соцсетей, счетчики и прочее, потребляя при этом мало памяти, и после его установки можно «вздохнуть свободно» в безрекламном интернете. Черные списки обновляются автоматически. Стоит добавить следующие дополнительные подписки:
Безопасный серфинг в интернете без Tor и I2P
https://raw.github.com/reek/anti-adblock-killer/master/anti-adblock-killer-filters.txt
— совместно с пользовательским скриптом Anti-Adblock Killer блокирует большую часть anti-adblock скриптов.
https://adguard.com/en/filter-rules.html?id=1
— одна из лучших подписок для русскоязычного сегмента сети, включает множество фильтров, отсутствующих в RuAdList.
https://easylist-downloads.adblockplus.org/cntblock.txt
— дополнительная подписка от составителей RuAdList против счётчиков и систем аналитики.
http://www.kiboke-studio.hr/i-dont-care-about-cookies/abp/
— набор фильтров, скрывающих всплывающие окошки и уведомления на многих сайтах, предлагающие ознакомиться с политикой cookie-файлов.
https://github.com/IDKwhattoputhere/uBlock-Filters-Plus
— для блокировки всплывающих окон и некоторых других неприятных вещей.
Погуглите, как настроить uBlock оптимально, после этого он становится идеален.
uMatrix — интерактивный блокировщик любых типов запросов браузера. Позволяет запретить межсайтовые запросы, загрузку скриптов, фреймов, плагинов и т.д. Заменяет рекомендовавшиеся мной ранее плагины NoScript и RequestPolicy. uMatrix может вызвать проблемы на тех сайтах, которые вы будете посещать — не будут отображаться часть картинок и фонов, работать скрипты, формы и т.д. Поэтому разрешайте запросы с/на те сайты, которым вы доверяете. При одноразовых посещениях давайте временные разрешения, при регулярных — постоянные.
Cookie AutoDelete — удаляет куки после определенного времени или при закрытии вкладки. Включите автоочистку куки.
Не забывайте, что некоторые сайты не работают без установки кук (например, facebook.com или blogger.com), поэтому давайте разрешения (временные или постоянные) на работу с ними тем сайтам, которым вы доверяете.
Google search link fix (домашняя) от разработчика AdBlock Plus убирает на страницах поиска Google и Яндекс редиректы при переходе по внешним ссылкам — например, в поисковых системах или соцсетях переход на нужную страницу происходит через редирект на адрес-посредник. Переход осуществляется достаточно быстро, что незаметно на широком канале. А между тем, в поисковик / соцсеть попадает статистика с информацией, что вы искали и куда, в результате, пошли.
Tampermonkey — дает возможность подключения пользовательских яваскриптов. Нас прежде всего интересуют скрипты безопасности:
RU AdList JS Fixes — дополняет возможности Adblock Plus по удалению рекламы, например, в поисковой выдаче Яндекса.
Direct Links Out недоступен — убирает редиректы при переходе по внешним ссылкам.
Anti-Adblock Killer | Reek давно не обновлялся — борется со скриптами — антиблокировщиками рекламы.
No Yandex Ads давно не обновлялся — блокирует рекламу на страницах Яндекса.
HTTPS Everywhere (домашняя) включает доступ по умолчанию по защищенному протоколу HTTPS на тех сайтах, которые его поддерживают.
Stylish позволяет избавиться от рекламы в баннерах и фонах сайтов с помощью CSS. Установите пользовательский стиль RU AdList CSS Fixes.
IPFlood недоступен — выдает Ваш реальный IP за прокси, а само показывает некий IP из заданного диапазона как якобы настоящий. То есть при заходе на какой-нибудь сайт, он видит ваш реальный IP, но думает, что это прокси и вы его пытаетесь обмануть. Потом он видит ту «утечку IP», которую ему подсовывает IPFlood, и радостно принимает эту дезу за реальный, но скрываемый IP. Напоминает лисичку, заметающую следы 🙂
Имеет смысл это включить, если вы не используете VPN.
В таких настройках мы указали диапазон IP, который надо подсунуть в качестве дезы (в данном случае, это один из IP-диапазонов Латвии), и указали, что подсовывать нужно один IP, а не два.
Вся эта веселая картинка хорошо видна на этом тесте — сверху виден ваш реальный IP, но дальше сайт сообщает, что «похоже, что вы используете прокси-сервер, который показывает ваш реальный IP адрес. Если вы можете прочитать ниже ваш IP-адрес, ваш реальный IP-адрес является утечкой», и показывает ниже ваш «реальный» IP из Латвии.
Pure URL — удаляет из URL «мусорные» составляющие, типа utm_source=*, yclid=*, fref=* и прочее подобное.
RefControl недоступен — менеджер рефереров.
Эти настройки имитируют заход на сайт, путём ввода его адреса вручную, а не перехода по ссылке с другого сайта (при этом, дальнейшая навигация по сайту осуществляется с передачей реферера, иначе ручной набор адреса каждой страницы выглядел бы неправдоподобно). Некоторые функции сайтов не работают при подмене реферера, поэтому вносите в белый список доверенные сайты, которым передаются действительные рефереры.
User Agent Switcher — установщик различных юзерагентов. Дополнительной настройки не требует. Не забудьте включить дополнение и установить нужный юзерагент. В дальнейшем вы можете свободно редактировать список юзерагентов в настройках дополнения. Не пытайтесь выставить редкие юзерагенты — это выделит вас из толпы браузеров. Не меняйте тип операционной системы (например, у вас Windows, а вы ставите Linux). Напротив, используйте самые массовые, типичные значения. Я, например, прописываю в качестве юзерагента тот, который наиболее часто встречается в логах этого сайта.

5.3. Специальные настройки браузера

Для редактирования тонких настроек Firefox воспользуйтесь утилитой [ConfigFox http://configfox.sourceforge.net/]. Она создает в папку профиля вашего Firefox файл user.js с пользовательскими настройками. Программа интуитивно понятна.
Введите в адресной строке браузера about: config и внесите следующие изменения:
intl.accept_languages ru-RU, ru, en-US, en Языковые установки. Установите в соответствии со страной вашего VPN
network.security.ports.banned (создать) 4444,9050,9051Запрещает сайтам установку соединений на критически важные порты, занятые I2P и Tor.
browser.tabs.warnOnClose falseОтключение предупреждений о закрытии нескольких вкладок. Предупреждение может замедлить экстренный выход из Firefox.
browser.warnOnQuit false

6. Проверки

Теперь результаты наших усилий надо проверить. Для этого существуют разные сервисы, например https://whoer.net. Включите JavaScript для этого сайта. Если он выдает, что ваша маскировка 100% или вы ее не используете, то это означает, что сервис не распознал всю нашу мимикрию, и воспринимает браузер так, как если бы мы ничего не изменяли. Обратите внимание на расширенную версию этого сервиса. Внимательно ознакомьтесь с полным отчетом. IP должен быть тот, который дает VPN, часовой пояс и язык совпадать с ним, все «бреши» (кроме JavaScript, который мы для этого сайта разрешили), закрыты.
Учтите, что удобство и безопасность в интернете — вещи не совместимые, особенно сразу после настройки. Каждый выбирает то, что ему важнее. Тем не менее, при известном опыте, эту конфигурацию можно подстроить под свои нужды, в первую очередь, регулировками скриптов, кук и межсайтовых запросов.
7
Logo