Темная темаНаверх

Безопасный серфинг в интернете без Tor и I2P

Предлагаемая конфигурация системы и браузера Firefox призвана сделать серфинг в интернете максимально безопасным, свободным от отслеживания, рекламы, различных видов атак и, как бонус, несколько более анонимным.

© Марк АГАНИН • Опубликовано 06.03.2020 г. • 12 фото • Время чтения ≈ 16 мин.

Статья рассчитана на более или менее продвинутых пользователей, которые понимают, для чего именно они делают то или иное изменение. Поэтому не все из предлагаемых советов можно (нужно) применять в конкретном случае.

Безопасный серфинг в интернете без Tor и I2P

Привязки к определенной ОС здесь нет. Настройки не исчерпывающие, и, со временем, могут пополняться и изменяться.

1. DNS

DNS-сервер — это «записная книжка», в которой доменному имени сайта (например, aganin.org) соответствует его IP-адрес (например, 185.93.108.104). К DNS-серверу ваш браузер обращается всякий раз, когда получает команду перехода по некоторому доменному имени (или ссылке).

Сервер DNS в большинстве случаев ведет логи, сохраняя ваш IP и адрес, куда вы обращались, дату, время и т. д., и делится ими с кем им угодно.

Ваш провайдер тоже имеет свой сервер DNS, которым вы пользуетесь по умолчанию. Как правило, DNS-сервер провайдера является самым быстрым, но и он тоже все журналирует. Само по себе, это, может, и ничего, но как быть, если, например, вы хотите пойти в TOR, и не хотите, чтобы об этом знал ваш провайдер, или просто не хотите слишком светить свои предпочтения в сети?

Для этого можно использовать альтернативные публичные серверы DNS, коих существует множество — Google DNS, Яндекс DNS и другие. Вопрос в том, что они тоже ведут логи, и пишут об этом в своих пользовательских соглашениях.

Однако, можно использовать те DNS-серверы, которые этого вроде бы не делают, например, OpennicDNS — «проект за свободу и отсутствие цензуры в интернете» (правда, сервера этого проекта часто работают медленно и неустойчиво, т. к. поддерживаются волонтерами). В то, что логов у них нет, придется поверить, поскольку проверить это нельзя.

Идем в каталог серверов OpennicDNS, и выбираем пару DNS-серверов, возле которых указан лиловый значок «No logs kept», т.е. логов нет, и, желательно, оранжевые «DNSCrypt», и они не российские (но желательно расположены поближе к вам):

Безопасный серфинг в интернете без Tor и I2P

Прописать нужные DNS можно, например, в настройках подключения к сети на вашей машине, или в настройках подключения к интернету в роутере:

Все это хорошо и здорово, особенно если мы пропишем альтернативный DNS в роутере, но анонимности и скорости в сети нам это не прибавит (но и не убавит, конечно). Дело в том, что запросу к DNS делает не только браузер (в котором мы принудительно транслируем все запросы к DNS через прокси, см. ниже, настройки в браузере), но и система, и множество программ.

1.1 DNS-прокси с параллельными запросами (+1 к скорости, -1 к удобству)

Тут нам на помощь приходит программа Acrylic DNS Proxy. Она делает следующее: транслирует все DNS запросы системы к нескольким (до 10) DNS-серверам — тем, которые мы ей укажем. А мы ей можем указать те самые публичные DNS-сервера.

Снова идем в каталог серверов OpennicDNS, выбираем пару десятков подходящих DNS-серверов, и добавляем их адреса в программу DNS Benchmark:

Безопасный серфинг в интернете без Tor и I2P

Узнав, таким образом, DNS-сервера с самым малым временем отклика, и выкинув нерабочие, прописываем их в программе AcrylicDNSProxy.

В папке установки программы, в файле AcrylicConfiguration.ini нужно прописать самые быстрые сервера. Выглядеть это будет, например, так (сокращенно):
PrimaryServerAddress=5.9. 49.12
SecondaryServerAddress=62.113.203.55
TertiaryServerAddress=...

и так далее.

А в настройках вашего соединения нужно прописать в качестве DNS 127.0. 0.1:

Безопасный серфинг в интернете без Tor и I2P

И:: 1 в свойствах IPv6 вашего соединения:

Безопасный серфинг в интернете без Tor и I2P
Не забудьте добавить StartAcrylicService.bat в автозагрузку, а в свойствах ярлыка поставить «запуск от имени администратора».

Папка автозагрузки в Windows 7 и XP доступна из меню «Пуск», а в Windows 10 по адресу:

C: \Users\Имя_пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Теперь ваши DNS-запросы отправляются одновременно на десяток DNS-серверов, самый быстрый из которых вам и отвечает.

Проверить утечку DNS можно здесь, здесь, или здесь. Если в списке нет DNS вашего провайдера, значит, все в порядке.

Не лишним было бы раз в полгода обновлять список альтернативных DNS-серверов, проверяя их в программе DNSBenchmark, выбрасывая нерабочие и включая наиболее быстрые из них.

Таким образом, мы решили вопрос независимости от DNS вашего провайдера (или Гугла, если ваш DNS 8.8. 8.8), избавились от логов DNS и увеличили скорость загрузки страниц.

Кроме того, DNS-сервера от OpenNIC позволят нам заходить на сайты.lib. Разделегировать домены.lib решением суда нельзя, поэтому некоторые из заблокированных путем разделегирования доменов сайты доступны в зоне.lib.

1.2 Шифрование DNS-запросов

Однако, есть еще две проблемы. Запрос к DNS-серверу и ответ от него передаются в открытом виде, а это означает, что а) вынуждая пользоваться своим DNS-сервером, ваш провайдер может блокировать запросы к чужим DNS, и вы не сможете обратиться ни к какому сайту в Интернете, и б) злоумышленник может перехватить ваш трафик и подменить, например, страницу банка поддельной. Поэтому DNS-запросы нужно шифровать.

Для шифрования DNS-запросов воспользуемся программой DNS Crypt, которая соединяет нас с DNS-сервером не напрямую, а через DNS-резольвер, который шифрует соединение.

Итак, для Windows:

0) скачиваем DNS Crypt Proxy,

1) выбираем LATEST-win64-full.zip или LATEST-win32-full.zip в зависимости от разрядности вашей ОС), распаковываем в Program Files;

2) Скачиваем DNSCrypt WinClient, файл dnscrypt-winclient.exe кладем в ту же папку, куда распаковали DNS Crypt Proxy и запускаем от имени администратора dnscrypt-winclient.exe. Можно сделать на рабочем столе ярлычок для dnscrypt-winclient.exe, и в его свойствах — дополнительно поставить галку «запускать от имени администратора».

Во вкладке Config выбираем сервис шифрования, какой больше нравится (кое-какие из них могут не работать), а во вкладке NICs выбираем свою сетевую карту. Нажимаем Install. Все, теперь соединение с DNS-серверами зашифровано. При закрытии или перезагрузке DNSCrypt WinClient, при установках по умолчанию, шифрование сохранится.

Сервис проверки утечек DNS теперь покажет только один адрес DNS-резольвера.

+1 к анонимности будет, если география DNS-резольвера будет совпадать с географией используемого вами VPN-сервера.

Внимание: при внезапном офлайне первое место, куда надо смотреть, это DNSCrypt WinClient. В подавляющем большинстве случаев нужно просто сменить сервис шифрования.

Список этих сервисов находится в файле dnscrypt-resolvers.csv, который лежит в той папке, куда вы распаковали DNS Crypt Proxy. Самую свежую его версию можно взять здесь.

2. VPN

VPN шифрует ваш трафик и подменяет ваш IP-адрес на IP того сервера VPN, к которому вы подключаетесь, делая, таким образом, ваш серфинг анонимным (от вашего провайдера, большого брата и сайтов в интернете, но не от администрации сервера VPN, поэтому анонимность относительная), отвязанным от вашего местонахождения (что тоже позволяет обойти блокировки сайтов), защищенным от перехвата (например, в сетях публичного Wi-Fi) и ненужных записей в логах провайдера.

Доступ к VPN может быть платным, а может быть и свободным. Какой выбрать — дело вкуса, с учетом того, что платные VPN работают, как правило, быстро и устойчиво, но при оплате его услуг вы рассказываете его администрации многое о себе — имя, номер банковской карты, и прочее.

Как бесплатным, анонимным и удобным вариантом, можно воспользоваться возможностями японского проекта VPNGate. Для подключения к серверу VPN у них есть свой клиент, не сразу понятный, но зато с подробным мануалом.

В списке доступных в данный момент серверов в клиенте VPNGate стоит выбрать самый быстрый.

Минус VPNGate в том, что время жизни сервера VPN (и устойчивой связи с ним) может сильно разниться. Выбирайте тот, у которого uptime повыше.

Плюс — бесплатность и анонимность (?).

Можно, как вариант, купить любой платный VPN, который больше нравится (-1 к анонимности, +1 к стабильности). Мне нравится CyberGhost и NordVPN.

Нужна ли вам анонимность или достаточно будет только безопасности? Можно и не пользоваться VPN, но тогда об относительной приватности можно забыть — ваш IP увидят все, но зато это +1 к удобству и скорости.

3. Настройка времени системы

Настройте часовой пояс вашей системы, соответствующий часовому поясу того VPN-сервера, к которому подключаетесь.

4. Очистка системы

4.1. Блокирование шпионства

Если у вас Windows 7 или 8.1, удалите обновления KB3080149 и KB3075249. Если Windows 10, то ее нужно пролечить программой Destroy Windows Spying (или тут, поскольку гитхаб автора и его сайт уже не отвечают.)

4.2. Уборка мусора

Установите CCleaner и расширение к нему — CCEnhancer. Запустите CCleaner, во вкладке приложений отметьте все галки, запустите очистку. Такая очистка уберет из системы все, что можно — кэши, куки, сохраненные пароли, временные файлы, истории посещений и прочее подобное. В идеале, проводите такую очистку после каждого сеанса работы в интернете. В версии CCleaner Professional в настройках можно активировать функцию слежения за браузерами, в этом случае программа сама будет очищать мусор после их (браузеров) закрытия.

5. Настройка браузера Firefox

Блокировка/изменение некоторых опций повышает уникальность браузера (позволяет выделить вас из массы пользователей путем отслеживания реакций браузера), поэтому желательно понимать, что вы делаете, чтобы ваш браузер не выглядел негром на собрании ку-клукс-клана. Контролируйте уникальность здесь.

5.1. Отключение автообновления браузера

В связи с тем, что браузер после установки мгновенно обновляется до свмой свежей версии, скачаем в репозитории Firefox нужную версию. Перед установкой отключим интернет, После установки идем в настройки, мотаем вниз, и выбираем:

Безопасный серфинг в интернете без Tor и I2P

Затем в любой вкладке наберите about: config и внесите следующие правки:

app.update.auto false
app.update.auto.migrated false
app.update.channel false
Отредактируйте файл C:\Program Files\Mozilla Firefox\defaults\pref\channel-prefs.js и замените «release» на «false».

Теперь автообнобление браузера мы, во избежание неожиданностей, отключили. Включите интернет обратно.

5.2. Общие настройки браузера

Зайдите в настройки Firefox и установите следующие настройки:

В основных:

Безопасный серфинг в интернете без Tor и I2P

В поиске:

Установите DuckDuckGo или Startpage или YaCy в качестве поисковика по умолчанию, остальные — по желанию.

Безопасный серфинг в интернете без Tor и I2P

В приватности:

Безопасный серфинг в интернете без Tor и I2P
Безопасный серфинг в интернете без Tor и I2P
Безопасный серфинг в интернете без Tor и I2P
Безопасный серфинг в интернете без Tor и I2P

Теперь в дополнениях:

Обязательно отключите все плагины flash:

Безопасный серфинг в интернете без Tor и I2P

С 56 версии Firefox больше не поддерживает Silverlight, Java и Adobe Acrobat, и это то, что нужно.

5.2. Установка дополнений безопасности

uBlock Origin — блокировщик рекламы и не только по черным спискам. В настройках отметьте дополнительные списки, и обязательно списки Easy List и Easy Privacy. Отметьте другие необходимые галки.

Это дополнение блокирует практически всю рекламу, кнопки соцсетей, счетчики и прочее, потребляя при этом мало памяти, и после его установки можно «вздохнуть свободно» в безрекламном интернете. Черные списки обновляются автоматически. Стоит добавить следующие дополнительные подписки (если их нет):

0) Easy List:

https://easylist.to/easylist/easylist.txt или
https://easylist-downloads.adblockplus.org/easylist.txt

1) RU AdList для uBlock Origin:

https://easylist-downloads.adblockplus.org/advblock+cssfixes.txt
— состоит из правил блокировки и скрытия рекламы на русско- и украиноязычных сайтах. Изначально фильтр основан на одноименном списке фильтров от denis-ovs.narod.ru (не обновляется) и содержит фрагменты списка MORPEH'а (поглощен) и Fanboy'я. Также включает результаты изучения содержимого списка UA-IX Banlist. RU AdList является региональным дополнением к основному (общему) фильтру EasyList. Совмещенная версия списков против рекламы и экспериментального списка косметических стилей CSS Fixes. Для других блокировщиков рекламы список другой: https://easylist-downloads.adblockplus.org/advblock.txt

2) AdGuard Russian filter:

https://filters.adtidy.org/windows/filters/1.txt?id=1

— одна из лучших подписок для русскоязычного сегмента сети, включает множество фильтров, отсутствующих в RuAdList.

3) RU AdList: Counters:

https://easylist-downloads.adblockplus.org/cntblock.txt

— служит для повышения приватности перемещения пользователя в сети и дополнительной экономии трафика. Блокирует большинство популярных счетчиков интернет-статистики.

4) RU AdList: BitBlock + Fanboy's General:

https://easylist-downloads.adblockplus.org/bitblock.txt

— список фильтров содержит практически целиком Fanboy's Annoyance List (и входящий туда Fanboy-Social соответственно), за исключением некоторых правил для англоязычных сайтов. В связи с тем, что фильтры Fanboy не всегда корректно работают в рунете, в BitBlock содержатся правила для нейтрализации ложных скрытий и блокировок, возникающих при работе фильтров Fanboy. Помимо блокировки анонсов фильтр также содержит правила блокировки и скрытия лишних, с нашей точки зрения (которая с вашей может кардинально не совпадать), элементов сайтов (Таких как линеечки-счетчики и юзербары в подписях пользователей на форумах; интеграция с социальными сетями и некоторыми сервисами вроде Google Translate (за исключением возможности логина через соц-сети); чатики, встроенные в морду форумов; внешние новостные информеры; и прочий подобный и бесподобный мусор, который не относится к основному содержимому сайта, мешает или попросту не нужен и только зря грузится, и занимает место на странице. Иногда это даже логотипы сайтов! Если вы не согласны с блокировкой отдельных ресурсов, то просто выключите у себя соответствующие правила блокировки и скрытия или сделайте исключения (рекомендуется).

5) Adblock Warning Removal List

https://easylist-downloads.adblockplus.org/antiadblockfilters.txt

— скрывает сообщения, предупреждающие об использовании блокирующих расширений и предлагающие их отключить.

5) AakList (Anti-Adblock Killer):

https://raw.github.com/reek/anti-adblock-killer/master/anti-adblock-killer-filters.txt

— совместно с пользовательским скриптом Anti-Adblock Killer блокирует большую часть anti-adblock скриптов.

6) I don't care about cookies:

http://www.kiboke-studio.hr/i-dont-care-about-cookies/abp/

— набор фильтров, скрывающих всплывающие окошки и уведомления на многих сайтах, предлагающие ознакомиться с политикой cookie-файлов.

7) uBlock Filters Plus:

https://raw.githubusercontent.com/IDKwhattoputhere/uBlock-Filters-Plus/master/uBlock-Filters-Plus.txt — для блокировки всплывающих окон и некоторых других неприятных вещей.

Погуглите, как настроить uBlock оптимально, после этого он становится идеален.

uMatrix — интерактивный блокировщик любых типов запросов браузера. Позволяет запретить межсайтовые запросы, загрузку скриптов, фреймов, плагинов и т.д. Заменяет рекомендовавшиеся мной ранее плагины NoScript и RequestPolicy. uMatrix может вызвать проблемы на тех сайтах, которые вы будете посещать — не будут отображаться часть картинок и фонов, работать скрипты, формы и т.д. Поэтому разрешайте запросы с/на те сайты, которым вы доверяете. При одноразовых посещениях давайте временные разрешения, при регулярных — постоянные.

Cookie AutoDelete — удаляет куки после определенного времени или при закрытии вкладки. Включите автоочистку куки.

Не забывайте, что некоторые сайты не работают без установки кук (например, facebook.com или blogger.com), поэтому давайте разрешения (временные или постоянные) на работу с ними тем сайтам, которым вы доверяете.

Google search link fix (домашняя) от разработчика AdBlock Plus убирает на страницах поиска Google и Яндекс редиректы при переходе по внешним ссылкам — например, в поисковых системах или соцсетях переход на нужную страницу происходит через редирект на адрес-посредник. Переход осуществляется достаточно быстро, что незаметно на широком канале. А между тем, в поисковик / соцсеть попадает статистика с информацией, что вы искали и куда, в результате, пошли.

Tampermonkey — дает возможность подключения пользовательских яваскриптов. Нас прежде всего интересуют скрипты безопасности:

1) RU AdList JS Fixes — дополняет возможности Adblock Plus по удалению рекламы, например, в поисковой выдаче Яндекса.

2) Anti-Adblock Killer | Reek — борется со скриптами — антиблокировщиками рекламы.

HTTPS Everywhere (домашняя) включает доступ по умолчанию по защищенному протоколу HTTPS на тех сайтах, которые его поддерживают.

Smart Referer — позволяет настроить реферер, чтобы сайт, куда вы заходите, не видел, откуда вы пришли. Нужно включить расширение и настройки оставить по умолчанию. Тогда реферерер всегда будет такой, как если бы вы напрямуюзашли на страницу, набрав ее адрес в адресной строке.

Pure URL — удаляет из URL «мусорные» составляющие, типа utm_source=*, yclid=*, fref=* и прочее подобное.

User Agent Switcher — установщик различных юзерагентов. Дополнительной настройки не требует. Не забудьте включить дополнение и установить нужный юзерагент. В дальнейшем вы можете свободно редактировать список юзерагентов в настройках дополнения. Не пытайтесь выставить редкие юзерагенты — это выделит вас из толпы браузеров. Не меняйте тип операционной системы (например, у вас Windows, а вы ставите Linux). Напротив, используйте самые массовые, типичные значения. Я, например, прописываю в качестве юзерагента тот, который наиболее часто встречается в логах этого сайта.

5.3. Специальные настройки браузера

Для редактирования тонких настроек Firefox воспользуйтесь утилитой ConfigFox.

Она создает в папку профиля вашего Firefox файл user.js с пользовательскими настройками. Программа интуитивно понятна.

Введите в адресной строке браузера about: config и внесите следующие изменения:

intl.accept_languages ru-RU, ru, en-US, en Языковые установки. Установите в соответствии со страной вашего VPN
network.security.ports.banned (создать) 4444,9050,9051 Запрещает сайтам установку соединений на критически важные порты, занятые I2P и Tor.
browser.tabs.warnOnClose false Отключение предупреждений о закрытии нескольких вкладок. Предупреждение может замедлить экстренный выход из Firefox.
browser.warnOnQuit false
media.peerconnection.enabled false — отключение WebRTC.

6. Проверки

Теперь результаты наших усилий надо проверить. Для этого существуют разные сервисы, например https://whoer.net. Включите JavaScript для этого сайта. Если он выдает, что ваша маскировка 100% или вы ее не используете, то это означает, что сервис не распознал всю нашу мимикрию, и воспринимает браузер так, как если бы мы ничего не изменяли. Обратите внимание на расширенную версию этого сервиса. Внимательно ознакомьтесь с полным отчетом. IP должен быть тот, который дает VPN, часовой пояс и язык совпадать с ним, все «бреши» (кроме JavaScript, который мы для этого сайта разрешили), закрыты.

Учтите, что удобство и безопасность в интернете — вещи не совместимые, особенно сразу после настройки. Каждый выбирает то, что ему важнее. Тем не менее, при известном опыте, эту конфигурацию можно подстроить под свои нужды, в первую очередь, регулировками скриптов, кук и межсайтовых запросов.

Logo