Select Page

VPN + Tor – Chưa phải là tốt nhất

VPN + Tor – Chưa phải là tốt nhất

Nhiều người chia sẻ lời khuyên là nên sử dụng VPN kết hợp với Tor, thường bằng cách đặt VPN giữa các node Tor để bảo vệ người dùng (kết nối với Tor thông qua VPN). Hiếm khi có lời khuyên nào được đưa ra để gợi ý là nên kết nối VPN thông qua Tor. Về lý thuyết, những ý tưởng này nghe có vẻ hay, hoặc ít nhất là không tệ. Việc đầu tiên khi nghĩ đến ý tưởng này là như sự cứu cánh cho việc an toàn khi lướt Deep Web. Nhiều mã hóa luôn tốt hơn, đúng không?

Bài viết này tôi sẽ nói đến lý do tại sao sử dụng VPN với Tor không phải là tốt nhất ở mức độ an toàn rõ ràng. Người dùng có thể không mất bất kỳ sự an toàn nào bằng cách dùng thêm VPN, nhưng chắc chắn họ không đạt được bất kỳ kết quả nào.

Lòng tin

Điều đầu tiên tôi muốn nói chính là Độ tin cậy. Tor có độ tin cậy thấp, VPN được tin cậy nhiều hơn.

Người dùng không cần phải tin tưởng một Tor relay mà họ sử dụng để giữ an toàn với Tor. Miễn là các thông tin không bị xâm phạm, làm việc tốt, những cái xấu bị loại bỏ, người dùng vẫn được an toàn.

Còn người dùng VPN hoàn toàn tin tưởng VPN của họ. Họ tin tưởng nhà cung cấp VPN của họ.

  • Không giữ thông tin thanh toán.
  • Không giữ nhật ký sử dụng.
  • Không chia sẻ thông tin với kẻ thù của họ, hoặc bên thứ ba.
  • Có khả năng giữ an toàn cho mạng và máy tính của họ.

VPN-provider-X có hoàn toàn đáng tin cậy không? Có thể. Chúng ta có nên tin tưởng vào tất cả dịch vụ của họ không? Có, cho dù người dùng chưa hiểu rõ rằng cần đặt niềm tin ở chỗ nào, lời hứa và hành động của các công ty VPN như thế nào.

Giả sử như trong một lúc chúng ta chỉ sử dụng Tor để đảm bảo an toàn thay cho VPN. Chỉ sử dụng Tor, chúng ta không phải tin tưởng bất cứ thứ gì. Còn sử dụng VPN, chúng ta phải hoàn toàn tin tưởng vào Cty cung cấp VPN cho chúng ta.

Vậy tại sao chúng ta phải dùng một công cụ đòi hỏi sự tin tưởng của người dùng, trong khi chúng ta có thể không cần sử dụng chúng?

Điều này đặt ra một câu hỏi: Nếu chúng ta chọn 100% tin tưởng vào công ty cung cấp VPN cho chúng ta và muốn sử dụng Tor với VPN, VPN có thêm bất kỳ giá trị nào không? Tôi sẽ giải quyết vấn đề này trong hai phần dựa trên việc VPN “có trước” hay “có sau” Tor.

Kết nối với Tor thông qua VPN

Bây giờ tôi sẽ bắt đầu với điều đơn giản nhất, điều mà mọi người luôn khuyên chúng ta nên làm, Kết nối Tor thông qua VPN. Tôi thích thảo luận về vấn đề này, vì tôi muốn tìm hiểu tại sao mọi người lại thích cách làm này.

Tor bị chặn

Vì lý do gì, tại sao Tor bị chặn với chúng ta. Có lẽ công ty của chúng ta có tường lửa thật sự nghiêm ngặt hoặc quốc gia của chúng ta có tường lửa siêu nghiêm ngặt. Nhưng dường như tường lửa chỉ chặn Tor mà không chặn VPN.

Chúng ta nên thử sử dụng Tor bridge đầu tiên. Một bridge chỉ đơn giản là một relay bảo vệ để Tor được ẩn. Nếu chúng ta bị chặn vì chúng ta đang cố kết nối với một IP được cho là Tor relay, thì điều này sẽ giúp ích cho chúng ta.

Nếu sử dụng bridge không hiệu quả, có thể chúng ta bị chặn thông qua Tor traffic. Nó là fingerprintable (dấu vân tay) sau tất cả. Nếu điều này là đúng, chúng ta có thể sử dụng bridge với một pluggable transport. Pluggable transports làm cho Tor traffic trong khác nhau, để không bị lấy fingerprintable, rồi sau đó bị chặn. obfs4 là một PT phổ biến làm cho lưu lượng Tor giữa chúng ta và bridge giống như tập tin rác được mã hóa. meek là một PT khác làm cho giống như chúng ta đang giao tiếp với một trang web trong đám mây của Amazon hoặc Microsoft.

Ẩn sử dụng Tor từ ISP

Đầu tiên, chúng ta nên cân nhắc xem đối thủ của chúng ta có thể trích xuất thông tin từ ISP của chúng ta hay không? Với tất cả những gì chúng ta làm, thậm chí là bất hợp pháp. Kẻ thù của chúng ta có thể làm sao để tìm ra chúng ta? Nếu chúng ta chỉ đang cố gắng che giấu một thói quen xấu với vợ/chồng của mình hoặc phá vỡ sự bảo mật của một đất nước lạc hậu, thì việc sử dụng Tor là không cần thiết phải che đậy.

Hơn nữa, nếu chúng ta không làm điều gì xấu, bằng cách không che giấu việc sử dụng Tor, chúng ta sẽ làm giảm sự kỳ thị xấu xa cho Tor. Nhiều người sử dụng Tor vì nhiều lý do. Và nếu chúng ta tin rằng việc sử dụng Tor là đủ để đưa chúng ta vào danh sách những người xấu, thì chúng ta nên tự hào vào điều đó. Nếu mọi người sử dụng Tor, mọi người có tên trong danh sách đó, danh sách đó sẽ trở nên vô giá trị.

Nếu chúng xác định là chúng ta phải che giấu việc sử dụng Tor của mình, trước tiên chúng ta nên xem xét sử dụng bridge và PT. Xem lại phần trên để hiểu những điều này.

Ẩn IP thực từ Global Passive Adversary

Tôi muốn nói trước điều này: Đối thủ thụ động toàn cầu (GPA) không phải là cái gì mà tất cả mọi người nên cho là họ cần đối phó.

Một GPA có thể xem/ghi lại lưu lượng sử dụng Internet “của tất cả”, trong đó “toàn bộ” là một số lượng lớn các địa điểm, trong Tor, họ có thể xem/ghi lưu lượng truy cập vào mạng Tor cũng như xem/ghi lưu lượng rời khỏi mạng Tor. Một cách để thực hiện điều này là để cho GPA chạy Tor chuyển tiếp, nhưng đó không phải là điều cần thiết. Họ có thể làm việc/hack/thỏa hiệp với ISP và Ases đến khi họ có cái nhìn trực quan về Tor traffic.

Một VPN giữa chúng ta và điểm vào mạng Tor, nghe như sẽ giúp ích, đúng không? Lưu lượng truy cập GPA và lưu lượng truy cập tương quan sẽ ánh xạ lưu lượng truy cập của chúng ta đến địa chỉ IP của VPN chứ không phải của chúng ta.

Tôi có một câu hỏi: Nếu kẻ muốn tấn công ta có thể xem lưu lượng truy cập vào/ra trên mạng Tor, thì cũng có khả năng xem lưu lượng truy cập vào/ra từ một dịch vụ VPN?

Vì VPN rất phổ biến, vậy liệu GPA có thỏa hiệp gì đó với những dịch vụ VPN nổi tiếng này?

  • Trích xuất thông tin từ nhà cung cấp VPN thông qua pháp luật.
  • Trích xuất thông tin từ ISP/AS trên cả hai mặt của nhà cung cấp VPN.
  • Được phép xem lưu lương truy cập trên mạng của VPN.
  • Xem lưu lượng truy cập trên mạng VPN (thông qua thỏa hiệp).

Nếu chúng ta đều xem là không có gì đáng lo ngại, thì chúng ta thật sự ngốc khi nghĩ rằng GPA không tìm thấy chúng ta đằng sau một VPN.

Ẩn IP thực từ Malware dựa trên trình duyệt

Trong lịch sử những cách khai thác này rất có giá trị. Cách làm này từng được triển khai để chống lại những người làm điều xấu. Họ chỉ nhắm mục tiêu là người dùng Windows (có thể vì Windows được nhiều người sử dụng nhất và số tiền thưởng dựa trên tấn công Windows là nhiều nhất). Nếu bạn không làm những điều gì, có thể bạn không gặp trường hợp này. Nếu bạn không dùng Windows, cách làm này cũng không ảnh hưởng đến bạn.

Nhưng có thể bạn đồng ý rằng cách khai thác này hiếm và nó đã được nhắm mục tiêu. OK.

Nếu bạn giả định rằng Hacker có thể phá vỡ trình duyệt Tor để thực hiện một yêu Web không thực hiện qua Tor (thu thập thông tin nhận dạng về bạn hoặc máy tính của bạn), chúng có khả năng hơn rất nhiều.

Nếu bạn nghĩ rằng Hacker có thể vượt ra Tor, và chạy các dòng lệnh tùy ý trên máy tính của bạn, thì lúc này chúng dùng hệ điều hành Tails sẽ an toàn hơn là dùng VPN.

Nếu bạn nghĩ rằng Hacker có thể vượt ra Tor, chiếm quyền root trên máy tính của bạn và chạy các dòng lệnh, thì Tails cũng vô dụng, VPN cũng chẳng giúp được gì, và Whonix cũng vậy. Cách cuối cùng là tắt Internet.

Kết nối VPN thông qua Tor

Bây giờ tôi sẽ chuyển bài viết sang nghiên cứu về việc kết nối VPN thông qua Tor. Mọi người thường làm theo cách này khi họ muốn địa chỉ IP không bị thay đổi nhưng họ “chẳng liên quan” đến Tor, nghĩa là họ dùng Tor nhưng họ lại giấu. Việc này sẽ làm mất một phần lớn tính năng bảo mật của Tor dành cho bạn. Nó làm “hỏng” Tor rất nhiều, và bạn phải tin tưởng vào công ty VPN rất nhiều, rằng bạn thậm chí không sử dụng Tor một chút nào cả.

Tốc độ

Đầu tiên tôi sẽ bỏ qua sự an toàn và nói về tốc độ. Tôi nên nói tâm sự này: tôi chưa bao giờ cố gắng làm điều này, nhưng cũng có một số hiểu biết đủ tốt để hiểu cách công cụ này hoạt động mà tôi tự tin là tôi có thể làm cho chúng hoạt động tốt.

Cách phổ biến nhất để kết nối với VPN, theo như tôi biết, là OpenVPN. OpenVPN hoạt động tốt nhất khi sử dụng UDP, nhưng về mặt kỹ thuật thì hỗ trợ sử dụng TCP. UDP và TCP là cái quái gì thì bạn tra Google cái nhé. Tor không thể tải UDP, vì vậy nếu sử dụng OpenVPN, người dùng phải sử dụng nó trong chế độ TCP.

Có cái gì tệ về chế độ TCP? Các chi tiết về kỹ thuật có thể không hoàn chỉnh, nhưng tôi sẽ cố gắng tổng hợp các kiến thức.

TCP đảm bảo phân phối dữ liệu theo thứ tự đáng tin cậy. Trong những điều khác, nó hoàn thành quá trình tải bằng cách trả lại các gói bị mất.

Khi sử dụng Tor, chúng ta có một luồng TCP giữa thoát và đến của dữ liệu. Nếu đích đến dữ liệu của chúng ta (từ điểm thoát) là một máy chủ OpenVPN sử dụng TCP, thì sẽ có một luồng TCP trong luồng TCP đó. Nếu cuối cùng những gì chúng ta làm là dùng TCP (như duyệt web,…), sau đó dòng Tor TCP chưa một dòng TCP OpenVPN có chứa dòng TCP thực tế của chúng ta. Nếu bất kỳ luồng nào trong số này được phát hiện bị mất gói tin, tất cả chúng sẽ nhận thấy, đang chậm lại so với tốc độ truyền tải của chúng và truyền lại các gói mà chúng nghĩ là đã bị mất. Điều này rất khủng khiếp đối với hiệu suất hoạt động.

Bảo mật

Vì vậy, nếu chúng ta không quan tâm đến hiệu suất lớn, thì chúng ta sẽ nhận được gì? Chúng ta sẽ nhận được non-Tor IP mà chúng ta muốn. Chúng ta có đạt điều gì tương tự như tôi đã thảo luận phần trước về việc kết nối Tor thông qua VPN không?

ISP của chúng ta sẽ thấy ta đang giao tiếp với một Tor guard. Chúng ta có thể sử dụng bridge (thậm chí là một bridge kết nối với pluggable transport) để ngăn chặn điều này. Xem lại phần trên để hiểu thông tin về bridge.

Liệu chúng ta có giấu được địa chỉ IP thực sự của mình khỏi những kẻ tấn công thụ động không? Tôi đã giải thích ở trên những Hacker không thể lấy thông tin từ nhà cung cấp VPN, nhưng có thể phân tích lưu lượng sử dụng trên người dùng Tor. Vì vậy, nếu chúng ta đang cố gắng tự bảo vệ mình, thì chúng ta nên sử dụng Tor kết nối với VPN hơn là chỉ sử dụng Tor như tôi đã đề cập.

Cuối cùng, vấn đề Lòng tin sẽ được xem xét lại. Chúng ta chắc chắn rằng nhà cung cấp VPN đủ để chúng ta tin tưởng. Chúng ta phải trả tiền cho nhà cung cấp VPN chỉ để làm cho thông tin của chúng ta được bảo mật. Chúng ta cũng phải chắc chắn rằng nhà cung cấp VPN không lưu lại lưu lượng truy cập và lịch sử kết nối của chúng ta. Chúng ta phải tin tưởng bản thân mình để không bao giờ lộn xộn mà quên kết nối VPN khi sử dụng Tor. Và để VPN có ích, chúng ta phải tin tưởng là Hacker không thể thỏa thuận với nhà cung cấp VPN, hay thỏa thuận với ISP/ASes gần với VPN.

Cuối cùng

Tôi thường là một trong những người đầu tiên nhắc nhở mọi người là nhu cầu an ninh, ẩn danh, bảo mật là rất quan trọng. Tôi ghét những người ngay lập tức nhảy vào giả định rằng ta đang cố gắng chống đối một thế lực siêu mạnh. Không phải tất cả những gì tôi chia sẻ đều có thể áp dụng cho bạn. Trong kinh nghiệm hạn chế của tôi, tôi vẫn còn nhiều thiếu soát và cần bạn cho tôi thêm ý kiến. Tôi đã thấy nhiều cuộc thảo luận việc sử dụng VPN và Tor, và tôi hy vọng bài viết dài này sẽ giúp ích cho bạn.

Source: matt
Cover: @noahsilliman

About The Author

Pao Pevil

Cuộc sống này đối với tôi là màu đen tối vô tận. Đen tối đó che chở, bảo vệ và tôi tôn thờ nó. Ánh sáng có thể cho chúng ta sự sống, nhưng đêm tối mới cho chúng ta sự vĩnh hằng. Máu thịt tôi là Quỷ dữ, tôi muốn sống với cội gốc của mình. Linh hồn tôi là Bóng tối, tôi muốn là chính tôi.

Leave a Reply

Recent Tweets

  • RT @classoalcala: Terminando el tercer muestreo sobre Macarenia clavigera en Caño Cristales, sierra de La Macarena. Gracias Comunidad La Ca…
  • RT @home_assistant: Happy birthday Firefox! 15 years is a great milestone. Keep it up and keep users data private! ❤️ https://t.co/FdcSrwQp…
  • RT @Ghostery: Earlier this week Apple updated the privacy section of their website.The new site offers clear information about the data pro…