حریم خصوصی ترافیک شبکه و وی‌پی‌ان‌ها (VPNs)

حریم خصوصی شبکه مترادف با امنیت جانی و فیزیکی است. حاکمیت از تکنیک‌های پیشرفته بازرسی عمیق بسته (DPI) برای نظارت بر ترافیک، شناسایی و مسدود کردن اتصالات رمزگذاری شده استفاده می‌کند. علاوه بر این، پیاده‌سازی شبکه ملی اطلاعات (NIN) — که یک اینترانت داخلی است — محیطی با تهدید دوگانه ایجاد کرده است که در آن کاربران هم با سانسور اینترنت جهانی و هم با نظارت گسترده بر ترافیک داخلی روبرو هستند.

این راهنما جزئیات چگونگی رمزنگاری موثر ترافیک شبکه را برای دور زدن سانسور و جلوگیری از تحلیل فعالیت‌های آنلاین شما توسط ارائه‌دهندگان خدمات اینترنت (ISP) و عوامل دولتی شرح می‌دهد.

---

۱. درک تهدید: ISP چه چیزی را می‌بیند؟

بدون ابزارهای حفاظتی، ISP شما (و در نتیجه دولت) می‌تواند موارد زیر را مشاهده کند:

• پرس‌وجوهای DNS: نام وب‌سایت‌هایی که بازدید می‌کنید (مثلاً twitter.com).
• آدرس‌های IP: سرورهای مقصدی که با آن‌ها ارتباط برقرار می‌کنید.
• SNI (نشانگر نام سرور): حتی با وجود پروتکل HTTPS، در مرحله اولیه برقراری ارتباط (Handshake)، نام دامنه به صورت متن آشکار (Cleartext) مشخص می‌شود.
• الگوهای ترافیک: حجم و زمان‌بندی تبادل داده‌ها که می‌تواند نوع فعالیت (مانند استریم ویدیو یا تماس صوتی VoIP) را آشکار کند.

برای مقابله با این تهدیدات، ما از فناوری‌های تونل‌زنی (Tunneling) و رمزنگاری (Encryption)، عمدتاً وی‌پی‌ان‌ها (VPNs) و شبکه تور (Tor)، استفاده می‌کنیم.

---

۲. شبکه‌های خصوصی مجازی (VPNs)

یک VPN تونلی رمزگذاری شده بین دستگاه شما و سروری خارج از ایران ایجاد می‌کند. این کار اعتماد را از ISP به ارائه‌دهنده VPN منتقل می‌کند.

خطرات وی‌پی‌ان‌های «رایگان»

در ایران، هزاران وی‌پی‌ان "رایگان" در تلگرام و فروشگاه‌های اپلیکیشن شخص ثالث دست به دست می‌شوند. از این‌ها دوری کنید.

• بدافزار: بسیاری از آن‌ها حاوی جاسوس‌افزارهایی برای ثبت فعالیت کاربران هستند.
• فروش داده‌ها: سرویس‌های رایگان اغلب با فروش داده‌های ترافیک کاربران کسب درآمد می‌کنند.
• هانی‌پات‌های (تله‌های) دولتی: برخی از وی‌پی‌ان‌های رایگان توسط نهادهای اطلاعاتی برای شناسایی مخالفان اداره می‌شوند.

معیار انتخاب VPN در ایران

هنگام انتخاب یک VPN تجاری، مطمئن شوید که شرایط زیر را دارد:

۱. پروتکل‌های مبهم‌سازی/استتار (Obfuscation): پروتکل‌های استاندارد (مانند OpenVPN, WireGuard) به راحتی توسط سیستم DPI ایران شناسایی و کند می‌شوند. به دنبال پروتکل‌های اختصاصی استتار یا پشتیبانی از V2Ray، Shadowsocks یا Obfsproxy باشید. ۲. سیاست عدم ثبت لاگ (No-Logs Policy): ارائه‌دهنده نباید هیچ گزارشی از ترافیک کاربران ذخیره کند. ایده‌آل این است که این ادعا توسط یک ممیزی شخص ثالث یا در جریان یک پرونده دادگاهی تایید شده باشد. ۳. حوزه قضایی: ارائه‌دهنده باید در کشوری با قوانین حریم خصوصی قوی (مانند سوئیس، سوئد، ایسلند) و خارج از اتحاد اطلاعاتی "۱۴ چشم" مستقر باشد. ۴. کیل‌سوئیچ (Kill Switch): برای قطع فوری دسترسی به اینترنت در صورت قطع شدن اتصال VPN ضروری است تا از نشت داده‌ها جلوگیری شود.

ارائه‌دهندگان تجاری پیشنهادی

بر اساس ممیزی‌های امنیتی و مقاومت در برابر سانسور:

---

۳. ابزارهای خود-میزبانی شده (Self-Hosted) و غیرمتمرکز

زمانی که آدرس‌های IP وی‌پی‌ان‌های تجاری مسدود می‌شوند، راه‌حل‌های خود-میزبانی شده اغلب پایدارترین روش برای کاربران ایرانی هستند. این ابزارها بر پروتکل‌هایی تکیه دارند که مشخصاً برای شکست دادن سانسور طراحی شده‌اند.

اوت‌لاین (Outline VPN - مبتنی بر Shadowsocks)

• مکانیزم: از پروتکل Shadowsocks استفاده می‌کند تا ترافیک اینترنت را به عنوان داده‌های تصادفی جا بزند و شناسایی آن را برای DPI دشوار کند.
• راه‌اندازی: نیاز به یک سرور (VPS) خارج از ایران دارد. شما "کلیدهای دسترسی" (Access Keys) تولید می‌کنید تا با حلقه‌های اعتماد خود به اشتراک بگذارید.
• مزایا: مقاومت بالا؛ به طور گسترده در ایران استفاده می‌شود.
• معایب: ابزار ناشناس‌سازی کامل نیست (ارائه‌دهنده VPS می‌تواند ترافیک را ببیند).

امنزیا (Amnezia VPN)

• مکانیزم: یک کلاینت متن‌باز که راه‌اندازی VPN شخصی روی یک VPS را بسیار ساده می‌کند.
• پروتکل‌ها: از XRay (VLESS) و Reality پشتیبانی می‌کند که در حال حاضر از مؤثرترین پروتکل‌ها برای دور زدن دیوار آتش بزرگ چین و فیلترینگ ایران هستند.
• مزایا: شناسایی آن بسیار دشوار است؛ راه‌اندازی کاربرپسند.

V2Ray / XRay / VLESS

این‌ها پروتکل‌های زیربنایی هستند که توسط بسیاری از ابزارهای مدرن دور زدن فیلترینگ ("کانفیگ‌های v2ray" که در تلگرام به اشتراک گذاشته می‌شوند) استفاده می‌شوند.

• هشدار: فقط از کانفیگ‌های منابع قابل اعتماد استفاده کنید. کانفیگ‌های مخرب می‌توانند ترافیک را از سرورهای آلوده عبور داده و داده‌های شما را افشا کنند.

---

۴. شبکه تور (The Tor Network)

تور (The Onion Router) با هدایت ترافیک از طریق سه گره (Node) داوطلب تصادفی و رمزگذاری در هر مرحله، ناشناس بودن را فراهم می‌کند. برخلاف VPN، هیچ سرور واحدی نمی‌داند شما چه کسی هستید و به کجا می‌روید.

پل‌های تور (حیاتی برای ایران)

اتصال مستقیم به شبکه تور اغلب در ایران مسدود است. شما باید از Pluggable Transports (پل‌ها) استفاده کنید:

• Snowflake: ترافیک تور را شبیه به یک تماس ویدیویی WebRTC جلوه می‌دهد. در ایران بسیار مؤثر است.
• obfs4: ترافیک را شبیه به داده‌های تصادفی و غیرقابل خواندن می‌کند.

دسترسی به تور

• دسکتاپ: از مرورگر رسمی Tor Browser استفاده کنید. پیکربندی پل‌ها از مسیر: Settings > Connection > Bridges > Select a Built-in Bridge.
• اندروید: از Tor Browser (رسمی) یا Orbot (که سایر برنامه‌ها را از تور عبور می‌دهد) استفاده کنید.
• iOS: از Onion Browser (حریم خصوصی محدودتری نسبت به دسکتاپ دارد) یا Orbot استفاده کنید.

نکته امنیتی: از تور برای بانکداری یا ورود به حساب‌هایی که به هویت واقعی شما متصل هستند (مانند درگاه‌های دولتی) استفاده نکنید، زیرا این کار می‌تواند حساب شما را به دلیل تقلب مسدود کند یا از طریق تحلیل رفتاری، هویت شما را فاش کند.

---

۵. امنیت DNS (DoH / DoT)

دستکاری DNS یک تاکتیک رایج سانسور است. حتی با وجود VPN، نشت DNS می‌تواند تاریخچه مرور شما را برای ISP افشا کند.

• DNS over HTTPS (DoH) / DNS over TLS (DoT): پرس‌وجوهای DNS را رمزگذاری می‌کند تا ISP نتواند آن‌ها را ببیند یا جعل کند.
• پیاده‌سازی:
  • فعال‌سازی "Secure DNS" در تنظیمات مرورگر (Firefox/Chrome/Brave).
  • استفاده از ابزارهایی مانند RethinkDNS (اندروید) یا DNSCrypt-Proxy (دسکتاپ) برای اجبار DNS رمزگذاری شده در کل سیستم.
  • نکته: DNS رمزگذاری شده به تنهایی برخی مسدودی‌های ساده را دور می‌زند اما آدرس IP شما را مخفی نمی‌کند یا مسدودی‌های مبتنی بر IP را دور نمی‌زند.

---

۶. پیکربندی پیشرفته و ریسک‌ها

VPN روی Tor در مقابل Tor روی VPN

• Tor over VPN (شما -> VPN -> تور -> اینترنت): رایج‌ترین تنظیمات. استفاده از تور را از دید ISP مخفی می‌کند. مفید است اگر استفاده از تور جرم‌انگاری شده یا مشکوک تلقی شود.
• VPN over Tor: عموماً به دلیل مشکلات عملکردی و پیچیدگی توصیه نمی‌شود، مگر برای دسترسی به سایت‌های خاص .onion که نیاز به ثبات IP دارند.

آسیب‌پذیری "TunnelVision" (CVE-2024-3661)

تکنیکی که در آن مهاجمان در شبکه محلی (مثلاً روتر ISP آلوده) می‌توانند با استفاده از DHCP Option 121 ترافیک را مجبور به خروج از تونل VPN کنند.

• کاهش خطر: اندروید نسبت به این حمله ایمن است. در ویندوز/لینوکس/macOS، اطمینان حاصل کنید که کلاینت VPN شما دارای Kill Switch سخت‌گیرانه و قوانین فایروالی است که ترافیک غیر VPN را مسدود می‌کند.

خطرات تونل‌زنی تقسیم‌شده (Split Tunneling)

تونل‌زنی تقسیم‌شده اجازه می‌دهد برخی برنامه‌ها وی‌پی‌ان را دور بزنند.

• در ایران: برای دسترسی به برنامه‌های بانکی یا سرویس‌های داخلی (اسنپ، دیوار) که IPهای خارجی را مسدود می‌کنند، مفید است.
• ریسک: اطمینان حاصل کنید که برنامه‌های حساس (مرورگرها، تلگرام، اینستاگرام، سیگنال) هرگز از تونل VPN خارج نشوند.

---

۷. چک‌لیست امنیت عملیاتی (OpSec)

۱. تایید مسدودیت: قبل از فرض سانسور، OONI Explorer را بررسی کنید یا از اتصال دیگری برای اطمینان از قطعی سایت استفاده کنید. ۲. تست نشت اطلاعات: در حالی که متصل هستید به browserleaks.com مراجعه کنید. - نشت IP: مطمئن شوید IP واقعی ایران شما قابل مشاهده نیست. - نشت DNS: مطمئن شوید سرورهای DNS شناسایی شده متعلق به ارائه‌دهنده VPN هستند، نه یک ISP ایرانی (مانند همراه اول یا ایرانسل). - نشت WebRTC: اگر IP واقعی شما در معرض دید است، WebRTC را در مرورگر خود غیرفعال کنید. ۳. کیل‌سوئیچ (Kill Switch): همیشه Kill Switch وی‌پی‌ان ("Block connections without VPN") را فعال کنید تا از افشای تصادفی در هنگام قطع اتصال جلوگیری شود. ۴. تغییر پروتکل (Protocol Hopping): اگر یک پروتکل (مثلاً OpenVPN UDP) از کار افتاد، به پروتکل دیگری (مثلاً WireGuard یا Stealth) سوئیچ کنید.

---

۸. خلاصه ابزارها

این راهنما داده‌های "Privacy Guides"، "Security in a Box" و "بنیاد آزادی مطبوعات" را جمع‌آوری کرده و برای فضای دیجیتال ایران بومی‌سازی کرده است.