ХУникс - не матерное слово.

Status
Not open for further replies.

yogaMAN

Member
Joined
May 25, 2016
Messages
477
Reaction score
41
Привет, Небольшой гайд про Хуникс.
Кто-то видел, кто-то нет.

Методы анонимности в сети. Tor&VPN. Whonix.


Для удобства в рамках данной статьи мы подразумеваем, что Tor обеспечивает анонимность клиента, а VPN — конфиденциальность передаваемых данных.

Для начала давайте определимся с некоторыми постулатами:
1. Сеть Tor обеспечивает высокий уровень анонимности клиента при соблюдении всех обязательных правил её использования. Это факт: реальных атак в паблике на саму сеть, ещё не было.
2. Доверенный VPN-(SSH)-сервер обеспечивает конфиденциальность передаваемых данных между собой и клиентом.
Таким образом, для удобства в рамках данной статьи мы подразумеваем, что Tor обеспечивает анонимность клиента, а VPN — конфиденциальность передаваемых данных.

Tor через VPN. Сначала VPN, потом Tor

VPN-сервер при такой схеме является постоянным входным узлом, после него шифрованный траффик отправляется уже в сеть Tor. На практике схема реализуется просто: сначала производится подключение к VPN-серверу, далее запускается Tor-браузер, который автоматически настроит нужную маршрутизацию через VPN-тоннель.

18075562.jpg



Использование такой схемы позволяет скрыть сам факт использования Tor от нашего Интернет-провайдера. Также мы будем закрыты от входного узла Тора, который будет видеть адрес VPN-сервера. А в случае теоретической компрометации Tor, нас защитит рубеж VPN, который, разумеется, не хранит никаких логов.
Использование вместо VPN прокси-сервера, лишено смысла: без шифрования, обеспечиваемого VPN, мы не получим каких-либо значимых плюсов в такой схеме.



Стоит отметить, что специально для обхода запрета Tor интернет-провайдерами придумали так называемые bridges (мосты).

Мосты – это такие узлы сети Tor, которые не занесены в центральный каталог Tor, то есть не видны, а, следовательно, труднее обнаруживаются.

Как настроить мосты, подробно написано здесь.
Несколько мостов может дать нам сам сайт Tor по адресу.
Можно также получить адреса мостов по почте, отправив на адрес [email protected] или [email protected] письмо с текстом: «get bridges». Обязательно отправлять это письмо с почты от gmail.com или yahoo.com
В ответ мы получим письмо с их адресами:
«Here are your bridge relays:
bridge 60.16.182.53:9001
bridge 87.237.118.139:444
bridge 60.63.97.221:443
»
Эти адреса нужно будет указать в настройках Vidalia – прокси-сервера Tor.
Иногда происходит так, что и мосты блокируются. Для обхода этого в Tor введены так называемые «obfuscated bridges». Не вдаваясь в подробности, их труднее обнаружить. Чтобы к ним подключиться, надо, например, скачать, Pluggable Transports Tor Browser Bundle.


Плюсы схемы:
  • мы скроем от Интернет-провайдера сам факт использования Tor (или подключимся к Tor, если его блокирует провайдер). Однако, для этого существуют специальные мосты;
  • скроем от входного узла Tor свой ip-адрес, заменив его адресом VPN-сервера, однако это не самое эффективное повышение анонимности;
  • в случае теоретической компрометации Tor, останемся за VPN-сервером.
Минусы схемы:
  • мы должны доверять VPN-серверу при отсутствии каких-либо значимых плюсов такого подхода.

VPN через Tor. Сначала Tor, потом VPN

В таком случае VPN-сервер является постоянным выходным узлом в сеть Интернет.


18075581.jpg


Подобная схема подключения может использоваться для обхода блокировки узлов Tor внешними ресурсами, плюс она должна защитить наш траффик от прослушивания на выходном узле Tor.
Существует немало технических сложностей в установлении такого подключения, например, вы же помните, что цепочка Tor обновляется раз в 10 минут или то, что Tor не пропускает UDP? Самый жизнеспособный вариант практической реализации это использование двух виртуальных машин (об этом чуть ниже).
Важно также отметить, что любой выходной узел легко выделит клиента в общем потоке, так как большинство пользователей идут на разные ресурсы, а при использовании подобной схемы клиент идёт всегда на один и тот же VPN-сервер.
Естественно, что использование обычных прокси-серверов после Tor не имеет особого смысла, так как траффик до прокси не шифруется.

Плюсы схемы:
  • защита от прослушивания траффика на выходном узле Tor, однако сами разработчики Tor рекомендуют использовать шифрование на прикладном уровне, например, https;
  • защита от блокирования адресов Tor внешними ресурсами.

Минусы схемы:
  • сложная реализация схемы;
  • мы должны доверять выходному VPN-серверу.

Концепция Whonix

Существует множество дистрибутивов ОС, основной целью которых является обеспечение анонимности и защиты клиента в Интернете, например, Tails и Liberte и другие. Однако наиболее технологичным, постоянно развивающимся и эффективным решением, реализующим самые передовые техники по обеспечению безопасности и анонимности, является дистрибутив ОС Whonix.
Дистрибутив состоит из двух виртуальных машин Debian на VirtualBox, одна из которых является шлюзом, отправляющим весь траффик в сеть Tor, а другая – изолированной рабочей станцией, подключающейся только к шлюзу. Whonix реализует в себе механизм так называемого изолирующего прокси-сервера. Существует также вариант физического разделения шлюза и рабочей станции.

Так как рабочая станция не знает свой внешний ip-адрес в Интернете, это позволяет нейтрализовать множество уязвимостей, например, если вредоносное ПО получит root-доступ к рабочей станции, у него не будет возможности узнать реальный ip-адрес. Вот схема работы Whonix, взятая с его официального сайта.

18075582.png


ОС Whonix, как утверждают разработчики, успешно прошла все возможные тесты на утечки. Даже такие приложения как Skype, BitTorrent, Flash, Java, известные своими особенностями выходить в открытый Интернет в обход Tor, также были успешно протестированы на предмет отсутствия утечек деанонимизирующих данных.
ОС Whonix реализует много полезных механизмов анонимности, я укажу наиболее важные:
  • весь траффик любых приложений идёт через сеть Tor;
  • для защиты от профилирования траффика ОС Whonix реализует концепцию изоляции потоков. Предустановленные в Whonix приложения настроены на использование отдельного Socks-порта, а так как каждый Socks-порт использует отдельную цепочку узлов в сети Tor, то профилирование невозможно;
  • обеспечивается безопасный хостинг сервисов «Tor Hidden services». Даже, если злоумышленник взломает web-сервер, то он не сможет украсть закрытый ключ «Hidden»-сервиса, так как ключ хранится на Whonix-шлюзе;
  • Whonix защищен от DNS-утечек, так как в своей архитектуре использует принцип изолированного прокси. Все DNS-запросы перенаправляются на DnsPort Tor’а;
  • Whonix поддерживает «obfuscated bridges», рассмотренные ранее;
  • применяется технология «Protocol-Leak-Protection and Fingerprinting-Protection». Это снижает риск идентификации клиента через создание цифрового отпечатка браузера или системы путем использования наиболее часто применяемых значений, например, имя пользователя – «user», временная зона – UTC и т.д.;
  • есть возможность туннелировать другие анонимные сети: Freenet, I2P, JAP, Retroshare через Tor, или работать с каждой такой сетью напрямую. Более подробные данные об особенностях таких подключений находятся по ссылке;
  • важно отметить, что в Whonix протестированы, документированы и, главное, работают (!) все схемы комбинирования VPN/SSH/Proxy с Tor. Более подробную информацию об этом можно получить по ссылке;
  • ОС Whonix – это полностью открытый проект, использующий свободное ПО.

Однако стоит отметить, что ОС Whonix имеет и свои недостатки:
  • более сложная настройка, чем Tails или Liberte;
  • требуются две виртуальные машины или отдельное физическое оборудование;
  • требует повышенного внимания к обслуживанию. Надо следить за тремя ОС вместо одной, хранить пароли, и обновлять ОС;
  • в Whonix кнопка «New Identity» в Tor не работает. Дело в том, что Tor-браузер и сам Tor изолированы по разным машинам, следовательно, кнопка «New Identity» не имеет доступа к управлению Tor. Чтобы использовать новую цепочку узлов, нужно закрыть браузер, изменить цепочку с помощью Arm, панели управления Тор, аналога Vidalia в Tor Browser, и запустить браузер снова.

Проект Whonix развивается отдельно от проекта Tor и иных приложений, входящих в его состав, следовательно Whonix не защитит от уязвимостей в самой сети Tor или, например, 0-day-уязвимости в межсетевом экране, Iptables.

Безопасность работы Whonix можно описать цитатой из его wiki: «And no, Whonix does not claim to protect from very powerful adversaries, to be a perfectly secure system, to provide strong anonymity, or to provide protection from three-letter agencies or government surveillance and such».
Если вас ищут ведомства «их трёх букв», вас найдут :)

Вопрос дружбы Tor и VPN — неоднозначный. Споры на форумах по этой теме не утихают. Я приведу некоторые наиболее интересные из них:
  1. раздел о Tor и VPN с официальной страницы проекта Tor;
  2. раздел форума дистрибутива Tails по проблеме VPN/Tor с мнениями разработчиков Tails. Сам форум сейчас уже закрыт, но Гугл сохранил кеш обсуждения;
  3. раздел форума дистрибутива Liberte по проблеме VPN/Tor с мнениями разработчиков Liberte.

    Спасибо за внимание!
 

TomaSS

VIP
Joined
Jul 1, 2017
Messages
680
Reaction score
50
Очень хорошая статья. Достаточно понятно новичкам и всё хорошо разжёвано.
 

Morfius

Member
Joined
Feb 21, 2012
Messages
328
Reaction score
3
Спасибо все понятно ( про whonixне очень). Автор, а впн+ тор+ впн такой вариант возможен?
 

k01dun

Member
Joined
Feb 6, 2017
Messages
145
Reaction score
0
то что вы используете именно тор палится и очень просто, и вся эта схема хрень.
как-то раз, мне нужно было решить проблему на одном игровом сайте, где было вознаграждение за голосование, так так начали пользовать тор для этого.
проанализировав запросы и трафик, был написан простенький php-скрипт, который с вероятностью 90% определял что клиент зашел с тора и добавлял в блеклист хост.
и не важно через впн вы или нет, сама сеть тор очень палевная и определяется на "раз-два".
лучше пользуйте jap+vpn, вот это точно не палится.
 

yogaMAN

Member
Joined
May 25, 2016
Messages
477
Reaction score
41
лучше чем ничего, а ты скачай поймешь как это работает_
 

yogaMAN

Member
Joined
May 25, 2016
Messages
477
Reaction score
41
Спасибо все понятно ( про whonixне очень). Автор, а впн+ тор+ впн такой вариант возможен?
да, возможен. можно много вариантов цепочек использвать.....добавлять прокси, ссш и т.д.
 

GT800

Member
Joined
Aug 1, 2017
Messages
15
Reaction score
0
Age
44
интересно. сам тоже недавно установил whonix. и хотелбы спросить, если в whonix workstation установить Teamviewer, смогу я использовать микрофон компа для общения?
 

yogaMAN

Member
Joined
May 25, 2016
Messages
477
Reaction score
41
интересно. сам тоже недавно установил whonix. и хотелбы спросить, если в whonix workstation установить Teamviewer, смогу я использовать микрофон компа для общения?
если хочешь спалиться, то да
 

GT800

Member
Joined
Aug 1, 2017
Messages
15
Reaction score
0
Age
44
если хочешь спалиться, то да
а каким образом то спалюсь? голос и то что в моем компе есть микрофон, это спалю, но больше ничего
 

juicer

Member
Joined
Jun 15, 2017
Messages
129
Reaction score
1
А можно вместо workstation использовать win7? Получается Whonix- gateway+ win 7 или это абычто получается и не имеет никакого смысла?
 

yogaMAN

Member
Joined
May 25, 2016
Messages
477
Reaction score
41
А можно вместо workstation использовать win7? Получается Whonix- gateway+ win 7 или это абычто получается и не имеет никакого смысла?
можно.
 

supiner

VIP
Joined
Jul 9, 2017
Messages
459
Reaction score
49
Age
32
можно.
смысл есть, еще какой))) если с эксплойта ломанут твою виртуалку, то доберутся только 2 виртуалке, а у тебя еще и сервак стоит
 

Labean74

Member
Joined
Jul 28, 2017
Messages
309
Reaction score
17
Каждый случай индивидуален, далее все способы цепочек лишь в теории более хороший... :)
 

ggg313

Member
Joined
Jun 2, 2017
Messages
167
Reaction score
21
как думаете, что лучше использовать в соотношении удобство/анонимность tails или Whonix
 
Status
Not open for further replies.
Top