id: Гость   вход   регистрация
текущее время 21:11 28/03/2024
Автор темы: Гость, тема открыта 09/12/2010 05:02 Печать
Категории: анонимность
http://www.pgpru.com/Форум/АнонимностьВИнтернет/НужнаПомощВНастройкеJanusVM
создать
просмотр
ссылки

Нужна помощ в настройке JanusVM


Нам нужен надежный шлюз, который сделает торификацию всего трафика через тор, чтобы избавиться от утечек и т.д. Вроде бы эта система подходит. Одно НО, нам нужно немного сконфигурировать ее для наших нужд. Может быть кто то выполнит для нас этот заказ? Специального раздела по услугам не нашел, если запостил не в ту ветку сильно не бить ))


 
Комментарии
— Гость (11/12/2010 02:40)   <#>
Зачем вам JanusVM? Если вам кто-то будет настраивать, то он же может и настроить прозрачную торификацию на произвольном компьютере выбранном в качестве рутера, водрузив туда любую UNIX-подобную ось. Это будет намного надёжней, чем игра с виртуальными машинами.
P.S.: в таких объявлениях, хотя бы ради приличия, лучше писать город, т.к. удалённая настройка сети чревата дисконнектом.
P.P.S.: я бы, вероятно, взялся, но, увы, живу не в России.
— Гость (11/12/2010 10:30)   <#>
Ну вроде бы янус достаточно сбалансированная и заточенная машина которой человек занимался, если кто то просто будет с нуля поднимать рутер есть вариант что то упустить.
Так как машина виртуальная и запускается через плеейр не вижу никаких проблем настроить ее у себя и просто скинуть нам готовый файл. Она же цельная и не завязана на железо. Готовы работать по предоплате без проблем.
— Гость (12/12/2010 03:37)   <#>
Ну вроде бы янус достаточно сбалансированная и заточенная машина которой человек занимался, если кто то просто будет с нуля поднимать рутер есть вариант что то упустить.
А полагаться на чужую виртуалку с кучей непонятно зачем нужного софта типа squid — гарантия того, что упущено не будет. Если что, основная матчасть (простейшая конфигурация, когда одна машина служит тор-рутером для другой, сводится к следующей):

Anonymizing Middlebox
To enable the transparent proxy and the DNS proxy, add the following to your torrc.

Use the PF ruleset below as an example.

Собственно, всё остальное — это уже пожелания с поправкой на реальность. Данные несколько строчек делаеют из любой BSD-машины Tor-рутер (с поправкой на изменение синтаксиса PF и допуск Tor-клиента к /dev/pf).

Есть ещё такой момент. VMware — фриварное, не opensource. Использовать проприетарный софт для целей сопряжённых с анонимностью — не хорошо. Уязвимость в виртуалке обеспечивает деанонимизацию. Кроме того, VMware как сервер — это когда винда говорит "мамой клянусь, зуб даю, что весь траф буду слать только в виртуалку, напрямую в сеть — да ни в жисть, файерволл (мой же, прикормленный) — свидетель". Такое закономерно заканчивается вот таким вот:

*** IMPORTANT DNS PRIVACY INFORMATION ***
If your DNS server settings have the same IP as your Gateway, then Windows will automatically
use your router as the DNS server, even after JanusVM is booted and you are connected to it via VPN.
THIS IS A PROBLEM. This causes your DNS request to go out through unsecured channels (your ISP).
The reason for this is because Windows automatic gateway metric selects the internal router/DNS server
as the closest DNS, and doesn't route it through the VPN connection.

We wrote TorSEC.exe to solve this problem.
TorSEC is located inside the VM. The UNC for it is "\\JanusVM\Setup\files\TorSEC.exe".

Here is an example of a bad config for DNS.
----------------------------------------
IP Address: 192.168.0.100
Netmask: 255.255.255.0
Gateway: 192.168.0.1
DNS: 192.168.0.1
----------------------------------------
Notice the DNS is the same IP as the Gateway?
You MUST use a DNS server outside your LAN, such as 4.2.2.2 or whatever your ISP assigns you.
If you don't, then dns-proxy-tor DOES NOT redirect the DNS request through Tor!!!
Ну и вышепредложенное "решение проблемы", конечно, специалиста бы не впечатлило :)

По уму винда вышвиривается на*** в окно сразу же, моментально делается так, когда нужна винда: делается полноценное серверное окружение, где будет host OS и guest OS. Винда устанавливается в guest OS (нет, делать её host OS не надо, лучше сразу в suicide booth), затем на host OS настраивается tor-клиент и на firewall'е делается редирект всего трафа от guest-OS-машины в сеть. И даже это, боюсь, не идеально. Идеальным может быть только внешний рутер который через себя пропускает всё без всяких опасных игр с виртуалками.

И да, JanusVM у нас уже обсуждалась (можете погуглить), но особого энтузиазма на форуме не встретила, кроме как самого концепта, что "такое уже кто-то пытается делать".
— Dummer (12/12/2010 05:15)   <#>
Вы меня окончательно запутали ))) рассуждения очень здравые и я с ними полностью согласен – все упирается лишь в мио технические скромные знания. Янус я рассматривал как готовое решение взял и поставил – в принципе с удовольствием можно было бы пользоваться и готовым LiveCD и слабенькой машиной под сервер – в качестве маршрутизатора. Может быть вы возьметесь мне помочь с этим? ) Возможные оппоненты не слишком сильны в IT, и это не государство. Просто в силу специфики работы приходиться бывать у них на сайте – не хотелось бы, что бы наш небольшой промышленный шпионаж вылез наружу ) вот в принципе вся задача. нужен готовый конфиг на рутер, таких конфигов нужно два, с разными точками выхода. Единственное, хотелось бы получить готовое решение – я понимаю, что здесь сообщество специалистов и принято не "давать рыбу, а учить ее ловить ©", но это слишком далеко от меня, поэтому был бы рад воспользоваться услугами :)
— Гость (12/12/2010 13:03)   <#>
Янус я рассматривал как готовое решение взял и поставил – в принципе с удовольствием можно было бы пользоваться и готовым LiveCD и слабенькой машиной под сервер – в качестве маршрутизатора.
Сама идея внешнего Tor-рутера с дефолтными настройками для домохозяек — здравая. Можно было бы даже сделать соответствующую сборку, прикрутить веб-морду для её администрирования и т.д. Конечно, тому, кто хоть мало-мальски разбирается в UNIX, лучше настраивать самому — больше контроля и понимания.

слабенькой машиной под сервер – в качестве маршрутизатора
Это самое разумное решение. Сгодится любой старый комп.

Может быть вы возьметесь мне помочь с этим? )
Ну, для начала,
  • я буду занят ещё минимум недели две, и отвлекаться не смогу.
  • из-за расстояния (см. выше) возможны только удалённые консультации.
  • в принципе реально написать пошаговое руководство к настройке, доступное для понимания любым. Если бы у меня уже было такое руководство и опыт — вопрос был бы описан в FAQ на pgpru. В то же время мне очевидно, что если я возьмусь за эту задачу, я её сделаю, наверное, максимум за день-два.
Вообще, чтобы пользоваться Tor'ом, достаточно настроить клиентские машины установив на них Tor-клиент. Если есть специалист по винде, можно ещё персональный файеволл прикрутить так, чтобы ходить в обход прокси мог только сам Tor.

Если клиентских машин много, или хочется большей надёжности и независимости от того, что делают клиенты — можно (вместо предыдущей конфигурации) настроить Tor-клиент на серверной стороне. Это не будет Tor-рутером, а скорее "корпоративной Tor-прокси". Настройка довольно проста и вы наверняка её могли бы сделать сами. Достаточно запустить самый что ни на есть стандартный Tor-клиент на сервере (как это обычно делается) в его дефолтной конфигурации, а также privoxy, причём проинструктировать privoxy слушать соединения не на 127.0.0.1, а реальном IP вашей локальной сети (изменить лишь одну опцию, т.е.). Тогда на клиентских машинах указывается IP сервера и порт privoxy, и всё будет работать. Конечно лучше, если серверная машинка имеет файерволл понадёжней и клиентские машины просто физически не могут лезть в сеть в обход сервера. Я к тому, что в принципе на сервере может стоять обычная винда :)

Реальный Tor-рутер на винде запустить в принципе нельзя, и единственное концептуальное отличие от предыдущего случая — лишь большее удобство для клиентов: теперь у них на машинах не надо указывать в каждой программе IP и порт корпоративной privoxy — достаточно ввести стандартные адреса для маршрутизатора и DNS. Разумно клиентские машины, используемые для Tor'а, никогда не использовать для работы напрямую, по понятным причинам.

Ну вот вкратце как-то так. Т.е.
  1. Подумайте, надо ли вам это, когда есть приемлемый метод, настройка которого не сложней чем запуск Tor-клиента.
  2. Если 1 не устраивает: могу позже сделать конфиг для PF с проверкой работоспособности и выложить его в faq (уже давно собираюсь), но это к новому году, не раньше. Насчёт разных точек выхода — если там не слишком сложная конфигурация (IPsec, балансировка каналов и т.п.), мог бы указать, что дополнительно надо указать в конфиге.
— Гость (12/12/2010 19:45)   <#>
* я буду занят ещё минимум недели две, и отвлекаться не смогу.
    • из-за расстояния (см. выше) возможны только удалённые консультации.
    • в принципе реально написать пошаговое руководство к настройке, доступное для понимания любым. Если бы у меня уже было такое руководство и опыт — вопрос был бы описан в FAQ на pgpru. В то же время мне очевидно, что если я возьмусь за эту задачу, я её сделаю, наверное, максимум за день-два.

1) До нового года вопрос вполне ждет, можно на новогодних каникулах сделать.
2) с пошаговым руководством беда будет полная, я вот вчера попробовал разобраться в линуксе и установить 1С сервер на его базе. Вроде бы мануалов достаточно но я потратил на это СУТКИ. Причем не смотря на то, что база крутиться и заработала я совершенно не уверен что сделал все правильно ))) и чем это аукнется потом. Поэтому:
3) самый реальный вариант это что бы Вы сделали например образ LiveCD который запускается с диска на отдельной машине и все делает сам и торификацию и фаерволл )) конфигурацию сети я бы дал.

Вообще, чтобы пользоваться Tor'ом, достаточно настроить клиентские машины установив на них Tor-клиент. Если есть специалист по винде, можно ещё персональный файеволл прикрутить так, чтобы ходить в обход прокси мог только сам Tor.


Основная проблемма – это использование цепочки прокси на выходе НЕ торовских. Из за этого приходится пользоваться widecap ом, который периодически падает а особенность его работы такова, что что бы корректно шло через него в тор, приложение ставиться в режим работы как будто нет никаких прокси. Ну и соответственно что происходит когда падает widecap понятно – ломиться напрямую все. Это основная проблемма. Отдельный фаервол кое как вроде решает эту задачу, но он конфликтует с widecapom и тот его роняет тоже периодически ))) ну и плюс хотелось бы обезоваситься от всяких приложений которые попробуют пойти минуя прокси, а так же в идеале – если противник получит доступ над машиной – что бы он не могу понять вообще где она. Тоесть что бы даже трасерт не ходил или шел только через тор. Это как раз обеспечивает выделеный рутер с впн к нему – если я правильно понимаю

Поэтому самый самый идеальный вариант – получить от вас готовую сборку которую мы запустим на двух серверах. компов рабоих у нас мало – и никакой сложной конфигурации там нет, нужно просто что бы один выходил через одну конечную точку, второй через вторую )) вот и все ))

Самое главное надежность. Если вы в принципе не отвергаете возможность посотрудничать, может быть спишемся в аське или еще как то? мне кажется народу не особо интересен наш частный диалог )) И кстати готовую сборку эту можно было бы потом выложить тут для народа – пусть все пользуются. А затраченное на изготовление время мы оплатим – о цене я думаю договоримся.
— Гость (12/12/2010 21:33)   <#>
До нового года вопрос вполне ждет, можно на новогодних каникулах сделать.
Ок
самый реальный вариант это что бы Вы сделали например образ LiveCD который запускается с диска на отдельной машине и все делает сам и торификацию и фаерволл )) конфигурацию сети я бы дал.
Можно и так.

Ну и соответственно что происходит когда падает widecap понятно – ломиться напрямую все. Это основная проблемма. Отдельный фаервол кое как вроде решает эту задачу, но он конфликтует с widecapom и тот его роняет тоже периодически
Т.е. widecap нельзя заставить работать через внешнюю прокси? Если выделенный сервер пускает в сеть машины только через свою прокси, то они никак в обход прокси не пройдут, тем более не будет работать (попросту не будет) никакой trasert и т.п. Проблема здесь только в том, что если есть приложения, не умеющие работать с прокси, то их никак не проксифицировать (ну, в принципе, есть полууниверсальные проксификаторы и прочие костыли, но это уже тонкости).Т.е.
Это как раз обеспечивает выделеный рутер с впн к нему – если я правильно понимаю
Да, верно, но и в случае с прокси будет так же за исключением вышеприведённых оговорок.

никакой сложной конфигурации там нет
Соединение с интернет-провайдером какого типа? ADSL, PPTP VPN, статический IP по ethernet? Настройка сети в UNIX с проприетарными протоколами довольно неблагодарная задача и сильно зависит от настроек провайдера...

Если вы в принципе не отвергаете возможность посотрудничать, может быть спишемся в аське или еще как то? мне кажется народу не особо интересен наш частный диалог )) И кстати готовую сборку эту можно было бы потом выложить тут для народа – пусть все пользуются. А затраченное на изготовление время мы оплатим – о цене я думаю договоримся.
Хорошо. Для меня предпочтительнее jabber (лучше даже с включённым PGP — если пользуетесь, напишите сюда отпечаток ключа). Если предпочитаете другие варианты (icq/mail) — оставьте здесь свои контакты.

с пошаговым руководством беда будет полная, я вот вчера попробовал разобраться в линуксе и установить 1С сервер на его базе. Вроде бы мануалов достаточно но я потратил на это СУТКИ.
На мой взгляд эта задача чем-то сложней и менее конструктивна. Ещё не так давно её мог решить только профессионал, а ещё чуть раньше это нельзя было сделать в принципе без эмуляции.
— Гость (12/12/2010 22:57)   <#>
вроде бы подключился к jaberu – pgp правда нету. мой логин lbd2011@jabber.ru
— Гость (12/12/2010 23:02)   <#>
Написал вам.
— Гость (26/12/2010 02:51)   <#>
я это я, подписываю ключиком
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3