tor+polipo+vmware8.0
Хочу реалезовать прозрачную торификацию с помощью виртуальной машины. Хост винда7, гуест ХР, тип сети в гуесте HostOnlyNetwork, ip указываю явно в настройках виртульной машины (напр. 192.168.1.0) отключаю использования DHCP, ip сетевого адаптера VMNet1 в хост указываю (192.168.1.1) маска подсети везде 255.255.255.0, в гуесте ip сетевого адаптера указываю явно 192.168.1.2 с тойже маской подсети. Из хоста проверяю пингую 192.168.1.1 все норма, а вот при запущенной гуест ос пинг 192.168.1.2 облом? Хотя в гуест ос соеденение по локальной сети принимет и отправляет пакеты, тоисть так понимаю раюотает. На хосте стоит поледний ТОР 0.2.2.35 в сборке Видалии 0.2.15 с проксисервером Полипо. В конфиге torrc добавляю строку SocksListenAddress 192.168.1.1:9100, в polipo.conf добавляю строку allowedClients = "127.0.0.1, 192.168.1.1", и изменяю cacheIsShared = true. Тор запускается без траблов. На гуесте ставлю FireFox последней версии (может надо 3.6.5 но по идеи должно и в этой работать) в настройках сети браузера указываю ручную настройку прокси и везде в парметрах кроме сокс значения 127.0.0.1 порт 8118 а в сокс 192.168.1.1 порт 9100. Ответ браузера данный прокси не работает или не хочет отвечать. Игрался с изменениями ip прокси (порт не менял) пробовал только менять на адрес вирт машины и гуест ос, но ничего не получилось.
Здесь на форуме я нашел подобную тему и коекакую инфу почерпнул из нее, но думаю она не раскрыта до конца, я не профессионал, но люблю поексперементировать ))), присоеденяйтесь и помогите решить данную проблему.
Здесь на форуме я нашел подобную тему и коекакую инфу почерпнул из нее, но думаю она не раскрыта до конца, я не профессионал, но люблю поексперементировать ))), присоеденяйтесь и помогите решить данную проблему.
И кому-то ещё интересны такие ненадёжные костыли?/comment43202.
Я бы сказал так: есть ряд соображений (каждый до них дозревает в своё время) как по безопасности и анонимности, так и по удобству, из которых следует, что рутер (в том числе и для прозрачной торификации) должен быть отдельной машиной. Однако, даже если не ставить отдельную машину, а воспользоваться виртуализацией, то как минимум host OS, регламентирующую доступ в сеть, надо делать на *nix, а винду крутить в виртуалке.
Надёжные firewall'ы есть для *nix. В Windows же сама логика работы системы не поддаётся контролю — система изначально и сущностно не подходит для контроля за ней и её действиями (юзер считается глупее системы), так что если вы не суперспец, настроить винду безопасно у вас вряд ли получится. Другая часть правды в том, что поставить и безопасно настроить внешний рутер намного проще[создать], чем сделать винду приемлемо безопасной, да ещё и в окружении с проприетарными же виртуалками (VmWare).
Извените конечно может я ищу "легких путей", но хотелось выработать более-менее простое руководство для создания "наиболее" аннонимной системы, которая поддавалась настройке.
Вы имеете в виду использование загрузки с неменяющегося LiveCD? Если так, то для начала стоит вообще осознать, почему сама возможность что-то менять плоха. Вдруг вирус, уязвимость, зловред или ещё кто-то из-за чего-то внесёт изменения в код, конфигурационные файлы и пр. так, что вы это не заметите. Как провести аудит на аутентичность? Хэш-суммы всех файлов сравнивать? Но на реальных системах всегда есть куча файлов, которые в норме должны меняться во время работы системы. Вдруг в такие файлы зловредом будет помещена информация, позволяющая атакующему как-то "пометить" (подобно кукам и флэш-кукам) конкретного пользователя, либо вообще деанонимизировать его?
Теперь собственно по поводу вопроса. Есть минимум 2 способа решить задачу, оставаясь в рамках LiveCD.
Ну тогда зачем вам лезть в файлы конфигурации Tor или polipo? Смотрите системные настройки сети. Tor будет работать и так, автоматически, если доступ в сеть с точки зрения самой системы имеется. Поскольку же настройки системоспецифичны, надо интересоваться документацией по конкретной системе/сборке, спрашивать в рассылке, на форуме поддержки (для liberte, tails).
P.S.: я могу вас направить в нужную сторону или озвучить общие идеи о том как "должно" или "может" быть. Если же вам нужна конкретика, ищите живых пользователей ваших систем (типа Tails). На нашем форуме их либо инфинитезимально, либо они хранят молчание, сам же лично я Tails даже в глаза не видел.
Зачем? Потому что на практике различие между теорией и практикой получается гораздо больше, чем в теории. ©
Очень просто. Для начала, в *nix системах можно контролировать то и только то, что хоть сколь-нибудь предполагалось быть подконтрольным с точки зрения разработчиков системы. В частности, тип железа, имена пользователей, названия системных каталогов, текущее время на машине и т.п. не относятся к предполагавшимся для контроля (SELinux пытался добавить такой функционал, но настройка оного намного трудней всего, тут обсуждающегося). Ну, просто потому, что Unix никогда не дизайнился с расчётом на анонимность (равно как и любая другая ОС), а постфактум сделать его искуственно анонимным очень сложно. Даже если пользоваться внешним рутером для прозрачной торификации, с целевой машины всё равно потенциально могут утечь данные о железе, текущем времени на системе, списке файлов в каталогах и т.д. — банально потому, что заторенный юзер имеет ко всему этому доступ.
Аналогично сказанному про операционные системы, виртуалки тоже никогда не создавались для анонимности, однако, они обладают рядом фич, которые-таки позволяют их использовать для анонимности как misuse их настроек. В частности, виртуалка типа Xen позволяет скрыть всё про железо окромя типа процессора. Конечно, атакующий, получивший доступ ко всему, узнает, что система запущена в Xen, но это всё равно лучше, чем если он узнает какие-то хардварно зашитые и неменяемые параметры системы.
Далее, реальная задача, как правило, не ставится в виде "сделать анонимное соединение". Вместо этого пользователи часто хотят иметь возможность "ходить в интернет как анонимно (через Tor), таки неанонимно, используя при этом физически один и тот же компьютер". Чувствуете разницу? Пусть атакующий имеет гипотезу, что неанонимный пользователь X и анонимный пользователь Y — одно и то же лицо. Если неанонимный пользователь защищён слабо (Keeper Classic, Skype, Flash и др.), очень легко получить полную информацию об ОС и железе, на котором он работает. Далее остаётся лишь подтвердить что-то из полученный свойств, атакуя Y.
комментариев: 9796 документов: 488 редакций: 5664
Это обсуждение перенесено сюда.