Вариант анонимной работы в интернете
Здравствуйте. Вот хочу описать подробно мою схему анонимного выхода в интернет и работы с web, почты, ftp, wm и проч. И, если возможно, ответы на вопросы, которые я буду задавать по ходу и конструктивную критику или, возможно, разъяснения что я делю не так или что является лишним :)
Для выхода в интернет (из локальной сети) через моего провайдера нужно использовать VPN PPTP с шифрованием MPPE 128, хотя можно выходить и без шифрования, это, видимо, используется для защиты от сниффа внутри сети.
Далее я подключаюсь к внешнему VPN PPTP уже с обязательным шифрованием MPPE 128 (это делается для того, чтобы уже провайдер не мог читать трафф). Этот внешний впн не мой, но степень доверия к нему больше чем средняя.., доступ к нему я купил на одном из таких сервисов, предоставляющих такие услуги. Но они сообщают, что логи ведуться, правда в защифрованном виде, что естественно проверить нельзя. Но знакомые его давно используют.
Вот пока назрели первый вопросы:
Т.е. подключение локальная сеть>VPN MPPE 128 провайдера >VPN MPPE 128 внешний. Правильно ли это все работает в такой схеме? Нужно ли отключить шифрование провайдера? Насколько оно стойкое это MPPE 128 шифрование, ну, допустим по сравнению с тем же OpenSSL впн(но в схеме, когда провайдер вынуждает выходить в инет через свой PPTP впн, вроде OpenSSL впн использовать нельзя)? Как относиться провайдер к такому туннелю, не вызовет ли это наоборот интерес с его стороны?
Далее я использую Tor+Privoxy. т.е. к схеме добаляется: локальная сеть>VPN MPPE 128 провайдера >VPN MPPE 128 внешний>Tor+Privoxy
Использование приложений в схеме:
1) от провайдера я защитился этим внешним впн'ом, т.е. он "видит" только шифрованный коннект с какому-то ip и больше ничего (или еще что-то?)
2) Внешнему впн'у в общем-то доверие есть, но он ведет логи, что само посебе нехорошо.. Что я делаю:
-Для всех сайтов, где есть вход по https я просто прописываю исключения для прокси в браузере и коннект идет через внешний впн, не через tor, делается это чисто для удобства соединения, т.к. могие требут постоянный ip во время сессии, а некоторый постоянный ip с которого заходить.
Тут вот еще вопросы: как и когда передача логина/пасса к сайту https происходит? Если адрес типа https://lalala.com/login – и я ввожу данные сразу в всплывающем окошке.. или мне нужно зайти на https://lalala.com сначала, подтвердить сертификат, а потом уже на /login.. тут у меня пробел, объясните плиз этот момент. Т.е. в логах этого внешнего впн они увидял урл, но естественно не логин пасс к узлу? Или использовать тор для доступа к https узлам?
Есть ресурсы, доступ к которым не предусматривает https, но в них нужно вводить логин/пасс для вохода.. т.е. фатически в отрытую, даже не знаю что тут делать. Что тут лучше использовать: внешний впн или Tor? Есть ли доверия к exit серверам тора.., что он не ведет логи, а тем более не перехватит логин/пасс к ресурсам?
Весь остальной сёрф по сети я делаю через внешний впн>tor, т.е. внешний впн не видит, что я там смотрю
Ася- через внешний впн. – нехорошо, т.е. все видно на внешнем впн
Может ее тоже через тор еще.. но тоже сомнительно.
Почта- использую Outlook Express через внешний впн, но использую POP3S и ip адреса вместо pop.hotbox.ru например, т.е. внешний впн не видит что я забираю, хотя и видит ip фри почты..ну это не столь важно, а в лог почты пишется ip внешнего впн. Можно ли Outlook настроить на работу с Tor на получение POP3S?
По почте еще вопросы. Есть возможность настроить почту на своем хостинге и использовать мыло на моем хостинге.. но оно не поддерживает POP3S, т.е. это безусловно убережет почту от просмотра кем угодно из админов наших фри почт и прочих, кто ее "смотрит", но не убережет от просмотра на этом впн?
Доступ к ftp – через внешний впн, но исполоьзую Ip адреса.. тор вроде фтп не поддерживает. Т.е. на внешнем впн остаются логи и даже логин.пасс?
а на ftp соответсвенно видно ip этого внешнего впн
wm – через внешний впн.. там вроде все в шифрованном виде и так, а wm видит ip этого впн.
Много написал, но я новичек в вопросах анонимности в сети, sorry
Идеальный вариант, как мне кажется, когда этот внешний VPN принадлежит тебе и админиться доверенными админами или тобой, но у меня не совсем так, приходиться задумываться, что видят и на этом внешнем впн..
А может быть этот впн как-то в другой последовательности воткнуть в цепочку с Tor и еще использовать прокси?
Жду ответов от вас, уважаемые гугу безопасности сети
комментариев: 437 документов: 30 редакций: 15
Насколько я помню, при установке "с нуля" Опера спрашивает, будет ли использоваться многопользовательская или однопользовательская конфигурации. В случае выбора однопользовательской все файлы хранятся в каталоге программы.
Я бы попробовал перенести все файлы, относящиеся к Опере из профиля пользователя в папку Оперы и исправить все пути в opera6.ini (и, возможно, в некоторых других ini файлах).
Именно про Мозиллу не знаю, но есть специальная сборка Firefox, примерно для таких случаев.
http://johnhaller.com/jh/mozilla/portable_firefox/
Спасибо за информацию, это действительно лучше, чтем в Експрессе!
Бесценная информация :))
Если вы не против, я немного еще поживу на вашем замечательном форуме. И, естественно, без очередных вопросов не обойдусь.
Перечитав немного раздел форума "Анонимность в Интернет", я заметил, что все советуют отключать Кукис, ActiveX и Java (Java Script). Но без них правильно не работает бОльшая половина ресурсов в интернете!?
Может как-то нужно ограничить все это, но не полностью отключать?
И для чего это вообще делается?
Вот, например, Кукис. Как обычные могут раскрыть конфиденциальность?
В опере 8 и выше есть "Normal cookies" и "Third party .." Какие включить, а какие нет? Что это даст? Некоторые нужные куки помнят, допустим, язык, какие-то настройки, а некоторые собирают данные вроде.. не уверен.
А если принимать все во время сессии, а при закрытии поставить "флажек" на очистку всех принятых кукисов, безопасна ли такая схема?
ActiveX. В этом вопросе я не силен, знаю только, что это какие-то активные элементы, которые сайт загружает на компьютер. Чем опасны они? Где-то читал, что ActiveX поддерживается только IE, а все остальные браузеры- нет. Т.е. беспокоиться не о чем, если использовать сторонние браузеры?
Java "просто".. Зачем нужно? :) Можно ли смело отключать? Примеры сервисов с их использованием? Скачал с сайта jre-1_5_0_05-windows-i586-p.exe.., но честное слово, даже не знаю зачем :) Нужно ли его устанавливать?
Java Script – ну, здесь у меня немного большие познания, даже писал однажды код, скрывающий строку с реальным адресом :) Но опять, же.. чем он опасен?
Многие вещи можно контролировать на уровне firewall, а некоторые самим браузером. Какая схема оптимальна на ваш взгляд?
С уважением,
Den
комментариев: 11558 документов: 1036 редакций: 4118
Будем только "за". :)
Ограничьте их использование только теми ресурсами, которые совершенно без них не работают, и где Вы не нуждаетесь в анонимности. На всех остальных запретите. В действительности, Вы скорее всего даже не заметите того, что эти технологии выключены. Многие сайты имеют оптимизированные страницы для браузеров с выключенными cookie и js, другие стремяться применять их так, чтобы их выключение не сказывалось драматически на возможности просмотра веб-сайта (наш подход :) ). Конечно, есть и такие фашисты, которые без них просто отказываются работать. Я такие стараюсь просто не посещать.
Куки — это маленький файл, который сервер может передать Вашему браузеру при посещении веб-страницы. Храниться в нём может всё, что угодно: от имени Вашего аккаунта в почтовой службе или настроек отображения сайта веб-магазина и до параметров сессии или иного уникального номера, которым сервер помечает Ваш компьютер. По такому уникальному ID сервер всегда узнает Вас, независимо от того, с какого IP Вы зайдёте на сайт. Это уничтожит Вашу анонимность даже если Вы используете TOR.
"Normal cookies" — это те, которые передаёт Вам сервер, который Вы в данный момент посещаете. "Third party cookies" — это такие, которые Вы получаете с данного сервера, но от имени другого сервера либо через iframe и иные внедрённые в страницу объекты. Второй подход используют баннерные системы, счётчики и трэкеры. При этом в их куках сохраняются уникальные ID и параметры Вашего браузера, по которым баннерный движок (т.н. "крутилка") может отслеживать Вашу активность и отображать рекламу, более соответствующую Вашим предпочтениям.
Всегда запрещайте Third party cookies: они не дают Вам преимуществ в функциональности, а используются только для отслеживания Ваших перемещений в сети.
До некоторой степени. В этом случае Вы получаете псевдонимность (не анонимность) на текущий сеанс работы, то есть в данном сеансе злонамеренный сервер может контролировать Ваши перемещения. В целом, Вы ничего не выиграете от такой возможности.
Для недоверенных серверов лучше просто запретить, а для доверенных сохранять. Не знаю, как в Опере, а в Мозилле можно просматривать содержимое куков. Если в куке нет ничего предосудительного, можно и сохранить.
Кроме того, различаются сеансовые и перманентные куки. Первые хранятся только до закрытия браузера, там обычно сохраняются параметры сессии, например, при работе с почтовым аккаунтом через веб-интерфейс. Часто такие безвредны. Вторые хранятся постоянно, в них содержатся настройки веб-сайтов, те же идентификационные номера от баннерных сетей и т.п. данные. Мозилла позволяет определять собственную стратегию обработки для каждого из этих типов. Скажем, перманентные можно сохранять, но автоматически стирать через заданный промежуток времени, допустим, неделю.
Привокси у меня пропускает все куки, а управление ими я осуществляю через настройки Мозиллы. Там выставлен запрет на сохранение любых куков, но доверенным сайтам разрешено их сохранять. Кроме того, с некоторых сайтов куки сохранены, затем удалены все сомнительные и выставлен запрет на сохранение новых. Так я могу хранить параметры отображения некоторых веб-сайтов (не жертвовать функциональностью), одновременно не допуская следить за моей активностью. Конечно, такое возможно только на тех сайтах, где за эти функции отвечают различные модули и сами данные хранятся в разных куках.
Это проприетарная технология Microsoft и поддерживает её, соответственно, только IE. Нечто подобное хотели реализовать и в Мозилле, но пока, хвала Господу, дело до этого не дошло.
ActiveX — это программа, исполняемая через браузер с его привелегиями. Учитывая дырявость IE, часто это означает "с привелегиями ОС или текущего пользователя". Программа ActiveX способна на любые действия, доступные текущему пользователю, вот почему никогда нельзя работать с IE из-под аккаунта администратора. ActiveX может передавать удалённому серверу Ваш реальный IP, даже если Вы используете TOR или иные способы для его маскировки.
По сути, ActiveX может сделать всё, что угодно. "Доверенные" компоненты ActiveX криптографически подписаны ключом какого-нибудь доверенного ЦС, но вспоминая историю с ошибочной выдачей VeriSign сертификата X.509 MS на подставное лицо, это не внушает особого доверия.
Лучше работать с IE, выставив максимальный режим безопасности. Это отключит все лишние и опасные компоненты. В идеале, конечно, лучше не использовать его совсем.
В общем, к Джава во многом схожа с ActiveX. Это тоже программа, но исполняемая в специальной ограниченной среде, называемой "песочницей". Это как бы должно оградить систему от разрушительной джава-программы — она не должна вырваться за пределы ограничений "песочницы". Не столь давно, правда, в джава-машине от Sun была обнаружена ошибка, благодаря которой можно было обойти эти ограничения, то есть 100-процентной гарантии нет и здесь.
По возможности отключите Джаву. Лично у меня почти никогда не возникала в ней потребность.
Вот Вы сами и ответили. :) Скрипт JS — это обрезанная версия джавы, интерпретируемая самим браузером. Но возможности крайне широки.
Зависит от дырявости того и другого. Если браузер хорош, можно обойтись и им. Но основные запреты (например, на джаву) можно выставить и в брандмауэре.
комментариев: 4 документов: 1 редакций: 0
C:\Documents and Settings\username\Application Data\Opera
то у меня она вобще пустая, а вся инфа (дисковый кэш, куки, записки, история и тд) хранится в программной папке( которая в програм файлс)
Ява у меня не отключалась, когда не была установлена. Есть два варианта инсталляхи, возможно у тебя without Java. Потом установил Яву, и все стало прекрасно отключаться по F12.
Версия 7.54
А можно ли построить схему таким образом – установить общий сервак, на него прикрутить tor и privoxy, и уж пусть он один за всех ходит в сеть tor.
А пользователи к этому серваку подключаются обычным образом, если надо, то по защищенному соединению. Тогда им ничего не нужно будет настраивать.
Получится так?
а как это пратктически сделать? Подскажите методику в общих чертах, что и где ставить, пожалуйста
И что обозначают эти инсайдерские атаки, это что-то специфичное для tor или обычные вторжения на сервер?
http://ex-vdcom.ru/forum/viewtopic.php?t=504
комментариев: 9796 документов: 488 редакций: 5664
Это возможно. Так и делается, если нужно анонимизировать работу всей организации (например местного офиса ФБР) также это может быть использовано для перебрасывания (медленного) VPN-туннеля между двумя сетками. Ну еще студенты так расшаривают "халявный" интернет через WiFi.
Инсайдер – внедренец, предатель. Ничего специфичного. Иуда тоже был инсайдером по отношению к сообществу последователей Иисуса Христа и его сподвижникам (впоследствии апостолам).
Несколько лет исправлять будут. Скорее всего будет как сейчас – такие вещи будут использовать только в очень сложных в настройке защищенных системах на основе Linux с переделанным ядром и утилитами (включат куда-нибудь в Selinux, RSBAC, Grsecurity и т.д.). Обычные пользователи это использовать не будут.
regedit /ea Ident.reg HKEY_CURRENT_USER\Identities
regedit /ea I_Accnt.reg "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager"
Как – указать при установке что ставите программу на PGP disk и размещаете тамже свой профиль ...
на счет Outlook Express крайне рекомендую от него отказаться (поначалу проблемно но потом все просто очень шоколадно) в пользу Бата.
К примеру у меня шифрованный диск. где стоят все проги. я его просто копирую на ноут открываю и вуаля у меня вся рабочая среда готова(как я и привык). там же и все "Мои документы", аська, мыло, веб ......
крайне советую
Как можно быть защищённым и работать на нашем трекере одновременно ??
Суть следующая: даже когда мы используем впн, то через него идет только зашифрованный траффик, а днс запросы посылаются на днсы вашего провайдера! Соотвественно пров видит какие сайты вы запрашиваете, куда ходите и так далее. Пров лишь не видит что Вы делаете на этих сайтах, какую инфу передаете, какую принимаете, вернее видит зашифрованный трафф.
По моему разумению что бы это обойти надо ставить маршрутизатор и на нем настраивать впн. Тогда кажется должно абсолютно все идти через впн, а не в обход его.