TOR over VPN

Гость, таким образом, когда вы идете по подземному переходу, с вертолета видно вас, а не переход.

Тогда вы идете по подземному переходу, с вертолета видно вас, а не переход.

Тот Гость правильно написал, это разновидность фингерпринтинга. Не слышали? Иногда pgpru полезно почитывать.

Полезно, не спорю. Почитываете?

1. Tor через VPN – что по-вашему видит провайдер?

По-моему, он видит VPN-соединение. А по-вашему?

2. VPN через Tor – а в этом случае?

В этом случае провайдер видит соединение с сетью Tor.

Так что там про фингерпринтинг сказать-то хотели?
Когда вы фигу в кармане держите, что видит провайдер видно, карман или фигу?

Это не смешно, это скорее annoying. Человек ещё не научился ходить, но просит объяснить, как ему подготовиться к полёту в космос. Или человек, которые не представляет, что находится под капотом машины и никогда не работал руками, но хочет чтобы другие люди его руками поменяли ему движок и затюнинговали тачку, да ещё так, чтобы и безопасно было, и ездила она хорошо.

Задавая вопрос, думал, что будет не сложнее, чем "включить" PGP-шифрование в мэйловый клиент (условно, конечно). Благодаря дискусси уяснил себе комплекс требуемых знаний.

Не-а. Точней, бывает, но редко, в основном пишу.


Хотели сказать, что ирония там ни к чему. Более того, часть атак по фингерпринтингу шифрованного трафика работают не только против VPN, но и против Tor. И если Tor хоть как-то затачивался на анонимность (хотя иные всё равно ругают его за padding), то openvpn — никогда. По умолчанию там пакеты разного размера, отправка идёт в слишком оптимизированные времена, поэтому самые упоротые модфиицируют OpenVPN так, чтобы размер пакетов был одинаковым, пакеты отправлялись по расписанию и т.д. Впрочем, если через OpenVPN гонится Tor-трафик, фингерпринтинг не так страшен.

Защита (но неполная) от такого анализа трафика есть в сети TOR, т.к. там используется приведение размера пакетов к стандартному виду и из них убирается лишняя служебная информация. [1].

Размеры шифрованных пакетов тоже выровнены, так что "провайдер" даже запустив сниффер не сможет достоверно определить что в данный момент Вы делаете – скачиваете почту, смотрите форум pgpru.com или висите в джаббере. [1]

Ранние работы быстро выявили то, что простые схемы шифрования пакетов (такие как шифрование беспроводных сетей и VPN) были бесполезны в качестве меры предотвращения распознавания паттернов (характерных образцов) трафика, создаваемых популярными вэбсайтами в шифрованном потоке. [1]

Это уже радует :)


Вообще, есть много легко формулируемых задач, решение которых достаточно нетривиальны. Например: ПК подключен к двум провайдерам связи одновременно. На ПК заведено два пользователя. Надо сделать так, чтобы трафик одного пользователя шёл только через одного провайдера, а трафик другого — только через другого. И всё, ппц, без множественных таблиц маршрутизации и продвинутых фич в ядре такое не решить.

Гость (03/06/2013 20:32) вообще эти вопросы были адресованы господину-товаристчу Serpentador дабы он задумался над этими вопросами да почитал чего-нибудь. у него сложилось впечатление, что vpn через tor "секьюрней" чем наоборот, как бэ провайдер чего то там меньше видит.

И всё, ппц,

в Винде?:)

Не-а. Точней, бывает, но редко, в основном пишу.

И это у вас, стоит признать, хорошо получается.

Хотели сказать, что ирония там ни к чему.

Это верно, если развивать тему и вдаваться в детали. А вопрос-то был простой, на самом деле: "что видит провайдер". И в этом комментарии был дан принципиально неверный ответ, хотя для автора того поста "очевидный". А вы пишите, что Гость правильно написал. Зачем? Для чего? Троллинг Контрирония?

Впрочем, если через OpenVPN гонится Tor-трафик, фингерпринтинг не так страшен.

Вот. И в случае, когда что-то гонится через что-то, фингерпринт "не так страшен", не важно, тор через впн, или наоборот. Мы же рассматриваем случаи с комбинацией впн и тор, так зачем отвлекаться на фингерпринт? Можно было еще иронизировать про мосты и обфускацию, чего ж вы?

Например: ПК подключен к двум провайдерам связи одновременно. И всё, ппц

Вы имеете ввиду через две сетевухи к ПК или ПК через роутер, роутер к двум провам? Второй вариант предпочтительнее, на мой взгляд.
Я же, как правило, склоняюсь к простым решениям на практике и такие задачи, как два прова на одном ПК можно рассмотреть в теории, но на практике зачем? Как правило, стандартная схема — один пров – несколько ПК. А один ПК (не роутер) – несколько провов – это легкий изврат. Нет, у каждого свои тараканы задачи и свои варианты их решения, но нагромождать, усложнять, на мой взгляд, не самая лучшая затея. Сюда же относится схема "впн через тор".

Гость, в общем-то да. Предлагаю вынести вопрос на открытое голосование, что видит пров?)) Как видите, мнения немного разделились))

Не так много систем умеет несколько таблиц маршрутизации. Из мне известных: Linux, OpenBSD, FreeBSD. Например, NetBSD не умеет. Потом, как разруливать трафик по разным каналам в зависимости от юзера? Ну, допустим, pf в OpenBSD это умеет, но это же самое может не взлететь во FreeBSD. В Linux, конечно, работает, но там это делается чуть по-другому.


Ах, да, признаю. Я тоже ступил. Ну ответ-то правильный, за исключением того, что он случаи 1 и 2 местами перепутал (и, скорей всего, по случайности, а не по незнанию).


Да, две сетевухи в ПК.


К этой задаче элементарно своядтся куда более практические (но объяснять проще на двух сетевых, каждая к своему прову), такие как: провайдер один, ПК один, но трафик одного юзера надо пустить в интернет напрямую, а трафик другого — через VPN. Или, при таких же условиях, одного юзера через VPN, а другого через прозрачную торификацию.


Такое тоже бывает. В OpenBSD решить эту задачу даже проще, если на роутере и на ПК OpenBSD. На клиентах проставляем метки, дальше на роутере фильтруем по меткам (это так называемая «задача о раскраске трафика», если ничего не путаю), а вот когда пакет сразу рождается на роутере, присвоить ему правильный gw проблематично. Начинаются извраты (кажется, оно и в Linux так) типа тех, когда пакет рождается на одном интерфейсе с одним gw, а потом надо средствами firewall/ip/iproute2 перебросить его на другой интерфейс и сменить ему gw. Года 3 назад я с неделю мучился над этой задачей, но решить её так и не смог (OpenBSD была). Впрочем, там на тот момент это были совсем свежие опции, плохо документированные, глючные и т.д. и т.п. Сейчас, неверное, уже получилось бы. Тем не менее, разброс по разным провам для транзитного трафика я делал, всё было ОК. Интересно, что роутер может ретранслировать пакеты из одной сети в другую вообще буквально, т.е. не меняя у них ни MAC, ни src IP на свой собственный. В общем, машинерия внутренняя там не самая простая, что-то новое я понял, но явно не до конца.

«Спасибо за высокую оценку нашей работы...» ©

если на роутере и на ПК OpenBSD

сейчас есть коробочные роутеры с 2-я wan, но по стоимости за эти деньги можно купить 3 отдельных роутера.

Адекватная оценка. Спасибо вам за ваши старания, опыт и документы с комментариями.
Спасибо всем, кто вносит свою лепту и развивает сайт, будь то комментарий, документ или топик.


Роутер можно собрать на старом ПК (0-100 баксов) да такой, что в принципе даст фору коробочным за $500 и выше.
А вообще есть SOHO-роутеры которые не монстры, но монстрики, я б так сказал. И по стоимости они сверхдемократичны. По функционалу – на уровне решения задач вплоть до ISP. По размеру – с пачку сигарет. Стоят они столько, что самое дешевое барахло, типа самых младших моделей D-link, возможно, уже снятых с производства, стоит лишь немногим дешевле, о каких 3 отдельных роутерах речь? Цена не дотягивает даже до 100 бакинских, в некоторых случаях и до 60-70.

Спасибо. Вклад других участников и гостей, которые задают продуманные и интересные вопросы, стимулируя дискуссию, не менее важен.


Помнится, какое-то время назад пиарились Soekris'ы в качестве железа под OpenBSD-роутеры. Правда, цена их на тот момент мне дешёвой не показалась.

Стоят они столько, что самое дешевое барахло, типа самых младших моделей D-link

А D-Link не может относится к классу SOHO? Мне кажется, это просто устройства, типа Small Office Home Office – малый офис, домашний офис, поэтому необходимо уточнение какие могут быть "мностриками". Микротик?