id: Гость   вход   регистрация
текущее время 18:32 29/03/2024
Автор темы: Serg, тема открыта 05/07/2006 01:49 Печать
http://www.pgpru.com/Форум/АнонимностьВИнтернет/НужноШифрованиеТрафика
создать
просмотр
ссылки

Нужно шифрование трафика


Чего-то я недопонял. TOR только "обеспечивает анонимность самого соединения, а не передаваемых данных" (цитата с "Компьютерры"). Так? А если мне надо именно трафик шифровать, то чем посоветуете воспользоваться?
Просто подключившись к локальной сети я озаботился вопросом, как скрыть от админов сети сайты, которые я посещаю (что более важно – не дать им узнать адреса сайтов, которые я администрирую)? Ну или хотя бы зашифровать передачу паролей и логинов.


 
На страницу: 1, 2 След.
Комментарии
— Rabby (05/07/2006 08:33)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Прочитайте, пожалуйста, из той же "Компьютерры":

Сеть «луковых» маршрутизаторов состоит из обычных серверов, осуществляющих передачу данных, и серверов удостоверяющих, на которых хранятся «слепки» открытых ключей серверов. При первом запуске клиентское приложение обращается к удостоверяющему серверу, где находятся данные о маршрутизаторах вместе со слепками их ключей. Считав эти данные и сохранив их у себя, клиент приступает к формированию канала связи; по умолчанию канал формируется из трех узлов. По нему передаются зашифрованные данные пользователя.

К первому маршрутизатору в цепочке (так называемому входу) обращается клиентское приложение, передающее и получающее данные непосредственно от него. Последний (соответственно выход) служит для связи с тем сервером, данные от которого пользователю нужны и связь с которым ведется в незашифрованном виде (В случае с настройками «по умолчанию» — с обычным HTTP-сервером).

Чтобы сформировать канал, программе-клиенту надо, во-первых, получить от каждого из узлов его открытый «ключ идентификации», используемый для проверки идентичности сервера. После сравнения ключа со слепком, который мы скачали при первом запуске, мы убеждаемся, что сервер — действительно, тот, за кого себя выдает (или же — в обратном). После чего принимаем решение задействовать его в качестве одного из узлов канала (или просим пойти погулять и ищем кого-нибудь еще). Когда мы наберем достаточное количество узлов, каждый из них сгенерирует свою пару ключей, которая будет использована исключительно в рамках данного сеанса связи. То же самое делает и программа-клиент. После обмена открытыми ключами со всеми серверами канал можно считать сформированным.

Затем Tor получает от клиентской программы (браузера, например) те данные, которые нужно передать в Сеть, и формирует из них специальные пакеты размером по 512 байт каждый. Делается это для того, чтобы по объему исходящих данных нельзя было определить, какое именно приложение работает. Пользователи «аськи» и любители чатов имеют основание быть недовольными таким подходом, поскольку для них трафик резко возрастет. Однако анонимность требует жертв.

**Затем пакет с данными шифруется с помощью открытых ключей всех серверов, входящих в состав канала связи, последовательно от самого дальнего в цепочке до самого ближнего, так, что последним примененным ключом является ключ «входа». Туда пакет и передается. Там он расшифровывается и передается далее, к «выходу», последовательно расшифровываясь каждым из маршрутизаторов.

Между собой маршрутизаторы связываются по протоколу TLS, он же Transport Layer Security Protocol, при этом каждый из них может установить связь с любым другим. После того как пакет с данными подойдет к «выходу», он расшифровывается, преобразуется из «лукового» в нормальный, пригодный для обработки обычными приложениями, и передается веб-серверу. **

Процесс обратной передачи данных, от сервера к браузеру, малость попроще: «выход» получает порцию данных и шифрует их с помощью одного-единственного ключа клиентского приложения. Тоже, кстати, разумная мера: поток данных, идущих от сервера к клиенту, намного больше, чем от клиента к серверу, так что на их шифрование логично тратить меньше времени, заворачивая только в одну обертку. После этого зашифрованный пакет идет по цепочке обратно.

Автор: Павел Протасов
Опубликовано в журнале "Компьютерра" №7 от 24 февраля 2005 года

http://offline.computerra.ru/2005/579/37716/


Таким образом, Ваши данные:

1) разбиваются на пакеты с одинаковым объемом;
2) последовательно шифруются ВСЕМИ открытыми ключами всех серверов, через которые будет осуществляться соединение;
3) передаются по протоколу TLS.

Следовательно, речь идет об ассиметричном шифровании + передаче этих шифрованных данных по защищенному каналу. Этого достаточно?
— SATtva (05/07/2006 10:34)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну или хотя бы зашифровать передачу паролей и логинов.

Для этого вроде бы есть Secure Shell.
— Serg (05/07/2006 13:14)   профиль/связь   <#>
комментариев: 22   документов: 7   редакций: 0
Rabby:
Прочитайте, пожалуйста, из той же "Компьютерры":

Сеть «луковых» маршрутизаторов состоит из обычных серверов, осуществляющих передачу данных, и серверов удостоверяющих, на которых хранятся «слепки» открытых ключей серверов. При первом запуске клиентское приложение обращается к удостоверяющему серверу, где находятся данные о маршрутизаторах вместе со слепками их ключей. Считав эти данные и сохранив их у себя, клиент приступает к формированию канала связи; по умолчанию канал формируется из трех узлов. По нему передаются зашифрованные данные пользователя.

К первому маршрутизатору в цепочке (так называемому входу) обращается клиентское приложение, передающее и получающее данные непосредственно от него. Последний (соответственно выход) служит для связи с тем сервером, данные от которого пользователю нужны и связь с которым ведется в незашифрованном виде (В случае с настройками «по умолчанию» — с обычным HTTP-сервером).


Таким образом, Ваши данные:

1) разбиваются на пакеты с одинаковым объемом;
2) последовательно шифруются ВСЕМИ открытыми ключами всех серверов, через которые будет осуществляться соединение;
3) передаются по протоколу TLS.

Следовательно, речь идет об ассиметричном шифровании + передаче этих шифрованных данных по защищенному каналу. Этого достаточно?

Итак, если я правильно понял, то данные, которые отсылает браузер (или любая другая программа), шифруются еще на моем компьютере клиентом Tor'а. И через сервер локальной сети данные уже идут зашифрованными? А админы могут проследит пакет только до первого маршрутизатора Tor-сети? Все правильно?
— Serg (05/07/2006 13:18)   профиль/связь   <#>
комментариев: 22   документов: 7   редакций: 0
SATtva:
Ну или хотя бы зашифровать передачу паролей и логинов.

Для этого вроде бы есть Secure Shell.

Нашел на одном сайте информацию про Ssh. Вот цитата:

Ssh (Secure Shell) это программа для входа в другие компьютеры доступные по сети, для выполнения команд или программ на удаленных компьютерах и для передачи файлов с одного компьютера на другой.


А я имел ввиду обычную передачу паролей, например, при входе на этот форум.
— SATtva (05/07/2006 16:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Итак, если я правильно понял, то данные, которые отсылает браузер (или любая другая программа), шифруются еще на моем компьютере клиентом Tor'а. И через сервер локальной сети данные уже идут зашифрованными? А админы могут проследит пакет только до первого маршрутизатора Tor-сети? Все правильно?

Именно так.

Нашел на одном сайте информацию про Ssh. Вот цитата:
<...>
А я имел ввиду обычную передачу паролей, например, при входе на этот форум.

Ну, тогда, конечно... Правда, Вам следует иметь в виду, что многие динамические интернет-ресурсы (форумы, веб-почта и т.п.) имеют привычку прерывать сеанс, если обнаруживают, что клиент резко меняет IP-адрес. Делается это из лучших побуждений, чтобы предотвратить перехват сессии злоумышленником, однако, поскольку при работе через Tor цепочка маршрутизаторов (tor-узлов), через которые передаётся трафик, регулярно перестраивается, пользователя так же регулярно выбрасывает на страницу ввода пароля.

Если интернет-ресурс позволяет отключить такой механизм защиты — это хорошо. В противном случае (как, например, на этом форуме, но не по моей прихоти, а из-за особенностей phpBB 2.x) Вам придётся настроить Tor так, чтобы для определённых сайтов он не переключал последний маршрутизатор в цепочке.
— Serg (05/07/2006 17:53)   профиль/связь   <#>
комментариев: 22   документов: 7   редакций: 0
SATtva:
Итак, если я правильно понял, то данные, которые отсылает браузер (или любая другая программа), шифруются еще на моем компьютере клиентом Tor'а. И через сервер локальной сети данные уже идут зашифрованными? А админы могут проследит пакет только до первого маршрутизатора Tor-сети? Все правильно?

Именно так.


Тогда почему же я до сих пор не пользуюсь этой программой? :D

SATtva:
Правда, Вам следует иметь в виду, что многие динамические интернет-ресурсы (форумы, веб-почта и т.п.) имеют привычку прерывать сеанс, если обнаруживают, что клиент резко меняет IP-адрес. Делается это из лучших побуждений, чтобы предотвратить перехват сессии злоумышленником, однако, поскольку при работе через Tor цепочка маршрутизаторов (tor-узлов), через которые передаётся трафик, регулярно перестраивается, пользователя так же регулярно выбрасывает на страницу ввода пароля.


Ну это ничего, это я переживу.
— Serg (12/07/2006 01:21)   профиль/связь   <#>
комментариев: 22   документов: 7   редакций: 0
SATtva:
Итак, если я правильно понял, то данные, которые отсылает браузер (или любая другая программа), шифруются еще на моем компьютере клиентом Tor'а. И через сервер локальной сети данные уже идут зашифрованными? А админы могут проследит пакет только до первого маршрутизатора Tor-сети? Все правильно?

Именно так.


А вот если такая ситуация: пользуясь Tor'ом захожу на какой-нибудь сайт, на который хочу закачать файл со своего компьютера, открывается специальное окно для выбора файла и начинается скачка. Админ локальной сети сможет узнать на какой я сайт закачал файл или он опять сможет проследить данные только до первого узла сети?
— SATtva (12/07/2006 10:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Все обычные http-post-запросы (посредством которых Вы, к примеру, отправляете через браузер файл на какой-нибудь сервер или публикуете сообщения в этом форуме) идут через тот же Tor, здесь никаких отличий. Словом, вся активность браузера анонимизируется через Tor.

Но есть ряд исключений. Например, если на сайте установлен java-апплет, исполняемый на Вашей машине для вывода формы ввода файла, то он может передать файл напрямую на нужный адрес, минуя настройки прокси в браузере. Этот риск можно исключить, отключив в браузере работу Java (не путайте с javascript) — всё равно Вы без неё скорее всего ничего не потеряет. Ещё одно решение, если Вы используете java-машину Sun Microsystems (а не от Microsoft, поставляемую с Windows), — это настроить прокси непосредственно в ней, чтобы весь трафик всё равно шёл через Tor. Однако такой способ вряд ли можно считать должной гарантией.

Другие исключения — это компоненты ActiveX и динамические элементы Shockwave Flash. Первые работают только в Internet Explorer и даже там могут быть запрещены особыми настройками безопасности браузера. Со вторыми ситуация сложнее, но их, например, можно вырезать с помощью фильтра shockwave-flash в настройках Privoxy или просто не постить что-либо через любые Flash-элементы.
— Serg (12/07/2006 12:32)   профиль/связь   <#>
комментариев: 22   документов: 7   редакций: 0
Так, с браузером разобрались. А что делать с FTP протоколом? Я так понимаю, что Total Commander нельзя заставить работать через TOR?
— SATtva (12/07/2006 14:17)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Если Total Commander может работать через socks-прокси, то может работать и через Tor (это вообще касается любой программы). Проблема только в том, чтобы заставить его делать dns-resolve (т.е. определять ip-адреса запрашиваемых ресурсов) тоже через Tor.

Тут есть разные варианты. Если ftp-клиент поддерживает socks-4a, то, скорее всего, может резолвить имена сайтов через тот же прокси. Особенно хорошо, если в программе есть специальная опция для dns-запросов через указанный прокси. В противном случае попробуйте указать в качестве прокси-сервера своему ПО адрес 127.0.0.1 и порт 9050, одновременно запретив программе (с помощью брандмауэра) доступ к удалённым серверам на порт 53 (это DNS) по протоколам TCP и UDP. И последите за логом Tor'а, не происходит ли утечки dns-запросов, когда пытаетесь соединиться со своим ftp-сервером.
— Lustermaf (12/07/2006 23:52)   профиль/связь   <#>
комментариев: 225   документов: 8   редакций: 2
Serg:
Так, с браузером разобрались. А что делать с FTP протоколом? Я так понимаю, что Total Commander нельзя заставить работать через TOR?

Для FTP используйте FileZilla, этот клиент хорошо работает через TOR.
http://wiki.noreply.org/norepl.....uter/TorFAQ#FtpProxy
— Rabby (13/07/2006 08:29)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Filezilla:
http://filezilla.sourceforge.net/

Portable-версия дляUSB-flash от Дж. Халлера:
http://portableapps.com/news/2.....lla_2.2.23a_released

Кстати, рекомендую Вам взять из того же источника
Portable Firefox и Portable Thunderbird (версию, с предустановленной GNU PG + Enigmail), раз уж вы собираетесь оставлять как можно меньше следов :D на своем рабочем месте.

Скачаете указанный софт, распакуете его на дешевую 128 Мб флэшку, предварительно создав на ней криптораздел при помощи Truecrypt (в походном ("переносном") варианте инсталляции)... и будет Вам счастье по принципу "омниа мэа мекум порто" :D Добавите туда же Eraser, поднастроите его на удаление временных интернет-файлов из системы – тогда машина будет практически девственно чиста после Вашей интенсивной работы! Успехов!
— Serg (13/07/2006 11:41)   профиль/связь   <#>
комментариев: 22   документов: 7   редакций: 0
Rabby, да переносной софт – это вещь. Как раз вчера этим делом увлекся, так что ваши ссылки кстати. Спсибо.
— Rabby (13/07/2006 12:15)   профиль/связь   <#>
комментариев: 143   документов: 19   редакций: 0
Я сам "увлекся" тоже, да так, что стал настоящим маньяком :D по отыскиванию "переносного" софта. Посмотрите, если еще не читали, тему:

http://www.pgpru.com/forum/vie......php? T=1852&start=15

там я указывал массу интересных программ.

К сожалению, прошло время, поэтому количество программ удвоилось :D, в т.ч. и на моей флешке тоже. Писать по второму разу – более расширенно и подробно – у меня не хватает душевного мужества :D, но я уверен, что если Вы действительно заинтересовались – Вам самому хватит и времени, и сил.

По-прежнему рекомендую:

http://portableapps.com/
http://www.portablefreeware.com/all.php

(второй ресурс обновляется каждый день; там около 600 программ).

Paranoid ant еще советовал:
http://www.room362.com/pages/usbgoodies.html
— Serg (13/07/2006 17:57)   профиль/связь   <#>
комментариев: 22   документов: 7   редакций: 0
C таким обилием софта главное – не потерять голову и вовремя остановиться, иначе флэшку придется апгрейдить каждые 2 месяца :D
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3