id: Гость   вход   регистрация
текущее время 13:41 28/03/2024
Автор темы: Гость, тема открыта 03/02/2006 16:35 Печать
http://www.pgpru.com/Форум/АнонимностьВИнтернет/КриптодискVMwareTORбезопасность
создать
просмотр
ссылки

Криптодиск+VMware+TOR=безопасность?


VMware Workstation – программа эмулятор простого компьютера, работающая под управлением вашей ОС. На этот, хотя и виртуальный, компьютер можно установить вполне реальную операционную систему и получить одну ОС работающую в окне другой. При этом жестким диском виртуального компьютера является просто файл на диске вашего реального PC.
1. Если поместить этот файл на криптодиск и ходить в инет только из "виртуальной" ОС, то в момент, когда в квартире погаснет свет и люди в черном с нашивками "ОМОН" нежно постучат в вашу дверь кувалдой, можно особо не беспокоиться о том, что кто-то сможет узнать историю ваших похождений в сети по "кукишам", "журналу", "избранному" или временным файлам тырнета т.к. все это, как и сама ОС, находжится на криптодиске.
2. Можно создать несколько виртуальных машин с разными ОС, браузерами и т.д., что в сочетании со скрытием IP затруднит вашу идентификацию в сети.
3. Надеюсь существует решение, которое позволит предотвратить вскрытие реального IP активным содержимым (Java, JS, ActiveX), которое, как известно, может просто проигнорировать настройки прокси и идти в инет напрямую. Сможет ли оно сделать это с виртуальной машины, думаю зависит от нас.


Вот собственно в связи с этим и возникает вопрос: как пустить интернет-трафик виртуальной машины через TOR?
Виртуальная машина (VM) взаимодействует с вашим реальным PC (host) по виртуальной сети. Т.е. на host'е при установке VMware Workstation появляется виртуальный сетевой адаптер, связывающий его с VM.
Ситуацию можно представлять так, что есть два компьютера, один из которых (host) имеет выход в интернет и на котором по уму надо бы поднять SOCKS сервер предоставляющий доступ в сеть другому (VM) компу сети. Как все это настроить и может ли в роли такого SOCKS сервера выступать TOR я и хотел бы знать.


 
На страницу: 1, 2 След.
Комментарии
— Гость (04/02/2006 03:44)   <#>
а в чем вопрос то?
ставишь тор на геста. всё.
— Гость (05/02/2006 05:52)   <#>
жЕЛЕЗНЫЙ:
а в чем вопрос то?
ставишь тор на геста. всё.

Если под "гестом" имеется ввиду "host", то да, где-то так оно и есть. В общем все у меня получилось вот как:
1. Ставим Vmware Workstation.
2. Делаем криптотом.
3. Создаем на криптотоме виртуальную машину Vmware.
4. При этом выбираем тип сети: "Host only: A private network shared with the host".
5. Вешаем на виртуальную машину операционную систему.
6. Настраиваем сеть (на хосте появится пара виртуальных сетевых подключений. Нас интересует только VMnet1) так, чтобы хост и виртуальная машина имели доступ друг к другу по этой виртуальной сети.
6. Ставим TOR на хост.
7. В torrc добавляем строку: SocksListenAddress 192.168.184.1:9100, где 192.168.184.1 – адрес вашего VMnet1 интерфейса (может быть другим). Теперь TOR позволяет подключиться к нему по сети на порт 9100.
8. Ставим на виртуальной машине Mozilla Firefox и настраиваем как сказано тут: http://www.imperialviolet.org/deerpark.html только адрес SOCKS'а и порт ставим наши 192.168.184.1:9100
ВСЕ.
Теперь что получилось по порядку:
Есть два компьютера соединенные по сети. Один из них (host) имеет выход в интернет, но никакого NAT'а нету и следовательно второй (виртуальная машина) в интернет попасть не может никак кроме как через запущенный на host'е TOR. В силу этого никакое активное содержимое типа Java-апплетов, JS, ActiveX не может настучать на вас с виртуальной машины.
В качестве бонуса все содержимое жесткого диска виртуальной машины со всеми следами вашего пребывания в интернет находится на криптотоме.[/url]
— Гость (05/02/2006 16:11)   <#>
хост=host
гест=guest->rtfm vmware
поэтому
жЕЛЕЗНЫЙ:

ставишь тор на геста. всё.

ну еще NAT, до кучи;)
— Гость (05/02/2006 17:50)   <#>
Так весь смысл чтоб NAT'а не было. Иначе любой апплет через NAT пройдет в интернет, минуя TOR и засветит твой IP как миленький.
— Гость (07/02/2006 01:06)   <#>
А почему бы TOR поставить не на хост, а на VMnet1? Вроде удобней должно быть?
— Гость (07/02/2006 04:35)   <#>
VladimirM:
А почему бы TOR поставить не на хост, а на VMnet1?

что то не понял сути противопоставления хост – VMnet1. TOR как программа (исполняемый модуль) установлен на хосте, а как сервис слушает в числе прочего и 9100 порт на интерфейсе VMnet1 (192.168.184.1 в моем примере). Т.е. можно сказать, что он и там и там поставлен, смотря что под этим "поставлен" понимать.
— Гость (08/02/2006 14:13)   <#>
Под словом "поставлен", я имел ввиду установлен.
— Гость (09/02/2006 23:30)   <#>
Все эти трюки с VMWare с виду хороши, но почему-то забыают о кеше виндовс – ведь там хранится вся работа и данные, включая WMare. А можно ли избавиться от следов в кеше – в процессе работы, а не потом – никто не обсуждает
— Гость (10/02/2006 23:20)   <#>
Что-то здесь довольно много на мой взгляд лишнего...
Наверное нужно поставить на виртуалхост тор, прогу для соксификации(freecap, sockscap), на которой вписать торовский соксервер 127.0.0.1 порт 9050 и запускать нужные проги(браузеры, почтовики и т.д.) через эту прогу для соксификации. Все
Можно для страдающих параноей еще фаерволом разрешить выход в инет только тору.
— Гость (07/07/2006 17:16)   <#>
Anonymous:
Все эти трюки с VMWare с виду хороши, но почему-то забыают о кеше виндовс – ведь там хранится вся работа и данные, включая WMare. А можно ли избавиться от следов в кеше – в процессе работы, а не потом – никто не обсуждает

TrueCrypt умеет шифровать кэш. А ещё его можно просто отключть.
— SATtva (08/07/2006 11:31)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Уточнение: TrueCrypt + TCTEMP позволяют шифровать кэш.
— contro (20/07/2006 12:17)   профиль/связь   <#>
комментариев: 20   документов: 2   редакций: 0
Для RUR:

Короче, зачем загромождать... Тот уровень защиты который ты хочешь получить, достигается много проще:
Ставишь себе Линукс, делаешь себе криптофс. Маунтишь криптофс к себе в хоум. Ставишь тор и прайвокси не под рутом, а под юзером, себе в хоум на криптофс. Следишь в конфиге за тем, чтобы не создавались файлы за пределами криптофс. Вот всё. Далее задача уже будет решаться только о том, как скрыть в системе существование самого криптофс как такового. Этот вопрос уже довольно сложный, я бы сказал, политический более. Для отсутствия подозрений возможность работы со скрытыми на фс файлами или скрытыми разделами на диске сама ОС должна включать в себя данные возможнорсти именно ПО УМОЛЧАНИЮ. Как уже справедливо отмечал народ, пожалуй, в данное время единственным наиболее удачным выходом из ситуации является использование трукрипт: ты создаёшь верхний контейнёр и пихаешь туда дезу, которая должна быть правдоподобной для укрывательства (обнажённые фотоснимки жены, медицинские данные, езё что-нить такое...). Само наличие трукрипта тебе при этом скрывать не надо как и тот факт, что ты что-то прячешь. В критической ситуации ты нехотя дашь спецслужбам доступ в верхний контейнер :) И вот тогда они окажутся в вилке: доказать ни математически, ни по здравому смыслу то, что у тебя есть более глубокие контейнеры, в которых и хранится та самая целевая информация, они не смогут. В целом понял? Идея реализовывается как под виндой, так и под линуксом. Но линукс предпочтительнее, так как закрывает другие дыры ещё в безопасности... А то если к тебе прийдёт омон с вещдоками что ты – это ты, и ты хранишь.... То у них уже будут веские основания счиать, что более глубокие контейнеры существуют. (P. S: не удачно где-то употребил терминологию, но, думаю, меня поняли ).
— paranoid ant (20/07/2006 13:50)   <#>
contro, у меня серьезные сомнения в устойчивости userland cryptofs к атакам watermarking
— contro (23/07/2006 03:33)   профиль/связь   <#>
комментариев: 20   документов: 2   редакций: 0
[quote:78da77aad3="paranoid ant"]contro, у меня серьезные сомнения в устойчивости userland cryptofs к атакам watermarking
]>
А разве CGD и dmcrypt не решили эту проблему? Насколько я помню, есть ещё соль пароля, которая может храниться отдельно, и тогда информации, хранящейся на диске, вместе со знанием пассфразы, не будет достаточно для декодирования.
Я не слишком разбираюсь в токостях что это за атака, но мне казалось что чуть ли не ради защиты от неё и написали CGD. Вскоре после разработчик CGD устроил разбор полётов по остальным криптосистемам, и сейчас и в остальных многих криптосистемах эту дыру закрыли. Ещё есть 2ступенчатая аутентификация – она разве не спасает? Также: если это не линукс и не экзотика, то полноценной userland cryptofs вроде как не реализовано. В смысле, всё делается только с правами рута.
— unknown (23/07/2006 15:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Я не слишком разбираюсь в токостях что это за атака, но мне казалось что чуть ли не ради защиты от неё и написали


Можете поискать предыдущие обсуждения этой темы в http://www.pgpru.com/search/ по слову "watermarking"
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3