Всё о TBB (Tor Browser Bundle)
Извиняюсь, но за 10 минут перебора тем в форуме "Анонимность" не нашел всеобъемлющей темы о TBB (Tor Browser Bundle), только разрозненные.
Поэтому предлагаю обсуждать вопросы и проблемы, представляющие интерес для многих, в этой ветке, будет удобней.
Но другое сложно сформулировать, потому что надо будет долго обосновывать.
Давайте второе обсудим сначала здесь, а то вдруг не прав.
Речь об использовании в TBB прокси – "Дополнительно – Сеть – Настроить", где мы видим изначально SOCKS5 = 9150.
На первый взгляд все логично. На самом деле это было бы логично, если бы использовали обычный Firefox. И тогда да, надо лезть в его интерфейсные пользовательские настройки и задавать торовский порт.
TBB – это несколько иная вещь, т.е. специально разработанная прежде для работы в Tor, и задавать торовские настройки в пользовательских настройках нежелательно:
– во-первых, в TBB они редко меняются;
– во-вторых, ввиду доступности в интерфейсе пользователь их может легко сбить
Это первая несуразность. Вторая даже более важная – во всех обычных массовых "Фоксах" (да и не Фоксах тоже) обычный пользователь привык настраивать обычный прокси именно там – "Дополнительно – Сеть – Настроить".
А в TBB ему опа – облом! И говорят ему типа –
И его, бедолагу, гонят в TBB настраивать обычный прокси в совсем необычное и неудобное для обычного пользователя место – конфиг-файл torrc.
Т.е. – сломана многолетняя модель пользовательской настройки обычного прокси через пользовательской интерфейс, нарушены привычки пользователя – зачем?
И вот эти все безобразия можно все легко исправить, поменяв местами настройки прокси в браузерном интерфейсе и torrc, и тогда все снова станет привычным.
Хех, я на даже русском с трудом изложил идею, сомневаюсь, что гуголь-транслейт ее осилит :)
Я с трудом понимаю, чем ваша первая претензия отличается от второй и как с ней связана. Кстати, при чём тут torrc? Порт Tor'а задаётся в браузерных настройках. Вы хотите это отменить, заставив всех редактировать torrc с помощью редактора? Или просто упорядочить настройки в рамках самого интерфейса TBB? На эту тему есть тикет, а в самом конце комментрия его обсуждение.
Что значит "первая" претензия? Я же написал, что описываю только вторую, в виде предложения.
Именно! Потому что порт Tor=9150 практически меняется редко и редактировать его почти не нужно, он устраиваает всех.
А вот настройка портов для обычного прокси (http, ftp...) может использоваться довольно часто, например, если TBB используется в локальной сети с прокси-сервером.
По сути, торовцы, превращая Firefox в TBB, совершили рейдерский самозахват настроек обычного прокси, используя его только для настройки своего Tor, а вот настройки обычного прокси засунули в torrc.
Уж не знаю, как еще проще объяснить.
Видимо, нелогичное и непоследовательное изложение приводит к тому, что детали ускользают.
Ну что за ахинея?! Через SOCKS-прокси идёт трафик всех протоколов, на то он и SOCKS-прокси, универсальный (а не HTTP/HTTPS/FTP-прокси). Если есть прокси в локальной сети, это Tor туда должен заворачивать свой трафик, а не браузер. Браузер всегда всё шлёт только Tor'у. Как раз в torrc есть возможность пустить трафик Tor'а в интернет через локальные прокси разных типов, в т.ч. с авторизацией (опции: HTTPProxy, HTTPProxyAuthenticator, HTTPSProxy, HTTPSProxyAuthenticator, Socks4Proxy, Socks5Proxy, Socks5ProxyUsername, Socks5ProxyPassword). Или вы хотите использовать TorBrowser вообще без Tor'а, но с административной проксёй? Это тонкий и малораспространённый изврат, чтобы на ваше удобство в таком случае ориентировался весь проект.
В анонимном браузере всё должно либо заворачиваться в порт Tor'а, либо резаться, никакие другие прокси там не нужны. Что делать с полученным трафиком дальше — настраивается в самом Tor'е.
У вас каша в голове. Вы не понимаете, как и что там работает,
но ещё лезете с предложениями.комментариев: 9796 документов: 488 редакций: 5664
Пользователь запаковывает свой трафик в пакеты и цепочки Tor. В саму сеть Tor после локальной машины пользователя это уже может попасть и через внешний прокси. Только сам по себе этот внешний прокси на безопасность в лучшем случае никак не влияет — какая разница, какой он? Это просто узел между клиентом тор на стороне пользователя и входящим узлом сети тор. Ели вам из своей сети кроме как через какой-то окольный прокси не выйти, ну пользуйтесь им.
Или, что есть в вашем понимании «внешний HTTP-прокси»? Это что-то:
Это всё как-бы разные прокси. Кроме первого на звание внешнего претендуют два других.
Или я не так понял ваше описание, поэтому объясню имеющуюся конфигурацию своими словами:
Есть локальный 1-карточный комп, который используется как десктоп, поэтому на нем запускается и работает TBB. Этот комп подключен кабелем к внутренней карте другого 2-карточного компа.
Второй комп своей внешней картой подключен в внешнему обычному Интернету и работает как классический Proxy-сервер (squid).
Этот Proxy может настроить как обычный, "прозрачный", с авторизацией и без.
Т.е. самая обычная конфигурация из всех, что может быть.
И кстати, TBB и торклиент – разве не одно и тоже?
комментариев: 9796 документов: 488 редакций: 5664
Это ближе к варианту 2. Только зачем? Во первых придётся в torrc для TBB прописать этот прокси два раза, как HTTPProxy host:port и HTTPSProxy host:port. Во вторых, многие узлы сети тор работают не по HTTP(S) портам и Squid такой трафик штатно не пропустит.
Внутри TBB (TorBrowser Bundle — бандл, связка) есть TorBrowser и тор-клиент (который одно и тоже с торсервером тогда уж, но по умолчанию сервер в нём выключен). Торбразуер из TBB может работать с тор-клиентом, который не в TBB, а вынесен отдельно в систему или на роутер. Но вам такое пока не нужно.
Эти настройки делаются через интерфейс torbutton в самом браузере, или при старте через torlauncher. Ещё там можно указать порты которые желательно использовать, к примеру 443, и тогда тор клиент будет выбирать первый узел с HTTP(S) портом.
Нужно затем, чтобы защитить обычный десктоп с обычным браузером и др. приложениями с помощью прокси, находящегося на другом, серверном компе.
Это обычная практика, такой прокси не только защищает десктоп от внешних вторжений, но и наоборт, помогает обнаруживать утечки с десктопа, которые будут регистрироваться в логах прокси.
Звучит не только печально, но и непонятно. На чем же работают эти узлы, если не по HTTP и не HTTPS ?
комментариев: 9796 документов: 488 редакций: 5664
Прошу тогда помочь и направить на другой путь истинный, более подходящий для моей ситуации.
Модель проблемы.
Есть десктоп. На нем работаю (обычный серфинг и Tor-серфинг, почта, локальные задачи и т.п.) и, как истинный параноик, ни на грош не доверяю софту, который на нем крутится, подозревая в каждом, ну или через один, вражескую закладку, троян, биткоин-майнер и т.д. и т.п.
Эти закладки пытаются вершить свои неблаговидные дела тайно, стараясь не попастся на глаза пользователю.
У меня, пользователя, ровно противоположная задача – вычислить паразитов и уничтожить их.
Вариант 1.
Самый простой и удобный – использовать файрвол в составе NOD32 Smart Security.
Удобство в том, что любые попытки десктопных закладок тут же пеленгуются, изобличаются и идентифицируются с точностью до софта, в который они внедрены.
Кроме того, активность закладок отображается в режиме real-time, а их результаты в удобных графических окошках (что поделать, они для меня нагляднее, чем мрачные консольные логи, к тому же на экране они выглядят компактнее и содержательнее).
Минусы:
1.1. NOD32 может сам содержать закладку, но мы, естесственно, здесь об этом никогда не узнаем.
1.2. Мой десктоп на Линуксе, и тут – засада: оказалось, что под него версии NOD32 с файрволом как раз таки и нету. Что, впрочем, и неудивительно.
Вариант 2.
Обзаводимся вспомогательным простеньким 2-карточным компьютером (к примеру, Atom или Raspberry).
Устанавливаем на нем Linux и настраиваем его в роли NAT и файрвола.
Либо сразу специализированную микротиковскую RouterOS.
Минусы:
2.1. Несколько затратное решение – целый комп занимается только пересылкой пакетов.
Поэтому, чтобы ему жизнь мёдом не казалась, нагружаем его дополнительной работой – NAS-сервер, Backup-сервер и т.п.
Впрочем, с RouterOS такая доп.нагрузка не прокатит (слишком урезанная ОС).
2.2. Удобных графических окошек наблюдения за активностью закладок здесь нет, придется зрить консольные логи, и может быть (если найдем такой софт) – в виде их веб-страниц.
2.3. Самое грустное – здесь мы теряем возможность идентифицировать софт с закладками. Максимум, что здесь увидим – по каким портам и адресам они ломятся, дальше надо додумывать самому.
Вариант 3.
К варианту 2 добавляем прокси (Squid). Тогда получаем удобые логи в виде веб-страниц (к Squid есть много такого визиализирующего софта).
Минусы:
3.1. Как отметил выше unknown – теряем совместимость с Tor-сетью.
Вариант 4.
Фантастический: найти такой софт или ОС, которые исполнили бы сразу все мои желания.
Минусы:
4.1. Увы, такие мне не известны.
Но может, они существуют?
PS. Извиняюсь, что проблема несколько вышла за рамки обсуждения TBB.
Аудит именно такого сорта штатно не поддерживается. Да, можно поставить дополнительный прокси между браузером и Tor'ом. Не знаю какой и как его настраивать, но можно. Об опасности этого уже писалось — потенциальное профилирование.
Я бы порекомендовал пойти другим способом: включить детальный анализ в логах Tor (debug или какой-то другой). Их можно просматривать или вручную или написать скрипт, который будет выуживать подозрительную активность (с вашей точки зрения). Конечно, если вы боитесь консоли, странно с вашей стороны требовать такого аудита. Большинство от него отказывается, полагаясь на принцип «мы настроили так, что утечь не должно; а если утекло, то уже поздно что-то делать». Конечно, с аудитом лучше, но это дополнительная головная боль.
Мне кажется, со squid'ом это должно быть настраиваемо, но я с ним почти не имел дела. Он вроде сортирует по протоколам, а не портам, да? Если по портам, то дело плохо. Веб-сайт подсунет вам страницу с HTTP-запросом на нестандартный порт и отпрофилирует. С протоколами тоже не всё хорошо в том смысле, будут ли они анализироваться, но можете надеяться, что зловред будет пролазить через тот протокол, который squid умеет анализировать (безосновательные предположения, но пусть).
Ну, и самое главное — всё взвесить и подумать, стоит ли овца выделки (сложность настройки и поддержки этого комбайна может не стоит той дополнительной безопасности, которую он даёт). Вместо разных компьютеров можно поставить виртуалку, тогда будет внутренняя локальная сеть, где можно делать всё то же самое.
Я не знаю, можно ли вручную просмотреть огромные объёмы трафика с десктопа, если вы не написали предварительные инструменты по его анализу. Однако, и это не предел, можно поставить домашний DPI. Стоит ли оно всего того в вашем случае — решать вам. Корпоративные сети анализируются на предмет посторонней активности, в том числе, именно через DPI.
Основной проблемой здесь считаю не внешние вторжения (их пресекают сейчас все, кому не лень), а обнаружение активности закладок в системе, т.е. внутренней "пятой колонны", представляющей наибольшую опасность в (хм) безопасности.
Для этого для начала отложим в сторону TBB вместе с Tor.
И предположим, что десктоп работает на Windows.
В этом случае основная проблема (детекция активности "пятой колонны") прекрасно решается файрвольными версиями NOD32 и Касперского: файрволы прекрасно отлавливают активность закладок в режиме реального времени, мгновенно информируя пользователя во всплывающих окнах, и ведя удобные читабельные логи.
Кстати, антивирусная компонента этих двух софтин не столь важна, поскольку основана на превентивном анализе сигнатур и эвристике, но активность закладок обнаруживает именно файрвол.
Таким образом, если доверять NOD32 и Касперскому на отсутствие в них самих собственных закладок, то в Windows задача детекции активности закладок прекрасно решается.
Причем, если теперь добавить в задачи дестопа использование Tor и TBB, то ничего не меняется – все продолжает прекрасно работать.
А теперь перенесемся в Linux. И тут, оказывается, в этом вопросе полная ж.па :(
Нет никаких средств для решения вышеуказанной проблемы.
Конечно, сам Linux даже в исходном виде по вопросам безопасности даст фору Windows, но времена сейчас наступили наступили такие ("сноуденовские"), что доверять вообще никому нельзя – ни софту, ни железу.
Единственный выход, имхо – использование основоополагающей гебисткой методики: заставить софт независимых производителей следить друг за другом и стучать друг на друга. Но опять-таки, в Линуксе и такого не наблюдается.
И как быть простому параноику?