Понятно, что анонимные прокси никто не отменял, но как быть с возможностью перехвата трафика от прова к юзеру?
Кто-нибудь знаком с www.freedom.net (Freedom Web Sequre)? Что скажете?
Комментарии
— SATtva (13/05/2004 17:08) Наиболее интересен в этом плане проект I2P ( www.i2p.net ), но пока он на довольно ранней стадии развития, хотя к концу года расчитывают вывести на заданный уровень функционирования.
Freedom.net лично меня не устраивает по двум параметрам: во-первых, он коммерческий, и, что важнее, во-вторых, — имеет единого владельца. Несмотря на то, что их протокол весьма надёжен и даже им затрудняет определение личности каждого пользователя, но до введения в строй действительно анонимных платёжных систем, владельцы Freenet могут отследить пользователя по его денежным перечислениям.
— Гость (17/05/2004 01:55) а что VPN уже отменили...это к вопросу о перехвате трафика от прова к юзверю. А к теме о перечислении средств: так ить есть электронные платежные системы...там все достаточно анонимно.
— SATtva (17/05/2004 02:34) VPN не несёт никаких признаков анонимности: хотя провайдер не сможет читать трафик, он всё же будет видеть, кто и с кем устанавливает связь, сколько она продолжается, сколько передаётся информации в течение сеанса (если не реализованы синхронные потоковые шифры) и так далее. Тривиальный анализ трафика. Тем более, VPN пока на каждом веб-сервере не установлен. Какие альтернативы? Поставить собственный VPN-сервер (лучше за пределами провайдерской сети) со шлюзом в "Большой мир", который будет весь входящий от юзера по VPN трафик ретранслировать в Интернет и, наоборот, входящий через VPN юзеру передавать. Получаем простой HTTPS-прокси. От провайдера, вероятно, спасёт, но не от более серьёзного противника: все, кто знают, кому принадлежит этот VPN-прокси, будут знать, где этот юзер гуляет. Можно посадить за этим прокси много юзеров, чтобы паттерны конкретного было труднее идентифицировать, но остаётся неразрешённой атака с пересечением (эту проблему, правда, в более крупном масштабе пока никому не удалось разрешить), да и сам прокси становится более лакомой мишенью для оппонента, благодаря централизованности такой схемы.
Существующие платёжные системы также не обладают никакой анонимностью, ибо всегда можно отследить транзакцию к банковскому учреждению, через которое пользователь осуществлял перечисление (электронные деньги, как и детей, не аист приносит — они из более конкретного места берутся, и из налички или с безналичного счёта — не имеет принципиального значения). Понятно, что простым смертным такой мониторинг не под силу, но это обычная норма для правоохранительных органов любой страны.
— paranoid ant (17/05/2004 20:39) Насчет анонимности в платежных системах не соглашусь. Я пользовался Рапидой. Купил карточку, зашел на сайт. Ввел номер карты и код и получил абсолютно анонимный счет.
— SATtva (17/05/2004 20:49) Ну да... (Интересно, IP-адреса пользователей их сервиса протоколируются?) ;-) Только мы постепенно уходим в несколько иной вопрос анонимных электронных денег. Если кто-то хочет именно его обсудить, стоит открыть отдельную тему.
— Гость (12/03/2005 17:14) SATtva, а если мне необходим именно анонимный серфинг, например выложить файл в обменнике, зарегистрировать сайт, закачать на него материалы, оставить сообщение на доске объявлений или в форуме, и при этом быть на 100% уверенным что меня не найдут? С учетом того что пользуемся диалапом, это возможно? Спасибо.
— SATtva (12/03/2005 17:42) В этом разделе форума много упоминаний о сети TOR. Почитайте. Если останутся какие-то вопросы или возникнут новые, ставьте их более конкретно. Скажем, что Вы подразумеваете под 100-процентной невозможностью Вас найти? Найти кем? Какова Ваша модель угрозы? Или какой загружаете файл?
TOR пригоден для большинства применений, но, например, не обеспечивает защиты от глобального наблюдателя (для любой анонимизирующей сети с низкой задержкой это практически нерешаемая проблема). Поскольку трафик прогоняется через множество узлов с разной шириной канала, загрузка очень крупных файлов может быть проблематичной; хотя на диалапе замедление будет незначительным. Кроме того, чтобы не перегружать сеть пустопорожним трафиком, порты всяческих KaZaa, eMule и прочих на выходе из TOR'а блокируются. Для анонимного файлообмена лучше использовать Mute, например, предназначенный именно для этой цели.
Короче, обеспечение анонимности (или псевдонимности) — обычно решаемая задача.
— Урод (26/02/2006 12:43)
SATtva:
В этом разделе форума много упоминаний о сети TOR. Почитайте. Если останутся какие-то вопросы или возникнут новые, ставьте их более конкретно. Скажем, что Вы подразумеваете под 100-процентной невозможностью Вас найти? Найти кем? Какова Ваша модель угрозы? Или какой загружаете файл?
Короче, обеспечение анонимности (или псевдонимности) — обычно решаемая задача.
Если разрешите можно я вмешаюсь в вашу дискуссию, коль Автор топика не ответил на данные вопросы, то я отвечу. Моя задача проста, быть анонимным в просторах Интернета, то есть:
– Анонимное оставления сообщений на форумах.
– Анонимное передвижения по просторам Интернета
– Анонимно заходить в данную платежную систему как Webmoney.
– Анонимные платежи с электронных денег, таких как Webmoney. Хочу подчеркнуть ИМЕННО платежи с данного кошелька.
– Скачивания файлов так же анонимно.
О противники :
– Его задача, и узнать мой реальный IP, любыми способами.
– Перехват моего трафика.
– Узнать когда, куда и во сколько я заходил на определенные сайты.
– И самое главное примерная сумма на расходы для реализации данной задачи будет примерно 100тыс.$.
Я слышал, что вы очень положительно относитесь к Tor, я его использую но не считаю что она дает большой уровень безопасности. Вот хотелось бы услышать, возможно, ЛИ реализовать данную идею? Если да, то что нужно для этого.
P. S. Если с моей стороны потребуются деньги для построения данной задачи, напишите тоже это сколько и куда уйдет, и сколько в последствии денег будет уходить в месяц для поддержания данной системы. Буду при много благодарен, если вы все распишите, и готов буду внести в фонд сайта денюшку, для развития вашего (ой извеняюсь уже НАШЕГО сайта). Заранее благодарен.
:D
— SATtva (28/02/2006 21:07) Вы ставите весьма высокую планку бюджета, но не указываете, является ли Ваш оппонент резидентом какой-то определённой страны. Будем исходить из допущения, что оппонент всё-таки не глобальный.
Учитывая масштаб угрозы, обзаведитесь высокоскоростным каналом (ADSL не подходит), лучше синхронным. Запустите на своей машине Tor-сервер и объявите его в директории.
В качестве более дорогого варианта можете установить Tor-сервер на арендованном или Вашем собственном хосте на столь же быстром канале в зарубежной стране, с которой у Вашего оппонента наиболее натянутые дип.отношения и нет соглашения о выдаче и к чьей юрисдикции можно будет обратиться за защитой от правового приследования (в случае чего). Для соединения с этим удалённым сервером используйте собственный vpn-канал с постоянным покрывающим трафиком и уже через установленный там Tor-клиент, работающий в режиме сервера, выходите в Сеть.
Используйте Tor. Для работы с платёжными системами используйте их веб-интерфейсы (если таких нет, не используйте эти платёжные системы). Для WebMoney это веб-клиент Keeper Light.
Скачивания файлов так же анонимно.
Не очень большие файлы, даже в пределах нескольких десятков мегабайт, вполне комфортно скачивать через Tor. Если у Вас хватит терпения, можете закачивать и видео, но я не вижу потребности в том уровне анонимности, который обеспечивает Tor, для такого приложения.
— Урод (04/03/2006 14:24) Спасибо за ответы SATtva. Тоесть если я правильно понял
"Для соединения с этим удалённым сервером используйте собственный vpn-канал с постоянным покрывающим трафиком и уже через установленный там Tor-клиент, работающий в режиме сервера, выходите в Сеть. "
VPN собственный это конечно хорошо, НО если я один буду использовать данный VPN сервер, и мой противник будет знать на каком я сервере расположен, он легко сможет определить мой IP, так как я один буду постоянно коннектится к данному серверу, и он легко сможет определить мой IP, или вы что то другое имели ввиду.
А возможно в качестве сервера Tor использовать обычный хостинг, и если да, то где можно будет почитать, как создать собственный сервер Tor, на русском языке .
И не большой оффтоп, не могли кто нибудь подсказать, есть ли еще какие либо русскоязычные форумы и сайты подобной тематики, дайте сылок, так как к ОГРОМНОМУ сожалению на данном форуме пока мало людей, кто может помогать таким новичкам как я, а хочется постоянно обновлять свои знания.
— andrew (04/03/2006 15:26)
Урод:
Спасибо за ответы SATtva. Тоесть если я правильно понял
"Для соединения с этим удалённым сервером используйте собственный vpn-канал с постоянным покрывающим трафиком и уже через установленный там Tor-клиент, работающий в режиме сервера, выходите в Сеть. "
VPN собственный это конечно хорошо, НО если я один буду использовать данный VPN сервер, и мой противник будет знать на каком я сервере расположен, он легко сможет определить мой IP, так как я один буду постоянно коннектится к данному серверу, и он легко сможет определить мой IP, или вы что то другое имели ввиду.
Если Вы будете использовать VPN-туннель перед сетью Tor, такой опасности нет. Покрывающий трафик делает неэффективными тайминг-атаки и атаки пересечения, так что в случае если Вы доверяете VPN-серверу, худшее что может сделать злоумышленник – атака "отказ в обслуживании".
Если бы Вы использовали VPN-туннель после сети Tor, Вы получили бы фиксированную конечную точку, вследствие чего велик риск корреляции трафика выходных узлов сети Tor и Вашего VPN-сервера.
Урод:
А возможно в качестве сервера Tor использовать обычный хостинг, и если да, то где можно будет почитать, как создать собственный сервер Tor, на русском языке .
Похоже, что страницу http://tor.eff.org/cvs/tor/doc/tor-doc-server.html на русский никто не переводил, но там есть всё, что Вам нужно знать о настройке Tor-сервера. Ман же переведён командой ASPLinux, http://privoxy.asplinux.net/man-page/tor-man-page.html Повторю вкратце основные моменты. Работой в режиме клиента или сервера управляет параметр ClientOnly. Также настройка сервера Tor включает выбор Nickname и порта (ORPort). Информацию о себе (включая слепки сгенерированных ключей и свой статус) сервер автоматически передаст серверам каталогов. После того, как Вы убедились, что сервер корректно работает, следует сообщить о нём в tor-ops[at]freehaven.net. Последующие шаги обычно включают ограничение пропускной способности (что рекомендуется в случае обладания асимметричным подключением), установку лимита трафика (иначе сервер сети Tor может неприличный объём трафика ежемесячно) и выбор политики участия в сети (посредник, middleman node, только передающий трафик другому узлу, или exit node).
Урод:
И не большой оффтоп, не могли кто нибудь подсказать, есть ли еще какие либо русскоязычные форумы и сайты подобной тематики, дайте сылок, так как к ОГРОМНОМУ сожалению на данном форуме пока мало людей, кто может помогать таким новичкам как я, а хочется постоянно обновлять свои знания.
Если Вы будете использовать VPN-туннель перед сетью Tor, такой опасности нет. Покрывающий трафик делает неэффективными тайминг-атаки и атаки пересечения, так что в случае если Вы доверяете VPN-серверу, худшее что может сделать злоумышленник – атака "отказ в обслуживании".
В данный момент я использую сервер который не принадлежит мне, и естественно я не могу контролировать, что происходит на данном сервере, конечно же мне это не приятно, но умения и опыта в поднятие своего собственно сервера, к сожелению нету :( .
Но я принял другой метод как обезопасить, себя, может он глуп, но в данный момент времени, альтернативы просто напросто не вижу. Я приобрел у двух человек VPN, оба обещают полную анонимность, не ведения логов, и все в таком духе. Один Сервис OpenVPN, а другой PPTP.
OpenVPN использует PGP ключи(которые предварительно выдает владелец данного сервиса), для доступа на данный сервер, которые как я понял служат ввиде индитифицации( может допустил ошибку, фиг выговоришь :) ) пользователя.
PPTP, не чего не использует, нужеен только логин и пасс, для использования данного сервиса.
Я начинаю свою работу, так сначало коннекчусь к серверу OpenVPN, после этого к PPTPVPN, а после этого уже выхожу в интернет через Tor.
Тоесть получается такого рода связка Моя машина => OpenVPN => PPTP. VPN => Tor => Интернет или ICQ либо еще что то....
Я при покупки данного сервисов, рассчитываю на то что, при выходи из OpenVPN трафик не сможет перехватыватся, допустим у провайдера который предостовляет данный сервер для OpenVPN (допустим в Голандии). И трафик сразу же будет с OpenVPN, переходить в PPTP VPN, где так же не сможет будет перехватываться, и будет сразу переходить в Tor. Тоесть по моей теории трафик на выходи из данных сервисов не на каком пути не сможет быть перехвачен 8). Правильно я все понял, или это фантастика. И что вы еще можите посоветовать.
andrew:
Похоже, что страницу http://tor.eff.org/cvs/tor/doc/tor-doc-server.html на русский никто не переводил, но там есть всё, что Вам нужно знать о настройке Tor-сервера. Ман же переведён командой ASPLinux, http://privoxy.asplinux.net/man-page/tor-man-page.html Повторю вкратце основные моменты. Работой в режиме клиента или сервера управляет параметр ClientOnly. Также настройка сервера Tor включает выбор Nickname и порта (ORPort). Информацию о себе (включая слепки сгенерированных ключей и свой статус) сервер автоматически передаст серверам каталогов. После того, как Вы убедились, что сервер корректно работает, следует сообщить о нём в tor-ops[at]freehaven.net. Последующие шаги обычно включают ограничение пропускной способности (что рекомендуется в случае обладания асимметричным подключением), установку лимита трафика (иначе сервер сети Tor может неприличный объём трафика ежемесячно) и вбор политики участия в сети (посредник, middleman node, только передающий трафик другому узлу, или exit node).
Ну если често я данную страницу не смотрел еще, спасибо что кинули ссылку. Тоесть получается, что данный сервер который я захочу создать, будет использовать и другие участиники сети Tor, или можно будет использовать его только для себя. Заранее спасибо за помошь, и ответы.:wink:
— andrew (04/03/2006 17:06)
Урод:
andrew:
Если Вы будете использовать VPN-туннель перед сетью Tor, такой опасности нет. Покрывающий трафик делает неэффективными тайминг-атаки и атаки пересечения, так что в случае если Вы доверяете VPN-серверу, худшее что может сделать злоумышленник – атака "отказ в обслуживании".
В данный момент я использую сервер который не принадлежит мне, и естественно я не могу контролировать, что происходит на данном сервере, конечно же мне это не приятно, но умения и опыта в поднятие своего собственно сервера, к сожелению нету :( .
Но я принял другой метод как обезопасить, себя, может он глуп, но в данный момент времени, альтернативы просто напросто не вижу. Я приобрел у двух человек VPN, оба обещают полную анонимность, не ведения логов, и все в таком духе. Один Сервис OpenVPN, а другой PPTP.
OpenVPN использует PGP ключи(которые предварительно выдает владелец данного сервиса), для доступа на данный сервер, которые как я понял служат ввиде индитифицации( может допустил ошибку, фиг выговоришь :) ) пользователя.
PPTP, не чего не использует, нужеен только логин и пасс, для использования данного сервиса.
Я начинаю свою работу, так сначало коннекчусь к серверу OpenVPN, после этого к PPTPVPN, а после этого уже выхожу в интернет через Tor.
Тоесть получается такого рода связка Моя машина => OpenVPN => PPTP. VPN => Tor => Интернет или ICQ либо еще что то....
Я при покупки данного сервисов, рассчитываю на то что, при выходи из OpenVPN трафик не сможет перехватыватся, допустим у провайдера который предостовляет данный сервер для OpenVPN (допустим в Голандии). И трафик сразу же будет с OpenVPN, переходить в PPTP VPN, где так же не сможет будет перехватываться, и будет сразу переходить в Tor. Тоесть по моей теории трафик на выходи из данных сервисов не на каком пути не сможет быть перехвачен 8). Правильно я все понял, или это фантастика. И что вы еще можите посоветовать.
Вовсе это не фантастика, а весьма разумная схема, которая уже обсуждалась здесь: http://www.pgpru.com/forum/viewtopic.php?t=1282 :)
Небольшое уточнение: OpenVPN использует не PGP-ключи, а OpenSSL-сертификаты. Единственное, что можно посоветовать – рассмотреть возможность применения OpenVPN или IPSec вместо PPTP в качестве технологии построения второго туннеля. Причины недоверия PPTP – по ссылке выше.
Урод:
andrew:
Похоже, что страницу http://tor.eff.org/cvs/tor/doc/tor-doc-server.html на русский никто не переводил, но там есть всё, что Вам нужно знать о настройке Tor-сервера. Ман же переведён командой ASPLinux, http://privoxy.asplinux.net/man-page/tor-man-page.html Повторю вкратце основные моменты. Работой в режиме клиента или сервера управляет параметр ClientOnly. Также настройка сервера Tor включает выбор Nickname и порта (ORPort). Информацию о себе (включая слепки сгенерированных ключей и свой статус) сервер автоматически передаст серверам каталогов. После того, как Вы убедились, что сервер корректно работает, следует сообщить о нём в tor-ops[at]freehaven.net. Последующие шаги обычно включают ограничение пропускной способности (что рекомендуется в случае обладания асимметричным подключением), установку лимита трафика (иначе сервер сети Tor может неприличный объём трафика ежемесячно) и вбор политики участия в сети (посредник, middleman node, только передающий трафик другому узлу, или exit node).
Ну если често я данную страницу не смотрел еще, спасибо что кинули ссылку. Тоесть получается, что данный сервер который я захочу создать, будет использовать и другие участиники сети Tor, или можно будет использовать его только для себя. Заранее спасибо за помошь, и ответы.:wink:
Сервер для того и предназначен, чтобы его использовали клиенты :) Выбор режима работы сервера (exit или middleman node) определяет лишь то, будет ли Ваш сервер служить выходным узлом, то есть передавать трафик сети Tor в открытом виде к серверу назначения. То есть middleman-режим полезен в том случае, если Вы боитесь стать вектором атаки структур, желающих перехвачивать трафик сети Tor в открытом виде. Разумеется, Вы можете воспользоваться всеми преимуществами Tor и переведя Ваше ПО в режим работы клиента. НО в таком случае возрастает опасность анализа трафика Вашего узла, на ктором запущено ПО Tor: ведь когда ПО работает в режиме сервера, оно передаёт трафик и от других пользователей, что служит, опять таки, покрывающим трафиком 8)
— Урод (04/03/2006 23:16) Большое спасибо andrew, за вашу помощь. Как я понял, если использовать VPN, и в конце самом использовать Tor, то можно не боятся за логи, ЕСЛИ они даже будут записываться, то от них не будет не какого результата ?
Я понял, что чем больше я читаю, и понимаю, я понимаю что я не чего не знаю. :D
— andrew (05/03/2006 01:39)
Урод:
Большое спасибо andrew, за вашу помощь. Как я понял, если использовать VPN, и в конце самом использовать Tor, то можно не боятся за логи, ЕСЛИ они даже будут записываться, то от них не будет не какого результата ?
Я понял, что чем больше я читаю, и понимаю, я понимаю что я не чего не знаю. :D
Конечно я не экперт, но хочу высказать свои соображения насчёт такой схемы. Да, вот сама схема:
Ваша машина => ISP => OpenVPN => PPTP VPN => Tor => Интернет
Итак, Ваш ISP и машины изнутри локальной сети видят лишь шифрованный трафик, идущий к фиксированному IP-адресу OpenVPN-сервера. Факт использования сети Tor тоже как бы скрыт от наблюдателей "ближнего края": нельзя так просто сказать в определённый момент времени, используете Вы Tor или только VPN. Но это в этом нельзя быть столь уверенным: http://www.pgpru.com/forum/viewtopic.php?p=6699#6699 Так или иначе, на основании данных о моментах связи ISP может сделать некоторые выводы. Сответственно имеем тайминг-атаку или атаку пересечения :)
Далее, в контексте вопроса доверия VPN-серверам важно то, насколько безопасным образом проведён обмен ключами или сертификатами. То есть, в случае OpenVPN, пусть даже ISP использует самоподписанный сертификат, но доставленный Вам надёжным способом: так, что Вы можете быть уверены в аутентичности сертификата.
Сильной стороной такой схемы является то, что приложения, которые нельзя пустить через Tor (что особенно актуально на платформе Windows), могут полагаться на защиту, обеспечиваемую VPN-туннелями. Конечно, VPN-туннель по определению не обеспечивает свойство анонимности или тем более защиту от тайминг-атак и атак пересечения (да и является единой точкой отказа и вектором атак в придачу :) ), но это лучше, чем ничего. В применении более чем одного VPN-туннеля необходимости я не вижу, но в качестве полумеры, ликвидирующей единую точку отказа, это имеет смысл. Тем паче в случае территориальной разнесённости серверов.
Находящийся на "дальнем конце" сервер Tor в том случае, если он работает в режиме сервера, т.е. передаёт трафик других пользователей Tor, вряд-ли станет чьим-то первоочерёдным вектором атаки (но только если не принимать во внимание "глобального наблюдателя"). VPN-сервер выглядит более слабым звеном хотя бы потому, что через него не идёт покрывающий трафик, а значит – достаточно установить соотвествие трафика VPN-сервера и входного сервера сети Tor. Ещё одна слабость заключается в возможности подмены Вашего VPN-сервера (что должно быть определённо сложнее в том случае, если его сертификат заверен надёжным удостоверяющим центром).
Если рассмотреть сценарий с "глобальным наблюдателем", то картина зависит от того, работает ПО Tor в режиме сервера или клиента.
Если ПО Tor работает в режиме клиента, наблюдатель может коррелировать трафик Tor-узла и динамически выбираемого входного узла сети Tor, если же в режиме сервера – то ввиду наличия покрывающего трафика от других клиентов сети Tor, наблюдателю для установления логической связи придётся отыскать среди всех входящих по отношению к Tor-узлу соединений имеено то, что было инифиировано внешним VPN-сервером, для чего надо знать о факте его использования Вами.
Наконец, думаю, что о application-level security и упоминать не стоит. О подводных камнях использования Tor уже много всего было сказано :)
О логах, поскольку трафик, проходящий через VPN-сервера, зашифрован открытым ключом входного узла сети Tor, сам трафик так просто не раскрыть, но данные о времени и продолжительности сеансов связи в случае попадания в недобрые руки могут сказать многое о времени и продолжительности сеансов связи и тем самым развеять Вашу анонимность.
— SATtva (06/03/2006 20:01)
Ещё одна слабость заключается в возможности подмены Вашего VPN-сервера (что должно быть определённо сложнее в том случае, если его сертификат заверен надёжным удостоверяющим центром).
Полагаю, это лишь переносит бремя доверия с одной организации на другую, одновременно создавая дополнительный вектор атаки: пользователь должен верить, что удостоверяющий центр не выдаст поддельный сертификат и что он сам располагает подлинным сертификатом УЦ.
Будет лучше и проще лично получить самоподписанный сертификат от vpn-провайдера и сделать его доверенным (только для аутентификации vpn-узла). В этом случае подмена сертификата на стороне сервера будет обнаружена.
Наконец, думаю, что о application-level security и упоминать не стоит. О подводных камнях использования Tor уже много всего было сказано
Да, и кредитными карточками в Сети пользоваться не стоит... и своего настоящего имени писать... и многого другого не делать. :)
— Урод (07/03/2006 19:05) Спасибо всем ха ответы, подчерпнул много, наверно послушаю мнения andrew, так как боллее лучшего способа по моей ситуации не вижу.
— Урод (08/03/2006 18:24) Что то рано я попрощался в принципе прикинул извилиной :D и решил составить и полностью расписать что я хочу сделать для безопасности, как передачи данных так и для анонимности в интернете.
Ну, начну. Для начало, я хочу приобрести сервер, в Китае, именно в этой странне так как с данной странной очень плохо налажены Юридические отношения с такими странами как СНГ, США. Купив данный сервер, хочу разместить, там VPN сервер, то есть это будет первый этап для шифрования и анонимности в интернете, на данном сервере, будет располагаться мой собственный VPN сервер, которым буду пользоваться исключительно я один. Как я считаю лучше всего на данном сервере разместить OpenVPN.
Естественно, если я буду постоянно один коннектится к данному сервису, легко можно будет увидеть кто пользуется данным сервером так как коннект будет происходит от одного и того же IP, поэтому я хочу приобрести баннер, на каком нибудь сайте, который посещяют постоянно около 1-1.5к в сутки, и что бы около 300 кликоло по моему баннеру в сутки, и попадали на мой сервер, тоесть происходил коннект, и естественно если будет снифинг по IP моего сервака, то тот кто коннектился к моему серверу будет не один человек (то есть я), а около 300, и отследить именно меня будет очень сложно. Как данная идейка?
Данный сервер буду менять примерна 1 раз в полтора месяца, тоесть переезжать на другой сервер.
Так после того как я буду пользоваться своим собственным ВПН, я хочу приобрести, VPN у другого человека у данного человека сервер будет находится Допустим в Бельгии, данный сервер будет OpenVPN, сам автор данного сервера уверяет что логов не ведется на данном, сервере. Но я мало этому верю поэтому, хочу как можно меньше оставлять следов на данном сервере, так как если что случится, было трудно определить куда я заходил, что делал. * Возможно сделать ли что нибудь для данной идеи?
После этого я хочу приобрести VPN на сервере, допустим в бразилии, данный сервер будет PPTP VPN, и так же как и тот автор уверяет что не ведется логов, и айпи даже если получат доступ к серверу, будет практически не возможно определить. Естественно как и во втором случаи я не хочу оставлять следов, или как можно меньше оставить следов использования данного сервера. Что бы не смогли по данным следам отследить мои реальные координаты. *Возможно ли как то реализовать данную идею ?
После использования данных сервисов, я хочу для общения по ICQ и Серфинга Интрнета, скачки файлов, использовать саму сеть Tor.
Для реализации данной задачи, я приобрету где то в Дании хостинг, там я создам сервер Tor, и естественно буду стирать все логии, использования данного сервера, и включу его в список серверов которые постоянно будет при использование данной сети
*Вомзможно ли будет стирать все логии, без восстановления, если да то как?
* И повлияет ли каким образом ТО что я буду использовать, постоянно свой сервер, на хостинге ?
Как я понял из постов выше людей, которых я благодарю за помощь, что используя данную сеть все логи на данных серваках VPN, будут бесполезны так как если даже они будут записываться, то они будут зашифрованные ключами, которые использует серверы сети Tor. *Так ли это?
Ну и последний этап и завершающий в моей безопасности наверное, это Socks5, что бы :
1) Был постоянный Ip.
2) То что бы скрыть ТО что я использую сеть Tor ( по определенным причинам). * Как смотрите на данную идею? И повлияет ли как нибудь на мою безопасность, то что я хочу иметь постоянный IP (Socks5)
А теперь вопрос, второго плана:
Я много слышу про устройства кодирования, которое монтируется в стойку и присоединяемые к маршрутизатору и шифрует трафик, вот хотелось бы услышать у людей, как вы относитесь к данным устройствам? И могли бы внести свою лепту спецслужбы в данное устройство.
Ну вот пожалуй и все, вот моя идея, которую я хочу реализовать. Если не затруднит ответе на вопросы, которые я задал по ходу своей идеи. И если не затруднит по критикуйте, и если у вас есть идеи какие еше можно добавить или что нужно изменить, высказывайте, пожалуйста, так как каждое мнения участника мне очень важно. Зараннее благодарен.
— SATtva (09/03/2006 19:53)
Для начало, я хочу приобрести сервер, в Китае, именно в этой странне так как с данной странной очень плохо налажены Юридические отношения с такими странами как СНГ, США.
Зря Вы так насчет СНГ (особенно если дело касается конкретно России). А если говорить о США, то купите сервер лучше в Северной Корее. ;)
если будет снифинг по IP моего сервака, то тот кто коннектился к моему серверу будет не один человек (то есть я), а около 300, и отследить именно меня будет очень сложно. Как данная идейка?
Это очень плохая мысль. Паттерн Вашего соединения будет, как небоскрёб посреди деревни: и по продолжительности, и по объему трафика (и я даже не говорю о перспективе сниффинга пакетов). Чтобы обеспечить анонимность необходимо как можно полнее "растворить" целевой трафик (к примеру, Ваш) в покрывающем, чем бы он ни был. Вот почему все данные, передаваемые через Tor, разбиваются на равные блоки и веейрно пересылаются из кэша Tor-узла к местам назначения.
Но я мало этому верю поэтому, хочу как можно меньше оставлять следов на данном сервере, так как если что случится, было трудно определить куда я заходил, что делал. Возможно сделать ли что нибудь для данной идеи?
Подключайтесь к этому vpn-серверу через Tor.
используя данную сеть все логи на данных серваках VPN, будут бесполезны так как если даже они будут записываться, то они будут зашифрованные ключами, которые использует серверы сети Tor. Так ли это?
Нет, просто логи любых сервисов, к которым Вы подключаетесь после сети Tor, будут содержать IP-адреса Tor-узлов, а не Ваш собственный.
И повлияет ли как нибудь на мою безопасность, то что я хочу иметь постоянный IP (Socks5)
Единственный минус, который я вижу, это то, что данный сокс становится Вашим псевдонимом. Скажем, если Вы просматриваете какой-нибудь веб-сайт, то по его логам будет понятно, что это делает один человек. В случае с Tor'ом Ваш "внешний" IP будет постоянно меняться, и уже трудно будет сказать, просматривает сайт один человек или же группа независимых пользователей загружает различные данные с сервера (конечно, если число соединений с сервером невелико, восстановить паттерн просмотра и коррелировать все Ваши Tor-подключения будет возможно).
Я много слышу про устройства кодирования, которое монтируется в стойку и присоединяемые к маршрутизатору и шифрует трафик, вот хотелось бы услышать у людей, как вы относитесь к данным устройствам? И могли бы внести свою лепту спецслужбы в данное устройство.
Любые средства канального шифрования требуют наличия таких устройств на каждом конце линии связи. Их преимущества в простоте подключения и настройки и в скорости работы. Не думаю, что Вам такая вещь реально нужна.
— Урод (10/03/2006 23:38) Благодарю за уделенное мне время. А благодаря какому софту можно завернуть, Тоr в VPN?
И как тогда получается после того как Tor зарулит в VPN, я смогу лазить в инете под сервервами Тor?
А где можно почитать на русском как создать Тоr сервер?
— SATtva (11/03/2006 09:32) Не переусложняйте схему. Будет проще использовать[link1] нескольно vpn-туннелей для доступа к Tor-клиенту, и уже через него выходить в Сеть. Можно и собственный трафик через Tor направлять в vpn, но в этом случае при работе в Сети Вы получите фиксированный IP своего vpn-шлюза. Если же построить схему Компьютер -> Tor -> VPN -> Tor -> Сеть, Вы рискуете получить катастрофически низкую производительность своего канала.
А где можно почитать на русском как создать Тоr сервер?
Документации[link2] по настройке сервера на русском пока нет.
— Урод (13/03/2006 13:20) Вот тогда что вы мне посовутуете, SATtva. Так как я не хочу светить на VPN серверов реальный IP, но и при выходе из VPN, лазить по интрнету и остовлять на форумах сообщения с реальным IP, тоже не желательно.
— SATtva (13/03/2006 15:21) Если не доверяете оператору VPN, используйте перед ним Tor, а на выходе из VPN — простой случайно выбранный прокси и регулярно (ежедневно, ежечасно) его меняйте. Только учтите, что если Вы не доверяете оператору vpn-шлюза, то должны принимать и риск компрометации ключей vpn-шлюза этим же оператором.
В таком случае цель vpn-туннеля не совсем для меня ясна. Если Вы используете его только в качестве подстраховки на случай обнаружения каких-то уязвимостей в самой сети Tor, то, учитывая недоверие к vpn-шлюзу, Вы в любом случае рискуете полной компрометацией своего трафика или местонахождения. Получается полумера, не стоящая затраченных на неё средств.
— Урод (13/03/2006 17:05) Понимаете уважаемый SATtva, я доверяю данному VPN серверу, и многие мои знакомые пользуются давно этим сервисом, но 100% гарантии не кто дать не может, сами понимаете, и возможно мои конкруенты, сидят в дат.центре, и отслеживают трафик.... поэтому такие волнения. Но я всетаки думаю использовать сначало Провайдер – ToR -VPN (OpenVpn) – VPN (PPTP) – Tor – сайт.
Если я все правильно понял, то если я буду использовать данную схему, то весь трафик который будет проходить через VPN'ы. Будет зашифрованны конечным Tor, и логи будут в зашифрованном ввиде от сети Tor, и VPN'ы не смогут прочитать трафик.
Я понимаю что при такой схеме будет скорость маленькая, но что поделать безопасность требует жертв.
Извените за назойливость, и нудство, просто пытаюсь вникнуть во всю тему. Заранее спасибо.
— SATtva (13/03/2006 21:17)
Я понимаю что при такой схеме будет скорость маленькая, но что поделать безопасность требует жертв.
Это совершенно верное замечание. Хорошо, что Вы это понимаете.
— Урод (13/03/2006 22:34)
Урод:
Провайдер – ToR -VPN (OpenVpn) – VPN (PPTP) – Tor – сайт.
Если я все правильно понял, то если я буду использовать данную схему, то весь трафик который будет проходить через VPN'ы. Будет зашифрованны конечным Tor, и логи будут в зашифрованном ввиде от сети Tor, и VPN'ы не смогут прочитать трафик.
Правильно ли я все понял :D. Если так то еще вопрос.
:arrow: 1) Что надо сделать что бы Tor заходил в VPN (Open), какое именно программное обеспечения надо поставить, что бы траф с Тор заходил в ВПн. и дальшн шел по выше изложенной цепочке, или как это сделать??.
:arrow: 2) И что надо будет делать что бы использовать Тор, до VPN(open) и что потом использовать Тор после (PPTP) VPN.(см.схему выше.) Устанавливать два ТОр и два привокси, или не надо :? :
— SATtva (14/03/2006 11:33) А как Вы направляете свой обычный трафик через vpn?
— Урод (14/03/2006 12:30) Это вы так пошутили ? :?
Или вы намекаете что не надо не чего делать, и сам зашифрованный траф Tor будет заходить в VPN автоматически ?
— SATtva (14/03/2006 15:27) Используйте локальный клиент Tor в качестве прокси перед своим первым vpn-шлюзом. Как это сделать (и возможно ли) — зависит от устройства vpn-клиента. Ко второму Tor-клиенту Вам придётся подключаться удалённо, хотя сам клиент может быть установлен и на Вашей машине (в этом случае он должен быть доступен из интернета и должен прослушивать некоторый заданный порт, к которому Вы и будете подключаться извне). Privoxy во всей этой схеме нужен только перед первым входом в Tor.
— Урод (14/03/2006 23:33) Все я все сделал до данной стадии ToR -VPN (OpenVpn) – VPN (PPTP) теперь данная пролема, – Tor но я не понял как его примнить, вы можете не много рассписать что куда сувать, когда будет время.
— Гость (31/03/2006 18:27)
хотя сам клиент может быть установлен и на Вашей машине
А не раскроет ли это ваш ip для vpn сервера?
Существуют ли общие точки входа в TOR?
— SATtva (01/04/2006 06:16)
А не раскроет ли это ваш ip для vpn сервера?
Раскроет, Вы правы. Вот к чему приводит излишнее переусложнение схемы или излишняя оптимизация изначальной идеи[link3].
Существуют ли общие точки входа в TOR?
Входом в сеть может служить любой Tor-узел.
— Гость (12/04/2006 09:58)
Учитывая масштаб угрозы, обзаведитесь высокоскоростным каналом (ADSL не подходит), лучше синхронным.
А что это за канал? Почему ADSL не подходит, там вроде достаточно высокая скорость?
Хотел бы поинтересоваться как неспециалист.. Я так понимаю, тайминг-атака – это когда глобальный наблюдатель в момент соединения с определенным сервером смотрит, от кого происходит всплеск траффика в какой-то точке сети, и таким образом вычисляет клиента? Реально ли такое на практике?
И еще такой вопрос, если TOR использует ассиметричное шифрование, насколько реальна атака "человек посередине" к примеру на провайдере?
— SATtva (12/04/2006 14:26)
А что это за канал? Почему ADSL не подходит, там вроде достаточно высокая скорость?
ADSL асимметричен: ширина полос входящего канала и исходящего различны. Таким образом, предельный объем трафика, который сможет позволить себе Tor-сервер, будет сильно ограничен, а отсюда и снижен покрывающий трафик от других пользователей сети. В принципе, даже решение с ADSL лучше, чем ничего, но я как перфекционист предлагал вариант идеальный. :)
Я так понимаю, тайминг-атака – это когда глобальный наблюдатель в момент соединения с определенным сервером смотрит, от кого происходит всплеск траффика в какой-то точке сети, и таким образом вычисляет клиента? Реально ли такое на практике?
С точки зрения глобального наблюдателя вполне реально. Помимо этого предпринимались попытки сделать то же самое силами локального наблюдателя (с помощью эффекта эхо). Сейчас с помощью "охранных узлов" эту атаки затруднили.
И еще такой вопрос, если TOR использует ассиметричное шифрование, насколько реальна атака "человек посередине" к примеру на провайдере?
Открытые ключи всех серверов Tor опубликованы в дерикториях. Сами списки директорий заверены ключами директорий. А эти ключи в свою очередь вшиты в дистрибутивы Tor'а. Это не идеальное решение (проблемы масштабирования), но пока оно работает.
Наиболее интересен в этом плане проект I2P ( www.i2p.net ), но пока он на довольно ранней стадии развития, хотя к концу года расчитывают вывести на заданный уровень функционирования.
Freedom.net лично меня не устраивает по двум параметрам: во-первых, он коммерческий, и, что важнее, во-вторых, — имеет единого владельца. Несмотря на то, что их протокол весьма надёжен и даже им затрудняет определение личности каждого пользователя, но до введения в строй действительно анонимных платёжных систем, владельцы Freenet могут отследить пользователя по его денежным перечислениям.
а что VPN уже отменили...это к вопросу о перехвате трафика от прова к юзверю. А к теме о перечислении средств: так ить есть электронные платежные системы...там все достаточно анонимно.
VPN не несёт никаких признаков анонимности: хотя провайдер не сможет читать трафик, он всё же будет видеть, кто и с кем устанавливает связь, сколько она продолжается, сколько передаётся информации в течение сеанса (если не реализованы синхронные потоковые шифры) и так далее. Тривиальный анализ трафика. Тем более, VPN пока на каждом веб-сервере не установлен. Какие альтернативы? Поставить собственный VPN-сервер (лучше за пределами провайдерской сети) со шлюзом в "Большой мир", который будет весь входящий от юзера по VPN трафик ретранслировать в Интернет и, наоборот, входящий через VPN юзеру передавать. Получаем простой HTTPS-прокси. От провайдера, вероятно, спасёт, но не от более серьёзного противника: все, кто знают, кому принадлежит этот VPN-прокси, будут знать, где этот юзер гуляет. Можно посадить за этим прокси много юзеров, чтобы паттерны конкретного было труднее идентифицировать, но остаётся неразрешённой атака с пересечением (эту проблему, правда, в более крупном масштабе пока никому не удалось разрешить), да и сам прокси становится более лакомой мишенью для оппонента, благодаря централизованности такой схемы.
Существующие платёжные системы также не обладают никакой анонимностью, ибо всегда можно отследить транзакцию к банковскому учреждению, через которое пользователь осуществлял перечисление (электронные деньги, как и детей, не аист приносит — они из более конкретного места берутся, и из налички или с безналичного счёта — не имеет принципиального значения). Понятно, что простым смертным такой мониторинг не под силу, но это обычная норма для правоохранительных органов любой страны.
Насчет анонимности в платежных системах не соглашусь. Я пользовался Рапидой. Купил карточку, зашел на сайт. Ввел номер карты и код и получил абсолютно анонимный счет.
Ну да... (Интересно, IP-адреса пользователей их сервиса протоколируются?) ;-) Только мы постепенно уходим в несколько иной вопрос анонимных электронных денег. Если кто-то хочет именно его обсудить, стоит открыть отдельную тему.
SATtva, а если мне необходим именно анонимный серфинг, например выложить файл в обменнике, зарегистрировать сайт, закачать на него материалы, оставить сообщение на доске объявлений или в форуме, и при этом быть на 100% уверенным что меня не найдут? С учетом того что пользуемся диалапом, это возможно? Спасибо.
В этом разделе форума много упоминаний о сети TOR. Почитайте. Если останутся какие-то вопросы или возникнут новые, ставьте их более конкретно. Скажем, что Вы подразумеваете под 100-процентной невозможностью Вас найти? Найти кем? Какова Ваша модель угрозы? Или какой загружаете файл?
TOR пригоден для большинства применений, но, например, не обеспечивает защиты от глобального наблюдателя (для любой анонимизирующей сети с низкой задержкой это практически нерешаемая проблема). Поскольку трафик прогоняется через множество узлов с разной шириной канала, загрузка очень крупных файлов может быть проблематичной; хотя на диалапе замедление будет незначительным. Кроме того, чтобы не перегружать сеть пустопорожним трафиком, порты всяческих KaZaa, eMule и прочих на выходе из TOR'а блокируются. Для анонимного файлообмена лучше использовать Mute, например, предназначенный именно для этой цели.
Короче, обеспечение анонимности (или псевдонимности) — обычно решаемая задача.
Если разрешите можно я вмешаюсь в вашу дискуссию, коль Автор топика не ответил на данные вопросы, то я отвечу. Моя задача проста, быть анонимным в просторах Интернета, то есть:
– Анонимное оставления сообщений на форумах.
– Анонимное передвижения по просторам Интернета
– Анонимно заходить в данную платежную систему как Webmoney.
– Анонимные платежи с электронных денег, таких как Webmoney. Хочу подчеркнуть ИМЕННО платежи с данного кошелька.
– Скачивания файлов так же анонимно.
О противники :
– Его задача, и узнать мой реальный IP, любыми способами.
– Перехват моего трафика.
– Узнать когда, куда и во сколько я заходил на определенные сайты.
– И самое главное примерная сумма на расходы для реализации данной задачи будет примерно 100тыс.$.
Я слышал, что вы очень положительно относитесь к Tor, я его использую но не считаю что она дает большой уровень безопасности. Вот хотелось бы услышать, возможно, ЛИ реализовать данную идею? Если да, то что нужно для этого.
P. S. Если с моей стороны потребуются деньги для построения данной задачи, напишите тоже это сколько и куда уйдет, и сколько в последствии денег будет уходить в месяц для поддержания данной системы. Буду при много благодарен, если вы все распишите, и готов буду внести в фонд сайта денюшку, для развития вашего (ой извеняюсь уже НАШЕГО сайта). Заранее благодарен.
:D
Вы ставите весьма высокую планку бюджета, но не указываете, является ли Ваш оппонент резидентом какой-то определённой страны. Будем исходить из допущения, что оппонент всё-таки не глобальный.
Учитывая масштаб угрозы, обзаведитесь высокоскоростным каналом (ADSL не подходит), лучше синхронным. Запустите на своей машине Tor-сервер и объявите его в директории.
В качестве более дорогого варианта можете установить Tor-сервер на арендованном или Вашем собственном хосте на столь же быстром канале в зарубежной стране, с которой у Вашего оппонента наиболее натянутые дип.отношения и нет соглашения о выдаче и к чьей юрисдикции можно будет обратиться за защитой от правового приследования (в случае чего). Для соединения с этим удалённым сервером используйте собственный vpn-канал с постоянным покрывающим трафиком и уже через установленный там Tor-клиент, работающий в режиме сервера, выходите в Сеть.
Используйте Tor. Для работы с платёжными системами используйте их веб-интерфейсы (если таких нет, не используйте эти платёжные системы). Для WebMoney это веб-клиент Keeper Light.
Не очень большие файлы, даже в пределах нескольких десятков мегабайт, вполне комфортно скачивать через Tor. Если у Вас хватит терпения, можете закачивать и видео, но я не вижу потребности в том уровне анонимности, который обеспечивает Tor, для такого приложения.
Спасибо за ответы SATtva. Тоесть если я правильно понял
"Для соединения с этим удалённым сервером используйте собственный vpn-канал с постоянным покрывающим трафиком и уже через установленный там Tor-клиент, работающий в режиме сервера, выходите в Сеть. "
VPN собственный это конечно хорошо, НО если я один буду использовать данный VPN сервер, и мой противник будет знать на каком я сервере расположен, он легко сможет определить мой IP, так как я один буду постоянно коннектится к данному серверу, и он легко сможет определить мой IP, или вы что то другое имели ввиду.
А возможно в качестве сервера Tor использовать обычный хостинг, и если да, то где можно будет почитать, как создать собственный сервер Tor, на русском языке .
И не большой оффтоп, не могли кто нибудь подсказать, есть ли еще какие либо русскоязычные форумы и сайты подобной тематики, дайте сылок, так как к ОГРОМНОМУ сожалению на данном форуме пока мало людей, кто может помогать таким новичкам как я, а хочется постоянно обновлять свои знания.
Если Вы будете использовать VPN-туннель перед сетью Tor, такой опасности нет. Покрывающий трафик делает неэффективными тайминг-атаки и атаки пересечения, так что в случае если Вы доверяете VPN-серверу, худшее что может сделать злоумышленник – атака "отказ в обслуживании".
Если бы Вы использовали VPN-туннель после сети Tor, Вы получили бы фиксированную конечную точку, вследствие чего велик риск корреляции трафика выходных узлов сети Tor и Вашего VPN-сервера.
Похоже, что страницу http://tor.eff.org/cvs/tor/doc/tor-doc-server.html на русский никто не переводил, но там есть всё, что Вам нужно знать о настройке Tor-сервера. Ман же переведён командой ASPLinux, http://privoxy.asplinux.net/man-page/tor-man-page.html Повторю вкратце основные моменты. Работой в режиме клиента или сервера управляет параметр ClientOnly. Также настройка сервера Tor включает выбор Nickname и порта (ORPort). Информацию о себе (включая слепки сгенерированных ключей и свой статус) сервер автоматически передаст серверам каталогов. После того, как Вы убедились, что сервер корректно работает, следует сообщить о нём в tor-ops[at]freehaven.net. Последующие шаги обычно включают ограничение пропускной способности (что рекомендуется в случае обладания асимметричным подключением), установку лимита трафика (иначе сервер сети Tor может неприличный объём трафика ежемесячно) и выбор политики участия в сети (посредник, middleman node, только передающий трафик другому узлу, или exit node).
Мне на ум приходит тлько форум ресурса "Интернет и Право", http://www.internet-law.ru/forum/index.htm
В данный момент я использую сервер который не принадлежит мне, и естественно я не могу контролировать, что происходит на данном сервере, конечно же мне это не приятно, но умения и опыта в поднятие своего собственно сервера, к сожелению нету :( .
Но я принял другой метод как обезопасить, себя, может он глуп, но в данный момент времени, альтернативы просто напросто не вижу. Я приобрел у двух человек VPN, оба обещают полную анонимность, не ведения логов, и все в таком духе. Один Сервис OpenVPN, а другой PPTP.
OpenVPN использует PGP ключи(которые предварительно выдает владелец данного сервиса), для доступа на данный сервер, которые как я понял служат ввиде индитифицации( может допустил ошибку, фиг выговоришь :) ) пользователя.
PPTP, не чего не использует, нужеен только логин и пасс, для использования данного сервиса.
Я начинаю свою работу, так сначало коннекчусь к серверу OpenVPN, после этого к PPTPVPN, а после этого уже выхожу в интернет через Tor.
Тоесть получается такого рода связка Моя машина => OpenVPN => PPTP. VPN => Tor => Интернет или ICQ либо еще что то....
Я при покупки данного сервисов, рассчитываю на то что, при выходи из OpenVPN трафик не сможет перехватыватся, допустим у провайдера который предостовляет данный сервер для OpenVPN (допустим в Голандии). И трафик сразу же будет с OpenVPN, переходить в PPTP VPN, где так же не сможет будет перехватываться, и будет сразу переходить в Tor. Тоесть по моей теории трафик на выходи из данных сервисов не на каком пути не сможет быть перехвачен 8). Правильно я все понял, или это фантастика. И что вы еще можите посоветовать.
Ну если често я данную страницу не смотрел еще, спасибо что кинули ссылку. Тоесть получается, что данный сервер который я захочу создать, будет использовать и другие участиники сети Tor, или можно будет использовать его только для себя. Заранее спасибо за помошь, и ответы.:wink:
Вовсе это не фантастика, а весьма разумная схема, которая уже обсуждалась здесь: http://www.pgpru.com/forum/viewtopic.php?t=1282 :)
Небольшое уточнение: OpenVPN использует не PGP-ключи, а OpenSSL-сертификаты. Единственное, что можно посоветовать – рассмотреть возможность применения OpenVPN или IPSec вместо PPTP в качестве технологии построения второго туннеля. Причины недоверия PPTP – по ссылке выше.
Сервер для того и предназначен, чтобы его использовали клиенты :) Выбор режима работы сервера (exit или middleman node) определяет лишь то, будет ли Ваш сервер служить выходным узлом, то есть передавать трафик сети Tor в открытом виде к серверу назначения. То есть middleman-режим полезен в том случае, если Вы боитесь стать вектором атаки структур, желающих перехвачивать трафик сети Tor в открытом виде. Разумеется, Вы можете воспользоваться всеми преимуществами Tor и переведя Ваше ПО в режим работы клиента. НО в таком случае возрастает опасность анализа трафика Вашего узла, на ктором запущено ПО Tor: ведь когда ПО работает в режиме сервера, оно передаёт трафик и от других пользователей, что служит, опять таки, покрывающим трафиком 8)
Большое спасибо andrew, за вашу помощь. Как я понял, если использовать VPN, и в конце самом использовать Tor, то можно не боятся за логи, ЕСЛИ они даже будут записываться, то от них не будет не какого результата ?
Я понял, что чем больше я читаю, и понимаю, я понимаю что я не чего не знаю. :D
Конечно я не экперт, но хочу высказать свои соображения насчёт такой схемы. Да, вот сама схема:
Ваша машина => ISP => OpenVPN => PPTP VPN => Tor => Интернет
Итак, Ваш ISP и машины изнутри локальной сети видят лишь шифрованный трафик, идущий к фиксированному IP-адресу OpenVPN-сервера. Факт использования сети Tor тоже как бы скрыт от наблюдателей "ближнего края": нельзя так просто сказать в определённый момент времени, используете Вы Tor или только VPN. Но это в этом нельзя быть столь уверенным: http://www.pgpru.com/forum/viewtopic.php?p=6699#6699 Так или иначе, на основании данных о моментах связи ISP может сделать некоторые выводы. Сответственно имеем тайминг-атаку или атаку пересечения :)
Далее, в контексте вопроса доверия VPN-серверам важно то, насколько безопасным образом проведён обмен ключами или сертификатами. То есть, в случае OpenVPN, пусть даже ISP использует самоподписанный сертификат, но доставленный Вам надёжным способом: так, что Вы можете быть уверены в аутентичности сертификата.
Сильной стороной такой схемы является то, что приложения, которые нельзя пустить через Tor (что особенно актуально на платформе Windows), могут полагаться на защиту, обеспечиваемую VPN-туннелями. Конечно, VPN-туннель по определению не обеспечивает свойство анонимности или тем более защиту от тайминг-атак и атак пересечения (да и является единой точкой отказа и вектором атак в придачу :) ), но это лучше, чем ничего. В применении более чем одного VPN-туннеля необходимости я не вижу, но в качестве полумеры, ликвидирующей единую точку отказа, это имеет смысл. Тем паче в случае территориальной разнесённости серверов.
Находящийся на "дальнем конце" сервер Tor в том случае, если он работает в режиме сервера, т.е. передаёт трафик других пользователей Tor, вряд-ли станет чьим-то первоочерёдным вектором атаки (но только если не принимать во внимание "глобального наблюдателя"). VPN-сервер выглядит более слабым звеном хотя бы потому, что через него не идёт покрывающий трафик, а значит – достаточно установить соотвествие трафика VPN-сервера и входного сервера сети Tor. Ещё одна слабость заключается в возможности подмены Вашего VPN-сервера (что должно быть определённо сложнее в том случае, если его сертификат заверен надёжным удостоверяющим центром).
Если рассмотреть сценарий с "глобальным наблюдателем", то картина зависит от того, работает ПО Tor в режиме сервера или клиента.
Если ПО Tor работает в режиме клиента, наблюдатель может коррелировать трафик Tor-узла и динамически выбираемого входного узла сети Tor, если же в режиме сервера – то ввиду наличия покрывающего трафика от других клиентов сети Tor, наблюдателю для установления логической связи придётся отыскать среди всех входящих по отношению к Tor-узлу соединений имеено то, что было инифиировано внешним VPN-сервером, для чего надо знать о факте его использования Вами.
Наконец, думаю, что о application-level security и упоминать не стоит. О подводных камнях использования Tor уже много всего было сказано :)
О логах, поскольку трафик, проходящий через VPN-сервера, зашифрован открытым ключом входного узла сети Tor, сам трафик так просто не раскрыть, но данные о времени и продолжительности сеансов связи в случае попадания в недобрые руки могут сказать многое о времени и продолжительности сеансов связи и тем самым развеять Вашу анонимность.
Полагаю, это лишь переносит бремя доверия с одной организации на другую, одновременно создавая дополнительный вектор атаки: пользователь должен верить, что удостоверяющий центр не выдаст поддельный сертификат и что он сам располагает подлинным сертификатом УЦ.
Будет лучше и проще лично получить самоподписанный сертификат от vpn-провайдера и сделать его доверенным (только для аутентификации vpn-узла). В этом случае подмена сертификата на стороне сервера будет обнаружена.
Да, и кредитными карточками в Сети пользоваться не стоит... и своего настоящего имени писать... и многого другого не делать. :)
Спасибо всем ха ответы, подчерпнул много, наверно послушаю мнения andrew, так как боллее лучшего способа по моей ситуации не вижу.
Что то рано я попрощался в принципе прикинул извилиной :D и решил составить и полностью расписать что я хочу сделать для безопасности, как передачи данных так и для анонимности в интернете.
Ну, начну. Для начало, я хочу приобрести сервер, в Китае, именно в этой странне так как с данной странной очень плохо налажены Юридические отношения с такими странами как СНГ, США. Купив данный сервер, хочу разместить, там VPN сервер, то есть это будет первый этап для шифрования и анонимности в интернете, на данном сервере, будет располагаться мой собственный VPN сервер, которым буду пользоваться исключительно я один. Как я считаю лучше всего на данном сервере разместить OpenVPN.
Естественно, если я буду постоянно один коннектится к данному сервису, легко можно будет увидеть кто пользуется данным сервером так как коннект будет происходит от одного и того же IP, поэтому я хочу приобрести баннер, на каком нибудь сайте, который посещяют постоянно около 1-1.5к в сутки, и что бы около 300 кликоло по моему баннеру в сутки, и попадали на мой сервер, тоесть происходил коннект, и естественно если будет снифинг по IP моего сервака, то тот кто коннектился к моему серверу будет не один человек (то есть я), а около 300, и отследить именно меня будет очень сложно. Как данная идейка?
Данный сервер буду менять примерна 1 раз в полтора месяца, тоесть переезжать на другой сервер.
Так после того как я буду пользоваться своим собственным ВПН, я хочу приобрести, VPN у другого человека у данного человека сервер будет находится Допустим в Бельгии, данный сервер будет OpenVPN, сам автор данного сервера уверяет что логов не ведется на данном, сервере. Но я мало этому верю поэтому, хочу как можно меньше оставлять следов на данном сервере, так как если что случится, было трудно определить куда я заходил, что делал.
* Возможно сделать ли что нибудь для данной идеи?
После этого я хочу приобрести VPN на сервере, допустим в бразилии, данный сервер будет PPTP VPN, и так же как и тот автор уверяет что не ведется логов, и айпи даже если получат доступ к серверу, будет практически не возможно определить. Естественно как и во втором случаи я не хочу оставлять следов, или как можно меньше оставить следов использования данного сервера. Что бы не смогли по данным следам отследить мои реальные координаты.
*Возможно ли как то реализовать данную идею ?
После использования данных сервисов, я хочу для общения по ICQ и Серфинга Интрнета, скачки файлов, использовать саму сеть Tor.
Для реализации данной задачи, я приобрету где то в Дании хостинг, там я создам сервер Tor, и естественно буду стирать все логии, использования данного сервера, и включу его в список серверов которые постоянно будет при использование данной сети
*Вомзможно ли будет стирать все логии, без восстановления, если да то как?
* И повлияет ли каким образом ТО что я буду использовать, постоянно свой сервер, на хостинге ?
Как я понял из постов выше людей, которых я благодарю за помощь, что используя данную сеть все логи на данных серваках VPN, будут бесполезны так как если даже они будут записываться, то они будут зашифрованные ключами, которые использует серверы сети Tor.
*Так ли это?
Ну и последний этап и завершающий в моей безопасности наверное, это Socks5, что бы :
1) Был постоянный Ip.
2) То что бы скрыть ТО что я использую сеть Tor ( по определенным причинам).
* Как смотрите на данную идею? И повлияет ли как нибудь на мою безопасность, то что я хочу иметь постоянный IP (Socks5)
А теперь вопрос, второго плана:
Я много слышу про устройства кодирования, которое монтируется в стойку и присоединяемые к маршрутизатору и шифрует трафик, вот хотелось бы услышать у людей, как вы относитесь к данным устройствам? И могли бы внести свою лепту спецслужбы в данное устройство.
Ну вот пожалуй и все, вот моя идея, которую я хочу реализовать. Если не затруднит ответе на вопросы, которые я задал по ходу своей идеи. И если не затруднит по критикуйте, и если у вас есть идеи какие еше можно добавить или что нужно изменить, высказывайте, пожалуйста, так как каждое мнения участника мне очень важно. Зараннее благодарен.
Зря Вы так насчет СНГ (особенно если дело касается конкретно России). А если говорить о США, то купите сервер лучше в Северной Корее. ;)
Это очень плохая мысль. Паттерн Вашего соединения будет, как небоскрёб посреди деревни: и по продолжительности, и по объему трафика (и я даже не говорю о перспективе сниффинга пакетов). Чтобы обеспечить анонимность необходимо как можно полнее "растворить" целевой трафик (к примеру, Ваш) в покрывающем, чем бы он ни был. Вот почему все данные, передаваемые через Tor, разбиваются на равные блоки и веейрно пересылаются из кэша Tor-узла к местам назначения.
Подключайтесь к этому vpn-серверу через Tor.
Нет, просто логи любых сервисов, к которым Вы подключаетесь после сети Tor, будут содержать IP-адреса Tor-узлов, а не Ваш собственный.
Единственный минус, который я вижу, это то, что данный сокс становится Вашим псевдонимом. Скажем, если Вы просматриваете какой-нибудь веб-сайт, то по его логам будет понятно, что это делает один человек. В случае с Tor'ом Ваш "внешний" IP будет постоянно меняться, и уже трудно будет сказать, просматривает сайт один человек или же группа независимых пользователей загружает различные данные с сервера (конечно, если число соединений с сервером невелико, восстановить паттерн просмотра и коррелировать все Ваши Tor-подключения будет возможно).
Любые средства канального шифрования требуют наличия таких устройств на каждом конце линии связи. Их преимущества в простоте подключения и настройки и в скорости работы. Не думаю, что Вам такая вещь реально нужна.
Благодарю за уделенное мне время. А благодаря какому софту можно завернуть, Тоr в VPN?
И как тогда получается после того как Tor зарулит в VPN, я смогу лазить в инете под сервервами Тor?
А где можно почитать на русском как создать Тоr сервер?
Не переусложняйте схему. Будет проще использовать[link1] нескольно vpn-туннелей для доступа к Tor-клиенту, и уже через него выходить в Сеть. Можно и собственный трафик через Tor направлять в vpn, но в этом случае при работе в Сети Вы получите фиксированный IP своего vpn-шлюза. Если же построить схему Компьютер -> Tor -> VPN -> Tor -> Сеть, Вы рискуете получить катастрофически низкую производительность своего канала.
Документации[link2] по настройке сервера на русском пока нет.
Вот тогда что вы мне посовутуете, SATtva. Так как я не хочу светить на VPN серверов реальный IP, но и при выходе из VPN, лазить по интрнету и остовлять на форумах сообщения с реальным IP, тоже не желательно.
Если не доверяете оператору VPN, используйте перед ним Tor, а на выходе из VPN — простой случайно выбранный прокси и регулярно (ежедневно, ежечасно) его меняйте. Только учтите, что если Вы не доверяете оператору vpn-шлюза, то должны принимать и риск компрометации ключей vpn-шлюза этим же оператором.
В таком случае цель vpn-туннеля не совсем для меня ясна. Если Вы используете его только в качестве подстраховки на случай обнаружения каких-то уязвимостей в самой сети Tor, то, учитывая недоверие к vpn-шлюзу, Вы в любом случае рискуете полной компрометацией своего трафика или местонахождения. Получается полумера, не стоящая затраченных на неё средств.
Понимаете уважаемый SATtva, я доверяю данному VPN серверу, и многие мои знакомые пользуются давно этим сервисом, но 100% гарантии не кто дать не может, сами понимаете, и возможно мои конкруенты, сидят в дат.центре, и отслеживают трафик.... поэтому такие волнения. Но я всетаки думаю использовать сначало Провайдер – ToR -VPN (OpenVpn) – VPN (PPTP) – Tor – сайт.
Если я все правильно понял, то если я буду использовать данную схему, то весь трафик который будет проходить через VPN'ы. Будет зашифрованны конечным Tor, и логи будут в зашифрованном ввиде от сети Tor, и VPN'ы не смогут прочитать трафик.
Я понимаю что при такой схеме будет скорость маленькая, но что поделать безопасность требует жертв.
Извените за назойливость, и нудство, просто пытаюсь вникнуть во всю тему. Заранее спасибо.
Это совершенно верное замечание. Хорошо, что Вы это понимаете.
Правильно ли я все понял :D. Если так то еще вопрос.
:arrow: 1) Что надо сделать что бы Tor заходил в VPN (Open), какое именно программное обеспечения надо поставить, что бы траф с Тор заходил в ВПн. и дальшн шел по выше изложенной цепочке, или как это сделать??.
:arrow: 2) И что надо будет делать что бы использовать Тор, до VPN(open) и что потом использовать Тор после (PPTP) VPN.(см.схему выше.) Устанавливать два ТОр и два привокси, или не надо :? :
А как Вы направляете свой обычный трафик через vpn?
Это вы так пошутили ? :?
Или вы намекаете что не надо не чего делать, и сам зашифрованный траф Tor будет заходить в VPN автоматически ?
Используйте локальный клиент Tor в качестве прокси перед своим первым vpn-шлюзом. Как это сделать (и возможно ли) — зависит от устройства vpn-клиента. Ко второму Tor-клиенту Вам придётся подключаться удалённо, хотя сам клиент может быть установлен и на Вашей машине (в этом случае он должен быть доступен из интернета и должен прослушивать некоторый заданный порт, к которому Вы и будете подключаться извне). Privoxy во всей этой схеме нужен только перед первым входом в Tor.
Все я все сделал до данной стадии ToR -VPN (OpenVpn) – VPN (PPTP) теперь данная пролема, – Tor но я не понял как его примнить, вы можете не много рассписать что куда сувать, когда будет время.
А не раскроет ли это ваш ip для vpn сервера?
Существуют ли общие точки входа в TOR?
Раскроет, Вы правы. Вот к чему приводит излишнее переусложнение схемы или излишняя оптимизация изначальной идеи[link3].
Входом в сеть может служить любой Tor-узел.
А что это за канал? Почему ADSL не подходит, там вроде достаточно высокая скорость?
Хотел бы поинтересоваться как неспециалист.. Я так понимаю, тайминг-атака – это когда глобальный наблюдатель в момент соединения с определенным сервером смотрит, от кого происходит всплеск траффика в какой-то точке сети, и таким образом вычисляет клиента? Реально ли такое на практике?
И еще такой вопрос, если TOR использует ассиметричное шифрование, насколько реальна атака "человек посередине" к примеру на провайдере?
ADSL асимметричен: ширина полос входящего канала и исходящего различны. Таким образом, предельный объем трафика, который сможет позволить себе Tor-сервер, будет сильно ограничен, а отсюда и снижен покрывающий трафик от других пользователей сети. В принципе, даже решение с ADSL лучше, чем ничего, но я как перфекционист предлагал вариант идеальный. :)
С точки зрения глобального наблюдателя вполне реально. Помимо этого предпринимались попытки сделать то же самое силами локального наблюдателя (с помощью эффекта эхо). Сейчас с помощью "охранных узлов" эту атаки затруднили.
Открытые ключи всех серверов Tor опубликованы в дерикториях. Сами списки директорий заверены ключами директорий. А эти ключи в свою очередь вшиты в дистрибутивы Tor'а. Это не идеальное решение (проблемы масштабирования), но пока оно работает.