id: Гость   вход   регистрация
текущее время 02:39 29/03/2024
создать
просмотр
ссылки

VPN через TOR


Уважаемые завсегдатаи! Дайте оценку следующей системе.


– VirtualBox guest 1 – Whonix Gateway
– VirtualBox guest 2 – Windows XP через Whonix Gateway в TOR
– Из Windows XP OpenVPN (TCP-443) – Internet.


Такая модель позволяет обойти ограничения TCP only в TOR, скрыть свои установочные данные от провайдера VPN и соответственно оставаться анонимным, без ограничений в сервисах.
Цель применения – Direct Connections with Port Forwarding.


Прошу дать свою оценку!



 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (12/03/2013 00:42)   <#>
Зачем плодите топики на одну и ту же тему? Неинтересна здесь Windows, не обсуждают её. Что не ясно?
— Гость (12/03/2013 07:51)   <#>
А какая, в данном случае, разница Windows или нет? Здесь важен сам принцип: изолированый виртуальный TOR-шлюз и VPN через него. Тем более, host – Linux, Whonix guest – Linux, а что там анонимизируется уже не суть – расовое-не расовое... :)
— Гость (12/03/2013 15:51)   <#>
И что нужно, по-вашему, критиковать? VPN через Tor? Его уже сто раз критиковали (доп. профилирование из-за того, что на экситах будет всегда один и тот же IP VPN'а светиться). Используйте на свой страх и риск, если отдаёте себе отчёт в том, что делаете.
— Гость (12/03/2013 15:57)   <#>
Зачем плодите топики на одну и ту же тему? Неинтересна здесь Windows, не обсуждают её. Что не ясно?
И, вообще, можно закрыть тот топик. Или и этот тоже, т.к. тема уже обсуждалась, например, здесь, там можно и продолжать [ещё см. это пояснение].
— UNREGISTERED_USER (13/03/2013 12:37, исправлен 13/03/2013 12:40)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 1

Закрыть можно вообще все темы... Только конструктива из этого не извлечь!
В Ваших ссылках нет подробного разбора полетов по организации полноценных сервисов с анонимизацией через TOR. В любом случае, оставляя лишь TOR мы получаем только TCP и без возможности port forwarding и прочих прелестей сети.
То, что VPN является экзитом – очевидно. Но возможны ли альтернативы? VPN сервис видит меня в TOR, то есть не видит моих реальных ID, трафик идущий по VPN также шифрован – снифать его бесполезно. Вопрос для критики один – какие, по Вашему мнению, существуют способы деанонимизировать пользователя за такой "матрешкой" в реальном времени, либо при последующем анализе инцидента?


UPDATED!
Whonix Gateway – работает в режиме relay, естесственно.

— unknown (13/03/2013 12:41)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
TorPlusVPN. Вика неофициальная, несмотря на хостинг, так что проверяйте там написанное.
— UNREGISTERED_USER (13/03/2013 12:44)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 1
Благодарю, при настройке моей "матрешки" я все WiKi по данному вопросу изГуглил сполна. Данная тема направлена на обмен РЕАЛЬНЫМ опытом. Глаз, знаете ли, замыливается в процессе работы – нужен внешний свежий взгляд.
— gegel (13/03/2013 21:43)   профиль/связь   <#>
комментариев: 393   документов: 4   редакций: 0
какие, по Вашему мнению, существуют способы деанонимизировать пользователя за такой "матрешкой" в реальном времени, либо при последующем анализе инцидента?

Логи оплаты VPN. А если VPN-сервис скомпроментирован, то в реальном времени считайте, что его вообще нет.
— Гость (13/03/2013 23:11)   <#>

Если ВПН неподконтрольный, т. е. не собственноручно поднятый, то оплачивать следует проверенные сервисы от проверенных лиц. Это ничего впрочем не гарантирует. Если свой, то все равно он далеко в каком-то ДЦ и что там происходит, можно только гадать. В любом случае оплату надо производить таким образом, чтобы невозможно было установить, кто производил оплату и когда откуда.
Довольно простая задача, смотря какие платежные инструменты использовать и как.
Думаю, что поднять несколько ВПН в разных странах под свои личные нужды, при необходимости, обойдется немногим дороже, чем оплачивать чей-то сервис с таким же кол-вом стран в подписке. Свой ВПН может быть даже дешевле, чем подписки на чужие сервисы. Впрочем, давно уже не интересовался этой темой, но могу сказать, что на месяц можно взять вирт сервер за 300-500 рублей, или даже дешевле в некоторых случаях, с анлимным трафом на нормальной скорости порядка 10-20мбит. За 1-2 тыщи в месяц можно взять выделенный сервер с широким каналом, но для себя это жирновато, это уже можно самому ВПН-сервисом становиться и посадить на него с десяток-другой юзеров.

Сложно давать оценку. Не применял таких связок. Одно время думал пускать Тор через ВПН, но такая задача тоже отвалилась со временем за ненадобностью.
— Гость (13/03/2013 23:52)   <#>

И не будет, поскольку мало кого интересует схема подключения «юзер → Tor → VPN-сервер → сеть» (из-за того, что она сильно бьёт по анонимности).


Если вам угодно, отсутствие port forwarding — это не баг, а фича. Хотите полноценный анонимный port forwarding? Делайте скрытый сервис в Tor. Чисто формально, впрочем, я не вижу технических отличий получения внешнего IP от того случая, когда у вас просто ISP меняет выходной адрес, не делает port forwarding, а вы за NAT'ом. И есть сервисы, которые для этого случая решают задачу: ваш комп сам устанавливает соединение до внешнего сервера, который потом рутит вам обратно пакеты, предназначающиеся вам. С Tor поидее будет работать идентично. И, конечно, не в лучшую сторону для анонимности, как и с VPN.


Последним сервером, через который проходит весь трафик всё же. Exit — это, по определению, третий узел в сети Tor, который выпускает ваш трафик в интернет в расшифрованном, с точки зрения протокола Tor, виде.


Когда-то давным давно Tor'а не было, но были прокси, которые грабились списками и подключались в цепочки. Чем больше проксей в цепочке, тем лучше. Некоторые пребывали в этом анабиозе до вчерашнего дня, и именно так и думают о Tor: просто набор бесплатных проксей и всё; вот ещё один проксик или VPN к концу добавим — и ещё анонимней будет, зашибись. Всё-таки изучите матчасть для начала [хотя бы то, как работает Tor, почему, и что такое атаки профилирования (в том числе на exit-нодах Tor)].


За биткоины хостинг легко купить?
— Гость (13/03/2013 23:53)   <#>

Вообще-то unknown вам дал ссылку, где прямым текстом написана не инструкция, а объяснение, почему так делать, как вы хотите, не надо.
— Гость (14/03/2013 00:42)   <#>

Вы видите какие-то сложности непреодолимого характера?
Что одному легко, то для другого сложно. И наоборот. И почему сразу биткойн? Что-то более прозаичное уже не работает? Те же ЯД, Вебмани, Либерти Резерв или Перфект Мани? Любая из этих платежек может быть применена анонимно ровно в той степени, какую предоставляет Тор по умолчанию или же с костылями в виде ВПН, например. Тем более, когда речь идет о небольших суммах. Поэтому я включил в этот список даже ВМ.

Комбинация Tor с другими инструментами анонимизации вполне допустима. Иногда это бывает необходимо. Определенный постоянный ip на выходе, не торовская нода. Или скрыть факт пользования тором от ISP не прибегая к мостам и обфускации.
Это, использование связок, если и уменьшимт теоретическую анонимность и облегчит профилирование, опять же в теории, то на практике усложнит будет вполне уместным и приемлемым решением в случаях, когда анонимность не жизненно важна и критична и вы не в Сирии или Иране под домашним арестом. Впрочем, и сам Tor – по определению сеть со средней степенью анонимности. Модель угрозы определяет выбор инструментов, никак не наоборот.

Мне трудно представить, хотя и возможно, что нужно сделать и чем заниматься, чтобы опасаться за свою анонимность, пользуясь Тором, отклоняясь от академических основ и теоретических моделей? Не конкретизируя сферу противоправных деяний, могу сказать, что если человек или группа лиц собирается чем-то подобным заниматься, он (они) должны отдавать себе отчет в том, что приемлемо, а что нет.
Как показывает и практика, и статистика, прокол обусловлен пресловутым человеческим фактором почти всегда. Не припомню случаев, когда Тор, софт или железо подводило. Звонки, контакты, связи, потеря бдительности, лишняя информация в чужих руках и т. п. – вот это и приводит на скамью подсудимых к фэйлу. Достаточно вспомнить громкие и не очень дела т. н. хакеров, кардеров, подпольщиков и пр. андеграунда.
— UNREGISTERED_USER (14/03/2013 02:29, исправлен 14/03/2013 02:33)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 1

Благодарю за внимание!


Прочел много буков... :) Но не увидел не одного указания на вероятную модель деанонимизации, кроме идентификации по платежам.


Отвечу. Да! Платежи VPN-сервису АБСОЛЮТНО анонимны (от виртуального до физического уровня).


Задам встречный вопрос. Вы рекомендуете использовать свой VPN-сервер... но, скажите пожалуйста, зачем? Чем будет отличаться "свой" от "чужого"? Логи то DataCenter ведет в любом случае! Что свой сервер будет "выдавать" в логи направление трафика, что чужой – масло масляное!


Прослушивать трафик с двух сторон исключительно не возможно в данной ситуации – приняты все необходимые меры.


Остается лишь рассмотреть техническую модель на предмет уязвимости.


И еще... Выше упомянутая статья в WiKi гласит вкратце следующее.
VPN-сервис может вести журнал Вашей активности, что может быть подвергнуто анализу и привести к Вашей деанонимизации, бла-бла-бла.
Подчеркну вновь – трафик идущий из VPN зашифрован, но и при отсутствии шифрования содержимое трафика бесполезно для установления личности пользователя, ибо не содержит идентифицирующих его сведений.

— Гость (14/03/2013 02:54)   <#>

Как анонимно купить перечисленные вами валюты? Раньше можно было купить карты пополнения, но позже их запретили. Если не вдаваться в хардкор и чёрные схемы, как рядовой пользователь получит деньги в этих валютах в России? Через неофициальных деятелей по объявлениям в интернете, за комиссию?


Т.е. мы-таки не будем ничего изчать по профилированию? Ничего страшного, что каждая exit-нода будет знать, что она редиректит именно ваш трафик, а не чей-то ещё? Пусть вы будете выступать псевдонимом, но это уже упрощает задачу по деанону, поэтому плохо. Уже в третий раз про это пишу.
— UNREGISTERED_USER (14/03/2013 03:08, исправлен 14/03/2013 03:09)   профиль/связь   <#>
комментариев: 5   документов: 1   редакций: 1
Т.е. мы-таки не будем ничего изчать по профилированию? Ничего страшного, что каждая exit-нода будет знать, что она редиректит именно ваш трафик, а не чей-то ещё? Пусть вы будете выступать псевдонимом, но это уже упрощает задачу по деанону, поэтому плохо. Уже в третий раз про это пишу.

Вы описываете атаку в реальном времени, то есть, как минимум, кто-то должен знать о том, что "что-то" происходит и это "что-то" нужно выявлять, да еще и знает где! Интересно... кто же этот "кто"? Как мне представляется, при наличии подозрения о такой вероятности следует немедленно выброситься в окошко! :) (юмор)


Представленная мною схема направлена на то, что "некто" не может выявить характер и направленность трафика, а значит не в состоянии отличить его от "легального". Следовательно не станет заниматься "профилированием". А по выявлению инцидента не сможет восстановить картину произошедшего, благо инцидент конечен.

На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3