VPN через TOR
Уважаемые завсегдатаи! Дайте оценку следующей системе.
– VirtualBox guest 1 – Whonix Gateway
– VirtualBox guest 2 – Windows XP через Whonix Gateway в TOR
– Из Windows XP OpenVPN (TCP-443) – Internet.
Такая модель позволяет обойти ограничения TCP only в TOR, скрыть свои установочные данные от провайдера VPN и соответственно оставаться анонимным, без ограничений в сервисах.
Цель применения – Direct Connections with Port Forwarding.
Прошу дать свою оценку!
комментариев: 5 документов: 1 редакций: 1
Закрыть можно вообще все темы... Только конструктива из этого не извлечь!
В Ваших ссылках нет подробного разбора полетов по организации полноценных сервисов с анонимизацией через TOR. В любом случае, оставляя лишь TOR мы получаем только TCP и без возможности port forwarding и прочих прелестей сети.
То, что VPN является экзитом – очевидно. Но возможны ли альтернативы? VPN сервис видит меня в TOR, то есть не видит моих реальных ID, трафик идущий по VPN также шифрован – снифать его бесполезно. Вопрос для критики один – какие, по Вашему мнению, существуют способы деанонимизировать пользователя за такой "матрешкой" в реальном времени, либо при последующем анализе инцидента?
UPDATED!
Whonix Gateway – работает в режиме relay, естесственно.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 5 документов: 1 редакций: 1
комментариев: 393 документов: 4 редакций: 0
Логи оплаты VPN. А если VPN-сервис скомпроментирован, то в реальном времени считайте, что его вообще нет.
Если ВПН неподконтрольный, т. е. не собственноручно поднятый, то оплачивать следует проверенные сервисы от проверенных лиц. Это ничего впрочем не гарантирует. Если свой, то все равно он далеко в каком-то ДЦ и что там происходит, можно только гадать. В любом случае оплату надо производить таким образом, чтобы невозможно было установить, кто производил оплату и
когдаоткуда.Довольно простая задача, смотря какие платежные инструменты использовать и как.
Думаю, что поднять несколько ВПН в разных странах под свои личные нужды, при необходимости, обойдется немногим дороже, чем оплачивать чей-то сервис с таким же кол-вом стран в подписке. Свой ВПН может быть даже дешевле, чем подписки на чужие сервисы. Впрочем, давно уже не интересовался этой темой, но могу сказать, что на месяц можно взять вирт сервер за 300-500 рублей, или даже дешевле в некоторых случаях, с анлимным трафом на нормальной скорости порядка 10-20мбит. За 1-2 тыщи в месяц можно взять выделенный сервер с широким каналом, но для себя это жирновато, это уже можно самому ВПН-сервисом становиться и посадить на него с десяток-другой юзеров.
Сложно давать оценку. Не применял таких связок. Одно время думал пускать Тор через ВПН, но такая задача тоже отвалилась со временем за ненадобностью.
И не будет, поскольку мало кого интересует схема подключения «юзер → Tor → VPN-сервер → сеть» (из-за того, что она сильно бьёт по анонимности).
Если вам угодно, отсутствие port forwarding — это не баг, а фича. Хотите полноценный анонимный port forwarding? Делайте скрытый сервис в Tor. Чисто формально, впрочем, я не вижу технических отличий получения внешнего IP от того случая, когда у вас просто ISP меняет выходной адрес, не делает port forwarding, а вы за NAT'ом. И есть сервисы, которые для этого случая решают задачу: ваш комп сам устанавливает соединение до внешнего сервера, который потом рутит вам обратно пакеты, предназначающиеся вам. С Tor поидее будет работать идентично. И, конечно, не в лучшую сторону для анонимности, как и с VPN.
Последним сервером, через который проходит весь трафик всё же. Exit — это, по определению, третий узел в сети Tor, который выпускает ваш трафик в интернет в расшифрованном, с точки зрения протокола Tor, виде.
Когда-то давным давно Tor'а не было, но были прокси, которые грабились списками и подключались в цепочки. Чем больше проксей в цепочке, тем лучше. Некоторые пребывали в этом анабиозе до вчерашнего дня, и именно так и думают о Tor: просто набор бесплатных проксей и всё; вот ещё один проксик или VPN к концу добавим — и ещё анонимней будет, зашибись. Всё-таки изучите матчасть для начала [хотя бы то, как работает Tor, почему, и что такое атаки профилирования (в том числе на exit-нодах Tor)].
За биткоины хостинг легко купить?
Вообще-то unknown вам дал ссылку, где прямым текстом написана не инструкция, а объяснение, почему так делать, как вы хотите, не надо.
Вы видите какие-то сложности непреодолимого характера?
Что одному легко, то для другого сложно. И наоборот. И почему сразу биткойн? Что-то более прозаичное уже не работает? Те же ЯД, Вебмани, Либерти Резерв или Перфект Мани? Любая из этих платежек может быть применена анонимно ровно в той степени, какую предоставляет Тор по умолчанию или же с костылями в виде ВПН, например. Тем более, когда речь идет о небольших суммах. Поэтому я включил в этот список даже ВМ.
Комбинация Tor с другими инструментами анонимизации вполне допустима. Иногда это бывает необходимо. Определенный постоянный ip на выходе, не торовская нода. Или скрыть факт пользования тором от ISP не прибегая к мостам и обфускации.
Это, использование связок, если и уменьшимт теоретическую анонимность и облегчит профилирование, опять же в теории, то на практике
усложнитбудет вполне уместным и приемлемым решением в случаях, когда анонимность не жизненно важна и критичнаи вы не в Сирии или Иране под домашним арестом. Впрочем, и сам Tor – по определению сеть со средней степенью анонимности. Модель угрозы определяет выбор инструментов, никак не наоборот.Мне трудно представить, хотя и возможно, что нужно сделать и чем заниматься, чтобы опасаться за свою анонимность, пользуясь Тором, отклоняясь от академических основ и теоретических моделей? Не конкретизируя сферу противоправных деяний, могу сказать, что если человек или группа лиц собирается чем-то подобным заниматься, он (они) должны отдавать себе отчет в том, что приемлемо, а что нет.
Как показывает и практика, и статистика, прокол обусловлен пресловутым человеческим фактором почти всегда. Не припомню случаев, когда Тор, софт или железо подводило. Звонки, контакты, связи, потеря бдительности, лишняя информация в чужих руках и т. п. – вот это и приводит
на скамью подсудимыхк фэйлу. Достаточно вспомнить громкие и не очень дела т. н. хакеров, кардеров, подпольщиков и пр. андеграунда.комментариев: 5 документов: 1 редакций: 1
Благодарю за внимание!
Прочел много буков... :) Но не увидел не одного указания на вероятную модель деанонимизации, кроме идентификации по платежам.
Отвечу. Да! Платежи VPN-сервису АБСОЛЮТНО анонимны (от виртуального до физического уровня).
Задам встречный вопрос. Вы рекомендуете использовать свой VPN-сервер... но, скажите пожалуйста, зачем? Чем будет отличаться "свой" от "чужого"? Логи то DataCenter ведет в любом случае! Что свой сервер будет "выдавать" в логи направление трафика, что чужой – масло масляное!
Прослушивать трафик с двух сторон исключительно не возможно в данной ситуации – приняты все необходимые меры.
Остается лишь рассмотреть техническую модель на предмет уязвимости.
И еще... Выше упомянутая статья в WiKi гласит вкратце следующее.
VPN-сервис может вести журнал Вашей активности, что может быть подвергнуто анализу и привести к Вашей деанонимизации, бла-бла-бла.
Подчеркну вновь – трафик идущий из VPN зашифрован, но и при отсутствии шифрования содержимое трафика бесполезно для установления личности пользователя, ибо не содержит идентифицирующих его сведений.
Как анонимно купить перечисленные вами валюты? Раньше можно было купить карты пополнения, но позже их запретили. Если не вдаваться в хардкор и чёрные схемы, как рядовой пользователь получит деньги в этих валютах в России? Через неофициальных деятелей по объявлениям в интернете, за комиссию?
Т.е. мы-таки не будем ничего изчать по профилированию? Ничего страшного, что каждая exit-нода будет знать, что она редиректит именно ваш трафик, а не чей-то ещё? Пусть вы будете выступать псевдонимом, но это уже упрощает задачу по деанону, поэтому плохо. Уже в третий раз про это пишу.
комментариев: 5 документов: 1 редакций: 1
Вы описываете атаку в реальном времени, то есть, как минимум, кто-то должен знать о том, что "что-то" происходит и это "что-то" нужно выявлять, да еще и знает где! Интересно... кто же этот "кто"? Как мне представляется, при наличии подозрения о такой вероятности следует немедленно выброситься в окошко! :) (юмор)
Представленная мною схема направлена на то, что "некто" не может выявить характер и направленность трафика, а значит не в состоянии отличить его от "легального". Следовательно не станет заниматься "профилированием". А по выявлению инцидента не сможет восстановить картину произошедшего, благо инцидент конечен.