Privoxy, Tor и https
Здравствуйте.
У меня стоит системка Tor+Privoxy и торифицированный браузер. Как я понимаю, траффик идет от браузера к Privoxy, там из него удаляется все лишнее, после чего он поступает в TOR. Но при использовании https, к Privoxy идет уже шифрованные SSL данные, обработать которые он не может. Т.е. https нарушает анонимность в случае, если целевой сервер враждебен.
В принципе напрашивается решение – обрабатывать траффик до шифровки. Не делается ли этого в интегрированных браузерах типа operaTor со втроенным прокcи Polipo или в xBBrowser (TorPark)? Не делается ли этого в известном плагине Torbutton к FireFox (не заменяет ли он Privoxy)? Также слышал про проксиметрон, который вроде умеет работать с SSL. Подскажите плиз.
P. S. Немного не в тему. Возможен ли перехват и подмена открытых ключей при создании цепочки или они все подписываются?
От 192.168.1.1 (IP адрес) к 192.168.1.2 (Основной шлюз) идут пакеты.
Порт N/A
Протокол IP/ICMP
В логе:
Что это значит?
Понимаю, что вопрос скорее всего глупый поэтому не создаю отдельныю тему.
$ перед lo0 лишнее, машинальная очепятка наверное.
можно еще упростить, опустив две средние строчки и вставив одну, чтобы уж никуда кроме как:
имхо разумеется.
Wireshark пишет:
ARP Who has 192.168.1.1? Tell 192.168.1.2.
ARP 192.168.1.1 is at xx:xx:xx:xx:xx:xx (x-числа)
У меня WInXP, Eathernet, ADSL. Я тут немного поискал на тему Broadcast.
Наиболее внятное:
"Буквально – широковещание. В сетях – пакет, предназначенный для всех, кто обнаружится в данном сегменте. Понятие сегмента зависит от протокола, о котором идет речь. Так, бывает, если я правильно ошибаюсь, броадкаст на уровне Ethernet, бывают броадкасты на уровне протоколов IP и IPX, бывают на некоторых более высокоуровневых протоколах, типа NetBIOS. Нужен он для ответов на вопросы типа "кто вообще в этой сети есть?". Соответственно, сеть без него обходиться может, если на каждой машине во все положенные места намертво засунуты ответы на эти вопросы. Типичное применение IP броадкаста – "who-has 192.168.0.1", то есть вопрос о том, на каком MAC-адресе живет данный IP, если этот IP в твоем сегменте (называется это ARP – Address Resolution Protocol). Ответ заносится в ARP table, через некоторое время устаревает, вопрос повторяется. Можно занести туда это сокровенное знание руками (man arp) и тем самым избавиться от этих вопросов, что повышает security, но и геморрой заодно. На уровне IP броадкасты реализуются посредством посылки пакета на специальный адрес. Разумеется, все машины в сегменте должны придерживаться одинакового мнения о том, какой это адрес, и ни одна не должна его иметь своим. На уровне, скажем, NetBIOS броадкастами выясняется, кто у нас сегодня local browser данного сегмента, и т.п. Какие при этом будут гоняться броадкасты, зависит от того, поверх какого протокола работает NetBIOS, насколько я понимаю."
Тогда еще вопрос. Как отключить Broadcast и нужно ли это? Возможна утечка чего-нибудь из-за Broadcast?
Нет, всё романтичней (см. пояснения к конфигу ниже).
Нет, нельзя. То, что вы предлагаете сделать, итак запрещено конфигом (см. ниже правило block all) – это во-первых, а во-вторых, ваше предложение неэквивалентно мной написанным строчкам (ибо первые фильтруют трафик для юзера privoxy, а последняя – для юзера tor_user). Предполагалось, что privoxy для Tor'а запущена от имени юзера privoxy, tor – от имени юзера user1, сам работаю с Tor'ом под юзером tor_user, и сам работаю с инетом под юзером user1 (неидеальная схема, но см. комментарии в конфиге):
По поводу критики, окромя уже сказанной в комментариях:
- Гайки можно закрутить сильнее, создав отдельного юзера под OpenVPN и прделав с ним те же извращения, что и с tor_user. Явно разрешить только используемые юзерами net_users порты на $lh, а остальные – запретить.
- На самом деле на текущий момент соединение с инетом возможно только через административный прокси (privoxy, которая priv_un, умеет сама редиректить весь траф на локальный прокси, и сама же подставлять нужные login:pass), и каждая программа проксифицируется отдельно, а потому OpenVPN никак не интерферирует с уже запроксированными программами: чтобы трафик какой-то программы под user1 пустить через OpenVPN-туннель, достаточно лишь убрать прокси из её настроек. По этой же причине NAT на $eif на текущей конфигурации локальной сети не работает (но работает на $tif при поднятом OpenVPN).
- ssh-туннель, кому интересно, делается так: запускается скрипт
на своей машине, а на удалённой перед этим прописывается:ЗЫ: названия переменных типа MY_ETHERNET_IP и REMOTE_ETHERNET_IP всюду подразумеваются относительной основной, т.е. моей (MY) машины. Т.о. с основной машины выполняется под root'ом вышеуказанный скрипт, и это автоматом поднимает туннель. Практичнее дилегировать право поднятия туннеля клиенту, а не серверу (как в вышеуказанном случае), но в моём случае это было бы менее безопасно. Если кто не понял, то хоть коннект и идёт на root-аккаунт по ssh, его инициирующий не может выполнить абсолютно ничего кроме как поднять туннель, т.е. схема достаточно безопасна.
А врать не хорошо. Сеть без него вообще всегда обходиться может, если только каким-то на головёшку больным сервисам (какой-нибудь samba) вдруг не понадобится узнать кто вообще есть в сети (а зачем? Если вы хотите послать в сеть кому-то что-то, вы делаете arp-запрос на нужный IP, получаете его MAC и шлёте пакет, но зачем вам знать кто в сети, если вы им ничего не собираетесь слать?). И да, arp-запросы к конкретному IP – это не броадкасты, стоит заметить. А намертво засунуть проще простого: команду "arp -s IP MAC" добавить в стартовые скрипты системы (как уж в винде – не знаю). У меня, к примеру, система броадкасты не рассылает (смеха ради, отмечу: это умолчальные настройки – я ничего не менял), и ничего. Как отключить это в винде – без понятия.
DHCP-запросы к серверу, если есть, отрубаются остановкой DHCP-клиента и прописыванием статического IP, навязываемого DHCP-сервером. У хороших админов всегда есть статическая таблица MAC<->IP, потому это действие не вызывает проблем, у мудоголовых же полный срач в сети, IPшники постоянно меняются при новых запросах к серверу, и прописка статикой IPшника может начать глючить (раз DHCP-клиент долго не запрашивает IP, DHCP-сервер начинает считать, что он сдох и не пускает в инет).
В норме – нет. Если же начать фантазировать о том, что злоумышленник получил на вашем компе привелегии, и пытается деанонимизировать вас как только можно, я не берусь предсказывать (но это в вашем случае и не имеет смысла: против такой целевой атаки защититься на винде крайне сложно, если не иметь дополнительный рутер под UNIX-системой с принудительной торификацией всего виндотраффика; к тому же есть много куда более простых атак супротив стандартной винды, с которых куда логичнее начать вашему противнику).
P. S.: Вы ещё не устанавливаете себе UNIX?! Тогда мы идём к Вам!
И, если кто знает, как заблокировать это в WinXP? Например с помощью Outpost?
DHCP я отключил давно, ничего кроме 192.168.1.2 для соединия с провайдером не прописывал и все норм.
P. S. Как я понял в UNIX надо долго копаться с настройками, а на это нужно время. ):
Параметры => системные => правила => добавить =>
В качестве адреса отмечаем пункт макро-адрес, в выпадающем меню выбираем BROADCAST_ADDRESSES => Ставим галачку блокировать.
Вроде так.
комментариев: 11558 документов: 1036 редакций: 4118
замените точку в конце строки на адрес прокси.
комментариев: 1 документов: 0 редакций: 0