Виртмашина под прозрачно торифицированным юзером

Мне всегда казалось что запустить виртуалку под обычным юзером невозможно, я ошибался? См. тут.

Странная штука.
Запускаю VirtualBox от Sun (пробовал и под 3.0.12, и под 3.1.4) под прозрачно торифицированный юзером, гостевая ОС – Ubuntu 9.04, в режиме nat, ip 10.0.2.15 согласно ifconfig под виртмашиной (я до этого переключал в режим бриджа, и у нее был свой ip в локальной сети, думал, может в связи с этим глюк какой или бага, может осталась в бридже и ГУЙ врет, нет, ifconfig подтверждает что все нормально), запускаю сниффер на физической машине и в вируальной (tcpdump).
После этого выполняю команды aptitude update && aptitude safe-upgrade.
Согласно снифферу, запущенному на физической машине, соединения идут с входными узлами тор, согласно снифферу, запущенному на виртуальной машине – соединения прямые с репами убунты.
Согласно выводу $ sudo iptables -L -v -t nat (на физической машине) получается такая картинка:
879 52691 RETURN all -- any lo anywhere anywhere 318 19660 RETURN all -- any any anywhere anywhere owner UID match debian-tor 28 1680 REDIRECT tcp -- any any anywhere anywhere owner UID match tor-user tcp flags:FIN,SYN,RST,ACK/SYN redir ports 9040 12 793 REDIRECT udp -- any any anywhere anywhere owner UID match tor-user udp dpt:domain redir ports 53 5 431 DNAT all -- any any anywhere anywhere owner UID match tor-user to:127.0.0.1
– т.е. какие-то пакеты под данным юзером фаервол согласно настройкам, указанным в статье unknown'а, принудительно завернул в tor (хотя явно не такое количество, какое по-идее ожидаемо при работе указанных команд) (под тор-юзером более ничего кроме виртмашины не запущено, под виртмашиной запущена только одна эта гостевая ос, т.е. методом исключения получается, что все это относится к ней).
Как это можно объяснить?

Более того, запустил сниффер на роутере, являющимся гейтвеем для локальной сети (в которую входит физмашина) в интернет – на внешнем интерфейсе, через который идет связь с ISP, согласно снифферу тоже нет непосредственных соединений с репами дистра, которые определяются сниффером под виртмашиной.

внешнем интерфейсе

Может лучше "экстернальном"?

связь с ISP

Вы хотели сказать "коннект"?

Согласно снифферу, запущенному на физической машине, соединения идут с входными узлами тор, согласно снифферу, запущенному на виртуальной машине – соединения прямые с репами убунты.

Если вы немного подумаете, то поймёте, что именно так и должно быть(!), иначе бы это ни было "прозрачной торификацией". Она потому и прозрачная, то для конкретного юзера или всей машины соединение такое же, как если бы всё шло напрямую, т.е. роль gateway играет сама сеть Tor. Вы не задумывались, почему в логах снифера вы видете реальные места назначений пакетов, хотя все они направляются на единственный ip, который есть gw вашего провайдера?

Если вы немного подумаете, то поймёте, что именно так и должно быть(!), иначе бы это ни было "прозрачной торификацией". Она потому и прозрачная, то для конкретного юзера или всей машины соединение такое же, как если бы всё шло напрямую, т.е. роль gateway играет сама сеть Tor.

То есть, виртмашина видит только конечную точку в маршруте, а все остальное обеспечивается уже физической машиной и сетью Tor? Что-то такое мне приходило в голову, но я до сих пор немного туплю. Было бы неплохо, если бы этот вопрос изложили в FAQ, где изложены вопросы прозрачной торификации.

2. Попробовал запустить traceroute в виртмашине, а также в терминале, открытым под прозрачно торифицированным юзером.
Получилось следующее:
в виртмашине :
~$ traceroute www.yandex.ru traceroute to www.yandex.ru (213.180.204.3), 30 hops max, 60 byte packets 1 10.0.2.2 (10.0.2.2) 1.644 ms 1.793 ms 1.778 ms 2 213.180.204.3 (213.180.204.3) 1.761 ms 1.738 ms 1.717 ms

в прозрачно терминале под прозрачно торифицированом юзером:
~$ traceroute www.yandex.ru traceroute to www.yandex.ru (213.180.204.3), 30 hops max, 40 byte packets 1 213.180.204.3 (213.180.204.3) 0.047 ms 0.030 ms 0.028 ms

То есть, если, скажем, злонамеренный код на веб-странице попытается выполнить команду traceroute или типа нее и отослать результаты противнику, при такой схеме данная угроза нейтрализована?
Насколько безопасно в этих случаях использование java и flash?

3. На физической машине у меня запущены tor и privoxy, соответственно в браузере, открытом под прозрачно торифицированным юзером, нормально работает torbutton.
В виртмашине, запускаемой под прозрачно торифицированным юзером, у меня нет tor, и торбаттон ругается, что не может найти прокси.
Я попробовал написать в его настройках нули, но все равно ругается.
Может ли работать торбаттон без тора в данном случае? (с тем, чтобы выполнял все остальные свои функции?)
Или, с учетом описанного поведения в п. 2, в этом нет необходимости?

При работе virtualbox под прозрачно торифицированным юзером, в выводе watch netstat -pan --inet периодически появляются указания на прямой коннект vbox с тем или иным ресурсом в интернете (например, с яндексом).
При этом, tcpdump -n port 53 не показывает, что были какие-то dns-запросы об адресе такого ресурса (яндекса например).
Правда в это время я полностью трафик не сниффил.

Еще немного поснифил, tcpdump не вылавливает прямых соединений с по ip-адресам ресурсов, с которыми я коннечкусь из под виртмашины под прозрачно торифицированым юзером, c которыми netstat кажет соединения VirtualBox

я до сих пор немного туплю. Было бы неплохо, если бы этот вопрос изложили в FAQ, где изложены вопросы прозрачной торификации.

Нечего там излагать. Просто помедитируйте ещё :)

То есть, если, скажем, злонамеренный код на веб-странице попытается выполнить команду traceroute или типа нее и отослать результаты противнику, при такой схеме данная угроза нейтрализована?

Правило хорошего тона резать весь udp и icmp который идёт напрямую независимо от типа торификации для тор-юзера.

Насколько безопасно в этих случаях использование java и flash?

Если настроено правильно, то условно безопасно, а так ли это – вам видней. Зловредные программы могут не только локальный/ISPский IP высылать, но и ещё много что делать. Вопрос описан в FAQ-proposals.

В виртмашине, запускаемой под прозрачно торифицированным юзером, у меня нет tor, и торбаттон ругается, что не может найти прокси.

Может ли работать торбаттон без тора в данном случае? (с тем, чтобы выполнял все остальные свои функции?)

Может. Это глюки новых версий tb. Некоторые его версии с успехом работали без указаний каких-либо прокси.

Или, с учетом описанного поведения в п. 2, в этом нет необходимости?

Острой как правило нет, но очень желательно, чтобы не выделяться на фоне остальных по браузерным настройкам – раз, обезопасить немного вредные функции браузера – два.

Я попробовал написать в его настройках нули, но все равно ругается.

Писать нули не надо, нужно просто оставить все поля пустыми или выбрать direct connection (no proxy).

Правило хорошего тона резать весь udp и icmp который идёт напрямую независимо от типа торификации для тор-юзера.

1) а если еще и tor-сервер поднят, не создаст ли это затруднений в его работе, и как это обойти?
2) -A OUTPUT -m owner --uid-owner tor-user -j DNAT --to-destination 127.0.0.1
– как я понимаю, это правило (в составе других правил, приведенных в FAQ по анонимности) как раз и должно отправлять этот трафик в "топку локалхоста". Или я в чем-то неправ?

Если настроено правильно, то условно безопасно, а так ли это – вам видней. Зловредные программы могут не только локальный/ISPский IP высылать, но и ещё много что делать.

Попробуют совершить удаленную атаку с хоста на рутер, чтобы украсть ISPвский IP?

Писать нули не надо, нужно просто оставить все поля пустыми или выбрать direct connection (no proxy).

В последних версиях tb нет "прямое соединение (без прокси)" а когда оставляешь все поля пустыми, начинает страшно ругаться и не получается сохранить настройки.
P. S. Под виндой таки-получилось, а вот в Debian и Ubuntu тор-баттон орет как резаный и не сохраняет настройки

tor-user — это юзер, использующий тор, хоть анонимусом его обзовите или заведите сколько угодно таких юзеров в системе со своими правилами, вот от них лишний трафик и уйдёт в топку локалхоста.

Трафик tor-клиента или сервера регулируется другими правилами для другого юзера — debian-tor (или как он у вас заведён в вашей системе).

начинает страшно ругаться и не получается сохранить настройки.

в Debian и Ubuntu тор-баттон орет как резаный и не сохраняет настройки

Цитаты, лучше скриншоты, есть?

Ну, он выводит окошко о том, что для того, чтобы изменения вступили в силу, надо перезапустить тор (которого в виртмашине и нет, он запущен на физмашине).
Начинаешь нажимать ок, он опять открывает это окошко, делаешь kill -15 FF, запускаешь – настройки не сохранены.
Правда, после многократного нажатия указанного окошка оно перестало выводиться и удалось сохранить настройки под Ubuntu.
А в Debian Testing TB 1.2.4 на iceweales 3.5.6 вообще не хочет устанавливаться, точнее он типа устанавливается, предлагает перезапуститься, окно браузера закрывается и не открывается. Открываешь его руками – торбаттон не активе, лезешь в дополнения – выходит окошко типа перезапустите браузер для завершения установки.

Попробуют совершить удаленную атаку с хоста на рутер, чтобы украсть ISPвский IP?

Достаточно, чтобы зловредная программа выслала один из файлов с вашего компа на ресурс, подконтрольный злоумышленнику. Наверняка у вас есть такие файлы, по которым вас можно если и не деанонимизировать, то хотя бы существенно сузить группу поиска и составить репрезентативный ваш сетевой портрет.

В последних версиях tb нет "прямое соединение (без прокси)"

У tb нет своих настроек для прокси, он юзает ff'шные, и у ff есть "no proxy" (не помню как оно там точно называется).

У tb нет своих настроек для прокси, он юзает ff'шные, и у ff есть "no proxy" (не помню как оно там точно называется).

Только что попробовал выбрать "no proxy" в настройках браузера – это одновременно отклчило tb.