id: Гость   вход   регистрация
текущее время 21:38 28/03/2024
Автор темы: Гость, тема открыта 26/01/2010 20:42 Печать
Категории: софт, анонимность, приватность
создать
просмотр
ссылки

Tor роутер


Как сделать такое на базе старого компа? Есть ли, готовые программные решения? Насколько такая система надежна? Какие у неё преимущества и недостатки? У кого есть опыт, или какие-то соображения по этому вопросу, высказывайтесь, не стесняйтесь!


 
На страницу: 1, 2 След.
Комментарии
— Гость (26/01/2010 23:18)   <#>
Насколько такая система надежна? Какие у неё преимущества и недостатки?

Ваш вопрос уже давно вынесен в один из кандидатов в FAQ. Ссылки на имевшие место обсуждения были приведены здесь.

Есть ли, готовые программные решения?

Смотря что называть готовым решением. При надлежащей сноровке устанавливается нужная ОС и настраивается под свои нужды рутинг с файерволлнигом за вечер. Конфиг под похожую задачу висит у нас в FAQ'е, примеры конфигов в точности под эту задачу есть на официальной Tor-вики здесь (см. секции Anonymizing Middlebox).
— Гость (27/01/2010 18:28)   <#>
Tor-роутер пропускает трафик подключенных к нему машин через TOR, так? Он скрывает реальный IP. А что насчет остальной информации? Информация о железе и ПО, как с ней быть? А такие "хитрые" проги как webmoney keeper, SKYPE и им подобные......что им может помешать сливать всю нужную информацию куда надо?

А что если использовать такую модель:
есть реальная машина и в ней сеть из виртуальных машин. Одна виртуальная машина из которых будет tor-роутером, а вторая (и последующие, если нужно напр. несколько разных ОС) непосредственно для работы.

Что Вы об этом думаете?
— Гость (27/01/2010 18:46)   <#>
Что Вы об этом думаете?
Мы думаем о том, что не хорошо спрашивать ответы на вопросы, которые уже изрядно обсосаны в вышеуказанных ссылках.

А что насчет остальной информации? Информация о железе и ПО, как с ней быть? А такие "хитрые" проги как webmoney keeper, SKYPE и им подобные......что им может помешать сливать всю нужную информацию куда надо?

Т.о., если в локалке используется "чистый" комп, которым пользуются лишь для тора и не хранят там ничего идентифицирующего пользователя
/comment36129 Эта оговорка как раз и предполагала, что конфигурация железа не будет совпадать с той, на которой вы работаете с сетью неанонимно, что затрудняет отождествление ваших анонимной и неанонимной личностей. Полноценной защиты от этого нет, ею было бы что-то типа ОС которая полностью эмулирует самую распространённую конфигурацию железа. Можно на каждой машине, используемых для работы с Tor, поднять по виртуалке внутри, в которую поставить стандартную ОС со стандартными настройками. Однако следует понимаить, что внешний рутер – это защита от случая, когда программа получает очень много привелегий в системе где она выполняется. в таком случае она могла бы и историю браузерного поиска (анонимно) в сеть переслать и много ещё чего, что всё равно будет содержаться на скомпрометированной машине, так что сокрытием одной лишь конфигурации железа дело не решается.

Следует различать атаки приводящие к деанонимизации, и те, которые всего лишь сужают область поиска. От вторых защититься намного сложнее, но они и не так опасны как первые. Настраивайте под свой уровень паранои.

есть реальная машина и в ней сеть из виртуальных машин. Одна виртуальная машина из которых будет tor-роутером, а вторая (и последующие, если нужно напр. несколько разных ОС) непосредственно для работы.

3. Хочу повысить защищённость/анонимность приложений, запуская всё на виртуальной машине, а не на физически выделенной – какие минусы такого решения?
/comment36432 Я уже давал ссылку сюда, не помогло? Учитесь читать: чтение убивает зрение и опьяняет чистое ясное сознание. Ответ очевидно следует из тех же соображений: в случае, если виртуалка оказывается взломанной, программа получит какие-то права на целевой системе, но на ней же крутится и тор в виртуалке и соединения с реальной сетью, так что добраться до них будет намного проще, чем до другой машины по сети с использованием remote-code-execution-vulnerability (remote root) [если настраивать парвильно, никаких аккаунтов тор-машины не должны иметь на рутере].
— Гость (27/01/2010 18:51)   <#>
З. Ы.: unknown, вот скажите мне, я правда груб в общении с пользователями? Как следует отвечать на вопрос, ответ который уже написан, но Гостю лень читать? Может быть правильнее хранить тишину?
— SATtva (27/01/2010 21:57, исправлен 27/01/2010 21:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Может быть правильнее хранить тишину?

Да. Ибо в FAQ сказано: /FAQ/Проект#h47-12, п.2.

— Гость (28/01/2010 18:08)   <#>
а можно и вот так поступить
— Гость (02/02/2010 14:49)   <#>
А как правильно настроить обычный роутер для использование в качестве tor-роутера? И, соответственно, машины в LAN?
У меня роутер под dd-wrt, ядро 2.4.37, за которым несколько ноутов под линукс Debian и Ubuntu.
Соответственно, хотелось бы сохранять возможность ходить в сеть и не через Tor, а когда надо – в целях обеспечения строгой анонимности – через Tor на роутере.
И, в последнем случае, надо ли сносить или хотя бы просто останавливать тор на клиентских машинах?
Что для этого надо сделать?
P. S. Было бы неплохо сделать по этому вопросу раздел в FAQ.
— unknown (02/02/2010 15:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Можно запустить два VPN соединения до роутера, если на нём можно поднять openVPN, одно заворачивать в Tor, другое — нет.

И двух пользователей с файрволлом отправлять по разным VPN на одной машине. Только уровень безопасности будет ненамного выше чем при использовании Tor без роутера, ну разве что злобный скрипт, выполнивший эксплойт от имени заторенного пользователя увидит локальный айпишник 192.168.0.1.
— Гость (20/03/2010 23:07)   <#>
Только уровень безопасности будет ненамного выше чем при использовании Tor без роутера, ну разве что злобный скрипт, выполнивший эксплойт от имени заторенного пользователя увидит локальный айпишник 192.168.0.1.

А разве не есть наша цель добиться того, чтобы злонамеренный скрипт не мог послать вражьей силе не больше, чем указанную инфу?
P. S. А в случае, когда машина с tor просто за nat, поднятом на роутере – разве не тот же эффект по общему правилу? Или в данном случае повышенная безопасность в связи с тем, что скрипт локально не сможет послать запрос в обход tor, если не способен также захватить удаленный контроль над рутером?
— Гость (21/03/2010 05:28, исправлен 21/03/2010 20:11)   <#>
Или в данном случае повышенная безопасность в связи с тем, что скрипт локально не сможет послать запрос в обход tor, если не способен также захватить удаленный контроль над рутером?

Может быть вам поможет прояснить вопрос вот этот FAQ.

— Гость (24/04/2010 08:28)   <#>
Можно запустить два VPN соединения до роутера, если на нём можно поднять openVPN, одно заворачивать в Tor, другое — нет.


А насколько такая схема пригодна?
В torrc на роутере прописываем SocksListenAddress 192.168.1.x – ip хоста в локальной сетке (кстати, можно записать – 192.168.1.0:9050, чтобы он прослушивал всю локальную сетку, а не отдельный хост из нее?), а тор на клиентах в приложениях на хосте в локальной сети натравливать на порт сокса не по ip 127.0.0.1, а по ip 192.168.1.1 или какой там ip в локалке у роутера?
Соответственно, если роутер позволяет (у меня вроде хоть и предусмотрен один пользователь root по дефолту в dd-wrt, вроде как можно из OptWare установить утилиту adduser) – создать отдельного tor-юзера, прозрачно торифицировать его и пускать через него? Или это лучше делать на хостах, только поменяв настройки iptables с учетом того, что вместо ip локалхоста юзается ip роутера?
— unknown (24/04/2010 13:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Можно сделать и так, как Вы описали (непонятно правда, действительно ли работоспособен вариант, где Tor слушать всю сеть), только трафик до сервера пойдёт нешифрованным и только уже как-то завёрнутый в клиента Tor.
Можно и так и по-другому.
Лучше тот вариант, где вам проще всё настроить и убедиться в отстутствии утечек.
— Гость (01/05/2010 12:58)   <#>
Как я понимаю, те же настройки можно поднять на удаленном сервере, используя его как роутер.
Вопрос только, для прозрачной проксификации нужно ли фаерволить на домашней машине, или на удаленном сервере или роутере-гейтвее (в сабжевом случае)?
— Гость (01/05/2010 18:17)   <#>
Вопрос только, для прозрачной проксификации нужно ли фаерволить на домашней машине, или на удаленном сервере или роутере-гейтвее (в сабжевом случае)?
Всё равно, но до тех пор, пока трафик не завёрнут в Tor, он не безопасен, так что лучше производить эту процедуру на компе поближе к себе, по крайней мере том, что доступен внутри команты.
— Гость (03/05/2010 08:11)   <#>
Всё равно, но до тех пор, пока трафик не завёрнут в Tor, он не безопасен, так что лучше производить эту процедуру на компе поближе к себе, по крайней мере том, что доступен внутри команты.

Видимо, натравливать пользовательские приложения типа браузеров, MUA etc. можно на роутер, находящийся под твоим физ. контролем, который ты админишь (например, при домашней сетке), а скажем прописывать в браузере ip вдс в качестве http-прокси и порты привокси и сокс 8118 и 9050 уже будет архинебезопасно, т.к. до вдс траф пойдет открытым и будет отслежен провом и сорм? Причем видимо даже https-траф?
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3