id: Гость   вход   регистрация
текущее время 17:04 28/03/2024
Автор темы: Гость, тема открыта 08/12/2014 01:15 Печать
Категории: софт, анонимность, приватность, tor
https://www.pgpru.com/Форум/АнонимностьВИнтернет/УстановкаИНастройкаWhonix
создать
просмотр
ссылки

Установка и настройка Whonix


Вероятно, разочарую вас, поскольку за таким многообещающим названием последуют лишь вопросы, которые возникли в процессе знакомства c этим продуктом.
Самому хотелось бы понять, как его использовать, поскольку все русские публикации о Whonix подобны друг другу, как близнецы-братья.
Вот типичный перепост:



И тут сразу возникает первый вопрос:


1. Cомнение во фразе "...а другая – полностью изолированной рабочей станцией".
Если бы эта "другая рабочая станция" была бы полностью изолированной, то она вообще бы ни с кем не смогла связаться и никуда не смогла выйти.
Вероятно, авторы имели в ввиду что-то другое, но переводчики исказили смысл фразы.
Какой же он на самом деле?


2. Можно было бы предположить, что Whonix – это только концепция, по которой пользователь сам бы смог собрать свой "Whonix".
Действительно, казалось бы, достаточно поднять на хосте VirtualBox, на котором в качестве рабочей станции проинсталлировать свою любимую десктопную ОС (которая освобождена от прикладных излишеств и в которой точно нет проблем с кирилизацией), а в качестве шлюза – другую мвою любимую серверную ОС, на которой поднять Tor или TBB.
Но как следует из описания, это вовсе не так – вместо этого вам предлагается скачать два особых настроенных образа – почему?
Что такого в них особого, что рекомендуется нужно использовать только их?
Почему нет рекомендаций или хотя бы напустствий, как самому сделать подобную сборку из своих, более привычных дистрибутивов?


3. И наконец, многочисленнные перепосты кем-то вскользь брошенной лаконичной фразы:



Ну и где этот вариант, что он собой представляет, где документация по его установке и настройке?
(только пожалуйста, не предлагайте в качестве замены умопомрачительную разработку от уважаемого unknown – по своей сложности она право, не для средних умов... в смысле не для широких слоев населения).


Пока все вопросы, ответы на которые хотелось бы получить прежде, чем выбрать тот или иной курс на освоение Whonix. К сожалению, в отличие от TBB, тема Whonix как-то вяло обсуждается сообществом и на этом форуме. Предлагаю объединить наши усилия по создании практичной инструкции по сборке и настройке Whonix.


 
На страницу: 1, 2, 3, 4, 5, ... , 11, 12, 13, 14, 15 След.
Комментарии
— relax (23/05/2015 15:25)   профиль/связь   <#>
комментариев: 9   документов: 1   редакций: 0
Блин, совсем запутался. Я то как думал, что Whonix Gateway будет выступать в роли некого, посредника между гостевой и хостовой Ocями и не имеет значения какая в конце или начале ОСь? Я то как думал просто завиртуалю и вуаля весь траф на Виртуалках через ТОР. В моем случае вариант со сбором из того в чем разбираюсь мне не подходит! если нужно отказаться от видны на конце, хорошо! просто очень будет трудно для меня настроить тунели и впн на пингвине(
— relax (23/05/2015 15:33)   профиль/связь   <#>
комментариев: 9   документов: 1   редакций: 0
А как Whonix gateway и Whonix Workstation связываются между собой? Существует я так понимаю какая то внутренняя сеть Whonix? Это в настройках сети VirtualBoX?
— pgprubot (25/05/2015 21:39)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70
У проекта whonix есть сайт с документацией, там всё расписано. Я читал давно, и заново перечитывать лень.


Whonix Gateway — образ для хостовой ОС, Whonix Workstation — образ для гостевой ОС, вроде так.


Связываются между собой так же, как разные ОС, запущенные в виртуалке. Whonix — это просто готовые образы для гостевой и хостовой ОС, которые нужно установить и как-то немного донастроить (раньше, судя по документации, было так). Точнее, в случае, когда всё ставится на одну машину, это так, но там был ещё вариант с разносом gateway и workstation по физически разным машинам в локалке.


Разбираетесь только в винде ведь? Ну, и прекрасно, будет возможность попробовать что-то новое — как раз то, что вы хотите.


При чём тут VPN? И зачем он нужен для заворачивания трафика в Tor?
— Следящий (26/05/2015 23:27)   профиль/связь   <#>
комментариев: 97   документов: 1   редакций: 3
Вы ошибаетесь. Оба образа хуникса предназначены для виртуалок, то есть они обе гостевые. Процесс использования такой: запускаете виртуал бокс, там у вас две виртуальные системы (гейтвей и воркстейшн). Запускаете их в любом порядке одновременно, они загружаются, связываются между собой и вы работаете только в воркстейшене. В гейтвее разве что можно запустить прогу для контроля за соединениями Тора. Ну и обе виртуалки при каждом старте проверяют обновления пакетов и предлагают вам вручную обновить, если необходимо.
— pgprubot (27/05/2015 00:56, исправлен 27/05/2015 01:03)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Полистал документацию. Действительно, вы правы, спасибо за поправки. На хосте, хоть и не рекомендуется, можно использовать винду, раз VirtualBox там есть. В качестве workstation винду тоже можно. Альтернатив для gateway не вижу — только их Debian'овский образ.



Кстати, уже есть экспериментальная поддержка KVM и QEMU, но наиболее интригует Whonix поверх Qubes.


Бросается в глаза то, что нет амнезии и возможны утечки MAC-адресов в локалку. Амнезия нужного типа делается на коленке, это просто,* а утчека MAC-адресов, видимо, связана с особенностями VirtualBox (в Xen вроде можно настроить так, чтоб не утекали).


Объём документации впечатляет. Такое впечаление, что те, кто сможет это всё проглотить и переварить, сами whonix-подобную систему для себя соберут по общим инструкциям, а остальным всё равно будет непонятно. Неясно, можно ли сделать такой продукт для неподготовленного пользователя на уровне юзабельности и популярности хотя бы как у Tails. Может быть, там можно разграничить: эта документация — для домохозяек, а для тех, кто хочет углубиться в нестандарты — вот отдельная сводка документации. Для продвинутых юзеров документация полезна как набор готовых рецептов и концептов, которые можно творчески перетаскивать в «whonix-подобные системы» (виртуалки) собственной собрки. Впрочем, можно вообразить, что Whonix достигнет такой популярности и гибкости, что гикам будет проще ставить её и слегка допиливать под свои цели/нужды, чем брать операционки и виртуалки общего назначения и доводить их до кондиции с нуля.



* Однако, трудно это сделать универсально и удобно для всех потенциальных юзеров, т.к. у каждого свои требования. Впрочем, Tails как-то решил эту проблему, добавив поддержку persistent-раздела. Обсуждалось сделать Whonix как Live-систему (это почти что одни плюсы), но, судя по документации, отказались, т.к. затрудняются обновления и установка софта под нужды пользователей.

— просто_Гость (27/05/2015 12:16)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

Да в настрокуах сети вирт машины есть Сеть – Адаптер N – Тип подключения – выбираем Whonix
При подключении другой гостевой системы выбираем в настройках сеть Whonix и в настройке сетвого адаптера внутри гостя прописываем IP, маску, шлюз руками.
— просто_Гость (27/05/2015 12:18)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

Утечки каких mac? Вирт машин? Это можно считать серьезной утечкой, при условии что mac гостя меняется одним кликом.
— просто_Гость (27/05/2015 12:19)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

Пропущен знак вопроса. Теряется смысл предложения.
— просто_Гость (27/05/2015 12:22)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

Наверно имеется ввиду, что при исполнении требования разнесения шлюза (whonix-gateway) и раб системы (whonix-workstation) на разные ПК в разных сетях (например шлюз на VPS), то потребуется либо ВПН, либо opendns (freedns и etc).
— просто_Гость (27/05/2015 15:36)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

Тут наверно так (?):
1. Хост – Win8
2. Инет – 3G
3. Whonix-gateway -> VPN
4. Гость-Win7 -> Whonix-gateway -> VPN

Эту конструкцию тоже не очень понял: ssh/opnVpn
Это вы в Гость-win7 хотите запустить VPN? Затык уже будет на стадии openvpn (гость-win7) через шлюз whonix, когда у вас vpn завернется в tor, а потом вообще не предсказуемо пойдет в vpn хоста из под 3G (!!!)
Имхо, все встанет жестким колом.
— pgprubot (28/05/2015 01:38)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Какой бы он ни был, его утечка в логи ISP — не очень приятный факт. По всей видимости, дело в том, что обычно в виртуалках сеть настраивают через мосты, вот на примере Xen'а:

К слову, рекомендуемые опции Xen очень плохие для анонимов и сводятся к прямой доставке трафика виртуалок в сеть через мосты, минуя всё остальное. Чтобы постебаться ещё более изощрённо, в документации старательно советуют отключить iptables на мостах, типа плохо и некошерно там фильтровать, пусть трафик сам ходит свободно. Хорошо, что вовремя одумался и понял, что не всему тщательно рекомендуемому стоит следовать. Настройка домов через NAT (то, что нужно анонимам) вообще нигде толком не описана, есть лишь намёки в официальной документации, причём не на сайте Debian, а на сайте Xen. Один деятель в рассылке раскритиковал дефолтную систему настройки сети в пух и прах, расписал, как он её сделал для себя на NAT'е, но его дока старая, а воз и ныне там. Впрочем, эффект всё тот же, всё логично: на хостингах фильтровать не надо, траф у клиентов ходит, как вздумается, пусть за него сами клиенты радеют с внутренними файерволлами, а если что и надо пофильтровать, то это делают на внешних роутерах централизованно. Естественно, раздача настроек идёт по DHCP, и тут мосты приходят как раз кстати. Опять ынтырпрайз всё перекроил под себя, как всегда, а остальные тихо сидят и хавают, что им положили.

А мост — это плохо для анонимности, т.е. нет никакого сокрытия локалки за некоторым IP, как в NAT. В тонкостях и нюансах настроек VirtualBox не разбираюсь, вдруг там иначе вообще не сделать?

просто_Гость, зачем вы пишете новый комментарий на каждый чих? Пока чужих комментов в треде не появилось, вы всегда можете отредактировать свой последний пост, дополнив его нужной новой информацией или исправив ошибки (предпросмотр в новом TBB/firefox не работает, но с редактированием отправленных постов всё ОК).
— просто_Гость (29/05/2015 11:04, исправлен 29/05/2015 11:05)   профиль/связь   <#>
комментариев: 92   документов: 0   редакций: 0

Неправда ваша, чаще всего через NAT. А смысл ставить мост? Другой вопрос что такое "сеть whonix". Во всяком случае, Адаптер 1 (смотрит наружу) в Настройках whonix-gateway стоит NAT.



От неопытности. Исправлюсь.

— pgprubot (30/05/2015 01:35, исправлен 30/05/2015 01:37)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

В скольки из этих инструкций обсуждается вариант с NAT'ом, а в скольки с мостом?



Виртуалки делали не для анонимности, а для оптимального использования железа, и в этой задаче мост удобней. Хост-система не является роутером для своих гостевых, это просто хост. Допустим, в свич может быть воткнуто 3 кабеля, каждый из которых ведёт к машине, на каждой из которых крутится 10 гостевых систем. С точки зрения роутера это то же самое, как если в свич воткнуто не 3, а 30 физически разных компьютеров. Можно из одного места прозрачно рулить всеми гостевыми и хостовыми системами, объединить их в логическую локалку и полностью скрыть от интерфейсов тот факт, где какая гостевая ОС запущена: каждая гостевая ОС может общаться с любой другой гостевой, физически запущенной на другой машине. Можно легко выводить хостовые системы или вводить в строй новые за счёт живого переноса гостевых систем между хостовыми (перенос без их перезагрузки). По моим представлениям как-то так работают хостинг-площадки.



Whonix специально затачивался под анонимность, поэтому логично, если там действительно NAT.

— relax (06/06/2015 12:30)   профиль/связь   <#>
комментариев: 9   документов: 1   редакций: 0
так. ребят, маленько подначитался, теперь надеюсь буду выржаться более доступным для вас языком!)

Получилось так:

Хост у меня Вин8 =>

Инет 3дж =>

Есть Whonix-gateway подключение по типу NAT ( кстати что это за подключения я до конца и не понимаю, кто бы объяснил на пальцах был бы благодарен) =>

Гостевая ВИН7 ( нашел в инете документацию и наконец таки приконнектился к Готевэй оказалось всего то нужны были ИП и маска 10.152.152.50 255.250.192.0 )

Теперь возник вопрост: Теперь как выяснилось на моей Гостевой Винде трафик уже завёрнутый в ТОР( оооо великий ТОР как же я его люблю и доверяю) НО! хотелось бы что бы "сети" не было известно что я юзаю его, как это сделать? Я так понимаю openVpn хорошее решение? Если учитывать что в инет я буду выходить на небольшие и редкие сэсии с 3джи, тора и впн. – то защита будет более чем достаточная ?

И вот еще кое какие мысли – Я конечно понимаю что анонимности как таковой не существует. НО. 3жди по моему очень хороший вариант. с учетом конечно что не твой личный модем итд.
— relax (06/06/2015 12:38)   профиль/связь   <#>
комментариев: 9   документов: 1   редакций: 0
Есть еще вопросик, касаемо VirtualBOX! вот послушайте:

Есть две Виртаулки, носители закриптованны в контейнерах и вообще находятся да же не на ПК!

Но вот недавно в папке C:\Users\user\VirtualBox VMs\Whonix-Gateway\

я нашел папку Logs – и в ней дохрена и всякое множесто всяких непонятных для меня файликов!
но как я понял так дофига инфы о железе итд.

Как я понимаю нужно использовать портативную версию VIrtual? но тогда как же быть с настройками? Настройки Сети,Насители,Общие папки, дополнения итд.
На страницу: 1, 2, 3, 4, 5, ... , 11, 12, 13, 14, 15 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3