Аппаратный Tor
Интуиция подсказывает, что держать Tor на защищаемом компьютере примерно тоже самое, что защищать компьютер с помощью файрволл, установленном на нем же – качество защиты гораздо ниже, чем держать средства защиты совсем на другом компьютере, сервере (если не прав, то всегда найдется кому поправить :-)
В-общем, это была отправная точка, которая привела к вопросу: а существует ли аппаратный Tor?
Гугл на этот вопрос ответил пока отрицательно. Но вот что нашлось на сайте http://openwrt.org, на котором коллекционируют OpenSource-прошивки для аппаратных маршрутизаторов – исходники Tor-клиента.
Т.е. достаточно их откомпилировать, залить их в какой-нить дешевый DLink или ему подобный файер – а пожалуйста, вот вам аппаратный Tor! :-)
Нет особой нужды говорить, что подобные Tor-аппараты намного мощнее в плане безопасности (особенно если сравнивать Tor в винде) – хотя бы потому, что в нем невозможно модифицировать код, подцепить вирус или троян.
И чтобы вы не вытворяли на своей персоналке – Tor-аппарат всегда будет готов к работе!
Вот конкретные исходники, лежащее здесь: http://downloads.openwrt.org/sources
tor-0.1.0.10.tar.gz 10-Jul-2005 14:27 615K
tor-0.1.0.11.tar.gz 10-Jul-2005 14:28 615K
tor-0.1.0.14.tar.gz 10-Aug-2005 02:06 617K
tor-0.1.0.15.tar.gz 12-Nov-2005 22:03 617K
tor-0.1.0.16.tar.gz 29-Jan-2006 19:36 618K
tor-0.1.0.17.tar.gz 29-Jun-2006 05:29 619K
tor-0.1.0.9-rc.tar.gz 20-Jun-2005 22:17 617K
tor-0.1.1.24.tar.gz 07-Jul-2007 01:46 830K
tor-0.1.2.17.tar.gz 24-Oct-2007 18:30 1.2M
Возможно, есть что-то подобное и на сайте dd-wrt, еще не смотрел.
Какие будут соображения у господ криптологов? :)
Ссылки
[link1] http://archives.seul.org/or/talk/
[link2] http://www.links.org/?p=330
[link3] http://www.nedopc.org/forum/viewtopic.php?p=81864&sid=6e0ef0a1f4d5e5002330fc513f71d73b
[link4] http://archives.seul.org/or/talk/Jun-2008/msg00123.html
[link5] https://trac.torproject.org/projects/tor/wiki/doc/Torouter
[link6] https://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjobschievoprosy#h36800-2
[link7] https://www.pgpru.com/comment43202
[link8] http://ru.wikipedia.org/wiki/Qubes#Qubes
[link9] https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy
[link10] https://trac.torproject.org/projects/tor/wiki/doc/TorBOX#AboutTorBOX
Были умельцы, которые этим уже занимались. Можете поискать в архиве or-talk[link1].
Это ещё бабка надвое сказала. Не столь давно упоминалось[link2], что сетевые карты могут быть уязвимы к удалённой перепрошивке firmware. И я не берусь ручаться, насколько защищены от подобных атак дешёвые маршрутизаторы и брандмауэры потребительского класса.
А что, на обычно PC это сделать сложнее чем на железке? И что можно предпринять в качестве защиты?
Разумеется, такие факты имели место, и не только в отношении сетевых карт. Иногда некоторые оси нечаянно перешивали firmaware CD-приводов, и т.д., поскольку, если модификация EEPROM разрешена аппаратно, то всегда можно создать софт, который его модифицирует.
Но все же – где вероятность нарушить код системы – в известной каждой дворняге операционной системе, которую используют все кому не лень и для которой уже создано сотни тысяч вирусов, или в коробочке неизвестной для хакера модели? (если использовать никсы, так для них тоже хватает руткитов)
Несомненно, в последнем случае здесь целина совершенно неизведана и нераспахана.
К тому умельцы могут банальной установкой перемычки запретить модификацию EEPROM.
Это была моя точка зрения.
А у меня вопрос к знатокам: ваше мнение – каковы перспективы аппаратного Tor? По крайней мере, в нашем узком PGP-ном кругу :)
PS. Кстати, аппаратных торрентов выпускается уже полно – http://www.nedopc.org/forum/vi.....e5002330fc513f71d73b[link3] ,
http://forum.ixbt.com/topic.cgi?id=14:46879 и т.д. А ведь их сложность вовсе не выше Tor'а.
Вопрос мне не совсем понятен. Используйте, почему нет? Есть ещё такая штука: Tor-ramdisk[link4].
Получается очередная попытка достичь безопасности через неизвестность.
Слово "аппаратный" по моему пора давно заменить на что-то более отвечающее современному смыслу, софт остается софтом.
В рассылке писали люди успешно использовавшие Tor в качестве клиента (там главная проблема размер оперативки в удешевленных моделях) на таких удобных, бесшумных, более "зеленых" железках. И перспективы, если судить по ним и общему прогрессу (и грядущему энергетическому кризису), у такого "аппаратного" Tor есть. Только не думаю что приоритетом, при реализации железного клиента, для них была безопасность.
Также возникает вопрос защиты линка до маршрутизаторов (с учетом среды передачи, и прочее).
Ознакомился, но это не аппаратный Tor, а мини-дистрибут линукса для обычного PC.
Речь же шла не о персоналках, а аппаратных "мыльницах" типа DLink, Planet, Linksys и т.д., конструкция некоторых из них позволяет заливать произвольную прошивку.
Да, это не есть гуд, не позволяя достичь идеальной долговременной защиты. Затрудняет дешифрование – да и ладно, большинство юзеров будут и этому рады.
Но кто сказал, что сам Tor обеспечивает идеальную анонимность/защиту?
Ну есть какая-то относительно мощная (кажется 200 MHz ARM), маленькая и дешевая железка, SLUG называется.
Будет даже помощнее раутера. Предназначена для домашней фалопомойки. От поставщика на Линуксе там есть веб-сервер, FTP, samba.
Но можно использовать OpenSLUG/DebianSLUG/SLUG_OS и поставить туда что-угодно.
Кто-то где-то жаловался, что Tor встал, но как сервер нагрузок совершенно не держит и OpenSSL глючит.
Вероятно на более хилых железках тоже пытались такое же сделать. К тому же в таких железках чаще всего используется запуск всего от рута и из системы выкинуто максимум всего что имеет отношение к безопасности.
Если у кого-то остался старый ПК на 300-500-... МГц, имеет смысл перепрофилировать его под брандмауэр-Tor-сервер. И полноценную ОС типа OpenBSD можно поставить, и не экономить на затягивании гаек. Хотя в любом случае в режиме сервера такое железо потянет только самый узкий канал: OpenSSL станет бутылочным горлышком.
Выходит, на микрожелезках эти дистрибутивы изрядно слабы :(
Или разработчики?
Господа, ну сколько можно тянуть волынку еще из 2-го тысячелетия "о старом и слабо компьютере"!
Где вы их найдете сейчас? А если и найдете, то кто позволит всерьез пользоваться этим старьем с высохшими электролитами – ни поддержки, ни запчастей, и сдохнуть может в любой момент.
Да и размеры, вес и шум сопоставимы с мощными современными PC – в чем выигрыш то?
А теперь сравните с мыльницей размером с ладошкой и весом грамм в 200!
Уж извините, но надоело эту заунывную и непродуктивную песню слушать :(
Я писал "если остался", а не предлагал искать. У пары знакомых машины такого класса уже много лет после списания служат домашним сервером/брандмаэром/чем-то ещё. Это нормально (если оно есть). Ненормально — при наличии названного железа покупать странное существо, которое кроме как на заявленные цели ни на что не годится.
Могу предположить, что вы с такими существами мало работали, иначе у вас было иное мнение о них, гораздо более лояльное. К тому же ради Тора держать PC, пусть даже самый старый, это все равно, что стрелять по воробьям из пушек.
Мне действительно интересна реализация Тор на мыльницах. Вспомним историю – раньше любой недорогой маршрутизатор (не Cisco) обязательно реализовывался на PC. Затем появились первые экземпляры на мыльницах, а сейчас их пруд пруди – их выпускают все, кому не лень.
Думается, такая же участь ждет и Tor, хотя и в меньших масштабах, ввиду меньшей масштабности интересов в анонимизации – достаточно узкая сфера интересов.
Будущее за нанотехнологиями! За материнками форм-фактора nano-ITX и pico-ITX
Уже полтора года назад эти малышки размером с привод для дисков имели процессор 1.2 GHz
У меня самого материнка формата ITX на процессоре VIA Eden. При частоте 1,2ГГц эта малышка потребляет всего 7 Вт.
Но это все равно не то! Это – специализированный корпус, БП, винчестер обычный или флешка, и т.д.
Всё это в сборе получится эдакий врангелвский танк, только без заклепок.
Это решение – слишком избыточно для решаемой задачи, поскольку оно универсально.
И эта малышка, кстати, стоит бешеных денег – от $200 и выше, тогда как приличный (для класса SOHO) "заливной" роутер каких-нибудь $80-90. И являет собой единое целое, а не сборник. И размеры, и вес... да о чем тут говорить, говорилось уже
Пишите патчи. Уверен, "слабые разработчики" будут только рады.
SATtva, это весь конструктив? Вас не заинтересовала эта тема или что?
есть у кого-нибудь опыт по созданию/настройке "заторенного" wifi роутера?
Если на wifi-рутере стоит полноценная ОС, сделать можно, например, так.
спасибо, а под openwrt есть информация?
задача – сделать заторенную точку доступа. собрать подходящую прошивку, для не слишком мощного (дорогого) роутера. TOR в режиме ретранслятора или простого клиента.
у кого есть какие предложения, советы, другая информация?
есть – это (Torouter[link5])
думаю вопрос решается с помощью виртуализации. Аппаратный tor это всё равно будет программный tor.
что вы имеете в виду? поясните пожалуйста
Программный, но на физически отдельной машине, что более безопасно[link6].
виртуализировать машину с tor и файрволом, хост систему настроить чтобы все tor соединения шли в гостевую систему, а прокся тора доступка для хоста. Хотя можно в какой нибудь роутер прилепить tor. Исходные коды есть, make install и после бессонной ночи по устранению ошибок компиляции система готова
Идеология виртуалок в том, что host ОС — доверенное окружение, откуда ведётся управление всем, а guest ОС — потенциально недоверенное. Именно поэтому Tor логично запускать[link7] на host OS, а не на guest. Имхо.
Нет, на гостевой ос вообще ничего не нужно запускать кроме виртуальных ОС, тогда гостевая более менее в безопасности если сеть тоже направлена вся в виртуальные. На современных компутерах вполне реально запустить десяток другой ОС, а в случае openvz и более того. Конечно лучше всего если у процессора есть ring -1, тогда из гостевых ос никак(если сам процессор не багованный) нельзя вылезти в хост.
вообще если изначально стоит цель сделать более менее надёжную архитектуру именно к взлому из Сети, то лучше сделать именно таким образом, т.е. поднять хост, а на нём поднять виртуальные ОС, под почтовый клиент одну, под браузер другую, под DMZ третью, под IDS третью, тогда очень сильно осложняется атака на систему, так как изоляция при виртуализации гораздо надёжкей, чем в монолитной ОС.
Йоанна Рутковская[link8] (Joanna Rutkowska) – ОС Qubes. Хорошая идея.
предлагаю все же, сконцентрироваться на поставленной задаче:
сделать заторенную точку доступа. собрать подходящую прошивку, для не слишком мощного (дорогого) роутера. TOR в режиме ретранслятора или простого клиента.
собственно, как?
У меня/нас нет железки с OpenWRT, поэтому, собственно, никак. Прискорбно, но инструкции не будет. Если бы на рутере была полноценная ОС, вы могли бы воспользоваться готовыми инструкциями[link9].
На роутерах часто стоит freebsd.
Хех, tor project пользуется svn, Оо
а что если настроить одну виртуальную машину в качестве "заторенного" роутера для других виртуальных машин. Есть инструкции как такое правильно сделать?
https://trac.torproject.org/pr.....c/TorBOX#AboutTorBOX[link10] – будем экспериментировать!
virtualbox – выдает ошибку. черт...
а существуют ли подобные готовые решения?
решение проблемы запуска torbox на virtualbox -> включить поддержку PAE/NX (процессор)
приятный, аскетичный интерфейс. Будем разбираться что к чему.
P.S. TorBox (на виртуальной машине) – тема вполне достойна обсуждения.
вопрос
зачем дополнительно прописан прокси в браузере ОС TorBOX-Workstation, если весь трафик проходит через TorBOX-Gateway (заторенный виртуальный роутер)?