id: Гость   вход   регистрация
текущее время 17:41 28/03/2024
Автор темы: Гость, тема открыта 15/08/2009 21:12 Печать
Категории: софт, анонимность, tor
https://www.pgpru.com/Форум/АнонимностьВИнтернет/ТорификацияJabber-клиента
создать
просмотр
ссылки

Торификация jabber-клиента


Не могу найти, как торифицировать клиент jabber.
Я так понимаю, что в настройках надо прописать socks 5 – localhost:9050, или я не прав?


 
На страницу: 1, 2, 3, 4 След.
Комментарии
— SATtva (15/08/2009 21:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Socks4a. Если клиент не поддерживает такую версию протокола (скорее всего) и ему нельзя указать, на какой стороне производить dns-разолвинг (скорее всего), то придётся выбрать socks5, а адрес jabber-сервера необходимо указать по IP. И желательно проверить сниффером, нет ли каких-то иных утечек dns от клиента.
— Гость (15/08/2009 22:07)   <#>
Благодарю.
У меня Pidgin, там есть socks 4 и 5, я так понимаю, 4 не то же, что 4а, и надо указывать 5-й?
В настройках в его ГУЕ есть строки "домен" и "ресурс", когда в строке "домен" указываешь ip, не работает, только домен (у меня – jabber.org).
В строке ресурс я прописал ip, полученный через dig jabber.org (), правильно я сделал?
А указание домена – jabber.org, может деанонимизировать?
— Гость (15/08/2009 22:27)   <#>
а адрес jabber-сервера необходимо указать по IP

В UNIX ряд программ, особенно умных (тот же пинг), даже если и видят, что им даётся нечто, имеющее формат IP-адреса, всё равно отправляют запрос к DNS-серверу чтобы проверить, не доменное ли имя есть этот IP-адрес.

4 не то же, что 4а

Да.

когда в строке "домен" указываешь ip, не работает

Должно работать. Я замечал такое: если доменное имя указано конвенционально, то логин должен/может быть указан как jid без собачки и домена:
username = username
server = jabber.domain
Если же домен указан как IP, то логин нужно писать как jid:
username = username@jabber.domain
server = SERVER_IP

В строке ресурс я прописал ip

Не имеет смысла. Ресурс – это некоторое "имя" проассоциированное с вашим джаббер-инстенсом. В случае, когда у вас одновременно запущены n джаббер-клиентов на одном и том же аккаунте, назначение различных "ресурсов" позволяет вашим корреспондентам отличать ваши инстэнсы и писать на тот, на какой они хотят. Полный формат таков: username@jabber.domain/resource

А указание домена – jabber.org, может деанонимизировать?

Потенциально да, т.к. время вашего выхода в онлайн всегда будет совпадать со временм соответствующего запроса к локальному DNS-серверу, что как минимум говорит о том какой jabber-сервер вы используете, и как максимум на основе корреляций позволяет сказать каков ваш настоящий jid.
— SATtva (15/08/2009 22:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
У меня Pidgin, там есть socks 4 и 5, я так понимаю, 4 не то же, что 4а, и надо указывать 5-й?

Да. Socks4 ничего не знает о резолвинге имён, его должен выполнить клиент и передать socks-серверу IP-адрес (в случае Tor'а это означает утечку DNS-запросов к провайдеру). Socks5 может принимать как IP, так и DNS-имя, которое будет разрешено на стороне socks-сервера, но большинство реализаций не заморачиваются такими деталями и передают имя на сторону сервера только если не могут разрешить его на стороне клиента (но в некоторых случаях, как в Firefox, позволяют задать в настройках принудительное разрешение имён socks-сервером). Socks4a — это расширение протокола, которое резолвит имена только на стороне socks-сервера.

В строке ресурс я прописал ip, полученный через dig jabber.org

Этим Вы уже допустили утечку DNS-запроса к провайдеру. В составе Tor есть утилита tor-resolve, предназначенная для безопасного определения IP-адресов через сеть Tor.

А указание домена – jabber.org, может деанонимизировать?

Зависит от того, как Pidgin работает с socks5. Если по умолчанию он резолвит имена самостоятельно, а socks-серверу передаёт уже IP, то Ваш провайдер (и наблюдатель на линии связи) будет знать, что инициируемое через Tor соединение — это подключение к серверу jabber.org (а по характеру трафика будет ясно, что это jabber-сессия, а не обращение к веб-сайту jabber.org, например). В зависимости от Вашей модели угрозы такая утечка может и не представлять опасности. Решать Вам. Проверять наличие таких утечек проще всего сниффером: Вы увидете UDP-трафик на 53-й порт к DNS-серверам провайдера.
— SATtva (15/08/2009 22:32)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
В UNIX ряд программ, особенно умных (тот же пинг), даже если и видят, что им даётся нечто, имеющее формат IP-адреса, всё равно отправляют запрос к DNS-серверу чтобы проверить, не доменное ли имя есть этот IP-адрес.

Верно, поэтому предложил в первом посте на всякий случай проверять протечки.
— Гость (15/08/2009 22:54)   <#>
Если же домен указан как IP, то логин нужно писать как jid:
username = username@jabber.domain
server = SERVER_IP

Долбаный pidgin не хочет так записывать, прописываешь таким образом, он вместо этого делает такую штуку:
username = username
server = @jabber.domain\SERVER_IP
Не знаю, как и бороться.

В составе Tor есть утилита tor-resolve, предназначенная для безопасного определения IP-адресов через сеть Tor.

Спасибо за информацию, раньше не знал, и в некоторых случаях раздражало, что уходит запрос через провайдера. Буду пользовать!!!
А есть подобное в tor вместо whois?
По ману tor-resolve только
— Гость (15/08/2009 23:10)   <#>
Не знаю, как и бороться.

Например, сменой клиента на mcabber, который не страдает такой ветрянкой. Ещё можно обратиться к разработчикам pidgin или спросить на их форуме поддержки.
— Гость (15/08/2009 23:49)   <#>
Например, сменой клиента на mcabber, который не страдает такой ветрянкой.
Или на tkabber. Правда там игрушечки, рюшечки и розовые слоники...

А есть подобное в tor вместо whois?
Вроде нет. Можно пользоваться веб-сервисами типа https://www.nic.ru/whois/. Или SSHиться на удалённую машину, а там уж пользоваться всем, чем угодно.
— Гость (16/08/2009 05:25)   <#>
А есть подобное в tor вместо whois?

А чем не вариант
?

Правда там игрушечки, рюшечки и розовые слоники...

У mcabber'а тоже есть один неудобный для анонимности косяк: он не умеет скрывать то, что он mcabber (скрывать ОС умеет). Более оптимальным был бы клиент, умеющий подделываться под самый распространённый джаббер-клиент.
— Гость (16/08/2009 11:05)   <#>
tcpdump|grep dns выдает такую фигню:



-это идет утечка dns-запросов моего жаббера через ipv6?
Что касается UDP (tcpdump|grep UDP), то среди них я вижу только netbios-пакеты виндовых компов и КПК, подключенных к сети, и такую гадость:

Причем только одну за длит. время (около часа)

При этом при выполнении команды ifconfig в sh-окружении роутера, ни один из интерфейсов его не поддерживает ipv6.


При таком раскладе может ли мне угрожать деанонимизацией включенное состояние моих модулей ipv6, или все-таки лучше их отключить в моей системе?
— Гость (16/08/2009 19:18, исправлен 16/08/2009 19:29)   <#>
или все-таки лучше их отключить в моей системе?

Ответ очевиден: запрещено должно быть всё, кроме того, что действительно нужно позволить. Если есть возможность, лучше отключить IPv6 всюду, включая ядро, но или хотя бы надёжно закрыть весь IPv6-трафик файерволлом.

PS: Не так давно, в 2007ом году сменилась главная страница http://www.openbsd.org на "Only two remote holes in the default install, in a heck of a long time!", в то время как было что-то типа "Only one remote hole in the default install, during more than 10 years". Ошибка была в IPv6-стэке: http://www.coresecurity.com/content/open-bsd-advisorie
— Гость (16/08/2009 20:11)   <#>
[offtop]
запрещено должно быть всё, кроме того, что действительно нужно позволить

Почему то, что считается очевидным требованием для обеспечения безопасности информационных систем вызывает у некоторых яростное неприятие при попытке применения этого же принципа для обеспечения безопасности государства?
[/offtop]
— Гость (16/08/2009 20:24)   <#>
[offtop]
Потомучто люди – это не программы, которые по желанию можно изолировать в окружение jail или chroot без последствий для всей системы и их самих.
[/offtop]
— sentaus (16/08/2009 20:33)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
[offtop]
Почему то, что считается очевидным требованием для обеспечения безопасности информационных систем вызывает у некоторых яростное неприятие при попытке применения этого же принципа для обеспечения безопасности государства?


Потому что последствия такого бездумного переноса правил работы информационных объектов на реальные и наоборот чаще оказывается плачевным как по основному, так и по побочным результатам. Например, вы как-то можете себе представить гласность("опенсорс") в работе спецслужб?

[/offtop]
— Гость (16/08/2009 21:27)   <#>
[offtop]
Например, вы как-то можете себе представить гласность("опенсорс") в работе спецслужб?

Не очень удачный пример. Конкретные правила firewall'а конкретного узла тоже часто не обнародутся, хотя и opensource.
[/offtop]
На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3