Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
Bezpieczenstwo takiego systemu
16.01.2015, 18:44 (Ten post był ostatnio modyfikowany: 16.01.2015 19:12 przez SharedAccount.)
Post: #1
Bezpieczenstwo takiego systemu
Co myślicie o zainstalowaniu w osobnym systemie (gentoo) tora i tunelowania całego ruchu sieciowego bez maszyny virtualnej, zainstalowany tor browser bez dodatków jak w tails. Do bittorent, przeglądania stron, ftp i ssh. Czy coś może wycieknąć bez backdoorów ?

Moim zdaniem jest to o wiele lepsze niż użycie maszyny wirtualnej, oczywiście musisz wszystko poprawnie skonfigurować. Strona w Wiki Gentoo dotycząca konfigurowaniu ruchu przez Tora jest napisana wzorowo.

Uwagi:
Nie radzę przy takim czymś przekierowywać wszystkiego na tora, tylko skonfigurować proxy w wybranych aplikacjach, a resztę ruchu blokować. Dzięki temu unikniesz sytuacji, że jakaś aplikacja wyśle coś przez Tora bez Twojej wiedzy. Ponadto nie konfiguruj bramy sieciowej na maszynie klienckiej! Najlepiej ustaw statyczne adresy ip na obu maszynach i nie używaj dhcp.

Jeżeli jesteś paranoikiem to uważaj też na model i konfigurację fizycznej maszyny. Najlepiej użyj starego sprzętu, bądź opensource hardware (np. BananaPi).

Pisz jeżeli masz jakieś pytania, bo nie wiem na co mógłbym Ci jeszcze zwrócić uwagę.
Odwiedź stronę użytkownika Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
18.01.2015, 8:45 (Ten post był ostatnio modyfikowany: 18.01.2015 8:47 przez kr2y510.)
Post: #2
RE: Bezpieczenstwo takiego systemu
(16.01.2015 18:44)SharedAccount napisał(a):  Co myślicie o zainstalowaniu w osobnym systemie (gentoo) tora i tunelowania całego ruchu sieciowego bez maszyny virtualnej, zainstalowany tor browser bez dodatków jak w tails. Do bittorent, przeglądania stron, ftp i ssh. Czy coś może wycieknąć bez backdoorów ?
IMO jest to znacznie lepsze od maszyny wirtualnej. Maszynę nie każdy umie skonfigurować, w szczególności ruch sieciowy. Ja zauważyłem, że wielu pozornie oblatanych w Linuksie, ma poważne problemy ze zrozumieniem kwestii sieciowych.

(16.01.2015 18:44)SharedAccount napisał(a):  Uwagi:
Nie radzę przy takim czymś przekierowywać wszystkiego na tora, tylko skonfigurować proxy w wybranych aplikacjach, a resztę ruchu blokować. Dzięki temu unikniesz sytuacji, że jakaś aplikacja wyśle coś przez Tora bez Twojej wiedzy. Ponadto nie konfiguruj bramy sieciowej na maszynie klienckiej! Najlepiej ustaw statyczne adresy ip na obu maszynach i nie używaj dhcp.

Kwestia proxy v.s. tunelowania całego ruchu, to nie tylko kwestia ustawień. Z jednej strony głupotą jest puszczenie wszystkiego przez Tor, bo oznacza to puszczenie upgrade Windows i innych aktualizacji. Wink
Z drugiej strony są programy trudne w "proksyfikowaniu" jak na przykład Claws-Mail czy Stylphed. By one działały poprawnie należy na maszynie torowanej odpalić sockat, skonfigurowane na adresy poczty (czyli lokalny port ➝ zdalny adres:port, przy czym osobny dla SMTP, osobny dla IMAP/POP, osobny dla sieve i tak dla każdego konta). A co w przypadku gdy chcemy torować Windows, na którym jest Claws-Mail lub inny trudny w torowaniu program? Wtedy sockat należy odpalić na maszynie gdzie jest Tor (w tym przypadku Gentoo Gateway), porty wywalić na zewnątrz, a z Windows kierować ruch statycznie. Jest trochę roboty, dla tych którzy mają problemy ze zrozumieniem sieci, adresowania itd. Jest jeszcze jeden poważny problem, na maszynie gdzie jest Tor pozostają ślady!

TorChat: kjwyvwi3ac3wduxj | I2P-Messenger: haglaaxk3jfqp33mfpkhjjamkndvv5bufuw37w445ejhljyjdaka.b32.i2p
I2P Bote: Baiibi~iBvX5p3yOQ1WrZ4C1ryu-MbPsgPvpwLeeYivGswAT~ib0-33pVfOUsQ7nV5pYUcYDl93n5ic4CUWkYh-6Lie5jA1svc35~VJq7itTfRaGIo9nuJlFIElwip7P9HPbNb3feGwwGAkFQR~EnDU2EHIf7heAzV-zmgD3SRJmx1

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
18.01.2015, 15:06 (Ten post był ostatnio modyfikowany: 18.01.2015 23:14 przez SharedAccount.)
Post: #3
RE: Bezpieczenstwo takiego systemu
(16.01.2015 18:44)SharedAccount napisał(a):  Najlepiej ustaw statyczne adresy ip na obu maszynach i nie używaj dhcp.
Maszyna ma być jedna i na niej zainstalowany tor.
Co z Protocol IP leak ?
Opisane jest to tutaj https://www.whonix.org/wiki/Comparison_with_Others , https://www.whonix.org/wiki/Security_in_Real_World , https://tails.boum.org/security/IP_addre...ex.en.html
Bezpiecznie jak będę zawsze za ruterem ? zapora jak w wiki gentoo
root #iptables -F
root #iptables -P OUTPUT DROP
root #iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
root #iptables -A OUTPUT -m owner --uid-owner tor -j ACCEPT
root #iptables -P INPUT DROP
root #iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
root #iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Co jeszcze zmienić ? resolv.conf na 127.0.0.1 ? stosy tcp/ip mozna zmienic ? ustawić jak w whonix ?
Co z czasem ? ustawić na utc i torować ntpd ?
Odwiedź stronę użytkownika Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
08.11.2017, 10:37
Post: #4
RE: Bezpieczenstwo takiego systemu
(18.01.2015 8:45)kr2y510 napisał(a):  Maszynę nie każdy umie skonfigurować, w szczególności ruch sieciowy. Ja zauważyłem, że wielu pozornie oblatanych w Linuksie, ma poważne problemy ze zrozumieniem kwestii sieciowych.
Na szczęście już nie musi. W Qubes OS można to sobie wyklikać:

https://www.reddit.com/r/Qubes/comments/...r_traffic/

i przekierować na tora dowolną maszynę wirtualną.

(18.01.2015 8:45)kr2y510 napisał(a):  Z jednej strony głupotą jest puszczenie wszystkiego przez Tor, bo oznacza to puszczenie upgrade Windows i innych aktualizacji. Wink
Akurat w Windows, nawet jeśli ustawilibyśmy połączenie na innym urządzeniu i do niego połączyli naszą fizyczną (nie-wirtualną) maszynę z Windowsem, to się kompletnie mija z celem. Taki system zawsze będzie doskonalne identyfikowalny z perspektywy tego, co wysyła do bazy:

Cytat: This is what Microsoft admits to log when you do a Windows Update. ​Windows Update privacy statement
  • Computer make and model
  • Version information for the operating system, browser, and any other Microsoft software for which updates might be available
  • Plug and Play ID numbers of hardware devices
  • Region and language setting
  • Globally Unique Identifier (GUID)
  • Product ID and Product Key
  • BIOS name, revision number, and revision date

https://trac.torproject.org/projects/tor...dowsUpdate

To jest też kolejny powód, dlaczego ustawianie połączeń VPN na Windowsach nie ma sensu.

Przy wirtualnej maszynie z Windowsem jednak, mamy chociaż to że numery sprzętu (wysyłane do bazy) są wirtualne, a nie fizyczne.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz 


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości