Tor

Список разделов

Описание: Решаем технические проблемы

Сообщение #881 Kokovanja » 19.09.2016, 20:55

Tor Project покидает один из первых контрибьюторов

В сообществе, которое окружает проект Tor, хорошо известно имя Лаки Грина (Lucky Green) — этот человек, фактически, стоит у самых истоков проекта, является одним из первых и старейших контрибьюторов, и именно он хостил первые пять нодов «луковой» сети. Теперь Лаки Грин официально объявил о том, что собирается оставить проект. Вместе с его уходом прекратят работу все ноды, которыми он управлял, среди которых есть и критический для всей инфраструктуры Tor сервер.
«Дорогие друзья,

В связи с последними событиями, для меня стало неприемлемо продолжать поддерживать Tor Project как финансово, что я делал на протяжении всех этих лет, так и предоставляя [проекту] вычислительные мощности. Это решение далось мне нелегко. Кажется, именно я хостил первые пять нодов в системе и моя вовлеченность в дело Tor началась за много лет до того, как он стал называться “Tor”.

Несмотря на это, я понимаю, что в пределах рамок этики у меня остался лишь один разумный выбор – анонсировать прекращение работы всех связанных с Tor сервисов, которые я хостил у себя.

Отдельно стоит отметить нод Tonga, отвечающий за списки мостов [Bridge Authority], который, как я понимаю, является одной из базовых частей системы.

Tonga окончательно прекратит работу, и все ассоциации с криптографическими ключами будут уничтожены 2016-08-31. Это должно дать разработчикам Tor должное время на создание замены.

Помимо Tonga я остановлю работу нескольких быстрых relay, но directory authorities должны будут быстро обнаружить это отключение, так что здесь никаких дополнительных уведомлений не требуется.

Я желаю Tor Project только лучшего и продолжать двигаться вперед в эти сложные времена,

— Лаки».

В своем официальном послании, которое можно прочитать выше, Лаки Грин обозначил суть проблемы, которую создает его уход. Адрес Tonga, который некогда доверили Грину, жестко прописан в приложениях Tor и является одним из ключевых в onion-сети. Фактически Bridge Authority позволяет сети Tor уходить от банов и блокировок на уровне интернет-провайдеров и отвечает за списки мостов. До 31 августа разработчики будут вынуждены создать альтернативу Tonga, удалить IP-адрес Bridge Authority Грина из кода и заменить новым.

С какими именно «событиями» связан уход Лаки Грина остается неясным. В последние месяцы вокруг Tor Project случилось немало скандалов. К примеру, в мае 2016 года, из-за обвинения в сексуальном домогательстве проект оставил один из разработчиков и практически главный евангелист, Джейкоб Эпплбаум (Jacob Appelbaum). На прошлой неделе стало известно, что после ухода Эпплбаума за кулисами Tor Project произошли серьезные изменения. Так, был полностью переизбран совет директоров, в который теперь входят известный криптограф Брюс Шнайер (Bruce Schneier) и исполнительный директор Electronic Frontier Foundation Синди Кон (Cindy Cohn). Сейчас многие предполагают, что Грин не доверяет новому правлению Tor Project или решил подать в отставку вслед за Эпплбаумом.
Scio те nihil scire. (с) Socrates.
Kokovanja M
Откуда: Из заветного места
Сообщения: 6565
Зарегистрирован: 01.11.2013

Сообщение #882 Peter2 » 25.09.2016, 17:09

Raisonneur писал(а) 06.07.2013, 06:28:
Hotaru писал(а) 06.07.2013, 00:07:Тор может влиять на скайп? :blush:
Скайп, насколько я знаю, не торифицируется.
В торифицированной виртуальной машине прекрасно запустил сегодня скайп, и даже зашел в свой акк, и даже записал и воспроизвел звук.
Transparently Routing Traffic Through Tor - https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy
или вот еще - https://cryptopunks.org/article/forward all the traffic to tor/
Peter2
Сообщения: 284
Зарегистрирован: 24.07.2015

Сообщение #883 Peter2 » 26.09.2016, 02:05

Raisonneur писал(а) 03.08.2015, 21:57:Да, хотелось бы побольше похожих на Тор сервисов. Вообще странно, что i2p так плохо развивается, тематики там мало совсем.
Напротив, есть развивающийся лёгкий i2pd и терабайт темы в торрентах.
Peter2
Сообщения: 284
Зарегистрирован: 24.07.2015

Сообщение #884 PorNoSloNiK » 26.09.2016, 11:11

Peter2 писал(а) 25.09.2016, 17:09:В торифицированной виртуальной машине прекрасно запустил сегодня скайп, и даже зашел в свой акк, и даже записал и воспроизвел звук.
Ты уверен, что скайп полностью работал через ТОР?
Потому что , когда я пытался запустить скайп через ТОР, У меня это удавалось крайне редко (видимо лишь через отдельные выходные ноды ТОРа он может работать). А в большинстве случаев Скайп не смог подключиться к серверу.
Последний раз редактировалось PorNoSloNiK 26.09.2016, 11:11, всего редактировалось 1 раз.
F65.4
PorNoSloNiK M
Сообщения: 1628
Зарегистрирован: 26.01.2013

Сообщение #885 Peter2 » 28.09.2016, 14:51

PorNoSloNiK писал(а) 26.09.2016, 11:11:Ты уверен, что скайп полностью работал через ТОР?
Да. Прозрачное проксирование через тор, весь трафик идет во входную ноду.
PorNoSloNiK писал(а) 26.09.2016, 11:11:Потому что , когда я пытался запустить скайп через ТОР, У меня это удавалось крайне редко
У меня на самом деле было также. Работает через раз.
Последний раз редактировалось Peter2 28.09.2016, 15:08, всего редактировалось 2 раз(а).
Peter2
Сообщения: 284
Зарегистрирован: 24.07.2015

Прозрачная маршрутизация через tor для чайников

Сообщение #886 Peter2 » 29.09.2016, 16:06

Обычное использование tor, когда в настройках приложения указывается прокси 127.0.0.1:9050, сопряжено с определенными рисками. Например, при работе браузера IP-адрес может утекать через flash и WebRTC.

Чтобы эти утечки не происходили, а также чтобы никакое приложение системы не пускало трафик через клирнет, можно настроить прозрачную маршрутизацию трафика через тор, после чего трафик любых приложений (будь то браузер, jabber-клиент, клиент электронной почты или программа RetroShare), даже при отсутствии указания прокси в настройках, будет идти через тор, и система будет надежно защищена (на самом деле нет*) от утечек IP-адреса.

Итак, продемонстрируем возможность утечки адреса при обычном использовании tor в качестве прокси в браузере. Зайдем на сайт https://browserleaks.com и увидим, что через flash и WebRTC возможно определение нашего реального IP-адреса. Для предотвращения утечек айпи через браузер и другие приложения можно использовать прозрачную маршрутизацию трафика через тор. Делается это путем перенаправления трафика с помощью встроенного в ядро Linux сетевого экрана netfilter, инструментом настройки которого является утилита командной строки iptables.

Рассмотрим процесс организации прозрачной маршрутизации трафика через tor от установки tor до получения конечного результата и рассмотрения возможностей использования полученной системы. Выполняемые далее команды выполняются от суперпользователя. Данная инструкция будет работать, по крайней мере, в системах Debian 8 и Ubuntu 14.04.

1. Установка tor. Можно установить устаревший пакет из репозиториев дистрибутива командой apt-get install tor, но лучше установить актуальную версию пакета из официальных репозиториев. Для этого следуйте инструкции на странице https://www.torproject.org/docs/debian.

2. Остановим службу tor командой
service tor stop
и отредактируем конфиг тора, расположенный по адресу /etc/tor/torrc, добавив в этот файл слудующие строки:

Код: Выделить всё
VirtualAddrNetworkIPv4 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 5353

После правки конфига снова запустим тор командой

service tor start

3. Поправим файл /etc/resolv.conf. Выполним последовательно следующие команды:

Код: Выделить всё
rm -f /etc/resolv.conf
echo "nameserver 127.0.0.1" | tee /etc/resolv.conf
chattr +i /etc/resolv.conf

Это обеспечит удаленное разрешение доменных имен только через tor и предотвратит утечку IP-адреса через DNS. При этом первой командой удаляем старый файл resov.conf или ссылку на его месте, второй командой вписываем строку nameserver 127.0.0.1 в этот вновь созданный файл, третьей командой блокируем возможное изменение этого файла службой networkmanager.

4. Определяем PID тора. Выполняем команду

grep tor /etc/passwd

В выводе терминала получим строку вида

debian-tor:x:135:145::/var/lib/tor:/bin/false

где 135 - первое из двух найденных чисел - и есть искомый PID, который нужно подставить в предлагаемый далее скрипт.

5. Создаем скрипт для внесения изменений в правила iptables.

Создаем текстовый файл с названием, например, script.sh, и впишем в него следующие строки, заменив XXX на PID тора и, при необходимости, заменив имя интерфейса eth0 на актуальное:

Код: Выделить всё
#!/bin/sh

### set variables
#your internal interface
#вместо eth0 можете поставить имя сетевого интерфейса, если оно отличается от указанного здесь.
_int_if="eth0"

#Вместо XXX подставте число, которое вы нашли командой grep tor /etc/passwd
#the UID that Tor runs as (varies from system to system)
_tor_uid="XXX"

#Tor's TransPort
_trans_port="9040"

#Tor's DNSPort
_dns_port="5353"

#Tor's VirtualAddrNetworkIPv4
_virt_addr="10.192.0.0/10"

#LAN destinations that shouldn't be routed through Tor
_non_tor="127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16"

### Don't lock yourself out after the flush
#iptables -P INPUT ACCEPT
#iptables -P OUTPUT ACCEPT

### flush iptables
iptables -F
iptables -t nat -F

### set iptables *nat
#nat .onion addresses
iptables -t nat -A OUTPUT -d $_virt_addr -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports $_trans_port

#nat dns requests to Tor
iptables -t nat -A OUTPUT -d 127.0.0.1/32 -p udp -m udp --dport 53 -j REDIRECT --to-ports $_dns_port

#don't nat the Tor process, the loopback, or the local network
iptables -t nat -A OUTPUT -m owner --uid-owner $_tor_uid -j RETURN
iptables -t nat -A OUTPUT -o lo -j RETURN
iptables -t nat -A OUTPUT -d 10.0.0.0/8 -j RETURN
iptables -t nat -A OUTPUT -d 127.0.0.0/8 -j RETURN
iptables -t nat -A OUTPUT -d 172.16.0.0/12 -j RETURN
iptables -t nat -A OUTPUT -d 192.168.0.0/16 -j RETURN

#redirect whatever fell thru to Tor's TransPort
iptables -t nat -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j REDIRECT --to-ports $_trans_port

### set iptables *filter
#*filter INPUT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

#Don't forget to grant yourself ssh access for remote machines before the DROP.
#iptables -A INPUT -i $_int_if -p tcp --dport 22 -m state --state NEW -j ACCEPT

iptables -A INPUT -j DROP

#*filter FORWARD
iptables -A FORWARD -j DROP

#*filter OUTPUT
#possible leak fix. See warning.
iptables -A OUTPUT -m state --state INVALID -j DROP

iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

#allow only the Tor process output
iptables -o $_int_if -A OUTPUT -m owner --uid-owner $_tor_uid -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j ACCEPT

#allow loopback output
iptables -A OUTPUT -d 127.0.0.1/32 -o lo -j ACCEPT

#tor transproxy magic
iptables -A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport $_trans_port --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

#allow access to lan hosts in $_non_tor
#these 3 lines can be ommited
for _lan in $_non_tor; do
 iptables -A OUTPUT -d $_lan -j ACCEPT
done

#Log & Drop everything else.
iptables -A OUTPUT -j LOG --log-prefix "Dropped OUTPUT packet: " --log-level 7 --log-uid
iptables -A OUTPUT -j DROP

#Set default policies to DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Скрипт взят из официального руководства - https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

6. Запускаем скрипт командой

script.sh
или
/script.sh
или
/home/user/script.sh

- зависимости от того, где расположен скрипт. Запуск скрипта приведет к изменению правил iptables таким образом, что все TCP-запросы будут прозрачно маршрутизироваться через тор, посторонний же трафик будет отклонен. Проверьте правильность настройки iptables: запустите браузер, откройте адрес https://check.torproject.org/. Должны увидеть надпись "Congratulations. This browser is configured to use Tor".

Проверьте браузер на утечки айпи, воспользовавшись адресами https://browserleaks.com и https://2ip.ru/privacy/. Если настройка прошла гладко, то утечек айпи не будет.

Теперь останавливаем TOR:

service tor stop

и повторно пробуем зайти на сайт, либо запускаем любую другую программу (например, IM-клиент), доступа к интернету быть не должно, т.к. выключен tor.

7. Теперь, чтобы настройки iptables восстанавливались после перезагрузок, нужно сохранить правила iptables командой

iptables-save > /etc/iptables.rules

- правила будут сохранены в файл /etc/iptables.rules

Чтобы маршрутизация через тор происходила и после перезагрузки системы, нужно добавить в автозагрузку скрипт, обеспечивающий восстановление сохраненых в файл /etc/iptables.rules правил iptables. Для этого в папке /etc/network/if-pre-up.d/ создадим файл iptables, и добавим в него следующие строки:

Код: Выделить всё
#!/bin/sh
/sbin/iptables-restore < /etc/iptables.rules

и, после сохранения, дадим полученному файлу права на запуск:

chmod +x /etc/network/if-pre-up.d/iptables

Если все прошло гладко, то при перезагрузке системы прозрачная маршрутизация через тор будет работать, и утечки айпи с этих пор можно не бояться.

Область применения системы с прозрачной маршрутизацией через тор:

- запуск браузера без риска утечки айпи через flash и WebRTC
- запуск почтового клиента без риска раскрытия реального адреса в отправляемых письмах
- запуск jabber-клиента без риска утечки адреса
- запуск менеджеров загрузок без риска утечки
- запуск IRC-клиента без риска
- запуск программы RetroShare со скрытием реального айпи без необходимости создания скрытого сервиса, с возможностью соединяться как с узлами, находящимися в клирнете, так и со скрытыми узлами. Это недокументированный способ запуска RetroShare, позволяющий спользовать единый профиль без необходимости создания двух профилей - одного для клирнета, другого - с созданием скрытого сервиса. При этом друг, получивший ваш публичный ключ, увидит в качестве вашего айпи адрес выходной ноды тора.

Мониторить сетевую активность в системе можно с помощью jnettop и убеждаться в отсутствии утечек. По умолчанию jnettop слушает интерфейс eth0, при запуске в гостевой системе достаточно выполнить от рута команду
jnettop
Иначе - выполнить команду типа
jnettop -i wlan0, в зависимости от сетевого интерфейса.

Отключение перенаправления трафика

Для того чтобы привести правила iptables к девственному виду и отключить перенаправление трафика в сеть tor можно создать скрипт со следующим содержанием:

Код: Выделить всё
#!/bin/sh

echo "Stopping firewall and allowing everyone..."
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

и запускать его в случае необходимости, не забывая веруть содержимое файла /etc/resolv.conf к виду
nameserver 8.8.8.8

*Possible leak! Released March 28th, 2014 - Please incorporate the following iptables rules as they have not been incorporated into this article!
- см. https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

Библиографический список:

- Transparently Routing Traffic Through Tor - https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

- Перенаправляем весь трафик через TOR - https://cryptopunks.org/article/forward all the traffic to tor/

- Настройка фаервола с помощью iptables за пять минут - http://eax.me/iptables/

- Iptables - Debian Wiki - https://wiki.debian.org/iptables
Последний раз редактировалось Peter2 29.09.2016, 16:21, всего редактировалось 2 раз(а).
Peter2
Сообщения: 284
Зарегистрирован: 24.07.2015

Сообщение #887 Hotaru » 30.09.2016, 23:00

А чому линукс? На винде нельзя?
Лоли - цветы жизни
"Это солнечный яд. Золотые лучи. А они говорят: "Надо срочно лечить""
Hotaru
Вечно злой бука
W
Сообщения: 11611
Зарегистрирован: 04.04.2013

Сообщение #888 Peter2 » 01.10.2016, 05:32

"Currently, transparent proxy connections are only supported for netfilter in Linux and pf in BSD."
https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy

Прозрачное проксированик на винде не возможно, но возможно Isolating Proxy as alternative - https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO/IsolatingProxy.

Для этого можешь использовать готовое решение - Whoenix.

Возможности Whoenix:
Настройка разрешения DNS через DNSCrypt[17] и DNSSEC[18] при помощи Tor;
Туннелирование UDP через Tor[19];
Тонкая работа через прокси-серверы и VPN[20];
Возможность доступа через Tor к анонимным сетям : I2P[21], JonDonym[22], RetroShare[23], Freenet[24] и Mixmaster[25];
Анонимизация VoIP при помощи Mumble[26];
Чаты через TorChat (англ.)[27] и XChat.[28]
Последний раз редактировалось Peter2 01.10.2016, 05:38, всего редактировалось 1 раз.
Peter2
Сообщения: 284
Зарегистрирован: 24.07.2015

Сообщение #889 Tigra » 01.10.2016, 14:16

Peter2 писал(а) 01.10.2016, 05:32:Возможности Whoenix:
Настройка разрешения DNS через DNSCrypt[17] и DNSSEC[18] при помощи Tor;
Туннелирование UDP через Tor[19];
Тонкая работа через прокси-серверы и VPN[20];
Возможность доступа через Tor к анонимным сетям : I2P[21], JonDonym[22], RetroShare[23], Freenet[24] и Mixmaster[25];
Анонимизация VoIP при помощи Mumble[26];
Чаты через TorChat (англ.)[27] и XChat.[28]
Плюс все достоинства Дебиана с его репозиториями, из которых можно доустановить кучу всего ещё.

Peter2 писал(а) 01.10.2016, 05:32: Возможность доступа через Tor к анонимным сетям : I2P[21], JonDonym[22], RetroShare[23], Freenet[24] и Mixmaster[25];
Эта часть мне не нравится из-за необходимости использовать инфраструктуру Tor'a для подключения к другим сетям. Система в принципе не предусматривает выход в прочие сети в обход Тора.
Tigra
Сообщения: 133
Зарегистрирован: 08.08.2016

Сообщение #890 Peter2 » 02.10.2016, 06:22

>Эта часть мне не нравится из-за необходимости использовать инфраструктуру Tor'a для подключения к другим сетям
Как что-то плохое. Другие сети, например Retroshare, Freenet and zeronet по умолчанию не скрывают айпи. Почему бы не использовать их в сочетании с тором?

>Система в принципе не предусматривает выход в прочие сети в обход Тора.
Напротив, тор создан для скрытия айпи, чего другие системы обеспечивают не всегда.
Peter2
Сообщения: 284
Зарегистрирован: 24.07.2015

Сообщение #891 Tigra » 02.10.2016, 11:25

Peter2 писал(а) 02.10.2016, 06:22:>Эта часть мне не нравится из-за необходимости использовать инфраструктуру Tor'a для подключения к другим сетям
Как что-то плохое. Другие сети, например Retroshare, Freenet and zeronet по умолчанию не скрывают айпи. Почему бы не использовать их в сочетании с тором?

>Система в принципе не предусматривает выход в прочие сети в обход Тора.
Напротив, тор создан для скрытия айпи, чего другие системы обеспечивают не всегда.
С другими сетями не знаком, а вот I2P с удовольствием бы использовал, но узкое горлышко в виде выходной ноды и добавление левого трафика в Тор меня не устраивают. Моего I2P трафика в Торе может и копейки будут, но я считаю его нелогично так использовать.
Кстати, спасибо за информацию об IP в тех сетях.
Tigra
Сообщения: 133
Зарегистрирован: 08.08.2016

Сообщение #892 sanpedrobendo » 11.10.2016, 04:43

Hotaru писал(а) 30.09.2016, 23:00:А чому линукс? На винде нельзя?
К сожалению, существует один неоспоримый факт:
шиндоус и безопасность - вещи несовместимые
:dry:
sanpedrobendo
Сообщения: 1
Зарегистрирован: 23.05.2015

Сообщение #893 Xisp » 11.10.2016, 06:14

sanpedrobendo, чушь.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Автор темы
Сообщения: 10274
Зарегистрирован: 20.01.2013

Сообщение #894 alise » 11.10.2016, 17:25

sanpedrobendo писал(а) 11.10.2016, 04:43:К сожалению, существует один неоспоримый факт:
шиндоус и безопасность - вещи несовместимые
:dry:
Система зашищаеться совместно с умом пользователя
Пусть не моя спина, а мир гнётся подо мной.
Если спалюся, то как феникс восcтановлюся
alise M
Сообщения: 1725
Зарегистрирован: 02.09.2015

Сообщение #895 Anon-Ra » 11.10.2016, 18:06

sanpedrobendo писал(а) 11.10.2016, 04:43:К сожалению, существует один неоспоримый факт:
шиндоус и безопасность - вещи несовместимые
:dry:
Твой факт противоречит практике использования винды без антивируса. Используя права доступа только...Если не знаком, то может сначала ознакомишься
моя цель - рассказать красивую сказку так, чтобы она вам понравилась © Anon-Ra
Anon-Ra M
Сообщения: 2204
Зарегистрирован: 15.06.2015

Сообщение #896 Kokovanja » 17.10.2016, 16:59

Блджад, орфокс после обновления стал работать через жопу. Яваскрипт работает как-то не полностью и другие глюки.
Scio те nihil scire. (с) Socrates.
Kokovanja M
Откуда: Из заветного места
Сообщения: 6565
Зарегистрирован: 01.11.2013

Сообщение #897 Девочколюп » 24.10.2016, 02:13

А под виндофоном кто-нибудь запускал? Как оно вообще?
What is a youth? Impetuous fire.
What is a maid? Ice and desire.
Девочколюп F
Откуда: Усть-Нера, Якутия
Сообщения: 351
Зарегистрирован: 06.03.2016

Сообщение #898 Xisp » 24.10.2016, 02:50

Некрофил чтолэ?
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Автор темы
Сообщения: 10274
Зарегистрирован: 20.01.2013

Сообщение #899 Kokovanja » 24.10.2016, 15:01

Так ведь не было раньше Тора для виндофонов?
Scio те nihil scire. (с) Socrates.
Kokovanja M
Откуда: Из заветного места
Сообщения: 6565
Зарегистрирован: 01.11.2013

Сообщение #900 alise » 24.10.2016, 18:09

А кто нибудь знает, может ли в Россий менты доебаться если находят в компе тор и тох программу
Пусть не моя спина, а мир гнётся подо мной.
Если спалюся, то как феникс восcтановлюся
alise M
Сообщения: 1725
Зарегистрирован: 02.09.2015


Вернуться в Тех.помощь

Кто сейчас на форуме (по активности за 5 минут)

Сейчас этот раздел просматривают: 1 гость