galitsin: Безопасный серфинг в интернете Vol.1 Tor

Entry tags:

gmail, lurkmore, skype, tor, ЖЖ, Тор, анонимайзер, живой журнал, прокси

Безопасный серфинг в интернете Vol.1 Tor
У нас в городе арестовали врача скорой помощи за комментарии на форуме Высота 102. Не знаю оконцовку, но нервов мужику испортили прилично. У меня вопрос об анонимности никогда не стоял, наверное зря. Но тут я задумался. Погуглил немного. Есть простой способ: анонимайзеры и прокси. Есть более надежный: TOR О нем мнения разделяются: Считается, что сеть тор состоит из хакеров, трол-ло-лей, любителей ЧП и агентов ФБР чуть менее, чем полностью. Другое: Из-за кажущейся неуязвимости, некоторые ТОР-трол-ло-ли совсем оборзели. Это привело к появлению ряда интернет-ресурсов для борьбы с сетью ТОР, например, регулярно обновляющихся списков нод и блэклистов. Решил попробовать. Поставил: все сразу стало работать медленнеее...
Чтобы зайти в GMail надо вводить пароль или создавать новый аккаунт. Зачем анонимно заходить в Фейсбук под своим аккаунтом? ЖЖ : начинаем все сначала. Создаем аккаунт, пишем один пост: Я Нельсон Манделла. Начинаем писать комментарии, зная что бан по IP невозможен. Прелестно! Поигрались, устали. Что дальше? Еще мнение: TOR во всех приличных местах заблочен или закапчеван. Еще одно мнение: Настоящие параноики тором не ограничиваются!
Немного подробнее:
Сначала зайдем сюда: http://2ip.ru/ Если вас это устраивает, то дальше можно не читать! Если не устраивает:

Tor (The Onion Router) — свободная (лицензия BSD) реализация второго поколения onion routing — так называемой «луковой (многослойной) маршрутизации». Это система, позволяющая пользователям соединяться анонимно, обеспечивая передачу данных в зашифрованном виде. Рассматривается как анонимная сеть, предоставляющая анонимный веб-серфинг и безопасную передачу данных.

Система Tor была создана в исследовательской лаборатории Военно-морских сил США по федеральному заказу. В 2002 г. эту разработку решили рассекретить, а исходные коды были переданы независимым разработчикам, которые создали клиентское ПО и опубликовали исходный код под свободной лицензией, чтобы все желающие могли проверить его на отсутствие багов и бэкдоров.

Основные возможности:

Анонимные исходящие соединения

Обход ограничений установленных провайдером: как правило администраторы в офисах ограничивают доступ к конкретным сайтам, таким как Вконтакте , Однокласники, YouTube и другие, популярные у офисного планктона сервисы. Или случаи навязанной цензурой. К примеру сайты с экстримиским содержанием или не угодное правительству включая региональное .

Обход ограничений скачивания с файлообменника из локальной сети с «Серыйм» IP- (такие как RapidShare и DepositFiles )

Обход блокировки по IP адресу (игры, форумы и т.д.)

Анонимное скачивание торрентов (статья )

Возможность безопасного общения TorChat

Входящий в состав прокси сервер позволяет избавляться от рекламы (банерорезка)

Возможность подключения через прокси, клиентов в локальной сети у которых нет доступа к глобальной сети (пропуск трафика "через себя")

Три важных факта на которые следует обратить внимание:

Tor не защитит вас если вы используете его неправильно.*

Даже если всё настроено правильно, остаются потенциально возможные атаки, которые могут обойти защиту Tor.

Ни одна система анонимности сегодня не идеальна, и Tor не исключение: вы не должны полностью полагаться исключительно на сеть Tor если вам нужна сильная анонимность.

Скачать программу под разные ОС можно на оффсайте.

Там же ознакомится с документацией и настройкой (Win).

Работа через сеть ТОР получается довольно медленной (зависит от скорости конечной и промежуточной ноды). Для того чтобы как то облегчить серфинг через него могу предложить использовать его совместно с кеширующим прокси сервером HandyCache.

Причем ТОР необходимо указать в качестве "Условного прокси". В этом случае будет автоматически перенаправлятся на ТОР URL заданные вами в списке. А по остальным адресам (которые не поподают в список) работа будет стандартной.

Еще подробнее: Как выяснилось Tor несмотря на свое несовершенство, создает серьезные проблемы. Вот пост для системных администраторов, устанавливающих файерволл: Возможность исключить возможность работы с ТОРом есть даже у обычного встроенного в Винду брандмауэра при правильной его настройке.
В Юзергейте есть встроенный файрволл, который позволяет обрубать соединения на указанные ай-пи адреса. Если вы знаете ай-пи адреса основных серверов ТОР (как я понимаю - их можно узнать), то вы можете заблокировать их, разумеется, это до первой смены ай-пи адреса сервера.
Кроме того, в Юзергейте 5 реализована система Контроля приложений, суть которой - разрешение на выход в интернет только определённым программам. Для работы этого сервиса на клиентские машины должен быть установлен msi-пакет со специальным клиентом. Так как работа в сети ТОР проходит не напрямую, а через специально установленный прокси на клиентском месте, то можно указать перечень приложений, которым разрешён выход в интернет, или запретить выход в интернет этой программе.
Как я понимаю, основная проблема, что сеть ТОР может работать через 80 порт, то есть через тот порт, который в файрволле закрывать нельзя, так как через него идёт весь НТТР-траффик.
Ещё есть система фильтрации адресов, отдельный модуль с отдельным лицензированием каждый год, в котором, я надеюсь, есть и такой раздел как TOR
1. Если на компе пользователя ещё нет ТОРа, то можно заблокировать ай-пи адреса, по которым происходит первичное соединение агента ТОР с сетью.
Этот способ описан здесь - [url]http://safari.oreilly.com/0596527632/I_0596527632_CHP_4_SECT_10[/url]
К сожалению, список этих ай-пи адресов постоянно меняется, поэтому этот способ лично мне не помог, проверял сегодня.
2. Существует список публичных ай-пи адресов серверов ТОРа, официально публикуемый на сайте проекта:
[url]http://www.torproject.org/faq-abuse.html[/url]
Вопрос: Я хочу заблокировать сеть Tor на моем сервисе.
Там есть ссылка на список.
Существует неофициальный список таких адресов - [url]http://proxy.org/tor.shtml[/url] (или тут - [url]http://proxy.org/tor_blacklist.txt[/url])
Действительно, этот список позволит перекрыть доступ к публичным серверам напрямую без мостов.
3. Что касается мостов. Да, мосты есть и они позволяют выходить в инет даже при блокировке списка из п.2, но найденные мною мосты используют порты 443, 4443. Можно перекрыть эти порты через файрволл того же Юзергейта и выдавать только на нужные ай-пи адреса. 443 - это https://
4. Существует способ запретить запуск клиента TOR.ехе и прочих через Групповые политики домена - этот способ вполне работоспособен.
5. Контроль приложений из Юзергейт 5 также сможет запретить выход в инет через посторонние программы, то бишь через tor.exe и остальные (папка App в комплекте).
6. Возможно модуль фильтрации с трудно произносимым английским названием из 2 слов, отдельно устанавливаемый на Юзергейт (демка на 30 дней входит в поставку) может помочь - там базы ай-пи адресов обновляются ежедневно, но я не знаю - существует ли там база адресов сети ТОР?
Кстати, комплект ТОРа работает даже с USB без установки - [url]http://www.torproject.org/easy-download.html.ru[/url]
Если пользователь обычный юзер, то описанных выше мер будет достаточно.

Теперь вернемся к исходным посылкам: Мнение: TOR во всех приличных местах заблочен или закапчеван. Еще одно мнение: Настоящие параноики тором не ограничиваются!
Полезные ссылки: Википедия: http://ru.wikipedia.org/wiki/Tor
Лукоморье: http://lurkmore.ru/Tor
Настройки: http://nnm-club.ru/forum/viewtopic.php?t=57385
На всякий случай: http://www.linux.org.ru/forum/talks/2788906
Популярно: http://meirz.net/?p=1319