Příspěvky Správa linuxového serveru: Tor na serveru: Úvod
Tor z podstaty věci zoufale zpomaluje provoz. Jeho smysluplná použitelnost je tedy omezena pouze na situace, kdy řádové snížení datové propustnosti není na překážku. O tom, že některé adresy blokují jakékoli projevy anaonymizace a jsou tak ze serveru nedostupné, je samozřejmost.
V clanku chybi par dulezitych informaci, treba k "Hrozby z pohledu uživatele":
co se tyce DNS resolveru a bzezpecneho brouzdani, lze tohle resit, IMHO, 3 zpusoby:
1.) pouziti linux distra LiveCD "TAILS", ktere je potreba bootovat z mechaniky (ne z VirtualBox-u)
2.) pouziti virtualni site za pouziti VirtualBox-u a 2-3 virtualnich pocitacu.
[Uvitala bych v dalsich serialech, kdyby nekdo dokazal navrhnout zajimave, ale bezpecne a.k.a cool reseni :D]
Na netu lze najit asi 2 'take pouzitelne' reseni, jsou sice starsiho data, ale dali by se 'prizpusobit' na nynejsi pouziti, jsou v .pdf, pokud mate zajem (M.D.), mohu vam je poslat.
Jen strucne nastinim, o jake scenario se asi jedna:
Prvni virtual. PC - 'guest OS' by byl treba tzv. "router", ve kterem by byly 2 ethernet karty, jedna spojena s 'Host OS' ve spojeni NAT a druha "internal network only", ktera by spajela ostatni (1-2) dalsi guest OS, treba na druhem by pak bezel LEMP (linux, ngingx/cherokkee/lighttpd apod.), postgree/mysql a dalsi sluzby, ktere chcete nabidnout jako 'hidden services' a ktere by ostatnim byly pristupne jako treba chat, viz jiz existujici prakticke pouziti "Torchat", nebo irc v ramci onion site nebo "webhosting nebo treba "e-mail" v ramci onion site.
A treti 'guest OS' by mohl slouzit pro vas jako "brouzdaci guest OS", pres ktery by jste brouzdali v Tor siti.
Host OS, t.j. ten system, ktery mate nabootovany jako zakladni a v kterem by jste meli spusteny i VBox by byl (pri spravnem nastaveni) nedotcen.
Proto, IMHO, nejdulezitejsi je pak spravne nastaveni iptables na 1. guest OS tzv. "routeru", cimz by se jednoznacne umoznilo i DNS resolver kontaktovat pouze pres Tor sit a tim zabranit DNS leaks...
Virtualni sit by take mela slouzit v pripade, pokud by prece jen z nejakeho duvodu doslo k 'hacknuti' vaseho webserveru, ci sluzby, aby se utocnik jednak nedozvedel vasi skutecnou IP a mohl se pohybovat 'max. jen ve virualnich PCs', za zadnych okolnosti nesmel se dostat na Host OS...
Samostatni, ale nemene zajimavou kapitolou je pouziti "onioncat" - na Tor-u zalozene anonymni VPN, viz treba:
http://www.youtube.com/watch%3Fv%3Drx4rS1gvp7Y&source=video&vgc=rss&usg=AFQjCNFy-0PB4Q-DNd3aAlztP0yCZG7mRg
A popripade zacleneni onioncat v ramci vyse nastineneho scenare nebo jeho solo pouziti.
3.) pouziti Tor browseru (jedna se o tzv. portable verzi) kdy vase ostatni prohlizece nejsou dotceny, viz :
https://www.torproject.org/projects/torbrowser.html.en
Jeste jedna zminka k uzitecnym sluzbam, ktere muzete na Tor-u najit a vyuzit:
jak uz bylo zmineno vyse, treba webhosting, e-mail sluzba, irc, chat (Torchat) apod. Vsechny tyto sluzby jsou de facto - 'hidden services', t.j. sluzby bezici na vasem serveru, na kterem bezi Tor, cimz tyto sluzby poskytujete ostatnim Tor uzivatelum.
K "Hrozby z pohledu správce serveru" reknu jen, ze v zahranici jsou webhosting, resp. VPS poskytovatele, kde leze provozovat i Tor, BTW...
Adresy a zkusenosti lze nalezt na foru stranek torproject.org
BTW, nejen kvuli robustnosti, ale i nekterym, nedavno objevenym bugum, je pry lepsi pouziti LEMP nez LAMP, t.j. namisto Apache pouzit jiny alternativni servr, jako jsou lighttpd, nginx, popr. cherokee (Cherokee, AFAIK, neni CLI, pouze GUI, coz vede k narocnejsim pozadavkum na CPU, RAM atd.)
co se tyce DNS resolveru a bzezpecneho brouzdani, lze tohle resit, IMHO, 3 zpusoby:
1.) pouziti linux distra LiveCD "TAILS", ktere je potreba bootovat z mechaniky (ne z VirtualBox-u)
2.) pouziti virtualni site za pouziti VirtualBox-u a 2-3 virtualnich pocitacu.
[Uvitala bych v dalsich serialech, kdyby nekdo dokazal navrhnout zajimave, ale bezpecne a.k.a cool reseni :D]
Na netu lze najit asi 2 'take pouzitelne' reseni, jsou sice starsiho data, ale dali by se 'prizpusobit' na nynejsi pouziti, jsou v .pdf, pokud mate zajem (M.D.), mohu vam je poslat.
Jen strucne nastinim, o jake scenario se asi jedna:
Prvni virtual. PC - 'guest OS' by byl treba tzv. "router", ve kterem by byly 2 ethernet karty, jedna spojena s 'Host OS' ve spojeni NAT a druha "internal network only", ktera by spajela ostatni (1-2) dalsi guest OS, treba na druhem by pak bezel LEMP (linux, ngingx/cherokkee/lighttpd apod.), postgree/mysql a dalsi sluzby, ktere chcete nabidnout jako 'hidden services' a ktere by ostatnim byly pristupne jako treba chat, viz jiz existujici prakticke pouziti "Torchat", nebo irc v ramci onion site nebo "webhosting nebo treba "e-mail" v ramci onion site.
A treti 'guest OS' by mohl slouzit pro vas jako "brouzdaci guest OS", pres ktery by jste brouzdali v Tor siti.
Host OS, t.j. ten system, ktery mate nabootovany jako zakladni a v kterem by jste meli spusteny i VBox by byl (pri spravnem nastaveni) nedotcen.
Proto, IMHO, nejdulezitejsi je pak spravne nastaveni iptables na 1. guest OS tzv. "routeru", cimz by se jednoznacne umoznilo i DNS resolver kontaktovat pouze pres Tor sit a tim zabranit DNS leaks...
Virtualni sit by take mela slouzit v pripade, pokud by prece jen z nejakeho duvodu doslo k 'hacknuti' vaseho webserveru, ci sluzby, aby se utocnik jednak nedozvedel vasi skutecnou IP a mohl se pohybovat 'max. jen ve virualnich PCs', za zadnych okolnosti nesmel se dostat na Host OS...
Samostatni, ale nemene zajimavou kapitolou je pouziti "onioncat" - na Tor-u zalozene anonymni VPN, viz treba:
http://www.youtube.com/watch%3Fv%3Drx4rS1gvp7Y&source=video&vgc=rss&usg=AFQjCNFy-0PB4Q-DNd3aAlztP0yCZG7mRg
A popripade zacleneni onioncat v ramci vyse nastineneho scenare nebo jeho solo pouziti.
3.) pouziti Tor browseru (jedna se o tzv. portable verzi) kdy vase ostatni prohlizece nejsou dotceny, viz :
https://www.torproject.org/projects/torbrowser.html.en
Jeste jedna zminka k uzitecnym sluzbam, ktere muzete na Tor-u najit a vyuzit:
jak uz bylo zmineno vyse, treba webhosting, e-mail sluzba, irc, chat (Torchat) apod. Vsechny tyto sluzby jsou de facto - 'hidden services', t.j. sluzby bezici na vasem serveru, na kterem bezi Tor, cimz tyto sluzby poskytujete ostatnim Tor uzivatelum.
K "Hrozby z pohledu správce serveru" reknu jen, ze v zahranici jsou webhosting, resp. VPS poskytovatele, kde leze provozovat i Tor, BTW...
Adresy a zkusenosti lze nalezt na foru stranek torproject.org
BTW, nejen kvuli robustnosti, ale i nekterym, nedavno objevenym bugum, je pry lepsi pouziti LEMP nez LAMP, t.j. namisto Apache pouzit jiny alternativni servr, jako jsou lighttpd, nginx, popr. cherokee (Cherokee, AFAIK, neni CLI, pouze GUI, coz vede k narocnejsim pozadavkum na CPU, RAM atd.)
@Ela: dík za zajímavé a užitečné doplnění ! ;)
Re: Správa linuxového serveru: Tor na serveru: Úvod
Michal Dočekal 10. 01. 2012, 14:02:50
Odpovědět Odkaz
Děkuji moc za doplnění. Uživatelské stránce Toru jsem se příliš věnovat nechtěl, jelikož seriál i článek se zaměřují na server. Kromě toho, těch hrozeb pro uživatele je dnes kvantum a k tomu, aby člověk zůstal anonymní, musí použít nejenom vhodné technické řešení (které nebude anonymitu oslabovat), ale také uvažovat o svém chování, stylu psaní, apod.
Michal Dočekal 10. 01. 2012, 14:02:50
Odpovědět Odkaz
Dik za nazor, ale :) :
IMHO, muj prispevek a jen letme nastineni mozneho scenare i pro servr, resi (samozrejme s pouzitim spravneho nastaveni iptables) DNS leaks problem.
Jak chcete vyresit DNS leaks?
Za druhe - vyse zminovany scenar take resi otazku v budoucnosti mozneho vyuziti zatim neodhalene diry/chyby, ci uz v Tor-u nebo v jinych technologiich, chcete-li poskytovat take Tor sluzby ~ hidden services, tedy treba LEMP, cili vsude, kdyz by se naslo nejake slabe misto, u zminovane virtualni site, ve ktere by bezelo Tor reseni, utocnik by mel zustat 'uvezneny' pouze v te virtualni siti. Nesmi ohrozit hw servr a jeho sit.
Nebo vy by jste si jen tak nainstaloval Tor a riskoval, ze se nekomu muze podarit shodit celou treba podnikovou sit? ;)
A ze byl zminen zrovna VirtualBox neznamena, ze se jedna pouze o uzivatelskou stranku. Virt. sit se da prece rozjet i na KVN apod. Ale VirtualBox dokaze ropzjet kazdy (pokud ne, ani tenhle clanek pak, IMHO, neni pro nej vhodny :) Nicmene VBox slouzi pouze na spusteni virt. site, resp. virtual. PCs, ktere by byly pouze pro Tor. Ostatni servry a sluzby by bezely na hlavnim ridicim hw servru).
Pro shrnuti, co je IMHO dulzeite, kdyz chce nekdo seriozne poskytovat Tor sluzby (a vubec provozovat Tor), mel by to spoustet treba na baze virt. site:
1. virt. sit s min 2 virt. PCs
#1 tzv. "router", na kterem by byly generovane 2 NICs, 1. NIC ve spojeni s hw servrem (tedy tim hlavnim, "podnikovym" servrem :), nastaveni bridge nebo NAT a 2. NIC s nastavenim "internal network only" a s touto NIC (sit. kartou) by byl v siti s #2 virt. PC, kde by bezel LEMP a ostatni sluzby, ktere chci poskytnout v ramci Tor site.
Pokud by utocnik vyuzil potenc. slabeho mista Tor-u, LEMPu nebo jinym zpusobem pronikl do site (virtualni), mel by diky kvalitne nastavenym iptables pravidlum (na #1) byt uveznen pouze v teto virt. siti.
Tohle je porad (nejen) o serverovem reseni.
Uzivatelske prichazi v momente, kdy chteji uzivatele vyuzivat Tor.
A to lze bud jiz zminovanym spustenim #3 virt. PC nebo, jak mi bylo receno, bezpecnejsi je, kdyz uzivatel z te pomyslne "podnikve" site bude pristupovat k bezicimu Tor-u pouze pres ssh na #1.
Cili zadny "primy" pristup do virt. site, ale pouze vzdaleny/sifrovany (i z LAN).
A jako tresnicka na zaver, pokud by se vam chtelo, zminit se o moznosti pouziti onioncat.
Verim, ze sitim rozumite velice dobre, proto, opet - budete-li mit chut a cas, sam se na tohle reseni podivat "zkusenym adminovskym okem" a navrhnout vhodne reseni, vcetne spravneho iptables nastaveni (na #1 virt. PC) a najit pripadne slabe mista.
Ale jen tak "od-boku" strelit/nainstalovat na (dulezity, ridici, podnikovy, ale rychly :) apod.) servr Tor, to bych si netroufla, prave kvuli potenc. moznostem shozeni, hacknuti servru.
A obycejny uzivatel se nemusi trapit vlastnim nastavenim Toru a vse kolem, staci kdyz si stahne na vyse zminovanem URL odkazu portable browser, kde uz je cele reseni, pro win$ i Linux.
IMHO, muj prispevek a jen letme nastineni mozneho scenare i pro servr, resi (samozrejme s pouzitim spravneho nastaveni iptables) DNS leaks problem.
Jak chcete vyresit DNS leaks?
Za druhe - vyse zminovany scenar take resi otazku v budoucnosti mozneho vyuziti zatim neodhalene diry/chyby, ci uz v Tor-u nebo v jinych technologiich, chcete-li poskytovat take Tor sluzby ~ hidden services, tedy treba LEMP, cili vsude, kdyz by se naslo nejake slabe misto, u zminovane virtualni site, ve ktere by bezelo Tor reseni, utocnik by mel zustat 'uvezneny' pouze v te virtualni siti. Nesmi ohrozit hw servr a jeho sit.
Nebo vy by jste si jen tak nainstaloval Tor a riskoval, ze se nekomu muze podarit shodit celou treba podnikovou sit? ;)
A ze byl zminen zrovna VirtualBox neznamena, ze se jedna pouze o uzivatelskou stranku. Virt. sit se da prece rozjet i na KVN apod. Ale VirtualBox dokaze ropzjet kazdy (pokud ne, ani tenhle clanek pak, IMHO, neni pro nej vhodny :) Nicmene VBox slouzi pouze na spusteni virt. site, resp. virtual. PCs, ktere by byly pouze pro Tor. Ostatni servry a sluzby by bezely na hlavnim ridicim hw servru).
Pro shrnuti, co je IMHO dulzeite, kdyz chce nekdo seriozne poskytovat Tor sluzby (a vubec provozovat Tor), mel by to spoustet treba na baze virt. site:
1. virt. sit s min 2 virt. PCs
#1 tzv. "router", na kterem by byly generovane 2 NICs, 1. NIC ve spojeni s hw servrem (tedy tim hlavnim, "podnikovym" servrem :), nastaveni bridge nebo NAT a 2. NIC s nastavenim "internal network only" a s touto NIC (sit. kartou) by byl v siti s #2 virt. PC, kde by bezel LEMP a ostatni sluzby, ktere chci poskytnout v ramci Tor site.
Pokud by utocnik vyuzil potenc. slabeho mista Tor-u, LEMPu nebo jinym zpusobem pronikl do site (virtualni), mel by diky kvalitne nastavenym iptables pravidlum (na #1) byt uveznen pouze v teto virt. siti.
Tohle je porad (nejen) o serverovem reseni.
Uzivatelske prichazi v momente, kdy chteji uzivatele vyuzivat Tor.
A to lze bud jiz zminovanym spustenim #3 virt. PC nebo, jak mi bylo receno, bezpecnejsi je, kdyz uzivatel z te pomyslne "podnikve" site bude pristupovat k bezicimu Tor-u pouze pres ssh na #1.
Cili zadny "primy" pristup do virt. site, ale pouze vzdaleny/sifrovany (i z LAN).
A jako tresnicka na zaver, pokud by se vam chtelo, zminit se o moznosti pouziti onioncat.
Verim, ze sitim rozumite velice dobre, proto, opet - budete-li mit chut a cas, sam se na tohle reseni podivat "zkusenym adminovskym okem" a navrhnout vhodne reseni, vcetne spravneho iptables nastaveni (na #1 virt. PC) a najit pripadne slabe mista.
Ale jen tak "od-boku" strelit/nainstalovat na (dulezity, ridici, podnikovy, ale rychly :) apod.) servr Tor, to bych si netroufla, prave kvuli potenc. moznostem shozeni, hacknuti servru.
A obycejny uzivatel se nemusi trapit vlastnim nastavenim Toru a vse kolem, staci kdyz si stahne na vyse zminovanem URL odkazu portable browser, kde uz je cele reseni, pro win$ i Linux.
Osobne sa mi Freenet páči trocha viac, keďže čím je v ňom niečo populárnejšie, tým dostupnejšie sa to stane. To je rozdiel oproti Tor hidden service, alebo normálnemu internetu, kde prílišná popularita znamená ddos.
Ďalšou výhodou je, že aspoň trocha populárny obsah ostane na Freenete v podstate navždy. Žiadne riziko cenzúry a pod.
Navyše keďže ide, moderne povedané, o p2p cloud (samozrejme všetko anonymne a šifrovane), tak netreba riešiť žiaden hosting. Všetko potrebné stačí nahrať vnútri freenet siete, vypnúť počítač a o nič sa nestarať. Ono to môže byť vhodné riešenie ako napr. mirror blogu z normálneho internetu, ktorý keď sa stane nepohodlný, tak vždy ostane dostupný v sieti Freenet.
Trocha podrobnejší návod:
https://uzivatel.wordpress.com/2010/06/13/stahovanie-suborov-v-sieti-freenet/
Ďalšou výhodou je, že aspoň trocha populárny obsah ostane na Freenete v podstate navždy. Žiadne riziko cenzúry a pod.
Navyše keďže ide, moderne povedané, o p2p cloud (samozrejme všetko anonymne a šifrovane), tak netreba riešiť žiaden hosting. Všetko potrebné stačí nahrať vnútri freenet siete, vypnúť počítač a o nič sa nestarať. Ono to môže byť vhodné riešenie ako napr. mirror blogu z normálneho internetu, ktorý keď sa stane nepohodlný, tak vždy ostane dostupný v sieti Freenet.
Trocha podrobnejší návod:
https://uzivatel.wordpress.com/2010/06/13/stahovanie-suborov-v-sieti-freenet/
