כיצד להקים שירות Tor מוסתר או אתר .onion

פוסט בבלוג עם תמונה


רקע Tor

נתב הבצל (Tor) הוא אחד הכלים הידועים ביותר לפרטיות באינטרנט. פותח על ידי סניפים שונים של משרד ההגנה האמריקאי באמצע שנות ה -90. המונח 'נתב בצל' משמש כדי לעזור לדמיין את אופן פעולתו. תעבורת רשת מנותבת לרשת Tor ואז מועברת דרך צמתים אחרים של Tor בתוך הרשת לפני שהיא יוצאת חזרה לרשת הצלולה (כלומר, האינטרנט הרגיל). המנות הראשוניות מוצפנות בצורה מיותרת וכל צומת Tor לאורך הדרך מפענח רק את השכבה הדרושה לו כדי לדעת מה לעשות עם המנה. בשל הצפנה שכבתית זו, אף צומת טור בודד אינו יודע את המקור ואת היעד של מנות רשת כלשהן.

יש דרך אחרת להשתמש ב- Tor. במקום להשתמש בו באופן דמוי VPN כדי להיכנס, לטרוף ואז לצאת מטור, אפשר להפעיל שירותים כמו אתרים ברשת Tor עצמה. במקרה זה, תעבורת רשת נכנסת לרשת Tor, אך לעולם אינה יוצאת. מאמר זה יעסוק בשלבים הבסיסיים הכרוכים בבניית שירות Tor.

ישנן שתי סיבות עיקריות לניהול שירות מוסתר של Tor:

  1. לנהל שירות שאתה רוצה להסתיר ולהישאר מוסתר ולא קשור אליך בשום דרך. זהו מודל דרך המשי. דרך המשי הייתה שוק בלתי חוקי המנוהל כשירות נסתר ברשתות טור. מכיוון שהיא מכרה סחורות לא חוקיות, למפעילים היה אינטרס להישאר מוסתרים. עם זאת, ישנם המון אתרים חוקיים המנוהלים על ידי אנשים המעוניינים להישאר מוסתרים מסיבה פוליטית או אחרת.
  2. לספק דרך בטוחה ואנונימית למבקרים שלך להגיע אליך, גם אם לא אכפת לך שהאתר יוחס לך. זהו המודל של פייסבוק. פייסבוק מפעילה שירות Tor בכתובת https://www.facebookcorewwwi.onion. ברור, אין שום ניסיון להסתיר שזה שירות פייסבוק של טור; הבעלים והמפעילים שבהם ידועים.

בעוד הכוונה של מאמר זה היא המקרה האחרון, לשניהם יש הרבה חששות ביטחוניים תפעוליים (OpSec) שתצטרך לטפל בהם. פשוט הגדרת שרת אינטרנט והתקנת טור כנראה לא יספיקו כדי להפריד את האתר ואת זהותך לאורך זמן. כמה חשוב לך זה פרופורציונאלי עם רמת הפרנויה שלך.

התקנת לקוח טור

ניתן לגשת לשירותים מוסתרים של Tor דרך מערכות מחוברות של Tor. כמו שתצטרך להפעיל VPN כדי לקבל גישה לתוכן חסום גיאוגרפי כלשהו, ​​תצטרך להפעיל את Tor כדי לגשת לשירותים נסתרים. למרבה המזל, התקנה והפעלה של לקוח Tor הפכה לקלה ביותר בזכות העבודה הקשה של פרויקט Tor לאורך השנים.

ראה גם: VPNs הטובים ביותר לטור

מאמר זה אינו עוסק בהתקנה של לקוח Tor מאובטח מקצה לקצה. אנחנו רק צריכים להפעיל לקוח Tor כדי לעבור ליצירת שירות Tor מוסתר. לפיכך, לאחר שתקפיד על הוראות ההגדרה הבסיסיות של לקוח Tor במאמר זה, ייתכן שתרצה לעיין בהמלצות של פרויקט Tor לשימוש נכון בלקוח Tor שלך כדי לשמור על אנונימיות.

ישנם לקוחות רבים של טור עבור מגוון רחב של פלטפורמות. דייב אלבאך תכנן את המדריך האולטימטיבי לשימוש בטור לגלישה אנונימית המכילה רשימה ממצה למדי. במאמר זה, פשוט נבחן את התקנת הלקוח של Tor בשלוש מערכות ההפעלה הגדולות; Windows, macOS / OSX ו- Linux. באופן דומה ניתן להפעיל שירות מוסתר Tor בחלונות או בכל מערכת דמוית יוניקס, ואדבק בהתקנה בסיסית של לינוקס..

הדרך הקלה ביותר להפעיל את לקוח Tor במערכת כלשהי היא להתקין את צרור דפדפני Tor. הוא מכיל גרסה מוקשה של Firefox ויוצר פרוקסי SOCKS5 ביציאה המקומית של hosth localhost 9150 שבה יישומים אחרים המודעי פרוקסי כמו SSH יכולים להשתמש בהם. אנו זקוקים ל- SSH המוגן על ידי Tor כדי להגדיר את השירות הסמוי שלנו.

התקנת דפדפן Tor עבור Windows

כדי להתקין את לקוח ה- Tor עבור Windows, בקר ישירות באתר Tor. ודא שאתה מוריד מאתר torproject.org האמיתי. ישנם יריבים רבים של טור ולכן גרסאות רבות שהתפשרו על לקוח ה- Tor באינטרנט. ההורדה ישירות מ- torproject.org מבטיחה שתקבלו גרסה חפה מפיגוע. יש גם חתימת GPG לכל הורדה באתר Tor שתוכל להשוות עם ההורדה שלך כדי להבטיח אפילו יותר ביטחון.

לחץ על כפתור ההורדה ובחר בגירסת Windows:

כפתור ההורדה של אתר טור - -

להוריד גרסת חלונות

לחץ פעמיים על הקובץ שהורדת כדי להתחיל בתהליך ההתקנה. תתבקש לבחור שפה ומיקום התקנה בדומה לכל תהליך התקנה רגיל אחר של Windows. בסיום ההתקנה תראה דפדפן Tor חדש בשולחן העבודה.

התקנת חלונות

תהליך ההפעלה הראשון ישאל אותך איזה סוג הגדרת Tor תצטרך. שימו לב כיצד לאפשרות של חיבור ישיר יש כפתור Connect בזמן שבגשר או באפשרות ה- proxy המקומי יש לחצן Configure.

Windows הראשון להפעיל את הגדרת הרשת

ברוב המקרים, אפשרות החיבור הישיר תפעל טכנית, אך ישנם שני מצבים בהם תרצה לבחור באפשרות השנייה. חיבור ישיר עדיין יספק אנונימיות, אך יהיה ברור למתבונן שאתה משתמש ב- Tor שאולי אינך רוצה. כמו כן, ספקי רשת ורשתות מסוימות עשויים לחסום באופן פעיל חיבורי Tor, או ייתכן שיהיה עליך להגדיר פרוקסי לגישה לטור. אם מישהו מאלו חל, תרצו לבחור באפשרות השנייה להגדרת גשר או להגדיר פרוקסי.

הגדרת פרוקסי Windows של גשר טור 1

הגדרת גשר ופרוקסי

בחירה כן לשאלה זו תפתח מסך שבו תוכלו לאפשר גשרים. צמתים של Tor מתפרסמים כך שכל מי שרוצה לחסום את הגישה של Tor ברשת שלו, פשוט צריך לחסום בקשות המיועדות לצמתים ידועים אלה. גשר הוא פשוט צומת Tor שלא פורסם, ולכן ככל הנראה קשרים אליו לא ייחסמו מכיוון שהוא לא צומת ידוע. אלא אם כן יש לך צורך לציין גשרים משלך, בחר באפשרות התחבר לגשרים שסופקו.

תצורת גשרי חלונות טור - -

לאחר מכן תועבר לדף תצורת ה- proxy.

הגדרת פרוקסי Windows של גשר טור 1

בחירת לא לשאלה זו תעקוף את מסך תצורת הגשר ותעביר אותך ישירות למסך תצורת ה- Proxy.

חלונות טור מגדיר פרוקסי 2

הזן את פרטי ה- Proxy הספציפיים שלך ולחץ על כפתור התחבר. תחובר לרשת Tor ודפדפן Tor יופעל.

חלונות טור מחוברים

לחץ על הקישור Test Tor Settings Settings (הגדרות רשת) כדי לאשר שאתה מחובר. כתובת ה- IP שתראה מוצגת לא צריכה להיות משלך.

הגדרות רשת לבדיקת Windows - -

אם אתה מעוניין בצומת היציאה שהוקצה לך, לחץ על קישור אטלס כדי לגלות עוד עליו.

התקנת דפדפן Tor עבור macOS / OSX

כדי להתקין את לקוח ה- Tor ב- macOS / OSX, בקר בדף ההורדה האמיתי של פרויקט Tor ובחר באפשרות Tor Browser for Mac.

תתבקש לפתוח את קובץ התמונה ולהעביר אותו לתיקיית היישומים שלך:

שורת הורדת מקוס - -

לעבור ליישומים - -

לאחר מכן תוכל למצוא את היישום 'דפדפן Tor' במשטח ההשקה. תהליך ההפעלה הראשון יעביר אותך דרך אותו גשר ואשף ה- Proxy שגרסת Windows עשתה. לאחר שתשלים את זה כראוי, לחץ על כפתור התחבר. דפדפן ה- Tor יופעל. לחץ על הקישור Test Tor הגדרות רשת כדי להבטיח שהיא פועלת כראוי ומציגה כתובת IP אחרת.

התקנת דפדפן ה- Tor עבור לינוקס

דפדפן לינוקס טור הוא הפעלה בינארית יחידה שאין לה שום תהליך התקנה.

שורת הורדת לינוקס טור - -

חלץ את קובץ הזפת הרוכסן והוא יצור ספריית tor-browser_en-US עם קובץ בשם start-tor-browser.desktop בתוכו. הרץ קובץ זה מהקליפה או לחץ עליו פעמיים במנהל הקבצים שלך כדי להפעיל את דפדפן ה- Tor. זה יפעיל את תהליך ההפעלה הראשון המוכר כעת שיאפשר לכם להקים כל גשרים או פרוקסי עיניים שתזדקקו להם ואז להתחבר לטור. הוראות מפורטות להתקנה זו נמצאת במקטע התקנת דפדפן Tor עבור Windows במאמר זה.

לחיצה על סמל הבצל שליד סרגל הכתובות של הדפדפן תחשוף מידע על מעגל ה- Tor שהוקם עבורכם. המעגל הוא המסלול דרך טור שבקשתך. לדוגמא, לצפייה באתר Comparitech מקנדה, נכנסתי לרשת טור בצרפת, קפצתי דרך גרמניה ויצאתי לרשת הצלולה בהולנד.

מידע על מעגל הדפדפן

הקמת שירות Tor

שירותי Tor משתמשים במבנה URL ספציפי. ברשת הצלולה אנו רגילים לראות דומיינים ברמה העליונה (TLDs) כגון .com, .net ושלל אחרים. TLD שאינו קיים ברשת הצלולה הוא .onion, ולהיפך, זהו TLD היחיד שקיים ברשת Tor. כלומר, אם תנסה להתחבר לשירות Tor כמו אתר Tor של פייסבוק בכתובת https://www.facebookcorewwwi.onion מבלי להיות מחובר לטור, לא תוכל. בגלל אמנת שמות זו, יש אנשים שמתייחסים לשירותי Tor כאתרי בצל.

שיקולי אבטחה במהלך ההתקנה

אנו הולכים כעת להקים שירות Tor באמצעות VPS Linux זול. הנה השיעור הראשון ב- OpSec: מכיוון שאיני מעוניין במודל דרך המשי, אני רק רוכש VPS מספק ענן אשר תמיד ישייך אותי בדרך כלשהי לשרת זה. עליך להשתמש בשרת המשקף את רמת הדאגה שלך לגבי הקשור אליו.

שיקול נוסף הוא שחיבור לשרת זה עם כתובת ה- IP של ספק האינטרנט שלך ישייך אותך לשירות זה. אם זה דאגה עבורך, ישנן שתי דרכים עיקריות סביב זה. אם יש לך שיטה מתאימה אחרת להתחבר למערכת זו מבלי להשתמש ב- SSH, תוכל להגדיר את שירותי Tor שלך בשיטה זו ולעולם לא תצטרך לדאוג לה. עם זאת, אם אין לך דרך להתחבר לשרת זה מלבד SSH, אתה יכול להשתמש בפרוקסי SOCKS5 שמספק דפדפן Tor כדי לנתב את תנועת ה- SSH שלך. אחת משתי השיטות צריכה למנוע את הצטרפותה של כתובת ה- IP של ספק האינטרנט שלך לשרת זה.

SSH באמצעות פרוקסי Tor

אם אתה משתמש ב- PuTTY, אתה יכול להגדיר את זה בחלונית ה- Proxy:

הגדרות פרוקסי מרק

באמצעות Linux או macOS, אתה יכול להשתמש ב- SSH עם הארגומנט ProxyCommand באמצעות ה- SERVERIP וה- US USAME $ הנכון עבור השרת שלך. שימוש ב- IP במקום כל שם מארח שייתכן ויצרת אמור למנוע דליפות DNS:

$ ssh $ SERVERIP -l $ USERNAME -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p"

אני רואה זאת ביומני השרת:

5 בפברואר 16:34:34 host-172-20-0-101 sshd [11269]: סיסמה קיבלה תמורת $ USERNAME מ- 65.19.167.131 יציאה 22323 ssh2

ואנחנו יכולים להתייעץ עם טור אטלס כדי לאשר ש- 65.19.167.131 IP הוא צומת יציאה של טור בארה"ב, כך שהכל נראה טוב.

לאחר שתותקן Tor בשרת, תוכלו גם להחליט להגדיר שירות SSH Tor ואז להתחבר באמצעות .onion לשירותכם. פקודה זו נראית ככה ומכיוון שטור מקיים בקשות, IP המקומי של localhost נראה ביומני SSH.

$ ssh $ YOURSERVICENAME.onion -l $ USERID -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p" [email protected]$YOURSERVICENAME. הסיסמה שלonion: כניסה אחרונה: יום א '5 בפברואר 20:47:10 2017 מ- 127.0.0.1

התקנת טור

הוסף את מאגר ה- Tor למקורות ההתקנה שלך. Tor עשוי להיות זמין במערכי ההפצה שלך, אך הוא עשוי להיות לא מעודכן. כנראה שעדיף ליצור קובץ ריפו כגון /etc/yum.repos.d/tor.repo עם ריפו פרויקט Tor בפועל באמצעות הערכים הבאים:

[tor] name = Tor repo אפשר = 1 baseurl = https: //deb.torproject.org/torproject.org/rpm/el/6/$basearch/ gpgcheck = 1 gpgkey = https: //deb.torproject.org/ torproject.org/rpm/RPM-GPG-KEY-torproject.org.asc

לאחר מכן התקן את Tor:

סודה יום התקן טור

אתה יכול למצוא חבילות דביאן ואובונטו בספריית https://deb.torproject.org/torproject.org/dists/; עדכן את התצורה שלעיל בהתאם לצורך להפצה שלך.

התבונן בקובץ / etc / tor / torrc. המינימום היחיד שתצטרך להיות מופעל בקובץ זה הוא הבא:

RunAsDaemon 1 DataDirectory / var / lib / tor

ייתכן שתרצה גם לנתב את שאילתות ה- DNS שלך דרך Tor. זה יכריח את כל ה- DNS שלך דרך Tor על ידי הוספת זה ל- fle torrc שלך (השתמש בערך כלשהו עבור VirtualAddrNetworkIPv4 הגיוני בשרת שלך):

VirtualAddrNetworkIPv4 10.192.0.0/10/10 AutomapHostsOn Resolve 1 TransPort 9040 TransListenAddress 127.0.0.1 DNSPort 53

כדי לגרום לזה לעבוד, תצטרך גם לומר לשרת שלך לפתור DNS ב- localhost. ניתן לעשות זאת על ידי שינוי /etc/resolv.conf כדי לומר למערכת שלך לפתור באמצעות localhost במקום כל שרתי השמות שהיא מוגדרת לעת עתה..

שרת השמות 127.0.0.1

ואז הפעל מחדש את הפותר:

הפעלה מחדש של רשת שירות

יש מידע נוסף על DNS וסקרנות באופן כללי בעמוד פרויקט טור כאן.

מקדים את השירות בפועל (אינטרנט, SSH)

שירות Tor יכול להיות פשוטו כמשמעו כל סוג של שירות שרואים שאתה פועל ברשת הברורה. אני מתכוון להשתמש בשרת אינטרנט כדוגמה, תוך שימוש בשרת האינטרנט Nginx (הבולט מנוע X) המהודר. טור יפעל מול Nginx ויבצע Proxy לכל הבקשות. אני משתמש ב- CentOS להוראות אלה כך שרוב הפקודות הללו יעבדו עבור כל הפרעה מבוססת Red Hat. אתה יכול להשתמש apt get במקום yum במערכות מבוססות דביאן כמו אובונטו, והקבצים שאני מציין עשויים להיות במקומות מעט שונים.

התקן את Nginx באמצעות מנהל החבילות של ההפצה שלך.

התקן nginx -

נזכיר שטור הולך לבקשות פרוקסי לשרת האינטרנט. המשמעות היא ש- Nginx צריך להאזין רק ביציאות localhost. אם Nginx מקשיב גם בממשקי הרשת המחוברים לאינטרנט, אתה מסתכן שהשירות הנסתר שלך יהיה זמין ברשת הצלולה. כדי לקשור את Nginx ל- localhost בלבד, מצא את קובץ default.conf ועדכן את גרסת שרת ברירת המחדל. במחוזות מבוססי סל"ד, בדרך כלל קובץ התצורה נמצא כאן:

sudo vi /etc/nginx/conf.d/default.conf

הוסף את localhost להנחיית האזנה המוגדרת כברירת מחדל כך שתיראה כך:

האזנה localhost: 80 default_server; שם שרת _; root / usr / share / nginx / html;

הפעל מחדש את Nginx:

הפעלה מחדש של

בדוק גם את היציאה localhost 80 וגם את היציאה 80 הנגישה לאינטרנט. בשרת עצמו:

# curl -IL localhost HTTP / 1.1 200 אישור שרת: nginx / 1.10.2 תאריך: יום א ', 5 בפברואר 2017 20:13:33 GMT סוג תוכן: טקסט / html אורך תוכן: 3698 שינוי אחרון: יום שני, 31 אוקטובר 2016 12:37:31 GMT חיבור: להמשיך לחיות ETag: "58173b0b-e72" קבל טווחים: בתים

מחוץ לשרת:

$ curl -IL 170.75.162.213 curl: (7) נכשלה התחברות ליציאה 80.7.7.162.213: החיבור סירב

למרות שיכולה להיות דליפת מידע בכותרות שכדאי לטפל בהן, הגדרת החיבור נראית טוב. עוד על כותרות בקטע OpSec בהמשך.

השלב הבא הוא להגיד לטור להאזין לתנועה בממשק הרשת החיצוני ביציאה 80 ואז לפרוק את התעבורה להתקנת ה- Nginx המקומית שלך..

סודו וים / וכו '/ טור / טורק

הוסף את השורות הבאות בסוף. הפורמט של הנחיית HiddenServicePort הוא היציאה שאליה תרצה ש- Tor יקבל חיבורים, ואז ה- IP: PORT כדי לשלוח את הבקשה אליו. במקרה זה, אנו רוצים שתור יקשיב ליציאת HTTP 80 רגילה ואז שרת proxy חזרה למופע ה- Nginx שלנו ביציאה 80 בלוקאליסט. תוכלו להסיק מכך שתוכלו גם לפרוק מקצבים אחוריים נפרדים ולא רק שירותים מקומיים באמצעות Tor.

HiddenServiceDir / var / lib / tor / http_hs / HiddenServicePort 80 127.0.0.1:80

הפעל מחדש את tor:

הפעלה מחדש של שירות sudo

כדי לגלות את שמו של שירות HTTP Tor החדש שלך, חפש בקובץ שם המארח של HiddenServiceDir שצוין בקובץ torrc. זהו שם שירות HTTP בפועל שנוצר עבור מאמר זה, אך ככל הנראה הוא כבר לא יעבוד בזמן הפרסום:

cat / var / lib / tor / http_hs /name host

zhsluuuvqvstkzey.onion

בעוד 10 דקות, זה יעבוד על טור ותוכל להעלות אותו בדפדפן Tor.

שירות http tor

שימו לב למעגל ה- Tor השונה שמשמש בצל. זה לא יוצא מטור לאינטרנט כפי שעשה הדוגמה הקודמת לשימוש בטור כדי להגיע לאתר Comparitech. הסיבה לכך היא ש אתרי .onion שוכנים רק בתוך טור.

מעגל שירות http tor

כעת תוכל להוסיף שירותים נוספים כגון שירות SS SSH או כל דבר אחר. פשוט התקן את השירות שאתה רוצה להשתמש בו ואז הוסף את שתי הנחיות HiddenService לטורק שלך והפעל מחדש את Tor.

סודו וים / וכו '/ טור / טורק

HiddenServiceDir / var / lib / tor / ssh_hs / HiddenServicePort 22 127.0.0.1:22

הפעל מחדש את Tor כדי ליצור את מפתחות השירות ושם:

שירות sudo tor הפעל מחדש sudo cat / var / lib / tor / ssh_hs / name host oxxcatqaha6axbcw.onion

SSH פנימה מכונה אחרת המשתמשת בצל שלך:

ssh oxxcatqaha6axbcw.onion -l $ USERID -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p"

סיסמת [email protected]: כניסה אחרונה: יום ראשון 5 בפברואר 20:53:20 2017 מ- 127.0.0.1

לאחר שתאשר שאתה יכול SSH להשתמש בשם הבצל, זה זמן טוב לכבות את SSH מהרשת הצלולה. בטל את ההסרה של שורה זו בקובץ / etc / ssh / sshd_config:

#ListenAddress 0.0.0.0

ושנה אותו לקריאה:

ListenAddress 127.0.0.1

והפעל מחדש את SSH:

הפעלה מחדש של

השאר את השירות המוסתר שלך מוסתר (OpSec)

אבטחה תפעולית (OpSec) היא הרעיון שאיסוף מידע זמין, ולכאורה לא קשור, מידע יכול לייצר מידע ספציפי מאוד. טור עצמו טוב במיוחד באנונימיית תנועה, אך בני אדם נוראים ב- OpSec. בגלל זה, אנשים רבים שהשתמשו בתור לרוע זוהו בהצלחה.

המקרה הגדול ביותר ב- Tor הוא ככל הנראה אתר השוק השחור בשוק המשי. מנהלי שני הדורות של אותו אתר נעצרו וכן ספקים אחדים. אמנם הפרטים הקטנים ככל הנראה לעולם לא יהיו ידועים במלואם, אך ברוב המקרים אנונימיות נשברת על ידי OpSec מרושלת ולא חולשה בטור עצמה. עם זאת, ישנם מקרים בהם ייתכן כי רשת Tor עצמה נפגעה.

ישנם דיווחים כי יריבי טור מפעילים צמתים של Tor. הרעיון הוא שאם יריב יפעיל מספיק צמתים ממסר ויציאה, ניתן היה לבצע ניתוח תנועה בקנה מידה גדול כדי לזהות משתמשים בודדים. מבצע ה- FBI, Onymous שהוריד את דרך המשי 2.0 וכן 400 אתרים נוספים, הפעיל ככל הנראה צמתים של טור כחלק מאיסוף הנתונים החקריים שלו. מספר ממסרי טור ששונו כדי לשנות כותרות כדי לחשוף מידע על זרימת התנועה הופיעו ברשת Tor שהובילה למעצרים. עוד צוין כי 129 מתוך 400 האתרים התארחו על ידי ספק אירוח אתרים יחיד. פירוש הדבר יכול להיות שלספק אירוח יש OpSec לקוי, או שמשמעותו שהיא משתפת פעולה עם אכיפת החוק על ידי מתן מידע שרת פנימי שאינו זמין למשתמשים רגילים ב- Tor..

מה שלא יהיה, אם אתה רוצה להישאר מנותק מהשירות הנסתר שלך של Tor, עומדת לפניך משימה גדולה מאוד. התקציב והקביעת היריב שלך יהיו ככל הנראה הגורם הקובע להצלחה ולא כל צעד שאתה נוקט באופן אישי. אבל זו לא סיבה להיות מרושלת. בן טסקר כתב קטע מתחשב ב- Tor OpSec הנושא קריאה. להלן כמה דברים שעליך לבדוק כדי להבטיח שאינך מדליף מידע שניתן להשתמש בהם כדי לזהות אותך.

OpSec טכנית

האבטחה מבוצעת בצורה הטובה ביותר בשכבות; אין כדור כסף בגודל אחד שמתאים לכל דגם האבטחה. אנו רואים זאת בארכיטקטורת Tor בכך שלאף צומת יחידה אין מספיק מידע כדי להתפשר על משתמש. באופן דומה, בעת הגדרת שרת ה- Tor ושירותיך, אינך צריך לסמוך עליהם שיוגדרו בהתאם למקרה השימוש הספציפי שלך..

חומת אש

הגדרנו את שני שירותי הדוגמה של טור שלנו להאזנה רק בממשק localhost. זה אמור להספיק כדי למנוע מהם להיות זמינים ברשת הצלולה. עם זאת, דברים יכולים לקרות שאינם בשליטתכם ולכן הגיוני להוסיף שכבת אבטחה וחומת אש מכל השרת בכל היציאות. זה ימנע מהשירותים שלך להיות פתאום זמינים ברשת הצלולה בגלל שדרוג שגוי או שגיאה אנושית.

כותרות יישומים

ישנן שתי סיבות לחסל כמה שיותר כותרות בכל השירותים שלך. ראשית, הם עשויים למעשה למסור מידע על המערכת שלך שיכול לעזור לזהות היכן הוא נמצא. שנית, גם אם הם לא חושפים מידע ספציפי כזה, ניתן להשתמש בכל הנתונים בניסיון להדפיס שרת ובהמשך לקשר אותו לשרת אחר, ידוע, כדי לזהות אותו.

באפשרותך להסיר את מחרוזת גרסת ה- Nginx באמצעות הוראת server_tokens בשרת, מיקום או http של קובץ התצורה של Nginx..

אסימוני כותרות של nginx ב -

sudo vim /etc/nginx/conf.d/default/com

שמתי את זה בקטע השרת:

שרת {server_tokens כבוי; האזנה localhost: 80 default_server; שם שרת _; ...

כעת הגרסה נעלמה:

אסימוני כותרות של nginx כבויות

אתה יכול ללכת רחוק יותר עם Nginx באמצעות המודול Headers More. בעזרתו תוכלו להגדיר או להסיר מגוון רחב יותר של כותרות.

SSH

שיקול מיוחד עם SSH הוא טביעת האצבע של זיהוי השרת. כשאתה מתחבר לראשונה לשרת SSH, מקבלים הודעה כי המערכת שלך לא יכולה לאשר את זהות המערכת המרוחקת, מוצגת עם טביעת האצבע המפתח של השרת ושאלת מה אתה רוצה לעשות. רובנו מקבלים את זה ואז המפתח הציבורי של השרת מאוחסן בקובץ הידוע שלנו. ניסיונות עוקבים להתחבר לשירות זה אינם מעודדים אותנו יותר:

$ ssh oxxcatqaha6axbcw.onion -l $ USERID -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p" לא ניתן לקבוע את האותנטיות של המארח 'oxxcatqaha6axbcw.onion ()'. טביעת אצבע RSA היא SHA256: FroAZ5QibIdWgYyCajY3BxMQjR5XGQFwS1alTOarmQc. האם אתה בטוח שאתה רוצה להמשיך להתחבר (כן / לא)? כן אזהרה: הוסיף לצמיתות 'oxxcatqaha6axbcw.onion' (RSA) לרשימת המארחים הידועים. סיסמת [email protected]:

שורה זו מתווספת לקובץ know_hosts שלי:

oxxcatqaha6axbcw.onion ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArIR0Jn5fhY7kQxb37jBC1 + hRFZlxjrs4YsWf4DVJjjY7dlVzhN5mEnmBZMsNSk9
8ukJp9BysAp0GbPDYT2egCggHfX79806KSMBIuUiU + g6AsxsyZPjv8t2xRc7KBfqaDL2BVqOy1bnxUva1AsPHeRG / symeTA3
Zo + Qz0YVNMN + fPCS3YA7Bc7u1YbP6KLpwyFs + CEcJdH1mHiGTx2Z0l9q7atj8tAheO7livBpLacP0SPseQqkEfJ / GWVUB7cW
KB7S2N1dy1M9im883Lpgp9Xe2doy2vScNwb70tES4zZg08AjSsybLXzSdYTEUqSP6IS0YWBE1dqdlfw ==

אז בפעם הבאה שאני נכנס לא מתחבר הצעד הזה:

$ ssh oxxcatqaha6axbcw.onion -l $ USERID -o ProxyCommand ="nc -X 5 -x localhost: 9150% h% p" סיסמא של [email protected]: כניסה אחרונה: יום שני 6 פברואר 13:25:50 2017 מ- 127.0.0.1

הבעיה עם זה טמונה בקובץ המוכר שלי_hosts. מכיוון שהתחברתי לשרת שלי קודם באמצעות ה- IP הציבורי ופרוקסי ה- Tor שלי, יש לי כבר ערך לטביעת האצבע של הבצל תחת כתובת IP שונה:

170.75.162.213 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEArIR0Jn5fhY7kQxb37jBC1 + hRFZlxjrs4YsWf4DVJjjY7dlVzhN5mEnmBZMsNSLbr9B3Fzk
8ukJp9BysAp0GbPDYT2egCggHfX79806KSMBIuUiU + g6AsxsyZPjv8t2xRc7KBfqaDL2BVqOy1bnxUva1AsPHeRG / symeTA3
Zo + Qz0YVNMN + fPCS3YA7Bc7u1YbP6KLpwyFs + CEcJdH1mHiGTx2Z0l9q7atj8tAheO7livBpLacP0SPseQqkEfJ / GWVUB7cWK
B7S2N1dy1M9im883Lpgp9Xe2doy2vScNwb70tES4zZg08AjSsybLXzSdYTEUqSP6IS0YWBE1dqdlfw ==

זהו מתאם די חזק. כמעט בטוח שכתובת ה- IP 170.75.162.213 מתארחת את שירות ה- Tor שלי ב- oxxcatqaha6axbcw.onion בהתבסס על מידע זה.

אלה רק שתי דוגמאות לדרכים בהן ניתן להדפיס את השירות שלך לצורך זיהוי מאוחר יותר. ככל הנראה אין דרך למנות כל דרך אפשרית שאפשר לזהות את השירות שלך, אך כותרות אפליקציות והתנהגות הן נושא מטריה טוב שכדאי לבדוק..

OpSec התנהגותי

ישנן דרכים לא טכניות שהשירות שלך יכול להיות קשור גם לך.

זמן עבודה

ניתן לעקוב אחר השירות שלך לאורך זמן. שירותי טור רבים אינם מתארחים במרכזי נתונים מסורתיים, והיחיד שלי זמין באופן ספורדי. התאמה בין מחזורי זמן הפעלה עשויים לתת רמזים לאזור הזמן של המפעיל או ללוח הזמנים של העבודה.

נתוני חשבון

אין מעט טעם להשתמש ב- Tor לצורך אנונימיות אם אתה ניגש לאתר ואז נכנס למידע המאפשר זיהוי. רוס אולבריכט, שהורשע כשודד הפיראטים רוברטס מדרך המשי (נ '1.0), הוסחה לרגע על ידי סוכני ה- FBI בספריה וסוכן FBI אחר תפס את המחשב הנייד שלו ורץ. אולבריכט התחבר לחשבון DRP של דרך המשי שלו. ברור שאולבריכט כבר זוהה והוקם, אך אותה הנדסה חברתית זעירה אפשרה ל- FBI לתפוס אותו מחובר לחשבון של האדם אותו חיפשו..

מתאם שם משתמש

אנשים רבים משתמשים בידיות או בדויים באינטרנט כדי להסתיר את זהותם האמיתית. במקרים מסוימים, הם בוחרים ידית בשלב מוקדם ופשוט נוטים להיצמד אליו, או לפחות להשתמש בו מחדש מדי פעם. זה OpSec גרוע.

אמנם זה לא קשור באופן ספציפי לתור, אך הוא משמש דוגמה טובה לאופן שבו ניתן להשתמש בנתוני חשבון היסטוריים לזיהוי אנשים. מנהל הדואר האלקטרוני של הילרי קלינטון פול קומבטה מכוון על ידי משתמשי Reddit כמשתמש 'stonetear' שדיווח מידע על אופן שינוי מקבלי הדוא"ל בכל פעם שחלפו החדשות על שרת הדואר האלקטרוני הפרטי של קלינטון. יש היסטוריה ארוכה וקלתית של קומבטה באמצעות ידית זו כך שהיא לא סיפקה כמעט שום אנונימיות.

בדומה לענייני הטכנולוגיה של OpSec, ככל הנראה אין הגבלה לסוג ההתנהגות שניתן לאסוף ולתאם כדי לזהות את מפעיל שירות Tor. היריב שלך פשוט יצטרך להיגמר ברעיונות וכסף לפני שתעשה זאת.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

1 + = 4

map