Hata ayıklama ve olası sorunları çözme. Tor arka plan programını yapılandırma

• Kirilovich Ekaterina Igorevna, bekar, öğrenci
• Başkurt Devlet Tarım Üniversitesi

• VERİ GÜVENLİĞİ
• SOĞAN YÖNLENDİRME
• İNTERNETTE ANONİMLİK

Bu makale, anonim bilgi alışverişi teknolojisinin çalışma mekanizmasını tartışmaktadır. bilgisayar ağı TOR (The Onion Route) olarak adlandırılan soğan yönlendirmesini kullanarak.

• Saldırı Tespit Sistemleri. Çalışma prensipleri
• Apartman binalarında sermaye onarımları için bir fon oluşumunun iyileştirilmesi
• Rusya'da sağlanan devlet (belediye) hizmetlerinin kalitesini değerlendirme konularının yasal düzenlemesi

Soğan yönlendirme, Michael Reed, David Goldschlag ve Paul Siverson tarafından geliştirildi ve 1998'de ABD Donanması tarafından patenti alındı. 2009'da soğan yönlendirmeyi kullanan baskın teknoloji, inceleyeceğimiz anonim Tor ağıydı.

Soğan yönlendirme, bilgileri bir bilgisayar ağı üzerinden anonim olarak iletmek için kullanılan bir teknolojidir. Çalışma prensibi, mesajların tekrar tekrar şifrelenmesi ve ardından soğan yönlendiricileri olarak adlandırılan birkaç ağ düğümü üzerinden gönderilmesidir.

Ayrıca, her yönlendirici, izleme talimatlarını açmak için şifreleme katmanını kaldırır ve ardından tekrarlanacağı bir sonraki yönlendiriciye mesajlar gönderir. bu prosedür... Bu nedenle, ara düğümler mesajın kaynağını, hedefini veya içeriğini bilmezler.

Soğan yönlendirme (LM) fikrinin kendisi, mesajın göndericisinin ve alıcısının anonimliğinin korunmasına dayanır ve ağ üzerinden aktarımı sırasında verilerin korunmasını sağlar.

"Soğan yolu", Chaum'un karma bağlantı ilkesine göre çalışır: yani, mesajlar bir dizi proxy ("soğan yönlendiricileri") aracılığıyla gönderilir ve bunlar da bu mesajları bilinmeyen bir yöne iletir. Ve yönlendiriciler arasında, bir davetsiz misafir tarafından "telefon dinlemeyi" önlemek için mesajlar şifreli biçimde iletilir.

Bu sistemin (ve genel olarak karma bağlantıların) avantajı, katılan her yönlendiriciye güvenmeniz gerekmemesidir. Ve bir veya daha fazla yönlendirici saldırıya uğrasa bile, anonim bağlantı kurulacaktır. Bu, ağdaki her yönlendiricinin mesajları alması, bunları tekrar şifrelemesi ve ardından başka bir soğan yönlendiricisine iletmesi ile sağlanır. Bununla birlikte, tüm bunlara rağmen, soğan yönlendirme, gönderici veya alıcı için dinleyen herkesten anonimlik garanti etmez. Ancak çok yüksek derecede tutarsızlık sağlayarak, bir dinleyicinin mesajları kimin gönderip kimin aldığını belirlemesini zorlaştırır.

Soğan yönlendirme, herhangi bir sistem gibi, birkaç zayıf noktalar... Bir yandan zamanlama analizine karşı koruma sağlayamaz. Yani bir saldırgan nispeten hafif yüklü bir soğan yönlendiricisi gözlemlerse, gelen/giden mesajların ne kadar yakın zaman aralığında alınıp iletildiğine bakarak bağlantı kurabilir.

Ayrıca, soğan yönlendirme ağları, önceden haber verme ve çapraz geçiş saldırılarına karşı savunmasızdır. Önceki bir saldırıda, soğan yönlendiricisini kontrol eden bilgisayar korsanı, oturumları birden çok yol yeniden oluşturma sürecinden geçerken izler. Ve bu saldırgan, birkaç yeniden oluşturma sırasında yolun nasıl değiştiğini gözlemlerse, zincirdeki ilk yönlendiriciyi daha net görebilir. Çapraz konuşma saldırıları, ağa yeni yönlendiriciler bağlandığında soğan yönlendiricilerinin periyodik olarak çalışmayı durdurmasına veya ağ bağlantısını kesmesine dayanır. Ve çalışmaya devam eden herhangi bir iletim yolu, bağlantısı kesilmiş yönlendiricilerden veya ağa daha sonra katılan yönlendiricilerden geçemez. Soğan yönlendirme, çıkış düğümlerinden geçen verileri koruyamadığı ve operatöre iletilen içeriğe tüm erişimi sağladığı için, soğan ağları, SSL gibi nihai şifreleme kullanılmadan kişisel bilgileri aktarmak için kullanılmamalıdır.

Ağustos 2004'te Roger Dingledine, Paul Siverson ve Nick Mathewson, on üçüncü USENIX Güvenlik Sempozyumu'nda ikinci nesil soğan yönlendirici Tor'u tanıttı. Bu sistem, teleskopik devreler kullanması nedeniyle orijinal soğan yönlendirme için patentlerden muaftır. Ayrıca Tor, protokolü soğan yönlendirme katmanının dışına çıkararak, yani ağırlıklı olarak TCP iletimi oluşturarak üstün iletim gizliliği sağlar. Ayrıca yönlendiriciler için uçtan uca bütünlük kontrolleri ve değişken çıkış politikaları sağlar.

Tor, ikinci nesil soğan yönlendirmesini uygulamak için tasarlanmış ücretsiz bir yazılımdır. Başka bir deyişle, gizlice dinlemeden korunan anonim bir ağ bağlantısı kurmanıza izin veren bir proxy sunucu sistemidir. Bu sistem esas olarak C, C++ ve Python programlama dillerinde yazılmıştır.

Kullanıcılar Tor'u kullanarak siteleri ziyaret ederek, blog yazarak, anlık ileti ve posta göndererek ve TCP protokolünü kullanan diğer uygulamalarla çalışarak İnternette kolayca anonim kalabilirler. kullanılarak trafik anonimliği sağlanır. dağıtılmış ağ sunucular veya çok katmanlı yönlendiriciler olarak adlandırılan düğümler. Ayrıca sistem teknolojisi, İnternet gizliliğini ve iş bağlantılarının gizliliğini ve genel olarak iletişimin gizliliğini tehdit eden trafik analiz mekanizmalarına karşı da koruma sağlar.

Ayrıca Tor kullanır ağ katmanları anonim giden bağlantılar sağlamak için soğan yönlendiricileri. 2011 yılında, Tor sistem projesi Ücretsiz yazılım, 2012'de - fahri EFF Pioneer Ödülü.

Tor, Yüksek Performans Merkezi'nde federal düzen tarafından oluşturuldu bilgi işlem sistemleri»ABD Deniz Araştırma Laboratuvarı, Free Haven Projesi için DARPA ile işbirliği yapıyor. Ayrıca, 2002 yılında bu gelişme gizliliği kaldırıldı ve birincil veriler bağımsız geliştiricilere aktarıldı. istemci-sunucu uygulaması ve yayınlandı kaynakücretsiz bir lisans altında. Savunma Bakanlığı, ABD Dışişleri Bakanlığı ve Ulusal Bilim Vakfı, Tor için önemli finansal destek sağlıyor. Zaten Ağustos 2014'te Tor, Antarktika hariç dünyanın tüm kıtalarına dağılmış 6.000'den fazla düğümü içeriyordu ve ağ katılımcılarının sayısı 2 milyonu aştı Tor Metrics'e göre, Temmuz 2014'te Rusya Federasyonu girdi Tor'u en aktif kullanan ilk üç ülke. Ortalama olarak, Rusya Federasyonu'ndan günde 159.000 kullanıcı ağa bağlanırken, 322.000 kullanıcıyla ABD ve 205.000 kullanıcıyla Almanya'dan sonra ikinci sırada yer alıyor. Aynı zamanda, Ocak ayında Rusya, 91.900 kullanıcıyla yalnızca 9. hattı işgal etti.

bugün var Tor sürümleri neredeyse tüm modernler için işletim sistemleri(Windows, Linux dağıtımları, Unix benzeri işletim sistemi, mobil platformlar, bellenim (OpenWrt, RouterOS, Tomato, Gargoyle), vb. Ayrıca Tor, bu tür açık alanlarda kullanılmak üzere kurulabilir ve yapılandırılabilir. donanım Raspberry Pi, Chumby ve PogoPlug gibi. Bireyler, gizliliklerini korumak ve internet sansürü tarafından engellenen bilgilere erişmek için sistemi kullanırlar. Medya üyeleri ayrıca muhbirler ve muhaliflerle güvenli bir şekilde iletişim kurmak için Tor'u kullanır. Sivil toplum kuruluşları, yurt dışı iş seyahatlerinde, çalışmalarının reklamını yapmaya gerek olmadığında çalışanlarını gerekli sitelere bağlamak için sistemi kullanıyor. Şirketlerin şöyle bir sisteme ihtiyacı var güvenli yol Rekabet gücünün analizi için.

Kolluk kuvvetleri, istihbarat teşkilatları ve ordu da belirli görevleri yerine getirirken gizliliği korumak için Tor sistemini aktif olarak kullanır. gizli ziyaret sitelerin (kurumlarının IP adreslerini tanımadan) yanı sıra çeşitli bilgileri toplamak ve tehlikeli veya gizli operasyonlar sırasında çalışanlarının güvenliğini sağlamak.

Böylece, yukarıdakileri özetleyerek, bu makale çerçevesinde anonim bilgi alışverişi teknolojisinin olduğu sonucuna varabiliriz. kanalları açİnternet TOR olarak adlandırılır. Açıkçası, yalnızca bir soğan yönlendirme teknolojisi kullanmak, yeterli düzeyde anonimlik sağlamaz. TOR, diğer bilgi güvenliği araçlarıyla (örneğin, PGP ile) birlikte kullanılmalıdır.

bibliyografya

1. Onion_routing [Elektronik kaynak] - Erişim modu: http://poli-grafi.ru/Onion_routing - 27/05/2016.
2. Tor - Akademisyen [Elektronik kaynak] - Erişim modu: http://dic.academic.ru/dic.nsf/ruwiki/233279 - 28.05.2016.
3. AĞ TOPOLOJİLERİ "LASTİK" VE "ZVEZDA": AVANTAJLARI VE DEZAVANTAJLARI Moshkina K.A., Sharafutdinov A.G. Ekonomi ve toplum. 2014. Sayı 2-5 (11). S.335-337.
4. BİLGİSAYAR AĞLARI. BİLGİSAYAR AĞ TÜRLERİ Sharafutdinov A.G., Budarina Ya.S. Ekonomi ve toplum. 2014. Sayı 2-4 (11). S. 1180-1181.

TOR en güvenilirlerinden biri olarak kabul edilir ve etkili yöntemlerçevrimiçi anonimliği korumak ve İnternet sansürünü atlatmak.

TOR - "Soğan Yönlendiricisi" - veya "çok katmanlı yönlendirici" için bir kısaltma

Kullanıcının bilgisayarına TOR proxy'sini yükledikten sonra, TOR, özel bilgisayarlar sisteminde çeşitli düzeyler kullanmaya ve İnternet trafiğini şifrelemeye başlar.

TOR, TOR ağındaki tüm olası iletişim düğümleriyle bağlantı kurar

Kullanıcı, verileri üçlü bir TOR düğümü serisinden geçirir

Her biri benzersiz bir şifreye sahip

giriş düğümü

Kullanıcıyı ve aktif ana bilgisayarı tanır

Aktarım birimi

Giriş ve çıkış düğümlerini tanır

Çıkış düğümü

İletim düğümünü ve son yönü tanır

Üç koruma düğümü sayesinde, TOR ağındaki bilgisayarların hiçbiri, kullanıcı hakkındaki bilgileri koruyan isteğin kaynağı ve son yönü hakkında bilgiye sahip değildir.

TOR, kişisel bilgilerinizi gizli tutmak ve İnternet etkinliğiniz üzerinde harici gözetim girişimleri olması durumunda çevrimiçi bilgilerinizi korumak için çok uygundur.

TOR, en eski ve popüler uygulamalarİnternet sansürünü atlatmak için tasarlandı. Birçok kullanıcı, TOR'u web'deki kişisel verileri korumak için en güvenilir ve etkili araçlardan biri olarak görür ve bu da engellenen içeriğe erişmenizi sağlar. Ayrıca - bu uygulamanın nasıl kullanılacağı ve çevrimiçi çalışırken size özel olarak ne gibi faydalar sağlayabileceği hakkında daha ayrıntılı olarak.

TOR nedir?

TOR ("Soğan Yönlendiricisi" veya "çok katmanlı yönlendirici"nin kısaltması) - İnternet trafiğini ileten ve şifreleyen düğümler olarak da adlandırılan özel bilgisayarlardan oluşan bir ağ kullanır. Genel olarak, bu sistem oldukça karmaşık ve kafa karıştırıcıdır, bu nedenle iyi koruma yetkililerin gözetiminden

TOR, 90'lı yıllarda geliştirilmeye başlandı. Federal ajans DARPA'nın araştırması, gelişimin temeli oldu. İlk olarak, araştırma ABD Donanması Araştırma Kontrol Tesisinde gerçekleştirildi. Daha sonra Amerika'nın Sesi'nin de içinde yer aldığı ABD Yayın Kurulu, gelişmelere sponsor oldu.

TOR'un 2002'de piyasaya sürülmesinden bu yana, her biri kullanıcıları gözetlemek için olası boşlukları daraltan çeşitli sürümler yayınlandı. Dünya çapında binlerce gönüllü programcı, verileri karıştıran ve izleme ve engellemeye karşı koruyan özel, dağınık bir ağ olan TOR ağının omurgasını oluşturdu.

TOR nasıl çalışır?

Tipik olarak, İnternet'te gezinirken, veriler genel ağ üzerinden genel sunuculardan bilgisayarınızdan bir hedefe (site veya arama sonuçları) aktarılır. Yapısı gereği, " Dünya çapında Ağ"- açık, boş alan verilerin bir bilgisayardan diğerine serbestçe taşınmasına izin verir. Bununla birlikte, bu tasarımın bir takım güvenlik dezavantajları vardır.

Karşılaştırma için, TOR ağı, içinde çalışırken ilk adımdan itibaren trafiği yalnızca her biri kendi şifresine sahip olan giriş, iletim ve çıkış düğümlerinden geçirir. Bu yapılandırma sayesinde, TOR ağındaki bilgisayarların hiçbiri, isteğin kaynağı ve nihai yönü ve hatta kullanıcılarla ilgili bilgileri koruyacak ağ şifreleri hakkında veriye sahip değildir.

TOR alt ağında bir düğümden diğerine anonim veri aktarımı, kırılması çok zor olan güvenilir bir güvenlik aracı olarak kendini kanıtlamıştır. TOR aracılığıyla veri iletmek, üç seviyeli korumaya sahip bir fare ile kedi ve fare oynamak gibidir. Bu durumda kedinin işi çok zor hale gelir.

TOR ağında çalışmanın artıları

TOR, özgür olmayan İnternet'te gezinmek için etkili bir araçtır, içerik engellemeyi ve güvenlik duvarlarını atlamanıza izin verir, ancak ana avantajı kullanıcının anonimliğini korumaktır. Kullanıcının bilgisayarının yetkililer tarafından izlenmesinden endişe etmesi durumunda, ev bilgisayarına TOR indirebilir ve anonimliğini koruyarak İnternet'i kullanmaya devam edebilir. gerçeği Büyük sayı gönüllü TOR meraklıları, dünya çapında bir sunucu ağı sürdürerek TOR'u engellemeyi zorlaştırır. Bu, örneğin Facebook veya Google'ın bunları kullanmaya devam etmesinin yasak olduğu ülkelerde yaşayanlara olanak tanır.

TOR'un olası eksileri

TOR etkili bir araçtır, ancak anonimliğin %100 korunmasını ve sansür atlatılmasını garanti etmez. Genel olarak, TOR ağı agresif bilgisayar korsanlığı girişimlerine bile bağışıklık göstermiştir, ancak bazı bilgisayar korsanları hem kullanıcıya saldırmak hem de belirli bir siteye saldırmak amacıyla ağ güvenliğindeki boşluklardan yararlanabilir.

Popüler Firefox tarayıcıları, Chrome, Internet Explorer ve diğerleri, kullanıcıların kişisel bilgilerini elde etmek için ilgili taraflarca kullanılabilecek güvenlik sistemlerinde kusurlara sahiptir. Bu nedenle, geleneksel olanlar yerine kullanılması şiddetle tavsiye edilir. özel tarayıcı zaten TOR'da yerleşik.

Tor tarayıcısı ayrıca Java ve Flash gibi şifrelenmemiş ve İnternet takibi için bir boşluk olabilecek eklentileri de engeller.

Kullanıcıların bilgisayarlarına ayrıca virüsler ve çeşitli kötü amaçlı yazılımlar bulaşabilir - bu, ABD Ulusal Güvenlik Ajansı (NSA) tarafından TOR kullanıcılarının anonimliğini kırmak için kullanıldığı iddia edilen taktiklerden biridir. Bu nedenle TOR, izleme programlarının bilgisayarlara zaten yüklenmiş olabileceği İnternet kafelerde çalışırken çok daha az güvenli bir araçtır.

Ayrıca, hakkınızdaki bilgilerin korunabileceğini de unutmayın. meraklı gözlerİnternette, nihai hedefiniz güvenli değil. Veriler TOR ağından ayrılır ayrılmaz tekrar açık Erişim, savunmasız hale gelmek, bu da, erişmek istediğiniz sitenin engellenebileceği ve izlenebileceği anlamına gelir ve üçüncü taraflara herhangi bir bilgi gönderirseniz, onlar da monitörlerin görüş alanına girer.

iyi bir seçenek bu sorunun çözümleri - TOR'u VPN ile birlikte kullanmak - güvenli ağ- çıkışta. Bu sizi koruyacak ve verileri nihai hedefe ulaştıracaktır.

özetleyelim

Kişisel bilgilerinizi korumakla ilgileniyorsanız ve etkili araç sansürü atlatmak için TOR harika bir seçenektir.

Ancak TOR, web üzerinde çalışmak için karmaşık ve nispeten yavaş bir araçtır, bu nedenle süreçte sabrı olmayanlar TOR'u çok uygun bir program bulmayabilir.

Aynı zamanda, bir şeyi unutmamak gerekir: Edward Snowden'ın "sızdırdığı" belgelerden, ABD Ulusal Güvenlik Ajansı analistleri TOR'u "yüksek güvenliğin kralı, Majestelerinin İnternetteki Anonimliği" olarak nitelendirdi. "Şimdiye kadar bu taht için başka yarışmacı yok."

Aşırı kısıtlamalar olmadan çevrimiçi olmak istiyor ancak tarayıcınızdaki proxy'yi her seferinde değiştirmek istemiyorsanız ne yapmalısınız? Peki ya hem yasak hem de normal sitelere gitmek ve normal sitelerin açılma hızının düşmemesi için? Küresel ağın uzak bölümlerinde neler olup bittiğini merak ediyorsanız ne olacak?

Bu düşüncelerden yola çıkarak şunları yapmalıyız:

• Normal siteler her zamanki gibi açıldı
• Tor üzerinden ayarsız açılan yasak siteler
• .onion bölgesindeki tüm siteler de ayarlar olmadan açılır

Bir yandan, gereksinimler çelişkilidir. Öte yandan, kolaylık uğruna ne yapamazsın!

Biri hatırlayabilir Farklı yollar ve DPI'yı atlamak anlamına gelir, ancak böyle bir şey düşünmek istemiyorsanız, hatta yapılandırmak ve unutmak istiyorsanız, Tor analogları görevi kısmen çözmek için kolay erişim engellenen sitelere no.

almayacaksın tam anonimlik sadece bu talimatları izleyerek. OPSEC önlemleri olmadan anonimlik mümkün değildir. Talimatlar, yalnızca kısıtlamaların aşıldığını ima eder.

İhtiyacımız olan?

Başlangıç ​​olarak, ya bir yönlendiriciye ya da tüm trafiği kendi içinden geçiren şeffaf bir köprü görevi gören bir sunucuya ihtiyacımız var. Mevcut bir sunucu olabilir, bir Raspberry Pi kutusu olabilir. Linux'lu sıradan kompakt yönlendiriciler, prensipte bunları takabilirseniz çalışabilir. gerekli paketler.

Eğer uygun yönlendirici zaten sahipseniz, o zaman köprüyü ayrıca yapılandırmanız gerekmez ve yapabilirsiniz.

Tor'u yönlendiricinize yüklemek bir sorunsa, o zaman iki bilgisayara sahip herhangi bir bilgisayara ihtiyacınız olacaktır. Ağ arayüzleri ve Debian Linux'u gemide. Sonunda, onu, görünen yönlendirici arasındaki ağ boşluğuna bağlayacaksınız. Dış dünya, ve yerel ağınız.

Sunuculara ve yönlendiricilere değilse, o zaman belki.

Köprüyü kurun

Debian'da bir köprü kurmak sorun değil. Bridge-utils paketinde bulunan brctl programına ihtiyacınız olacak:

apt install bridge-utils

Köprünün kalıcı konfigürasyonu / etc / ağ / arayüzlerde ayarlanır. eth0 ve eth1'den bir köprü yapıyorsanız, konfigürasyon şöyle görünecektir:

# Arayüzleri manuel olarak yapılandırılmış olarak işaretleyin iface eth0 inet manual iface eth1 inet manual # Yeniden başlatıldıktan sonra köprü otomatik olarak açılır auto br0 # DHCP üzerinden IP alan köprü iface br0 inet dhcp bridge_ports eth0 eth1 # Statik IP ile köprü iface br0 inet statik bridge_ports eth0 eth1 adresi 192.168 .1.2 ağ maskesi 255.255.255.0 ağ geçidi 192.168.1.1

Köprü için bir konfigürasyon seçmeniz gerekiyor: dinamik IP veya statik.

Lütfen bu aşamada sunucuyu ağ kesintisine dahil etmenin gerekli olmadığını unutmayın. Tek bir bağlı arayüz ile geçebilirsiniz.

Sistemden yeni ayarları uygulamasını isteyelim:

hizmet ağı yeniden yüklemesi

Şimdi brctl show komutuyla köprünün varlığını kontrol edebilirsiniz:

# brctl köprü adını göster köprü kimliği STP etkin arabirimler br0 8000.0011cc4433ff eth0 eth1 yok

Verilen IP adresini görüntüleyebilir ve genellikle ip komutunu kullanarak DHCP aracılığıyla veya statik olarak bir IP verme gerçeğini kontrol edebilirsiniz:

# ip --family inet addr dev br0 kapsamını göster global 4: br0: mtu 1500 qdisc sıra durumu YUKARI inet 192.168.1.2/24 brd 192.168.1.255 kapsam global br0

IP adreslerinde her şey yolundaysa, sunucuyu ağ kesintisine dahil etmeyi zaten deneyebilirsiniz ...

Sonunda, ağınızdaki tüm cihazlar, bir sunucu üzerinden bağlıyken, aralarında hiçbir sunucu ve harici bir yönlendirici yokmuş gibi global ağa tam erişime sahip olmalıdır. Aynı şey DHCP ve diğer şeyler için de geçerlidir. Tüm bunlar, devam etmeden önce kontrol etmeye değer Tor'u yapılandırma.

Bir şey eskisi gibi çalışmıyorsa veya hiç çalışmıyorsa, önce sorunları çözmeli, ancak daha sonra Tor'un kendisini yapılandırmaya devam etmelisiniz.

Tor arka plan programını yapılandırma

Tor normal olarak yüklenir. Ülke bağlama veritabanını da kuracağız:

uygun tor-geoipdb yükleyin

/ etc / tor / torc yapılandırma dosyasının sonunda, proxy sunucu işlevini etkinleştirmek için yönergeler eklemeniz gerekir:

VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300

Tor'u yeniden başlatın ve yapılandırmamızdaki DNS'nin bilinen bazı sitelerde çalıştığını kontrol edin:

# service tor restart # dig + kısa facebookcorewwwi.onion @localhost -p 5300 10.11.127.156

Son komut, IP'yi 10.0.0.0/8 alt ağından çıkarmalıdır.

Tor'u yeniden başlatırken, TransPort ve DNSPort için aslında dışarıdan erişilebilen genel bir IP kullanmaktan şikayet ediyor. Bu yanlış anlaşılmayı, yalnızca aşağıdakilerden bağlantılara izin vererek düzeltelim: yerel ağ(benim durumumda 192.168.1.0/24):

iptables -A GİRDİ -s 192.168.1.0/24 -p tcp --dport 9040 -j KABUL ET iptables -A GİRİŞ -s 192.168.1.0/24 -p udp --dport 5300 -j iptables KABUL -A GİRDİ -p tcp - -dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP

Varsayılan olarak INPUT zinciri için bir DROP kuralınız varsa, son iki kural atlanabilir.

Tüm yerel ağ için erişimi yapılandıralım

Ağdaki tüm cihazların Tor'daki sitelere erişebilmesi için, tüm istekleri özel ağ 10.0.0.0/8'e, yerleşik Tor proxy sunucusunun bağlantı noktasına iletmemiz gerekir:

iptables -t nat -A ÖN YÖNLENDİRME -p tcp -d 10.0.0.0/8 -j YÖNLENDİRME --to-port 9040 iptables -t nat -A ÇIKIŞ -p tcp -d 10.0.0.0/8 -j YÖNLENDİRME --to- 9040 numaralı bağlantı noktası

PREROUTING ve OUTPUT zincirleri için iki kural ekliyoruz, böylece şemalar sadece ağdaki cihazlardan değil, aynı zamanda sunucunun kendisinden de çalışır. Bu şemanın sunucunun kendisinden çalışması gerekmiyorsa, ÇIKIŞ zincirine bir kural ekleme atlanabilir.

DNS sorgularını .onion bölgesine iletme

Bu sorun, istemcilere verilen DHCP yanıtlarında DNS sunucusunu kendi sunucunuzla değiştirerek veya ağınızın yerel bir DNS sunucusu kullanması alışılmış değilse, tüm DNS trafiğini keserek çözülebilir. İkinci durumda, hiçbir şeyi yapılandırmanız gerekmeyecek, ancak siz de dahil olmak üzere tüm istemcileriniz, isteğe bağlı sunuculara isteğe bağlı isteklerde bulunma yeteneğini kaybedecek. Bu bariz bir rahatsızlıktır.

Yalnızca .onion etki alanından bahseden DNS isteklerini yerleşik DNS sunucusunun bağlantı noktasına ileteceğiz ve diğer tüm istekleri olduğu gibi bırakacağız:

iptables -t nat -A ÖN ROUTING -p udp --dport 53 -m string \ --hex-string "| 056f6e696f6e00 |" --algo bm -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string "| 056f6e696f6e00 |" --algo bm -j YÖNLENDİRME --bağlantı noktalarına 5300

Sihirli dize 056f6e696f6e00, DNS sorgularında bir noktayı aktarmanın özellikleriyle ilgilidir: onu takip eden satırın uzunluğu olarak iletilir. Bu nedenle sihirli satırımızın başında soğan kelimesindeki beş karakter için 0x05 vardır. Kök etki alanı (nokta) sıfır uzunluğa sahip olduğundan, satırın sonunda sıfır bayt 0x00 vardır.

Bu yaklaşım, kullanıcılarınızın (ve kendinizin) kendileri için uygun olan DNS sunucularını kullanmasına ve herhangi birinden bilgi istemesine olanak tanır. DNS sunucuları aracılar olmadan. Ancak, .onion bölgesindeki hiçbir istek açık İnternet'e ulaşmaz.

Şimdi yerel ağınızdaki herhangi bir cihazdan popüler bir Tor sitesine ulaşmayı deneyin. Örneğin, bunun gibi:

$ curl -I facebookcorewwwi.onion HTTP / 1.1 301 Kalıcı Olarak Taşındı Konum: https://facebookcorewwwi.onion/

Hata ayıklama ve sorun giderme

.onion'a yapılan hiçbir DNS isteğinin sunucudan daha ileri gitmediğinden emin olmak istiyorsanız, bunların yokluğu aşağıdaki gibi kontrol edilebilir:

ngrep -q -d br0 -q -W byline soğan udp bağlantı noktası 53

Normalde, sunucuda yürütülen bu komut şunu göstermelidir: tam yokluk paketler - yani, yapmadığınız hiçbir şeyin çıktısını almayın.

Firefox .onion'u görmüyorsa

Bu sizi rahatsız ediyorsa ve yanlışlıkla anonimleştirme olasılığı sizi rahatsız etmiyorsa (sonuçta, açık İnternet'te .onion için DNS sorgularına artık izin vermiyoruz), bu ayarı şurada devre dışı bırakabilirsiniz: network.dns.blockDotOnion'u kullanarak yapılandırma anahtar.

Mobil Safari ve .onion

Safari ve Chrome dahil olmak üzere IOS programları, bu şekilde çalışırken temelde .onion'u yok sayar. Böyle bir şema çerçevesinde bu sorunu nasıl çözeceğimi bilmiyorum.

ISS, DNS'de IP'nin yerini alır

Bazı sağlayıcılar, ekonomik nedenlerle, siteleri IP veya DPI ile engellemek yerine, yasaklı siteler listesindeki DNS sorguları için yalnızca IP'yi değiştirir.

Bu sorunun en basit çözümü Google Public DNS sunucularına geçmektir. Bu işe yaramazsa, sağlayıcınız hiç yönlendirme yapar tüm DNS sunucunuza trafik, sonra gidebilirsiniz Tor kullanarak DNS, sırayla tüm trafiği ona yönlendirir:

iptables -t nat -A ÖN YÖNLENDİRME -p udp --dport 53 -j YÖNLENDİRME --bağlantı noktalarına 5300 iptables -t nat -A ÇIKIŞ -p udp --dport 53 -j YÖNLENDİRME --bağlantı noktalarına 5300

Ağım 10.0.0.0/8'den IP kullanıyor

Sorun değil! Yukarıdaki tüm yönergelerde, ayrılmış olanlar hariç, bunun için tasarlananlardan başka bir alt ağ kullanın. Cidden, gereksiz olanlara dikkat edin.

Ayrıca, tüm aralığı bir kerede kullanmak gerekli değildir - kendinizi alt ağ ile sınırlayabilirsiniz. Örneğin, 10.192.0.0/10 yapacaktır.

Tor üzerinden Blokları Atlamak

Tor üzerinden engellenen sitelere erişmek için öncelikle, coğrafi konum nedeniyle olduğu gibi aynı kısıtlamalara tabi olan çıkış düğümlerini kullanarak sabun için bızı değiştirmediğinizden emin olmanız gerekir. Bu, ülkelerin torc'da kullanılamayacağı çıkış düğümlerini belirterek yapılabilir.

ExcludeExitNodes (RU), (UA), (BY)

Kayıt defterini güncelleme

Kayıt defteri durmuyor ve engellenen sitelerin listesi yenileniyor. Çünkü zaman zaman boşaltmanız gerekiyor güncel liste IP ve ipset'e ekleyin. Bunu, her seferinde tüm listeyi indirmeden, ancak yalnızca değişiklikleri, örneğin buradan GitHub'dan indirerek yapmak en iyisidir.

#! / bin / bash set -e mkdir -p / var / yerel / kara liste cd / var / yerel / kara liste git pull -q || git klon https://github.com/zapret-info/z-i.git. ipset floş kara liste kuyruğu +2 dump.csv | kes -f1 -d \; | grep -Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/kara liste/kara liste.txt | xargs -n1 ipset kara liste ekle

Yalnızca listede değişen, git whatchanged'in yararlı olabileceği IP'leri kaldırmak ve eklemek mümkündür.

Yukarıdaki komut dosyası size uygunsa, /etc/cron.daily/blacklist-update içinde olmalıdır. Bu dosyaya yürütme izni vermeyi unutmayın.

chmod + x /etc/cron.daily/blacklist-update

Ayarları kaydediyoruz

apt iptables-kalıcı kurulumu

dpkg-iptables-kalıcı yeniden yapılandırma

Ne yazık ki, ipset için henüz böyle uygun bir paket yok, ancak bu sorun /etc/network/if-pre-up.d/ipset betiği ile çözüldü:

#! / bin / sh ipset -exist kara liste oluştur karma: ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist kara liste

Bu komut dosyasına yürütme hakkı verdiğinizden emin olun:

chmod + x /etc/network/if-pre-up.d/ipset

Bir sonraki yeniden başlatmada, bu komut dosyası engellenen IP'lerin listesini yürütecek ve geri yükleyecektir.

Sunucuları unutursak ...

Tamam, söyle bana, ama ya aynısını almak istersem kolay erişimçünkü soğan, ancak sunucular olmadan - yerel olarak, aynı bilgisayarda mı?

Sorun değil! Bu durumda, her şey daha da basittir. Bu üç satırı torc'a eklemeyi bırakın:

AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300

Sonra iptables için bu iki kural:

iptables -t nat -A ÇIKIŞ -p tcp -d 127.192.0.0/10 -j YÖNLENDİRME --port 9040 iptables -t nat -A ÇIKIŞ -p udp --dport 53 -m string \ --hex-string " | 056f6e696f6e00 | " --algo bm -j YÖNLENDİRME --bağlantı noktalarına 5300

Ve kontrol edebilirsiniz. Engellenen sitelere erişim, yukarıdaki talimatlara göre yapılandırılır.

bir kaşık katran

Basit ve kullanışlı olsa da, bu yaklaşım Tor ağının bazı eksikliklerini devralır.

Ağdaki yasaklı sitelere şu kişiler adına girersiniz: çıkış düğümleri, hedef siteye erişmek için şifreleme kullanılmıyorsa, çıkış düğümlerinin yöneticilerine trafiğinizi ve şifrelerinizi gözlemlemek için temel bir fırsat verir (adresin başında https veya adres çubuğunda yeşil bir kilit olmalıdır 🔒 olmalıdır). ).

Bu tür sitelerin yöneticilerinin, kendi sağlam gece uykuları nedeniyle sizi gözetlemeyeceği umulabilir, ancak ...

Güvenli olmayan bir bağlantı üzerinden bir siteye giderseniz, doğrudan Tor üzerinden olsun, oturum açma bilgilerinizin ve şifrelerinizin temel olaraküniformalı bir kişinin masasında harflerin olduğu bir klasöre düşebilir.

Bu kadar!

Hala netleşmeyen bir şey var mı? Bir şeyi düzeltmeniz mi gerekiyor yoksa özellikle bir şeyi beğendiniz mi? Yorumlarda aşağıya yazın.

Bir Raspberry Pi'yi bir TOR ağ yönlendiricisine nasıl dönüştürebilir ve gizliliğinizi çevrimiçi ortamda tutabilirsiniz

TOR: Onion Router, interneti anonim olarak kullanmanızı sağlayan bir yazılımdır. Bir Raspberry Pi'ye TOR kurarak, tüm internet bağlantınızı karıştıran bir ağ yönlendiricisi oluşturabilirsiniz.

Raspberry Pi'yi bir TOR Router'a dönüştürmek, ABD'de birdenbire çok daha çekici hale geldi. Yasada yakın zamanda yapılan bir değişiklik, İSS'lerin müşteri kullanımını izlemesine ve bunu reklam satmak için kullanmasına olanak tanır.

Peder Robert Ballecer Know How'da bunun neden önemli olduğunu açıklıyor.

Kurallardaki bu değişikliği gerekçelendirme şekli şuydu: 'bu adil değil' çünkü bazı işletmeler bu güvenlik yasalarına ve gizlilik politikalarına tabidir. Oysa Google ve Facebook bilgilerinizi herkese satabilir.'

Aradaki fark şu: Google'ın gizlilik politikasını beğenmezsem; Google'ı kullanmıyorum. Facebook'un gizlilik politikasını beğenmezsem; Facebook kullanmıyorum. Hangisini bilmiyorum. Çünkü onların gizlilik politikalarını sevmiyorum. Comcast'i kullanmaktan başka seçeneğim yok. Kelimenin tam anlamıyla başka bir geniş bant sağlayıcısı yok.

Raspberry Pi 3'ü bir TOR ağ yönlendiricisine dönüştürün

Know How bir TOR ağ yönlendiricisi kurmak için bir Raspberry Pi 3 kullanır. Raspberry Pi 3'ü özellikle yerleşik kablosuz ağa sahip olduğu için seçiyorlar (Pi Zero W bu konuda da iyi çalışır).

Raspberry Pi, TOR ağına bağlanır. Tek yapmanız gereken Raspberry Pi'yi geniş bant ağınıza bağlamak ve cihazınızı Raspberry Pi'ye bağlamak.

Talimatlar oldukça açıktır ve Know How, indirilebilecek notları göstermektedir. Yapı, Harry Allerston'ın RPI-Wireless-Hotspot yazılım komut dosyasına dayanmaktadır.

Bu yazılım, bir Raspberry Pi'yi WPA şifreli bir etkin nokta olarak çalışacak şekilde yapılandırmanıza olanak tanır. ve seçin bir dizi DNS sağlayıcısından.

Yapı, Harry Allerston'ın RPI-Wireless-Hotspot yazılım komut dosyasına dayanmaktadır. Bu yazılım, bir Raspberry Pi'yi WPA şifreli bir etkin nokta olarak çalışacak ve bir dizi DNS sağlayıcısı arasından seçim yapacak şekilde yapılandırmanıza olanak tanır.

TOR kullanmanın iyi olmadığını zaten yazdık, ancak kullanıcılar hala onu en iyi nasıl yapılandıracaklarını soruyorlar. Bu tür isteklere dayanarak, bir yönlendiriciye TOR'un nasıl kurulacağı ve yapılandırılacağı hakkında bir makale yayınlamaya karar verdim. Bunu yapmak için, birçok yönlendirici olan OpenWRT'yi kurabileceğiniz herhangi bir yönlendirici satın almanız gerekir. TP-Link serisi Kimde var müsait yer bellekte, yapılmasına izin verin. Kendim çok yazmayı sevmiyorum, o yüzden kopyala-yapıştır yapacağım))

TOR'u OpenWRT'ye Yükleme

Tor yüklemek için Openwrt sadece yap

Opkg yükleme tor'u

Paketleri kendiniz için manuel olarak toplarsanız veya bu paketi doğrudan bellenime gömmek istiyorsanız, OpenWRT bellenimini yapılandırma aşamasında şunları seçmeniz gerekir:

Ağ ---> tor

Paket olarak oluşturmak veya

Ağ ---><*>tor

Paketi doğrudan bellenime gömmek için.

Birçok tuzaklar paketi kurduktan sonra ortaya çıkabilir.

1. Saati ntp aracılığıyla yapılandırdığınızdan ve senkronize ettiğinizden emin olun. Tor, bazı eylemleri için sistem saatini kullanır. Yanlış bir tarih, tor'u başlatırken sorunlara veya yanlış çalışmasına neden olabilir.

2. Tor yüklerken, bir tor kullanıcısı ve bir tor grubu oluşturun. Bir grup oluştururken, yükleyici bir hata yaptı ve / etc / group dosyasındaki tor grubu için bir satır sonu koymadı. Büyük olasılıkla bu benim tek hatam, ama dikkatli ol.

3. Tor tarafından istenen dosyaların tüm haklarını kontrol edin, 755 maskesine sahip olmalı ve tor: tor'a ait olmalıdır.
TOR kurulumu.

/ etc / tor / torrc yapılandırma dosyasını açın ve düzenleyin:

1. Yönlendiriciye bağlı tüm bilgisayarların (kablo veya wifi ile) TOR'a SOCKS proxy üzerinden erişebilmesini istiyorsanız, açıklamayı kaldırmanız ve satırı düzeltmeniz gerekir:

SocksListenAddress 192.168.120.1:9100 # bu IPort'ta da dinleyin

Burada 192.168.120.1, yönlendiricinizin yerel ağ için ip adresidir ve 9100, çorap sunucusunun tor ağı için olacağı bağlantı noktasıdır.

2. SocksPolicy seçenekleriyle, hangi ip adreslerinin erişime sahip olacağını (veya erişemeyeceğini) açıkça belirtebilirsiniz. çorap sunucusu... Konfigürasyon dosyasında bu seçenekler yorumlanmıştır - onları yorumdan kaldırmanızı ve kendiniz için ayarlamanızı tavsiye ederim.

3. Herhangi bir nedenle tor başlamazsa, sorunu bulmak için Günlük seçeneğini kullanın.

Aslında, daha fazla ayara gerek yoktur ve tor'u çalıştırabilirsiniz.
Tor'u Başlatma

Torus'u aşağıdaki komutla başlatın:

/etc/init.d/tor başlangıç

Tor zaten çalışıyorsa veya başlangıçta form hataları görünüyorsa:

127.0.0.1:9050'ye bağlanılamadı: Adres zaten kullanımda. Tor zaten çalışıyor mu?

Tor'u durdurmanız gerekiyor:

Ve yukarıda açıklandığı gibi yeniden başlatın.

Günlük etkinleştirilirse, aşağıdaki satır başarılı başlatmanın ve tor ağına bağlantının bir işareti olacaktır:

21 Şubat 19:12: 17.034 Tor başarıyla bir devre açtı. İstemci işlevi çalışıyor gibi görünüyor.
21 Şubat 19: 12: 17.035 Önyükleme %100: Tamamlandı.

Ancak çorap protokolü ile nasıl çalışacağını bilmeyen bir takım programlar vardır. Bu sorun, tor + iptables'ın kendisi kullanılarak çözülebilir. Bunu yapmak için, tor'da şeffaf proxy modunu etkinleştirmeniz gerekir. Bu durumda router'a bağlı makinelerde herhangi bir ayar yapmanıza gerek yoktur. Tüm trafik hemen tor'dan geçecektir.
Tor'da şeffaf bir proxy kullanma

Bunu yapmak için / etc / tor / torc yapılandırma dosyasını düzenleyin:

AutomapHostsOnResolve 1
Nakliye 9040
DNS Bağlantı Noktası 53

Böylece, şeffaf proxy 9040 numaralı bağlantı noktasını dinleyecektir.

Tor'u yeniden başlatın:

Killall -9 tor
/etc/init.d/tor başlangıç

iptables kurulumu

Ardından, tüm trafiği bu bağlantı noktasına sarmanız gerekir. Bunu yapmak için iptables'ı REDIRECT –to-port seçeneğiyle kullanmanız gerekir. Bu seçeneği kullanmak için ayrıca iptables-mod-nat-extra paketini oluşturmalı ve kurmalısınız. Aksi takdirde, aşağıdaki gibi bir hata alırsınız:

Iptables v1.4.6: bilinmeyen seçenek `--to-ports"

Paketi önemsiz bir şekilde yaparak kurabilirsiniz.

Opkg, kmod-ipt-nat-extra'yı kurun

Veya onu deponuza kurabilir veya bu paketi doğrudan bellenime dahil edebilirsiniz. OpenWrt yapılandırıcısında bu paket şurada bulunur:

-> Ağ
-> iptables
iptables-mod-nat-ekstra

Paketi kurduktan sonra, trafiği şeffaf bir proxy sunucusuna “sarmanız” gerekir:

Iptables -t nat -A ÖN ROUTING -p tcp -d! 192.168.120.1 --dport 80 -j REDIRECT --ports 9040

Bunun anlamı - 80. bağlantı noktasına (ve 192.168.120.1'e adreslenmemiş) giden tüm trafiği, şeffaf proxy'nin bulunduğu 9040 numaralı bağlantı noktasına iletmek.

Aynısını dns istekleri için de yapıyoruz:

Iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53

Udp trafiğinin geri kalanı ya anonimleştirilmeden geçirilmeli ya da kesilmelidir.

Bu kadar. Yönlendiriciye gelen tüm trafik, yönlendiriciye yönlendirilecektir. tor ağı yerel ağınızdaki herhangi bir bilgisayar yapılandırması olmadan! Tüm çevrimiçi etkinlikleriniz anonim olacaktır.