Xorp Blog Podcast

TOR a hálózat anonimitására

Napjainkra a különböző kormányszervek által megfigyelt, lehallgatott, és megbénított esetek nagy port kavartak. Oly annyira nagy port, hogy az átlag ember is elfogadja, hogy adatait, kommunikációját megfigyelheti egy erősebb személy vagy szervezet. Persze két út van, az egyik, hogy legyint rá az ember, hogy az féljen akinek van mitől. A másik pedig, aki valamilyen elkeseredett módon elkezdi védeni az adatait. A továbbiakban csupán a webes böngészés anonimitásáról fogunk szót ejteni, viszont fontos leszögezni, csak egy apró szelete a témának. Hálózat anonimitást használva senki se érezze magát bebiztosítottnak minden ellen.

Mit tudnak rólunk böngészés esetén?

Minden speciális hálózati tevékenységet kizárva szorítkozzunk csak a sima böngészésre. Amikor betöltjük a böngészőnkbe egy weboldal tartalmát, mit gondoltok milyen információkat árulunk el magunkról automatikusan?

1, Az IP cím alapján a tartózkodási helyemet
2, Az internetszolgáltatóm nevét
3, Milyen böngészőt használok
4, Milyen operációs rendszert használok
5, Milyen a képernyőfelbontásom/színmélységem
6, A böngésző sütijeiből rengeteg következtetést lehet levonni, az internetezési szokásaimmal kapcsolatban

A hármastól a hatos pontig ezeket az információkat elrejthetjük, pontosabban automatikusan nem szolgáltatjuk ki magunkról, vagy direkt megtévesztő adatokat mutatunk.

Ami számunkra fontos lesz, és a böngészőnket nem tudjuk alapból megkérni rá, hogy változassa azt meg, az az IP címünk, és a belőle származtatható információ a helyünkről és a szolgáltatónkról. Egyszerűen nem szeretnénk, ha valaki le tudná hallgatni, vagy követni a webes kommunikációnkat, illetve, azonosítani, hogy éppen mi nézzük azt a tartalmat.

Ennek a megoldására több féle ingyenes és fizetős PROXY vagy VPN szolgáltatás áll a rendelkezésünkre. Nézzünk viszont egy egyedi megoldást.

A hagyma Elosztó

The Onion Router (vagy divatosabb nevén TOR) egy speciális hálózat. A hálózatban önkéntes alapon vesznek részt szerverek, és különféle gépek. Ezek a gépek egymás között létrehoznak egy titkosított hálózatot, az interneten keresztül. Majd a TOR által létrejött titkosított hálózatot használhatjuk. Egész pontosan rajta keresztül böngészhetünk, és folytathatunk más adatkommunikációt. Gyakorlatilag beküldünk egy kérést a TOR hálózatába, és véletlenszerűen a TOR egyik gépe fogja helyettünk a weboldalt betölteni, majd a tartalmat titkosított csatornánk visszaküldeni nekünk. Rendszeresen más gép teszi meg ezt a szívességet helyettünk, így szinte lehetetlen beazonosítani, hogy mit is csinálunk, vagy kik is vagyunk mi.

tor-workflow

A TOR eredetileg az Egyesült Államok tengerészgyalogságának programja volt. A felcsatlakozott felhasználó adatait a TOR hálózat tagjai nagy biztonságú titkosítással küldözgetik egymás között, egészen addig, míg egy olyan állomáshoz nem ér, amelyik engedélyezi, hogy rajta keresztül a többiek elérjék az Internetet, Ezzel biztosítható, hogy a kérés forrása az Internet felől nem azonosítható be, illetve az adatok 3 részre bontva kerülnek továbbításra és csak az exit (kilépési pont) állomásnál van meg minden adat a titkosítás feloldásához.

Mivel az exit pontokon az adatok titkosítása megszűnik, a TOR hálózat csak az internetező elrejtését szolgálja az adatok védelmét nem.

Az olyan országokra gondolva, ahol a szólásszabadság csorbát szenved a TOR hálózatokon belül „rejtett szolgáltatásokat” is lehet üzemeltetni. Ezek olyan csak a TOR hálózaton belül elérhető szolgáltatások (például weboldalak), amelyeknek a szolgáltatója rejtve marad, így a hatóságok zaklatásától megmenekül.

Tor Browser Bundle

Amennyiben igénybe szeretnénk venni a TOR hálózat adta anonimitást, úgy a legegyszerűbb ha letöltjök a Tor Browser Bundle nevű programot. Ez nem más mint egy speciális Firefox alapú böngésző, ami speciálisan a TOR hálózaton át kommunikál. Így, amit ezen a böngészőn keresztül nézünk, az a már ismert elven fog kézbesítődni. Míg a szokványos böngészőt is használhatjuk akár mikor. Ez a legegyszerűbb mód kipróbálni miről is van itt szó.

Töltsük le az operációs rendszerünknek megfelelő klienst a következő oldalról:

https://www.torproject.org/download/download-easy.html.en

A titkosított böngészés a “Start Tor Browser.exe” fájl megnyitásával indul. Ennek hatására elindul a TOR hálózat kliens programja, amely az útvonal választásért és titkosításért felelős. A kapcsolódás némi időt vesz igénybe.

tor_01

Ezután pedig a már ismert felületen böngészhetünk. Fontos megjegyezni, hogy a Bundle még küzd a különböző pluginekkel. Így a Flash és JAVA nem igazán működnek a Bundle-ben, így a TOR hálózatán sem ebben a formában.

TOR realy server

A továbbiakban azt kívánom bemutatni hogy hozhatunk létre egy SOCKS Proxy-t, ami automatikusan, minden adatforgalmunkat a TOR hálózat felé irányítja. Én ezt egy UBUNTU serveren és parancssorosan fogom megtenni, bár vannak erre más megoldások is Windows-on, MAC-en, Linuxon Grafikusan.

Először is adjuk hozzá a megfelelő repository-t a gépünkhöz:

Debian unstable (sid) is “sid”
Debian 7.0 (wheezy) is “wheezy”
Debian 6.0 (squeeze) is “squeeze”
Ubuntu 13.04 is “raring”
Ubuntu 12.10 is “quantal”
Ubuntu 12.04 is “precise”
Ubuntu 11.10 is “oneiric”
Ubuntu 11.04 is “natty”
Ubuntu 10.04 or Trisquel 4.0 is “lucid”

# vi /etc/apt/sources.list
deb     http://deb.torproject.org/torproject.org  main

Majd adjuk hozzá a megfelelő kulcsokat:

gpg --keyserver keys.gnupg.net --recv 886DDD89
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add - 

Frissítsük be a lokális csomag adatbázist, majd telepítsük a TOR relay servert.

# apt-get update
# apt-get install tor

A telepítést követően szerkesszük meg a konfigurációs állományát:

# vi /etc/tor/torrc

## Replace this with "SocksPort 0" if you don't want clients to connect.
SocksPort 9050 # what port to advertise for application connections
SocksBindAddress 127.0.0.1 # accept connections only from localhost
#SocksBindAddress 192.168.0.1:9100 # listen on a chosen IP/port 

Ahhoz, hogy az alkalmazást PROXY szerverként tudjuk használni a TOR hálózatárba, ahhoz csupán ennek a két sornak kell aktívnak lennie. SocksBindAddress localhost esetén csak az ugyan azon a gépen lévő alkalmazások érik majd el a portot, amennyziben egy publikus IP címet adunk meg, úgy a hálózatból mindenki.

Indítsuk újra a service-t.

# /etc/init.d/tor restart 

Kliensek beállítása

A 9050-es portot adtam meg a konfigurációban. Természetesen erre kell majd hivatkozni a kliensek proxy beállításánál is. Nézzünk néhány példát:

OSX proxy beállítások

Globális proxy beállítások esetén alapértelmezetten minden adat a megadott proxy fele fog menni, kivétel, amit felsorolunk explicit.

Ehhez menjünk a következő menükbe:

Apple menu > System Preferences, majd válasszuk a Network menüt.
Válasszuk ki az általunk használt hálózati eszközt a bal felsorolásból (az aktívok előtt zöld pötty lesz), és jobb lent Advanced, majd a Proxies tab.

mac-os-x-network-preferences-socks-proxy-exclude-wikipedia.org_

Itt kiválasztjuk a listából, hogy milyen típusú adatkommunikációhoz akarjuk használni a proxy-t, majd megadjuk az IP címét, és portját.

Windows Proxy

Windows kliensek esetében menjünk a következő menüpontokon keresztül:

Internet Explorer –> Internet Options –> Connections –> LAN settings –> Check on “Use a proxy server for your LAN…” and click on Advanced.

tor_windows

Természetesen külön programoknak is megmondhatjuk, hogy használják ezt a PROXY portot. Nézzünk most erre néhány példát:

Gaim / Pidgin

Go to the Accounts, select your Account
Select Edit Account
Go to the Advanced Tab

Under Proxy Options select proxy type SOCKS v5

Enter 127.0.0.1 for the host
Enter 9050 for the port
Leave user/pass blank 

Mozilla Thunderbird

Tools / Options / Advanced / Network & Disc Space Tab. Connection button, Manual Proxy Configuration

host: 127.0.0.1
port: 9050

X-Chat

Settings-> Preferences -> Network -> Network setup -> Proxy server

Hostname: 127.0.0.1
Port: 9050
Type: Socks5

IRSSI

If you run IRSSI on GNU Screen, open a new window (C-a C). If not, you’ll have to open a new tab or windows to connect to the proxy:

socat TCP4-LISTEN:5000,fork SOCKS4A:localhost:irc.oftc.net:6667,socksport=9050

On IRSSI, connect to localhost, on port 5000:

/connect localhost 5000

To ignore information leakage (client and time zone) run on IRSSI:

/ignore * CTCPS

Torrentezés

A TOR hálózatában kifejezetten rossz szemmel nézik, és ezért tiltják is a torrent adatfolyamokat. Így lehetőleg ilyen célre Te se vedd igénybe a TOR hálózatát.

TOR Public Relay

Amennyiben hasznosnak érezzük a dolgot, és az ingyenes szolgáltatásért cserébe adni is akarunk valamit vissza, úgy megnyithatjuk az előbb elkészített relay server-ünket a nyilvánosság számára is. Azaz, a TOR titkosító, és anonimizáló hálózatba csatlakoztathatjuk a gépünket.

Ehhey csupán szerkesszük meg újra a TOR konfigurációs állományát.

# vi /etc/tor/torrc

## Required: what port to advertise for incoming Tor connections.
ORPort 9001
## If you want to listen on a port other than the one advertised in
## ORPort (e.g. to advertise 443 but bind to 9090), you can do it as
## follows.  You'll need to do ipchains or other port forwarding
## yourself to make this work.
#ORPort 443 NoListen
#ORPort 127.0.0.1:9090 NoAdvertise

## A handle for your relay, so people don't have to refer to it by key.
Nickname MiszterX Tor Relay

## Define these to limit how much relayed traffic you will allow. Your
## own traffic is still unthrottled. Note that RelayBandwidthRate must
## be at least 20 KB.
## Note that units for these config options are bytes per second, not bits
## per second, and that prefixes are binary prefixes, i.e. 2^10, 2^20, etc.
#RelayBandwidthRate 100 KB  # Throttle traffic to 100KB/s (800Kbps)
#RelayBandwidthBurst 200 KB # But allow bursts up to 200KB/s (1600Kbps)

# Note that this threshold applies separately to sent and received bytes,
## not to their sum: setting "4 GB" may allow up to 8 GB total before
## hibernating.
##
## Set a maximum of 4 gigabytes each way per period.
AccountingMax 4 GB
## Each period starts daily at midnight (AccountingMax is per day)
AccountingStart day 00:00
## Each period starts on the 3rd of the month at 15:00 (AccountingMax
## is per month)
#AccountingStart month 3 15:00

## Administrative contact information for this relay or bridge. This line
## can be used to contact you if your relay or bridge is misconfigured or
## something else goes wrong. Note that we archive and publish all
## descriptors containing these lines and that Google indexes them, so
## spammers might also collect them. You may want to obscure the fact that
## it's an email address and/or generate a new address for this purpose.
ContactInfo Miszterx 
## You might also include your PGP or GPG fingerprint if you have one:
#ContactInfo 0xFFFFFFFF Random Person 

## A comma-separated list of exit policies. They're considered first
## to last, and the first match wins. If you want to _replace_
## the default exit policy, end this with either a reject *:* or an
## accept *:*. Otherwise, you're _augmenting_ (prepending to) the
## default exit policy. Leave commented to just use the default, which is
## described in the man page or at
## https://www.torproject.org/documentation.html
##
## Look at https://www.torproject.org/faq-abuse.html#TypicalAbuses
## for issues you might encounter if you use the default exit policy.
##
## If certain IPs and ports are blocked externally, e.g. by your firewall,
## you should update your exit policy to reflect this -- otherwise Tor
## users will be told that those destinations are down.
##
## For security, by default Tor rejects connections to private (local)
## networks, including to your public IP address. See the man page entry
## for ExitPolicyRejectPrivate if you want to allow "exit enclaving".
##
ExitPolicy accept *:6660-6667,reject *:* # allow irc ports but no more
ExitPolicy accept *:119 # accept nntp as well as default exit policy
ExitPolicy reject *:* # no exits allowed

FONTOS! Hogy az előzőekben már beleírt két sort, is hagyjuk benne, ha PROXY-ként továbbra is használni kívánjuk. A fenti kinfigurációban látszik, hogy definiáltunk egy 9001 portot. Természetesen ezt a portot az Internet felől is el kell érnünk (tűzfal nyitás, portforwarding). Ezen a porton fog a TOR hálózatával kommunikálni a relay server-ünk. Továbbá megadtuk, milyen sebességgel és mennyit forgalmazhatnak a TOR hálózatából a gépünk felé, kontakt információkat, illetve, hogy a gépünkön keresztül, milyen portokat engedélyezünk a böngészésen túl.

Ha megvagyunk indítsuk újra a service-t:

Indítsuk újra a service-t.

# /etc/init.d/tor restart 

ARM

Hasznos terminálban futtatható program tud lenni az Anonymizing Relay Monitor (ARM). Telepítése egyszerű:

# apt-get install arm

Ezek után indítsuk el azon a gépen, ahol a TOR relay is fut:

# arm

screenshot_page1_full

Az ARM egy menüs rendszerben képes, minden hasznos információt szolgáltatni. Logokat mutatni a TOR relay működéséről, grafikont rajzolni a kihasználtságáról, szöveges adatokat összesűríteni a programról magáról. A nyilakkal balra jobbra pedig az aktuális kapcsolatokat, konfurkációt, illetve egy TOR Shell-t is kaphatunk.

screenshot_page2_full

Összegés

A TOR egy nagyon jó ötlet. A globalizáció, és telekommunikáció közösségi rendszere, amivel védheti az ember az információit. Persze felmerül egyből a morális kérdés, hogy ezzel nem teremtünk a pedofiloknak, terroristáknak aranybányát? Sajnos ezt nem tudhatjuk. Ennek ellenére a TOR egy jól működő rendszer, mégsem tudom ajánlani, rendszeres használatra.

Mivel anonimizálásra lett kitalálva, rendszeresen megváltozik kilépő pontunk, a GOOGLE, FACEBOOK és sok egyéb azonosítással dolgozó weboldal megkergül ettől a rendszeres kontinenseken átívelő ugrásoktól. Hihetetlen lassú tud lenni, már idegesítően. És sose tudhatjuk épp, milyen gépre fogunk kerülni. Ennek ellenére magam is létrehoztam egy publikus TOR relay server-t, remélem ezzel is erősíthetem ezt a jó közösséget.

Categories: Informatika

Shellinabox: Webes távoli terminál » « Megújult a Blog

4 Comments

  1. “aranybányát a bűnözőknek”….sajnos, de, teremtünk… :( nyilván ezért nem a TOR, mint technika a felelős, hanem a használóinak egy része….
    http://index.hu/tech/2013/01/29/bejartuk_a_web_sotet_oldalat/

  2. A dolog valoban rengeteg moralis, es erkolcsi dolgot vet fel. Ennek ellenere ha kilepsz a liberalisan kezelt magyar halozatbol, es kicsit nyugatnak veted tekintedetet, itt a felhasznalok rendszeresen talalkoznak cenzuraval, blokkolassal, es ketes adatforgalmazasokkal.

    Nyugatra rengeteg az amator weboldal, ami rengeteg ketseget kelt az emberben. Sokkal tobben elnek a netes kereskedelemmel, es fizetnek online, vagy intezik az ugyeiket online.

    De amiert az balga halando is a TOR utan nyulhat az a cenzura. ISZONYATOS cenzura van jelen.
    Youtube, Google maps, es ezek csak a nyilvanos dolgok. Egyszer majd egy hoszabb cikkben is foglalkozom vele.

    Szoval ha normalis tartalmat akarsz, akkor bunozoi eszkozokhoz kell nyulni. Ha kicsit biztosabb es bonyulultan lekovetheto adatforgalmazast akarsz, akkor megint csak bunozoi eszkozokhoz nyulsz.

    Es ha Amerikaban divatos, netfix, hulu es egyeb normalis tartalomszolgaltatasra vagysz, akkor megint bunozoi eszkozokhoz nyulsz.

    Sajnos a renszer teremti azokat a helyzeteket, hogy kikelljen jatszani. Szomoru. Ennek ellenere, ahogy irtam a TOR egy nagyon technikai megoldas. Az mas teszta mire hasznalod, es mire hasznalhato.

  3. A TOR az kifejezetten experimental dolog. A Netflix, TeCső, hulu, egyebek simán bedőlnek egy hagyományos proxy-nak is. Engem minap egy szakmai jellegű okító videó bosszantott fel. A kedves előadó nem nézte jó szemmel, hogy a Superman kontinensen kívül is nézik, szóval mostmár csak onnan szeretné engedni a dolgot. Erre én középső ujjamból előszoptam egy NyúJorkban leledző virtuális gépet, és áttoltam rajta a forgalmam. Okító videó megnézve, és ez azért még nem bűnözői eszköz.
    Sőt, maga az eszköz nem is illegális, nem is bűnözői. Csupán a felhasználása szolgál egy fajta korlát megkerülést.

  4. Esetleg még az lenne egy baromi hasznos dolog, ha arról írnál két sort, hogy hogyan lehet egy router forgalmát 1:1 áttolni egy külö gateway-en. Nekem a VPN-es megoldás lenne a legkézenfekvőbb. Ennek előnye lenne, hogy az otthoni Xbox-om hozzáférne Superman kontinens exklúzív tartalmakhoz is.

Hozzászólás

Copyright © 2018 Xorp Blog Podcast

Theme by Anders NorenUp ↑

%d blogger ezt szereti: