Tor

Материал из I2P-ilita вики
Версия от 00:27, 24 ноября 2020; Terra incognita (обсуждение | вклад) (→‎Ссылки: навшаблон)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к навигацииПерейти к поиску
Zrada.png ЗРАДА!

Информация была грубо перекатана со свидомой википедии.
Требуется дополнить её фактами, разбавить картинками, переписать или хотя бы почистить от мусора.

Tor-logo.png

Tor (The Onion Router) — свободное программное обеспечение для реализации второго поколения так называемой «луковой маршрутизации». Это система, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания. Рассматривается как анонимная сеть, предоставляющая передачу данных в зашифрованном виде. Программа написана преимущественно на языке программирования Си и на март 2010 года имеет более 100 000 строк программного кода.Tor — Ohloh

Сеть I2P никоим образом не имеет отношения к проекту Tor — это две совершенно разные технологии. Tor — скорее цепочка прокси-серверов, тогда как I2P — это полноценная сеть.

Обзор[править]

С помощью Tor пользователи могут сохранять анонимность при посещении веб-сайтов, публикации материалов, отправке сообщений и при работе с другими приложениями, использующими протокол TCP. Безопасность трафика обеспечивается за счёт использования распределённой сети серверов (нод), называемых «многослойными маршрутизаторами» (onion routers). Технология Tor также обеспечивает защиту от механизмов анализа трафика, которые ставят под угрозу не только анонимность пользователя, но также конфиденциальность бизнес-данных, деловых контактов и др. Tor оперирует сетевыми уровнями onion-маршрутизаторов, позволяя обеспечивать анонимные исходящие соединения и анонимные скрытые службы.Tor: Обзор

История Tor[править]

Система Tor была создана в исследовательской лаборатории Военно-морских сил США по федеральному заказу. В 2002 г. эту разработку решили рассекретить, а исходные коды были переданы независимым разработчикам, которые создали клиентское ПО и опубликовали исходный код под свободной лицензией, чтобы все желающие могли проверить его на отсутствие багов и бэкдоров.Tor: Добровольцы

О поддержке проекта объявила известная организация по защите гражданских свобод Electronic Frontier Foundation, которая начала активно пропагандировать новую систему и прилагать значительные усилия для максимального расширения сети нод. Хост проекта существует при поддержке данной организации.Tor: SponsorsПо состоянию на март 2010 года сеть включает более 2100 нодов, разбросанных на всех континентах Земли, кроме Антарктиды.Tor Node Status Information

Область применения Tor[править]

Частные лица используют Tor для защиты неприкосновенности частной жизни и получения доступа к информации, заблокированной интернет-цензурой.«Washington Times»: Иранцы изощряются в Интернете

Скрытые сервисы Tor предоставляют своим пользователям возможность создавать собственные веб-сайты и электронные СМИ, не раскрывая при этом информацию о реальном местоположении сайта.

Социальные работники пользуются Tor при общении с учётом тонкой социальной специфики: в чатах и веб-форумах для жертв насилия, конфликтов, беженцев, а также для людей с физическими или психическими отклонениями.

Журналисты используют Tor для безопасного общения с информаторами и диссидентами.Тури Мунте Неправительственные организации используют Tor для подключения своих сотрудников к нужным сайтам в заграничных командировках, когда есть смысл не афишировать их работу.

Общественные организации, например, Indymedia, рекомендуют Tor для обеспечения безопасности своих членов. Гражданские активисты, например, EFF поддерживают разработку Tor, поскольку видят в нём механизм для защиты базовых гражданских прав и свобод в Интернете.FAQ written by the Electronic Frontier Foundation

Корпорации используют Tor как безопасный способ проведения анализа на конкурентном рынке, а также в качестве дополнения к VPN, которые всё равно позволяют получить доступ к точной информации о продолжительности и количестве соединений.Технология Tor на страже анонимности

Правоохранительные органы используют Tor для скрытого посещения веб-сайтов, чтобы не оставлять при этом IP-адреса своих учреждений в логах соответствующих веб-серверов, а также для обеспечения безопасности сотрудников при проведении спецопераций.

Военные используют Tor для сбора сведений из открытых источников. В частности, эта сеть активно используется при проведении военных операций на Ближнем Востоке.Кто использует Tor?

Анонимные исходящие соединения[править]

Пользователи сети Tor запускают onion-proxy на своей машине, данное программное обеспечение подключается к серверам Tor, периодически образуя виртуальную цепочку сквозь сеть Tor, которая использует криптографию многоуровневым способом (или многослойным: аналогия с луком — "onion"). Каждый пакет, попадающий в систему, проходит через три различных прокси-сервера (узла), которые выбираются случайным образом. Перед отправлением пакет последовательно шифруется тремя ключами: сначала для третьего узла, потом для второго, и, в конце концов, для первого. Когда первый узел получает пакет, он расшифровывает «верхний» слой шифра (аналогия с тем, как чистят луковицу) и узнает, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом. В то же время, программное обеспечение onion-proxy предоставляет SOCKS-интерфейс. Программы, работающие по SOCKS-интерфейсу, могут быть настроены на работу через сеть Tor, который, мультиплексируя трафик, направляет его через виртуальную цепочку Tor. Что в конечном итоге позволяет обеспечивать анонимный серфинг в сети.

Внутри сети Tor трафик перенаправляется от одного маршрутизатора к другому и окончательно достигает точки выхода, из которой чистый (нешифрованный) пакет уже доходит до изначального адреса получателя (сервера). Трафик от получателя (сервера) обратно направляется в точку выхода сети Tor.

Анонимные скрытые службы[править]

Обеспечивая анонимность клиентов, как самую популярную функцию, Tor также может обеспечивать анонимность для серверов. Используя сеть Tor, возможно использовать сервер таким образом, что его местонахождение в сети будет неизвестно. Конечно, для доступа к скрытым службам Tor должен также использоваться и на стороне клиента.

Скрытые службы доступны через специальные псевдо-домены верхнего уровня .onion (ВНИМАНИЕ: в сети TOR, в отличии от I2P, не производится унификация User-agent'a вашего браузера, а значит что если вы используете какой-нибудь экзотический линуксовый браузер, вам необходимо менять его User-agent руками). Сеть Tor понимает эти домены и направляет информацию анонимно к скрытым службам. Скрытая служба затем обрабатывает её посредством стандартного софта, который настраивается на прослушивание только непубличных (закрытых для внешнего доступа) интерфейсов. Службы, таким образом, доступны через скрытые службы Tor, но всё же публичный интернет чувствителен для атак соотношений, что, следовательно, приводит к тому, что службы не являются истинно скрытыми.

В дополнение можно отметить возможность скрытых служб Tor размещаться за фаерволом, NAT-соединениями и прокси-серверами, не требуя обязательного наличия публичного IP-адреса. Tor: Настройка скрытых сервисов

Взаимодействие Tor с другими анонимными сетями[править]

С мая 2005 года анонимная сеть Java Anon Proxy (JAP) умеет использовать узлы сети Tor в качестве каскада для анонимизации HTTP-трафика. Это происходит автоматически в том случае, если в настройках браузера выбран SOCKS, а не HTTP-прокси.

При использовании Tor в связке с Privoxy можно добавить один HTTP-прокси после цепочки узлов Tor. Чтобы сделать это, нужно открыть файл конфигурации Privoxy Main Configuration и в строке forward-socks4a / 127.0.0.1:9050 . заменить точку в конце на адрес нужного прокси-сервера. Возможно ли удлинить цепочку Tor за счёт дополнительных прокси-серверов?

Также Privoxy можно настроить для обеспечения доступа к ресурсам Tor и I2P одновременно, добавив в файл настроек сразу после строки Tor forward .i2p localhost:4444. Кроме того, возможно совместить Tor и Privoxy с Hamachi, получив двойное шифрование и дополнительное скрытое туннелирование. Для этого нужно отредактировать файл конфигурации Privoxy изменив его параметр listen-address HAMACHI_IP:8118 в соответствии с выданным Hamachi IP-адресом. Какова цена анонимности в Сети

Существует способ настроить файлообменную сеть WASTE для работы со скрытыми сервисами Tor.

Ограничения системы[править]

Tor предназначен для сокрытия факта связи между клиентом и сервером, однако он принципиально не может обеспечить полное закрытие передаваемых данных, поскольку шифрование является лишь средством достижения анонимности. Также Tor не может гарантировать полную анонимность клиента, поскольку решает более узкую задачу. Кроме того, Tor работает только по протоколу SOCKS, поддерживаемый не всеми приложениями, через которые может понадобиться вести анонимную деятельность. Для приложений, не поддерживающих протокол SOCKS эта проблема решается использованием специальных программ, например Freecap или SocksCap.

Как и все анонимные сети с низким временем ожидания, Tor уязвим к анализу трафика со стороны атакующих, которым доступны для прослушивания оба конца соединения пользователя. Разумеется, это относится к любым, не защищенным дополнительно, транзакциям в интернете. Если требуется высокая анонимность, а время ожидания не важно, следует использовать анонимную сеть с высоким временем ожидания, например, Mixminion.

Уязвимости[править]

Против Tor могут быть использованы атаки пересечения. Атака пересечения базируется на данных о моментах и продолжительности сеансов связи узлов сети. Для успешности такой атаки необходима возможность анализа трафика в глобальных масштабах, тайминг-атаки. Тайминг-атака заключается в поиске и анализе повторяющихся паттернов в частоте отправки данных. Методы защиты от тайминг-атаки включают внесение переменных задержек в характер информационного обмена, перемешивание и объединение сообщений, а также пересылку их блоками фиксированного размера, а также «метод грубой силы». Атакой «brute force» в данном случае называют действия могущественной третьей стороны способной прослушивать сетевой трафик в глобальных масштабах, направленные на установление соответствия между пакетом и его отправителем. Некто со столь широкими возможностями может наводнить сеть огромным объемом данных и изучить корреляцию входного и выходного трафика сети.

Использование Tor как шлюза на пути к Всемирной сети позволяет защитить права пользователей из стран с интернет-цензурой лишь на некоторое время, ведь такой стране достаточно заблокировать доступ даже не ко всем серверам сети Tor, а только к трём центральным серверам каталогов. В этом случае энтузиастам рекомендуется настроить у себя бриджи Tor, которые позволят заблокированным пользователям получить к нему доступ.

Установка Tor Bridge[править]

На официальном сайте проекта любой пользователь всегда может найти актуальный список бриджей для своей сети. В случае, если он также заблокирован, можно подписаться на официальную рассылку Tor, отправив письмо с темой «get bridges» на E-Mail bridges@torproject.org или использовать специальный плагин для WordPress, который позволяет постоянно генерировать картинку-CAPTCHA с адресами бриджей.

Сетевой безопасности пользователей Tor угрожает практическая возможность корреляции анонимного и неанонимного трафика, так как все TCP-соединения мультиплексируются в один канал. В качестве контрмеры здесь целесообразно поддерживать несколько параллельно работающих экземпляров процесса Tor.

Профессор Angelos Keromytis из отделения компьютерных наук Колумбийского университета в своем докладе «Simulating a Global Passive Adversary for Attacking Tor-like Anonymity Systems», представленном на конференции Security and Privacy Day and Stony Brook, описал новый способ атаки на сеть Tor.

По его мнению, не полностью глобальный наблюдатель (GPA) может осуществлять наблюдение из любого участка сети с использованием новой технологии изучения трафика LinkWidth, который позволяет измерять пропускную способность участков сети без кооперации с точками обмена трафиком, недосягаемыми напрямую маршрутизаторами и без сотрудничества с интернет-провайдерами. При помощи модулирования пропускной способности анонимного соединения с сервером или маршрутизатором, находящимся вне прямого контроля, исследователям удалось наблюдать получающиеся флуктуации трафика, распространяющиеся по всей сети Tor до конечного пользователя. Эта техника использует один из главных критериев сети Tor — обмен GPA-устойчивости на высокую пропускную способность и малые задержки сети.

Новая техника не требует никакой компрометации Tor-узлов или принуждения к сотрудничеству конечного сервера. Даже наблюдатель с малыми ресурсами, имеющий доступ всего к двум точкам перехвата трафика в сети может вычислить реальный IP-адрес пользователя в большинстве случаев. Более того, высокооснащённый пассивный наблюдатель, используя топологическую карту сети Tor может вычислить обратный путь до любого пользователя за 20 минут. Также исследователи утверждают, что можно вычислить IP-адрес скрытого Tor-сервиса за 120 минут.

Однако, подобная атака возможна лишь в лабораторных условиях, так как может быть эффективно проведена только против участников сети, скачивающих большие файлы на высокой скорости через близкие друг к другу узлы при условии компрометации выходящего, что весьма далеко от реальной работы Tor. Для защиты от потенциальных атак подобного рода рекомендуется не перегружать сеть.

В Tor неоднократно обнаруживались баги, способные разрушить анонимность пользователя, но благодаря открытости проекта они достаточно оперативно устраняются.

Угрозы безопасности[править]

Следует помнить, что один из узлов цепочки Tor вполне может оказаться злонамеренным. Также по той или иной причине враждебные к клиенту действия может совершать сайт — от попыток выяснить настоящий адрес клиента до «отбивания» его сообщения.

Просмотр и модификация сообщения[править]

На последнем узле цепочки Tor исходное сообщение от клиента окончательно расшифровывается для передачи его серверу в первоначальном виде. Соответственно:

  • Первый узел цепочки знает настоящий адрес клиента;Защититься от компрометации в таком случае помогает возможность выбора в Tor входного и выходного узла.
  • Последний узел цепочки видит исходное сообщение от клиента, хотя и не знает истинного отправителя;
  • Сервер-адресат видит исходное сообщение от клиента, хотя и не знает истинного отправителя;
  • Все интернет-шлюзы на пути от последнего узла сети Tor до сервера-адресата видят исходное сообщение от клиента, хотя и не знают адреса истинного отправителя.

Раскрытие отправителя[править]

При работе с сетью Tor к сообщениям пользователя может добавляться техническая информация, полностью либо частично раскрывающая отправителя.

  • Техническая информация о прохождении пакетов, их адресатах и получателях может оставляться некорректно настроенными, либо злоумышленными узлами сети Tor;
  • Техническая информация об адресе сервера-получателя может выдаваться клиентом путем DNS-запросов к своему DNS-серверу, легко перехватываемых провайдером. Решением этой проблемы будет настройка разрешения имен через сеть Tor. Например, при помощи перенаправления портов, либо использованием виртуальной машины JanusVM или фильтрующего прокси-сервера Privoxy, которые при верных настройках принудительно заворачивают в себя весь трафик, либо блокирование файрволом доступа Tor к DNS путем запрета исходящих соединений на удаленный порт 53. Если запустить сервер Tor после запрета на передачу имен DNS, то он не сможет работать в качестве выходящего, независимо от заданных ему настроек или использование сторонних DNS-серверов, таких как OpenDNS. Если запустить Tor при использовании openDNS, то становится невозможным поднятие сервера этой сети, так как openDNS начинает выдавать ему ложные адреса.
  • Сервером может запрашиваться, а клиентом выдаваться техническая информация об адресе клиента и конфигурации его операционной системы и браузера. Запрос может идти как через исполнение в браузере сценариев языка JavaScript и Java, так и другими способами. Эта проблема может быть решена отключением в браузере соответствующих сценариев и языков, а также использованием фильтрующих прокси-серверов, таких как Polipo, Privoxy и Proxomitron.

Другие угрозы безопасности[править]

  • На пути от последнего узла сети Tor до сервера назначения, сообщение (идущее в открытом виде) может быть модифицировано;
  • На пути от последнего узла сети Tor до сервера назначения, существует возможность кражи пользовательских реквизитов доступа к серверу, например, логина и пароля, cookie либо сеанса связи;
  • Сервер может отклонить сообщение с адресом отправителя узла сети Tor. Tor blacklist — список блокирования Tor для веб-сервера Apache. Так поступают многие серверы для защиты от спама, анонимного вандализма и по другим причинам. В частности, так поступает Википедия, Google, Linux.org.ru и некоторые корпорации.

Критика Tor[править]

Наиболее часто звучащими обвинениями в адрес сети Tor является возможность ее широкого использования в преступных целях. Но в реальности компьютерные преступники гораздо чаще используют для этого средства собственного изготовления, будь то взломанные прокси-серверы, ботнеты, spyware или троянские программы. Часто задаваемые вопросы (FAQ) по злоупотреблению сетью Tor

См. также[править]

Ссылки[править]

Материалы по установке и настройке
Официальные дистрибутивы и версии Tor
Программные и аппаратные сборки, использующие Tor
  • Torminator — Tor+Vidalia}+Proxomitron+Freecap (статья+сборка)
  • Portable Anonymous mIRC — mIRC+Tor+Blowfish+OpenSSL
  • TorProxy — версия Tor для Android.
  • TorDNS — альтернативный DNS-сервер Tor для Windows.
  • JanusVM — VMware+Linux+Tor+Privoxy+Squid+OpenVPN
  • JanusPA — An inline hardware Privacy Adapter (развитие идей JanusVM в аппаратном виде).
  • TorVM — альтернатива JanusVM.
  • TorK — Anonymity Online — многофункциональный менеджер Tor для KDE, поддерживающий Firefox, Opera, Konqueror, Pidgin, Kopete, SSH, IRC и Mixminion.
Специализированные ОС
  • ELE — Damn Small Linux+Dillo+Tor+Privoxy+Scroogle (LiveCD)
  • Phantomix — LiveCD-дистрибутив, предназначенный для анонимного пользования интернетом с помощью Tor и Privoxy.
  • Privatix LiveCD/USB — Debian+Tor+Firefox+Torbutton
  • ROCKate — LiveCD-ОС на основе ROCK Linux.
Скрытые сервисы Tor (Для соединения необходим запущенный Tor с настроенным на него браузером)
Техподдержка Tor
Разное
Источник — http://wiki.ilita.i2p/index.php?title=Tor&oldid=2168