Установка TOR Сервера на FreeBSD / Linux / *NIX системах.

Discussion in 'Безопасность и Анонимность' started by kodzero, 27 Jun 2009.

  1. kodzero

    kodzero Banned

    Joined:
    11 May 2009
    Messages:
    42
    Likes Received:
    27
    Reputations:
    0
    Установка TOR Сервера на FreeBSD / Linux / *NIX системах.

    *** МНЕ ЧТОЛИ ВАМ РАСКАЗЫВАТЬ ЗАЧЕМ НУЖНА БЕЗОПАСНОСТЬ ? ))))))))
    Последние веяния в законах и технологиях угрожают анонимности как никогда раньше, убивая на корню возможность свободно читать и писать в Сети. Это также угрожает национальной безопасности и инфраструктуре, так как связь между индивидами, организациями, корпорациями, и государствами становится более подверженной анализу. Каждый новый пользователь и сервер добавляют разнообразия, укрепляя способность Tor'а вернуть контроль над приватностью и безопасностью в Ваши руки.


    Зачем это нужно ?
    Нет, я благотворительностью не имею привычки заниматься. Порой нету возможности платить за VPN канал, ну вот есть такой ход. Все на взаимовыгодных условиях, а именно мне нужен левый, бесперебойный исходящий трафик, других людей. Это делается , чтобы потеряться в нем. Если будут сниффирить на предмет чем именно занимаюсь я, в этой каше будет не реально понять, кто именно я.
    Пожалуй – это сама лучшая и большая система приватности, из бесплатных на данный момент. Ко мне входит в сервер шифрованный трафик клиентов ТОR, а выходит из меня уже в открытом виде. Клиентов очень много , в данный момент активно 1187 , я поставил пропускную способность сервера на 2,6 Mb на входящий и исходящий. Иногда из вне, когда сижу не из дома, я подключаюсь к этому же серверу на котором весит TOR, но по VPN(mpd5) и следовательно весь мой трафик снова теряется во всей этой бесперебойной клиентской TOR каше.
    Тест серверной части TORa на Windows 7 прошел на ура. Тестировался трое суток, я доволен. Ресурсов есть мало и роботе в сети не мешает. Вот переношу серверную часть TORа к себе на сервер FreeBSD 7.1 , чтобы левый - клиентский трафик шел беспрерывно, даже когда моя пользовательская машина выключена. )))
    Инструкция сгодится и для новичка, главное не торопиться и все делать по порядку.


    1) Первым делом, обновим порты, чтобы все прошло без кривизны и гладко.
    Я предпочитаю cvsup , вместо нового portsnap.
    http://www.lissyara.su/?id=1012

    После апгрейда приступим к установки TORa.

    2)
    #cd /usr/ports/security/tor
    #make install clean


    3)Сервер установлен.
    Приступим к его настройке.
    Отредактируем конфигурационный файл, где укажем ваше имя, почту, на каких портах он весит на вашем сервере и по каким портам можно ходить клиентам.

    #cd usr/local/etc/tor/
    #ee torrc



    SocksPort 9050 # what port to open for local application connections
    SocksListenAddress 127.0.0.1 # accept connections only from localhost
    #SocksPolicy accept 10.44.111.0/16
    #SocksPolicy reject *
    #Log notice file /usr/local/var/log/tor/notices.log
    #Log debug file /usr/local/var/log/tor/debug.log
    #RunAsDaemon 1
    #DataDirectory /usr/local/var/lib/tor
    #HiddenServiceDir /usr/local/var/lib/tor/hidden_service/
    #HiddenServicePort 80 127.0.0.1:80
    #HiddenServiceDir /usr/local/var/lib/tor/other_hidden_service/
    #HiddenServicePort 80 127.0.0.1:80
    #HiddenServicePort 22 127.0.0.1:22
    #Address noname.example.com
    ContactInfo Random Person <YouName AT mail dot ru> # Укажите контактную информацию , как можно с вами связаться YourMail@mail.ru
    RelayBandwidthRate 1700 KBytes # Указываем максимальную скорость
    RelayBandwidthBurst 1700 KBytes # входящего и исходящего трафика.
    #ORPort 9001
    #ORListenAddress 0.0.0.0:9090
    DirPort 9030 # Здесь лучше указать 80 порт , если не будет мешать вашему веб серверу. Клиентов прибавится из офисов, кто юзает клиент TORa через проксю 80 порта.
    #DirListenAddress 0.0.0.0:9091
    MyFamily YourNickname # YourNickname – впишите имя вашего сервера.
    ExitPolicy accept *:6660-6667,reject *:* # Открываем irc, все другие порты запрещаем
    ExitPolicy accept *:6697 # IRC – Далее порты которые открыли.
    ExitPolicy accept *:21 # ftp
    ExitPolicy accept *:80 # web
    ExitPolicy accept *:81 # web
    ExitPolicy accept *:88 # web ssl
    ExitPolicy accept *:110 # mail
    ExitPolicy accept *:119 # accept nntp as well as default exit policy
    ExitPolicy accept *:143 # mail
    ExitPolicy accept *:443 # SSL
    ExitPolicy accept *:993 # mail
    ExitPolicy accept *:995 # mail
    ExitPolicy accept *:1863 # Messenger
    #ExitPolicy accept *:1935 # FLASH может раскрыть , истинный ИП клиента - закомментировал.
    ExitPolicy accept *:5190 # icq
    ExitPolicy accept *:5050 # Mess
    ExitPolicy accept *:5222 # Mess
    ExitPolicy accept *:7771 # Mess
    ExitPolicy accept *:8080 # web
    ExitPolicy accept *:8181 # web
    ExitPolicy accept *:8300 # Mess
    ExitPolicy accept *:8888 # web
    #ExitPolicy reject *:* # no exits allowed
    ORPort 443
    #BridgeRelay 1


    4) Открываем порты на фаерволе, если он стоит. В моем случае это был 443, 9030.

    5) Возможно понадобиться сделать вот это
    # echo "tor : ALL : allow" >> /etc/hosts.allow

    6) Обязательно выполним синхронизацию часов
    http://www.lissyara.su/?id=1260 У него там написан сервер “europe.pool.ntp.org”, найдите рабочие и замените, бывает не пашет.

    7) Убедитесь что работает разрешение имён (DNS) (то есть, ваш компьютер может правильно делать name resolving).

    8) Засовываем сервер в автозагрузку операционки, не знаю как в Linux ,поэтому не расписываю.

    9) Заполните "ContactInfo" ВЕРНО в torrc, чтобы могли связаться с вами если вашему серверу надо будет обновиться или случится что-то непредвиденное. Ну там где ваше мыло.

    10) Перезагружаемся. Смотрим, активен ли он.
    Если есть подозрение, что он не работает, убиваем процесс tor и запускаем с командной сроки.
    #tor

    11) Сервер в списке серверов появится не сразу, через часа 4, не паникуем )))
    И последние сохраняем ключики на ваше имя сервера, чтобы его не утерять. (хранится в "keys/secret_id_key" в DataDirectory). Этот ключ идентифицирует ваш сервер и вы должны держать его в безопасности, чтобы никто не мог расшифровать трафик, идущий через ваш сервер.


    Если вам этой инструкции, недостаточно и вы хотите вникнуть в тонкости настройки сервера и его оптимизации, то вам сюда http://www.torproject.org/docs/tor-doc-relay.html.ru.


    Удачи.
     
    #1 kodzero, 27 Jun 2009
    Last edited: 27 Jun 2009
    2 people like this.
  2. DDoSька

    DDoSька Elder - Старейшина

    Joined:
    5 May 2008
    Messages:
    320
    Likes Received:
    356
    Reputations:
    18
    tor не актуален ИМХО. А так статья норм !
     
  3. kodzero

    kodzero Banned

    Joined:
    11 May 2009
    Messages:
    42
    Likes Received:
    27
    Reputations:
    0
    )))))))))))
    Да , а что же тогда актуально ?
    VPN , где третьи лица ? Если будет запрос они же тебя сдадут с потрохами.
    Иди на какой нибудь германский, французкий, швеский или американский форум с айти специалистами и скажи, что ТОР лажа ))))). Английски ресурсы тоже надо посещать.
    Изучив весь материал , с уверенностью скажу , что на данный момент - это лучшая защита без финансовых вложений.
    Рекомендую изучить.
    Сюда глянь. http://www.torproject.org/overview.html.ru
    Это вообще-то кстати военная разработка, а не какое-то там хухры мухры типа института Беркли. Так сложилось , что рассекретили , видимо в своих же интересах.
    Просто я диву даю , что у нас еще не ВПЕРЛИ , что это за подгон.
     
  4. zen-zen

    zen-zen New Member

    Joined:
    29 Jun 2008
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    норм статья... но ведь в манах всё досконально объяснено что да как и почему ))
    Имхо пустая трата времени
     
  5. Lilo

    Lilo Banned

    Joined:
    10 Mar 2009
    Messages:
    472
    Likes Received:
    780
    Reputations:
    313
    пробовал тор, не катит он(
     
  6. wlan

    wlan Member

    Joined:
    19 Jun 2009
    Messages:
    37
    Likes Received:
    5
    Reputations:
    0
    ребята, а как настроить асечку, статью не напишете?
     
  7. спрут

    спрут Elder - Старейшина

    Joined:
    12 Sep 2008
    Messages:
    47
    Likes Received:
    7
    Reputations:
    2
    под хр http://sourceforge.net/projects/portabletor
    в асе прописываешь 127.0.01:8118
     
  8. kodzero

    kodzero Banned

    Joined:
    11 May 2009
    Messages:
    42
    Likes Received:
    27
    Reputations:
    0
    Нужно просто понять принцип. – На какой локальный порт машины ТОР заворачивает трафик. Если вам тяжело рыться и осмыслить клиентские конфиги, то вы можете посмотреть в настройках FireFox на какие порты он заварачивает свой трафик. Как правило по у молчанию – это.
    HTTP - 127.0.0.1:8118
    SSL - 127.0.0.1:8118
    SOCKS – 127.0.0.1:9050
    Соответственно. Запускаем a) Privoxy b) Vidalia
    А далее в любой программе, где в настройках есть возможность указать прокси или сокс указываем эти локальные порты - 127.0.0.1:*.
    Если нет этой настройки , то можно через FreeCap запустить эту программу , опять же в натсройках ее указать эти локальные порты , куда заворачивается трафик - 127.0.0.1:*
    Теоритически можно завернуть все, начиная от ssh, кончая webmoney ))).
    Удачки . ;)
     
  9. kodzero

    kodzero Banned

    Joined:
    11 May 2009
    Messages:
    42
    Likes Received:
    27
    Reputations:
    0
    Применение TOR сервера на примере наглядной схемы.

    По тематической теме на одном форуме русского инетрнета был задан вопрос :
    Скрыть трафик от провайдера
    Возможно ли это?
    например анонимайзеры, прокси и т.д.

    Ответ:

    Анонимайзеры , прокси , соксы и даже https , читаются при нужде и запросе служб c помощью подготовленных специалистов без промедления.
    НО ТРАФ НЕ ШИФРУЕТСЯ И СПОКОЙНО НЮХАЕТСЯ В ЛОКАЛКЕ.


    Ладно вопрос о скрытии трафика от оператора , который вам предоставляет услуги связи .

    Расскажу лучший и самый безопасный вариант на примере города Санкт-Петербург с применением *nix сервера в одной квартире и студией в другой.
    Предположим у тебя есть квартира, где ты живешь. Ставишь туда сервер на *nix системе. Выбираешь провайдер на витой паре , потому что в локалке скорость 100 Mb в секунду, очень удобно.
    Как выбрать провайдер ? Очень просто , сейчас у всех подключение бесплатное , просишь всех протянуть тебе кабель в квартиру , смотришь у кого пинг чище до шлюза, тот лучше и взять. (Провайдеры быстро растут и апгрейт Цизок не поспевает за ростом абонов , от чего инет порой ужасно тормозит и девочек выкидывает из комнат, провайдер конечно не признается , что если пинг до шлюза хуже чем единица - то они ПОЛНЫЙ КАЛ.) Ну и у всех провайдеров в разных районах ситуация разная. Я в Питере выбрал Ниеншанс , Интерзет и Карбина оказались отстоем на сегодняшний день , но их кабель лежит про запаску, ситуация на их рынке быстро меняется. Да при заключении договора , говоришь. Я Александр Ржевский , паспорт забыл , а то вдруг потом через года 4 увидишь себя в базе типа телефонной, с точностью до хаты, наверника базы выйдут рано или поздно в народ и сдаются в ГОС службы.
    Во второй квартире проводим интернет этого же провайдера опять с забытым паспортом Наташи Ростовой. Делается чтобы попасть в одну локальную сетку со скоростью между этими квартирами на 100 Мb. В квартире , где сервер берем инет подороже, за полторы деревянных, чтобы в инете скорость была 20Mb в секунду , еще и безлимитка, а там где студия платим по мнимому 400 р. , чтобы просто была открыта локалка до сервера.
    1) Как настроить сервер с купленым выделенным внешним IP адресом.
    2) Как настроить Студийные машины.

    1)Сервер.
    а) Поднять на сервере VPN сервер для студийных машин , скорость то в локалке 100 Mb и пров не читает локальный трафик )))), а если кто-то попытается , хрен получится , VPN шифрование.
    Для того чтобы винда стандартным способом подключалась к VPN серверу , на *nix машине ставится MPD5 Сервер. Сервер настраиваем так , чтобы он не сохранял логи , откуда подключение. Все , технически хату не вычислить. Только отслежка и просмотр мобильных маячков ))))
    Ну и в студии скорость инета соответственно становиться 20Mb безлимитка. ))
    Заходим на ках форум (Только не вздумай в раздел кардеры лезть), ну что-то типа antichat.ru. Предлогаешь человекам 20 VPN аки на халяву, даешь только в личке и выделяешь им ширину канала 2 MB, чтобы не мешале работе студии . Что там 2 Mb для 20 выделенных ? .. )) Это так для хитрости и отвода глаз для прова , если начнут сканить какие порты открыты на сервере , а они отслеживают только инет траф и о существовании студии в локалке даже не подумают. Порт открыт , народ из вне ходит , ты же раздал халявные VPN, что они там делают пох, если не кардеры ничего страшного сделать не смогут, а про студию в локалке они даже не догадаются. ))
    б) Покупаем VPN , лучше брать сервера в странах с быстрым инетом (Германия , Швеция , Нидерланды) Ну и соответственно , где веб кам не доходен и его не палят.
    Покупаем ВПН клиент. Пробрасываем на данный канал все клиентские акки из студии. Получается Трафик из студии шифруется до сервера и потом шифруется дальше.
    Ну все шифрованый трафик из студии не прочитать ! Чем ты занимаешься не известно. Но все равно , все это не надежно. Ширина трафика , то большая , очень привлекает внимание , там же видео поток идет , но пров то это не знает. А ширина 20 разданых акков даже 1-10 не составляет от непонятной зашифрованой каши
    Если ГОС службы подадут запрос в ту страну , где твой VPN сервер(Пров видит куда ты стучишь до VPN сервера), все твои логи сольют без размышлений. Ни в каких странах провайдеры не будут сориться с желаниями и просьбами от ГОС служб. )))
    в) Заметаем следы !
    Что же делать ?
    Нужен реальный трафик , такой же большой , но левый . Как его сделать ?
    Нужно стать сервером !
    Можно повесить на сервере Socks или Proxy и выпустить это в сеть на халяву , опять ограничив ширину канала. предположим 5 MB , как ширина твоего VPN клиента от Недерланд ))
    НЕ ГОДИТСЯ ... Объясняю . Входящий и исходящий не шифруется и методом снифинга можно все разложить по полочкам и понять , что есть толстая кишка из непонятного трафа до Нидерланд.
    Тебе подойдет TOR сервер, вот ему и нужен внешний интернет IP адрес. У него трафик , также как и VPN разшифровать невозможно. Вот на него и вешаешь эти 5Mb в секунду и того на студию остается 20-5+2=13 MB ДоХЕРА!!!
    К тебе в сервер заходит зафаршированный трафик , клиентов TOR , а они выходят из сервера в расшифрованном на кучу страниц и кучу разных сетевых интернет портов.
    Следовательно трафик который из тебя выходит к тебе не имеет никакого отношения вообще. За два дня такое количество , сколько твоя студия потребляет за месяц. У админа провайдера , глаза выкатятся , прежде чем он поймет , что происходит и желание разбираться во всем этом отпадет сразу.

    Ты наверно спросишь , а как же юридическая подкованность в логически вытекающих вопросах с данной поставленной темы относительно не твоего трафика ? )))
    Зайди на antichat.ru , мой ник там kodzero , данная тема поднималась . Если почитаешь внимательно, то найдешь там . Мне второй раз лень писать.

    P.S. Статьи с конфигами по настройке сервера можно взять на сайте Лисяры - гуру по FreeBSD.

    2) Клиентские машины в студии на Windows линейке.
    Нужно сделать чтобы VPN всегда был поднят до сервера автоматом , как машинка включается и пре разрыве автоматом дозванивался, дабы модели не утруждались не нужными инструкциями.
    Программа winservice запихивает любую программу как службу.
    Программка VPNDialerSet контролирует постоянное подключение к VPN сервису.
    Просто VPN соединение мы не можем засунуть в службы, поэтому запускаем его через данную программку . Сама же программку оформляем через winservice , как службу автоматом стартующую с загрузкой винды.
    Комп включается , тут же автоматом поднимается VPN туннель до сервера в другой квартире , при разрыве , программка тут же востанавливает связь , ведь она активна как служба.

    Удачки


    P.S Наглядная схема данного счастья.


    По просьбам трудящихся , есть один наглядный комикс на расписаную схему )))

    http://lacktic.narod.ru/VPN.jpg


    Чтобы проще было понять смотреть по пути:
    Клиент -> Домашний сервер -> Провайдер -> Интернет.

    Пунктир красного оттенка на пути следования расшифровать не возможно - (VPN или TOR зашифрованый трафик)
    Пунктир синего оттенка не в зашифрованом виде , его подсовываем провайдеру .

    Если у прова взяли трафик на 20 MB безлимитки. Я бы разделил в соответствие
    5Mb на внешний VPN
    2 MB халявным VPN клиентам
    и Все остальное на TOR сервер. 13 Mb.
     
    #9 kodzero, 13 Aug 2009
    Last edited by a moderator: 19 Aug 2010
Loading...