Vlákno názorů k článku Bezpečný Tor klient ve virtualizovaném prostředí od Honza77 - Nevím, zda jsem přesně pochopil princip, ale pokud...
-
Honza77 (neregistrovaný)
Nevím, zda jsem přesně pochopil princip, ale pokud bude mít virtuální počítač možnost posílání DNS dotazů na přímo (nikoli přes TOR), tak v kompromitovaném virtuálním počítači stačí provést nějaký unikátní DNS dotaz a ten se dostane spolu s reálnou IP adresou mimo bezpečnou zónu. Nebo se pletu?
-
Jenda (neregistrovaný)
Nedělají se v článku DNS dotazy taky přes Tor?
Btw. ještě lepší mi přijde úplně eliminovat potřebu SOCKS proxy - virtualizovaný počítač pak nepotřebuje vůbec žádná nastavení. Pokud se nepletu, mělo by to být popsáno v https://trac.torproject.org/projects/tor/wiki/doc/TransparentProxy#LocalRedirectionandAnonymizingMiddlebox
-
Pali (neregistrovaný)
Tor daemon vie otvorit nejaky port a na nom bude pocuvat dns poziadavky.
Da sa este na to cele pouzit nastroj badvpn-tun2socks https://code.google.com/p/badvpn/wiki/tun2socks. Na jednej strane vystupuje ako router nad tun interfacom a na druhej sa pripoji na socks proxy. Teda je mozne pomocou normalneho linuxoveho routovania pouzit socks proxy v systeme. Na stranke badvpn projektu sa ale pise ze sa neda pouzit s torom, kedze nie je mozne zistit s akymi servermi je tor daemon spojeny a nastavit pre ne staticke routy ktore pojdu mimo tun2socks. To ale nie je pravda, ide to celkom pekne cez iptables a iproute2 a oznacovania packetov ktore odchadzaju/prichadzaju uzivatelovi ktory spustil tor daemon.
Je sice pravda, ze z virtualu sa aj nakazeny firefox dozvie menej, ale je to trochu neprakticke spustat virtual a v nom firefox na browsovanie. Ak je ale zabezpecenie kernelu dostatocne dobre da sa pouzit podla mna aj vyssie uvedene riesenie, ktore nastavi defaultnu routu rovno na tor. Takze kadza aplikacia pojde tiez iba cez tor. A kazda aplikacia, ktora nema prava na zistenie a menenie routovacich tabuliek, tak nesposobi ziadne problemy.
-
Tor umí z DNS resolvovat jen A a IPv4 PTR záznamy (protože jen to je implementováno v jeho evdns interface). Pozn.: některé části IPv6 implementace jsou už ve větvi 0.2.4.x dokončeny, tato větev se brzo bude "stable".
Spojení přes SOCKS5 proxy fungují tak, že se přes SOCKS rozkáže "připoj se k hostu abla.ble.blu nebo whatever.onion". Tor klient nikdy nevidí, jakou zkutečnou adresu má cílový host, ke kterému se připojuje, jen dostane otevřený tunel.
Proto pozor např. na SRV dotazy z XMPP klienta a jiné "neobvyklé dotazy". "Plné" DNS lze řešit kombinací Tor tunelu na otevřený resolver via tcp (socat+unbound).
-
r0b0 (neregistrovaný)
Ano, presne tak, je to vazna bezpecnostna slabina. Da sa to vyriesit ale velmi jednoducho - firefox sa da nastavit tak, aby aj DNS resolovval cez socks proxy - staci v about:config nastavit network.proxy.socks_remote_dns na true.
Podobne je slabinou aj ignorovanie IPv6 (ako uz stihol poznamenat kolega nizsie). Tam je tiez niekolko jednoduchych rieseni.
-
Ondřej CaletkaZlatý podporovatelStačí si pořádně přečíst článek. Jako DNS resolver slouží Tor, čili DNS dotazy do internetu neunikají. IPv6 by možná stálo za to také firewallem zcela zaříznout, ale pokud hostitelský počítač neroutuje a/nebo neběží na něm serverové služby, tak to žádné riziko taky nepředstavuje.
ČLÁNKY DO MAILU