שְׁאֵלָה:
מהם החסרונות של טור?
root
2013-03-08 09:00:55 UTC
view on stackexchange narkive permalink

רק התחלתי להשתמש ב- Tor לאחרונה, ואני לא בטוח בדיוק אילו בעיות אבטחה כוללות את היתרונות.

ממה אני צריך / לא צריך לדאוג (בשני הרגילים היומיומיים- שימוש בגלישה באינטרנט, בביקור בשירותים מוסתרים, ובהפעלה משלי)?

- קצת רקע לשאלה זו; מה שהניע זאת במיוחד -

אני מתכנן להעלות לאוויר עם אתר אינטרנט מחוספס לשימוש אישי / מקצועי בשבועות הקרובים, ואני רוצה שהוא יהיה מוגן היטב, אך באותה מידה זמן שניתן לנהל מרחוק.

אני כן מתכנן להקשיח את שרת האינטרנט (ולהשתמש בסיסמת SSH חזקה, להתחבר לחשבון עם כמה שפחות הרשאות וכו '), אבל אין לי מושג בין אם ביצוע ניהול SSH באופן בלעדי על Tor יהיה רמה שימושית של כיוון שגוי, או שפשוט יפתח אותי לתשומת לב בלתי רצויה אולי מצד אנשים שעוקבים אחר רשת Tor. אנונימיות 'נכונה. אני מניח שעלי לנסח מחדש את החלק האחרון: לפי מה שקראתי נראה שלא אצטרך להגדיר את הנתב שלי כדי להעביר את כל הבקשות ליציאת SSH אם הייתי מעמיד SSH לזמין רק דרך Tor. אם זה המקרה, פירוש הדבר שפחות אנשים יוכלו לגשת לנמל, מכיוון שפחות היו מודעים לכך, ויהיה קל יותר לראות אי סדרים ביומני השרת. זה נועד יותר להגנה מעמיקה ולהקל על התחזוקה מכל דבר אחר. עם זאת, מכיוון שאיני בטוח מה החסרונות, אני מבקש להבהיר שאלה זו.

חסרון אחד ענק של טור הוא רוחב הפס. כל מי שמשתמש בטור למספר דקות יראה שהוא איטי ביותר, בגלל כמה סיבות.
שמתי לב לזה - אבל עבור מפגש SSH לטקסט בלבד זה לא צריך להיות יותר מדי בעיה.
אז אתה מציע להגביל את הכניסה ל- SSH כדי לאפשר זאת רק מטור? אני לא ממש בטוח איך היית מיישם את זה, אבל גם אם זה אפשרי מה הטעם? זה יהיה הרבה יותר טוב / פשוט יותר להגביל את הכניסה ל- SSH לכתובות ה- IP שלך. כמו כן, מכיוון שכל אחד יכול להשתמש ב- Tor, אתה לא באמת מגביל אנשים לגשת אליו - אלא מסתיר אותו מעט
אני עדיין לא מקבל את מה שאתה מרוויח מ- TOR. האם קנית את השרת באופן אנונימי אז אתה רוצה לגשת אליו באופן אנונימי? אתה לא צריך לשלוח מידע מאישיות שונות דרך מעגל TOR יחיד. אחרת אפשר לראות שאותו אדם הוא הבעלים של השרת הזה, וביצע פעילויות אחרות שאינך רוצה שיקושרו אליהן.
שום קשר לאנונימיות. והיתרון שאני רוצה להשיג רק משיק נוגע לביטחון. אני מזהה שזה אנונימיזציה. שאלתי לגבי חסרונות ביטחוניים, מכיוון שאני כבר מודע לכך שאין באמת יתרונות ביטחוניים. למרבה המזל, התשובות היו מועילות.
אם אתה מחשיב את העובדה שהנמען המיועד שלך לא יידע את כתובתך כיתרון ביטחוני, זה נכון.אם אתה מחשיב את העובדה שיריב אדיר מספיק יכול להבחין בכך שאתה מעסיק שליח ומכאן אתה משער שאולי תצטרך להחביא את סודי התקשורת שלך מסיבות שהיריב לא אוהב להיות חסרון ביטחוני, זה נכון גם לצערי.טענתי בהזדמנויות מגוונות כי העסקת משוברים יכולה למשוך תשומת לב מיוחדת של הסוכנויות המנהלות מעקב אוניברסלי.(ראה למשל חלק 4 של s13.zetaboads.com/Crypto/topic/7234475/1/)
ארבע תשובות:
CodesInChaos
2013-03-08 14:05:55 UTC
view on stackexchange narkive permalink

  1. ביצועים מבאסים

    זה טוב יותר מלפני כמה שנים, אבל עדיין לא נהדר.

  2. אנונימיזציה של זמן אחזור נמוך נוטה לניתוח תנועה.

    בפרט אם מישהו יכול לצפות בתנועה שלך ובתעבורת היעד שלך, הוא יכול לתאם את זה.

    משובצים אנונימיים אנונימיים נמנעים מבעיה זו על ידי הוספת עיכובים ארוכים יותר, אך אינך יכול להשתמש בהם ליישומים אינטראקטיביים, כגון גלישה באינטרנט.

  3. צמתי יציאה רואים את התנועה שלך. בפשטות

    אם אינך משתמש בפרוטוקול מאובטח על גבי Tor, צומת היציאה יכול לרחרח את הסיסמאות שלך וכו '. באמצעות SSL או SSH אתה אמור להיות בסדר, אבל להיות הקפד לאמת את האישור / טביעות האצבעות .

    זה לא חל על שימוש בשירותים מוסתרים, מכיוון שאין צומת יציאה והתקפות MitM מונעות על ידי טביעת האצבע בתחום. אך היזהר כי אתה ניגש לדומיין הנכון, הם די קשים לשינון / אימות.

גרסה מעניינת אחת היא התחברות ל- VPN דרך Tor . זה עוזר עם 3), בתנאי שאתה סומך על ה- VPN, אבל אתה צריך להבין דרך לקנות גישה ל- VPN באופן אנונימי.

VPN דרך TOR. ? אתה לא חושב שזה כמידת יתר בהתחשב בכך שאין סיכון ניכר שהוא משתמש ב- ssh בלבד? אני חושב שזה כאן שבו צריך להיות מודאג או לשאול ** אם כמה אבטחה באמת מספיקה ** ** aka "רמת אבטחה מקובלת **
@asadz אם אתה משתמש רק ב- SSH, אז זה לא ממש הכרחי מאחר ו- SSH מספק אבטחה. אבל אם אתה גולש באינטרנט, השימוש בצמתי יציאה מסוג TOR לא מהימן הוא לא כל כך נחמד. VPN בלבד תקין למשתמשים רגילים, אבל אני לא סומך על האנונימיות של VPN טיפוסי. VPN באמצעות TOR הוא מה שהייתי משתמש בו אם הייתי עושה משהו לא חוקי ברצינות, כמו פריצה לאתרים של אנשים אחרים.
בהקשר של שאלה זו, אני לא חושב שהוא מתכנן לעשות חוקי עם האתר שהוא מנהל בעצמו. הוא רק רוצה מינהל מרחוק, שעבורו חשבתי ש- SS מספקת הגנה מספקת. כאשר ה- VPN שלו דרך TOR כמו אבטחה מוגנת, זה מקשה גם על חקירת אבטחה, בהתחשב בעיצוב אבטחה טוב צריך להגדיר רמות אמון מתאימות ולהתאים את תגובת האבטחה / בקרות כראוי.
כשאתה שם יותר מדי אבטחה באמצע, אתה מגדיל את הסיכון לתנועה זדונית מתחנת הקצה שלא תתגלה דרך הלולאה ההדוקה הזו. זהו כלל כללי כאשר התנועה עוברת מאמון גבוה יותר לאמון נמוך יותר, יש להעריך את אופי ההגנה הניתן בשני קצותיו והאם היא תואמת את רמת סיווג הנתונים שהיא נושאת איתה.
אני מסכים עם @CodesInChaos כאן. העניין הוא ש * נקודת הקצה * של רשת Tor אינה מהימנה בעצם בעת שימוש בצמתי יציאה, אך ממוקמת במצב מועדף (MitM פוטנציאלי), כך שפרוטוקולי SSH / VPN מספקים אבטחה מקצה לקצה שיכולה להגן עליך מפני וקטורי התקפה. מהצומת ההוא.
@Polynomial גם פשרה מקצה לקצה אם שני הקצוות נפרצים.
@asadz לא, אם קצה השרת נפגע זה לא אומר שגם קצה הלקוח יהיה. אם קצה הלקוח נפגע, יש לך בעיות גדולות יותר, וההתפשרות כנראה לא הייתה קשורה לשימוש ב- Tor או ב- VPN.
@Polynomial תודה על המשוב שלך. זה תלוי כיצד הכללים או המדיניות מכוסים בשני הצדדים כדי להבין את ההשפעה המלאה של איום כזה המתרחש. (למשל, חומת אש מלאה של המדינה מאפשרת חיבור הפוך אם יש זרימה של מדיניות / כלל. של אותו נכס / שירות / מכונה). כמו כן ל- VPN יש כמעט כל מה לעשות כאשר מתמודדים עם קוד זדוני שעובר דרך מנהרה מוצפנת. הרבה כבר דנו בנושא זה. אותו דבר נתמך במחקר המופיע בקישור זה. [קישור] (http://blog.malwarebytes.org/development/2012/04/anonymizing-traffic-for-your-vm/)
הצבת VPN אחרי Tor מפחיתה מאוד את האבטחה.VPN-> Tor זה בסדר, אבל Tor-> VPN הוא מתכון לאסון.התוצאה היא דליפת מחסנית הרשת שלך, מה שמאפשר לתוקפים לטביעת אצבעות כגון תצורת המערכת שלך, זמן פעילות וכו '. ** אל תשים VPN אחרי Tor. **
Thomas Pornin
2013-03-08 18:38:53 UTC
view on stackexchange narkive permalink

SSH רגיש מאוד לחביון, מכיוון שכל פעולת מקש בודדת מרמזת על הלוך-חזור לשרת. ביצוע SSH בקישור זמן אחזור גבוה הוא מתכון לרמות גבוהות של תסכולים. אני כבר מוצא יותר מ- 200 ms של חביון בלתי נסבל לאחר כמה דקות של SSH - עם Tor, תקבל הרבה יותר. נקודה זו בלבד תגרום לך להתחרט על שקילת Tor מספר פעמים ביום.

באשר ליתרונות האבטחה ... ובכן, השתמשת בביטויים "כיוון מוטעה" ו"פחות היו מודעים לכך ". זהו אבטחה באמצעות סתום, שאינו פופולרי במיוחד בחלקים אלה. צעדים כאלה אינם מביאים ביטחון רב באופן כללי (וגרוע מכך, אינם מביאים ל כימות אבטחה). הם ירתיעו תוקפים חובבים שאינם בקיאים או אינם בעלי מוטיבציה רבה; אבל תוקפי המטוגנים הקטנים האלה בכל מקרה לא היו מהווים איום גדול. הסכנה האמיתית טמונה בתוקפים חזקים ומוכשרים שיעשו מאמץ לחקור מעט את מטרתם, ולדוגמא למצוא את האבטחה הזו. הודעה SE שבה אתה טוען, במילים פשוטות, לגבי הגבלת הגישה למשתמשי Tor. . בכל מקרה, תוקפים מוכשרים ישתמשו בטור, ולו רק כדי להסתיר את עקבותיהם. לכן, ניתן לטעון מקרה לגבי לא הגבלת גישת SSH למשתמשי Tor, אלא להפך: חסום את גישת SSH מ- Tor.

אם אתה רוצה "כיוון לא נכון" רק כדי לשמור קבצי היומן שלך קטנים יותר, הגדר את שרת SSH ליציאה שונה מהסטנדרט 22. זו תהיה שגיאה חמורה להאמין שהיא מגבירה את האבטחה , אך היא תמנע מאלפי ניסיונות החיבור היומיים של botnet המנסים להרחיב את שטחם באופן אוטומטי בלבד; לפיכך, תשמור קבצי יומן רישום קטנים יותר ובהתאם תגדיל את הסיכויים שלך לאתר עסק דגים בקבצי היומן האמורים.

ליתר ביטחון, השתמש באימות מבוסס SSH ו / או בסיסמאות טובות ואקראיות מאוד.

למען האמת, זה חדש בעיניי;'' כל פעולת מקש בודדת מרמזת על הלוך-חזור לשרת '', אתה מתכוון שאם אני מקליד את שורת הפקודה: nmap -sS -Pn - top-ports 10 8.8.8.8, זה ייקח 33 הלוך-חזור לפניביצוע ?
scuzzy-delta
2013-03-08 09:41:37 UTC
view on stackexchange narkive permalink

אם אני מבין אותך נכון, המטרה שלך היא להשתמש ב- Tor כדי להגביר את האבטחה של ערוץ התקשורת בינך לבין שרת האינטרנט שלך?

המטרה העיקרית של Tor היא אנונימיות. זה לא מאבטח את ערוץ התקשורת בין צומת היציאה ליעד. שימוש נכון ב- SSH ( השתמש בביטוי סיסמה) אמור להיות יותר ממספיק.

הסיבה היחידה שתרצה להשתמש ב- Tor בתרחיש זה היא אם עליך להסתיר את העובדה ש אתה מנהל שרת מסוים. על סמך התיאור שלך, זה לא שיקול, אז פשוט השתמש ב- SSH.

הסיבה שביקשתי במקור, וחשבתי ליישם את הרעיון, היא שחיבור שירות נסתר לטור, ממה שקראתי, לא ידרוש ממני לשנות את תצורת הנתב שלי. לכן, אם אדם רגיל באינטרנט ינסה לבדוק פגיעות בכל יציאה בה אני משתמש עבור SSH בשרת, הנתב ימנע ממנו גישה. אם זה המקרה, פירוש הדבר שאצטרך לדאוג רק לקבוצת משנה של אנשים אפשריים שתוקפים את הנמל ההוא. פירוש הדבר גם לסרוק פחות ערכי יומן שרתים כדי לקבוע אם התקפה הצליחה.
אז אני מודע לכך שהמטרה המיועדת היא רק אנונימיות. אבל אם יש לו את היתרון הנוסף בכך שפחות אנשים יוכלו לגשת לנמל שאני משתמש בו עבור SSH, כל שכן טוב יותר. אני לא הולך לסמוך על זה כדי להפוך את השרת לבטוח, אבל אם אני מבין את מה שקראתי נכון זה אמור להקל על התחזוקה. פחות יציאות פתוחות לאינטרנט הרחב יותר. ואם אני לא מבין מה קראתי נכון, הייתי רוצה לדעת את זה לפני שאפרוס משהו. מכאן השאלה. אני מניח שהייתי צריך להיות ברור יותר לגבי זה ...
תיקון: * שלה *
Saladin
2013-03-08 11:51:55 UTC
view on stackexchange narkive permalink

האם בדקת חלופות אחרות? כמו VPN מבוסס אינטרנט? אם האתר האחר נמצא בשליטתך, אתה יכול לעשות זאת בקלות על ידי הגדרת מכשירי סינון נקודות הקצה שלך.

הגדרת ברירת מחדל של VPN מספקת ביטחון גבוה יותר מאשר TOR לצורך העניין.

אם אתה מחפש מנהל מרחוק, אני חושב שרוחב הפס בשבילך יהיה חשוב. אני חושב ש- TOR נותן לך עיכובים משתנים, בעוד ש- VPN זה עיכוב מדוד וקבוע, ולכן טוב יותר לביצועים.

אני מסכים עם ההמלצה להסתכל על רשתות VPN, למצב הספציפי שחווה הכרזה המקורית. אני לא מסכים עם ההצהרה הגורסת לפיה VPN מספק ביטחון גבוה יותר מ- Tor; לאנונימיות (שלא משנה כאן, אך היא המוטיבציה הסטנדרטית לשימוש ב- Tor), זה נראה מאוד לא סביר שזה נכון.
@D.W. תודה על ההערות. הבעיה כאן עם טור היא שיש יותר מדי בתמהיל; הענן כולו אינו בבעלותי, יש יותר צמתים ממסרים (יותר נקודות יירוט), ב- vpn הם רק שני הצמתים העיקריים (vpn site-site) וגם שירותי האבטחה הניתנים על ידי vpn שונים מ tor. ל- VPN יש בקרת גישה, חסוי, שלמות ואימות, ולכן אין השוואה בין תפוח לתפוח. טור מנצח על אנונימיות וזה משרת מטרה אחרת הוא גולש כמו לוחם התגנבות בשמיים פתוחים ללא גילוי.


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...