انجمنهای فارسی اوبونتو
کمک و پشتیبانی => شبکه و سرویس دهندهها => نویسنده: { AliReaza } در 07 اردیبهشت 1394، 10:50 قظ
-
سلام
دوستان یه سوالی برام پیش اومده که چند وقته پیگیرشم.
فرض کنید در یک شرکت میخواهید EMail تان را بررسی کنید.
و یا برای استراحت در Internet بچرخید و ...
اما مدیر شبکه نتونه بفهمه شما چکار میکنید.
چون تا اونجا که میدونم و خودم هم امتحان کردم، هر کاری انجام بشه قابل مشاهده هست.
مثلا اگر شما نام کاربری و رمز عبور خود را برای ورود به یک سایت وارد نمایید،
می توان از طریق شبکه اطلاعات ارسال شده را مشاهده کرد.
این مورد را حتی با فندوق شکن هم امتحان کردم و اگر وقت برای رمزگشایی فندوق شکن بذارید میتوان به اطلاعات راحت دسترسی پیدا کرد.
اما دنبال راهی هستم که بدون نیاز به فندوق شکن هم بشه از لو رفتن اطلاعات جلوگیری کرد.
راهی هست؟
در مورد TOR چی؟ آیا استفاده از TOR میتونه در حفظ محرمانه ماندن اطلاعات و فعالیت ها کمکی کنه؟
-
فرض کنید در یک شرکت میخواهید EMail تان را بررسی کنید.
اگر سرویس پست الکترونیکی از SSL استفاده کنه، مثل جیمیل، گمان نمیکنم به راحتی بشه ترافیک رمزنگاری شده بین مرورگر و سرویس دهنده را شنود یا رمزگشایی کرد.
-
معمولا تو شرکت های دولتی یا خیلی حساس
ادمین شبکه اطلاعات رد و بدل شده کاربران اینترنت رو ذخیره میکنه شما میتونید از vpnopen یا sstp استفاده کنید
-
اگه پایگاهی که باهاش در ارتباط هستید از TLS استفاده کنه، محتوای مبادله شدهی شما قابل رمزگشایی نیست. همچنین اگه از TOR استفاده کنی، علاوه بر محتوا، مبدأ و مقصد ارتباط شما هم قابل ردیابی نیست
-
خیلی ممنون از توضیحاتتان
حالا اگر ارتباط معمولی باشد یا SSL و TLS نباشد چی؟
مثلا همین انجمن
-
این مسئله دقیقاً مثل حالتی هست که بخواهی به یک وایفای عمومی متصل بشی. اونجا هم خطر روبرویی با کلی Packet Sniffer که به صورت لحظهای میتونند ترافیک رو آنالیز کنند وجود داره. به گمانم تنها راهحل انتقال کل ترافیک از طریق یک تونل هست مثل استفاده از وی*پی*ان که اون هم بستگی داره بتونی استفاده کنی یا نه. شاید بهترین کار این باشه که دور اون اینترنت رو برای امور شخصی و حسابهای کاربری خط بکشی. ;D
-
خیلی ممنون از توضیحاتتان
حالا اگر ارتباط معمولی باشد یا SSL و TLS نباشد چی؟
مثلا همین انجمن
مسئله خیلی سادهست! شما یا خودت با سرور مورد نظرت امنیت رو برقرار میکنید که مثلا میشه همین تکنیکهای رمزنگاری و SSL و غیره... یا اینکه سرور شما چنین امنیتی رو نداره! در این صورت فقط میتونید بگید یه نفر دیگه که یه جای مطمئنتر (و یه اینترنت مطمئنتر) داره این تبادل ناامن رو انجام بده تا شانس لو رفتن بیاد پایین، اصطلاحا شما به یه وکیل یا همون Proxy نیاز دارید! که این تبادل دادهها رو از شبکهای که شما توش هستید و خیلی خطرناکه مثلا به یه جای امنتر (یا ظاهرا امنتر) مثل یه سرور توی آمریکا موکول کنه.
-
پس با این حساب بهترین کار استفاده از یک شبکه مجازی اختصاصی ( همون فندوق شکن ) با امنیت بالا هست.
که فقط در صورتی ممکن میشه که یک VPS تهیه کرد و ...
همچنین اگه از TOR استفاده کنی، علاوه بر محتوا، مبدأ و مقصد ارتباط شما هم قابل ردیابی نیست
منظور شما از " همچنین " در اینجا استفاده از TOR با فندوق شکن هست؟
من از این جمله شما فقط بخاطر کلمه " همچنین " دو برداشت دارم:
۱- اگه از TOR استفاده کنی، علاوه بر محتوا، مبدأ و مقصد ارتباط شما هم قابل ردیابی نیست
۲- اگه از TOR و فندوق شکن استفاده کنی، علاوه بر محتوا، مبدأ و مقصد ارتباط شما هم قابل ردیابی نیست
کدام گزینه صحیح است؟ ;D
-
کدام گزینه صحیح است؟ ;D
گزینه 1 :D
-
کدام گزینه صحیح است؟ ;D
گزینه 1 :D
;D ممنون
پس از این به بعد باید یک Flash Memory با Tails و TOR داشت. 8)
-
طبق گفته خود تور شما نمیتونید به خروجی ها تور اعتماد کنید یعنی ممکنه یکی از خروجی های تور دست کسی باشه که اقدام به اسنیف شما میکنه
چیز می ان هم همین حالت رو داره
برای ارتباط امن با اینترنت فقط استفاده از پر-ا-کسی ملاک نیست
مهمه که ارتباط با سایت یا پروتکل مورد نظر هم امن باشه یا نا امن
-
طبق گفته خود تور شما نمیتونید به خروجی ها تور اعتماد کنید یعنی ممکنه یکی از خروجی های تور دست کسی باشه که اقدام به اسنیف شما میکنه
چیز می ان هم همین حالت رو داره
برای ارتباط امن با اینترنت فقط استفاده از پر-ا-کسی ملاک نیست
مهمه که ارتباط با سایت یا پروتکل مورد نظر هم امن باشه یا نا امن
پس بحث رمزنگاری بسته ها چی میشه؟
یعنی هر ارتباطی در TOR به راحتی قابل بررسی و مشاهده هست؟
و اگر Protocol ارتباط امن نباشد، چی؟
چون همه سایت ها که نیاز به ارتباط امن ندارند. ( فقط باید کاربران سایت مراقب لو رفتن نام کاربری و رمز عبور باشند )
پس با این حساب تنها راه حل استفاده از VPS اختصاصی و درست کردن فندوق شکن اختصاصی هست.
-
ببینید تور در نهایت باید پکیت های شما رو برای سایت قابل درک و فهم کنه که این کار رو خروجی های تور انجام میدن
این صفحه رو مطالعه کن : https://tails.boum.org/doc/about/warning/index.en.html#index1h1
در کل بحث امنیت و ترافیک شبکه خیلی گستردست برای مثال چندی پیش آسیب پذیری در SSL پیدا شد که میتونست اطلاعات رمز نگاری شده رو باز کنه
همه سایت ها نیاز به ارتباط امن ندارن اما برای اینکه تو شبکه امن باشی باید ارتباط بین کلاینت سرور امن باشه که الان روش رایجش اس اس ال هست
-
ببینید تور در نهایت باید پکیت های شما رو برای سایت قابل درک و فهم کنه که این کار رو خروجی های تور انجام میدن
این صفحه رو مطالعه کن : https://tails.boum.org/doc/about/warning/index.en.html#index1h1
پس یا باید به خروجی اعتماد کرد یا باید VPS راه انداخت.
همه سایت ها نیاز به ارتباط امن ندارن اما برای اینکه تو شبکه امن باشی باید ارتباط بین کلاینت سرور امن باشه که الان روش رایجش اس اس ال هست
در مورد شبکه هم فکر کنم ارتباط با VPS به صورت رمزنگاری شده راه حل مناسبی باشه. (اگر نیست لطفا راهنماییم کنید)
در کل من فقط تبادل اطلاعاتم نیست که میخوام امن باشه. عملا میخوام کلا در شبکه پنهان باشم و قابل رد گیری نباشم.
مثلا همین انجمن. نمی خوام کسی در شبکه بتونه بفهمه که من به این انجمن اومدم.
-
ssh tunnel امنه
بستگی داره هدفت چی باشه
اومدن شما به این انجمن زیاد مهم نیست پس یه چیز پی ان pptp هم کفایت میکنه
اما مثلا خرابکاری تو یه شبکه مهم ممکنه نیاز باشه چندین بار pro-x-y تو p-r-ox-y لازم باشه
-
ssh tunnel امنه
تاحالا امتحان نکردم. ممنون بابت معرفی
بستگی داره هدفت چی باشه
اومدن شما به این انجمن زیاد مهم نیست پس یه چیز پی ان pptp هم کفایت میکنه
اما مثلا خرابکاری تو یه شبکه مهم ممکنه نیاز باشه چندین بار pro-x-y تو p-r-ox-y لازم باشه
فرض کنید در شرکتی که هستید، خیلی حساس هستند که شما چکار میکنید.
مثلا میگن شما حق ندارید از Internet شرکت برای بررسی EMail هاتون استفاده کنید.
و اگر خدای ناکرده ymail.com یا gmail.com را باز کنید، به شما اخطار می دهند.
یا مثلا ممکنه من بخوام یک Download حجم بالا انجام بدم. اما نتونند بفهمند که چی هست.
من می خوام کلا به هیچ طریقی نتونند بفهمند که من چکار میکنم.
نهایت اگر بخوان گیر بدن " چرا شما همش به فندوق شکن یا VPS وصل هستید؟ " منم راحت میگم بخاطر اینکه خیلی از Site هایی که میرم Filter هستند و....
یا حتی اگر بخوام خیلی عمومی تر کنم، فرض کنید من Wireless های اطراف را زدم و...
کلا می خوام یک ارتباط کاملا امن داشته باشم تا کسی نتونه حتی بفهمه من وارد چه سایت هایی میشم.
-
طبق گفته خود تور شما نمیتونید به خروجی ها تور اعتماد کنید یعنی ممکنه یکی از خروجی های تور دست کسی باشه که اقدام به اسنیف شما میکنه
درسته، ولی با توجّه به تصادفی بودن مسیر و عوض شدنش در هر چند دقیقه عملاً امکان اسنیف به صفر میرسه
-
طبق گفته خود تور شما نمیتونید به خروجی ها تور اعتماد کنید یعنی ممکنه یکی از خروجی های تور دست کسی باشه که اقدام به اسنیف شما میکنه
درسته، ولی با توجّه به تصادفی بودن مسیر و عوض شدنش در هر چند دقیقه عملاً امکان اسنیف به صفر میرسه
یه مدت خودم روی یه وی پی اس یه خروجی برای تور راه انداختم
به خوبی میشه اسنیف کرد و مشکلی نداره تنها مشکلش اینه که هیچ وقت نمیتونی یه هدف خاص رو نشونه بگیری و اطلاعات بدست اومده ممکنه به هیچ دردی نخورن
-
خیلی ممنون دوستان از توضیحاتتان
اما به طور کلی اگر به خروجی کاری نداشته باشیم، آیا میتونم با خیال راحت شرکت مورد مثال را دور بزنم و نگران نباشم؟
-
خیلی ممنون دوستان از توضیحاتتان
اما به طور کلی اگر به خروجی کاری نداشته باشیم، آیا میتونم با خیال راحت شرکت مورد مثال را دور بزنم و نگران نباشم؟
اگه صفحه دسکتاپ شما جلو چشمشون از راه دور نباشه فکر کنم بله :D
-
اگه صفحه دسکتاپ شما جلو چشمشون از راه دور نباشه فکر کنم بله :D
از نظر میزکار خیالم راحته، چون Laptop برای خودم هست.
از وقتی هم که شروع کردم با GNU/Linux کار کردن، همیشه یک Ubuntu USB Live همراهم هست و.... ;D
پس اگر برنامه برای Remote هم داشته باشند، نمی تونند استفاده کنند. 8)
مگر بخوان سخت افزاری این کارو انجام بدن، که فقط میتونند رو برای خودشون انجام بدن و به Laptop من کار ندارند. ;)
-
در مواردی که امنیت برای کاربر خیلی مهمه ، مثلا اتصال از راه دور به شبکه داخلی سازمان معمولا از تانلینگ ها PPTP , L2TP , SSTP و قابلیت های امنیتی اونا استفاده میشه که باز بنا به اهمیت موضوع متفاوته . اما اگه از یه قند شکن استفاده میکنید و محتوای شما توسط ادمین شبکه محلی قابل استیف هست یا به نرم افزارتون شک کنید یا به نصب بودن تروجان روی سیستمتون . در کل حملات man in the middle پیاده سازی خیلی ساده ای توی شبکه های نا امن معمول ما دارند . این مورد حتی سایت های SSL دار رو هم مورد حمله و نفوذ قرار میده .
-
در مواردی که امنیت برای کاربر خیلی مهمه ، مثلا اتصال از راه دور به شبکه داخلی سازمان معمولا از تانلینگ ها PPTP , L2TP , SSTP و قابلیت های امنیتی اونا استفاده میشه که باز بنا به اهمیت موضوع متفاوته .
در صورت امکان بیشتر توضیح بدید. شاید یه موقعه نیاز شد.
اما اگه از یه قند شکن استفاده میکنید و محتوای شما توسط ادمین شبکه محلی قابل استیف هست یا به نرم افزارتون شک کنید یا به نصب بودن تروجان روی سیستمتون . در کل حملات man in the middle پیاده سازی خیلی ساده ای توی شبکه های نا امن معمول ما دارند . این مورد حتی سایت های SSL دار رو هم مورد حمله و نفوذ قرار میده .
از نظر برنامه و Trojan و... خیالم راحته. چون همیشه از سیستم عامل های GNU/Linux استفاده میکنم، که خودم نصب و Config کرده باشم.
برای مثال همیشه یک Flash USB همراهم هست که Ubuntu, Kali Linux و چند ابزار کمکی دیگه در آن هست.
پس با این حساب به طور کلی:
اگر سیستم عامل و برنامه های نصب شده زیر نظر خودمان باشند و ارتباطات شبکه را رمزنگاری کنیم.
احتمال لو رفتن اطلاعات خیلی کمتر میشه.
-
طبق گفته خود تور شما نمیتونید به خروجی ها تور اعتماد کنید یعنی ممکنه یکی از خروجی های تور دست کسی باشه که اقدام به اسنیف شما میکنه
درسته، ولی با توجّه به تصادفی بودن مسیر و عوض شدنش در هر چند دقیقه عملاً امکان اسنیف به صفر میرسه
پس اگر مثلا nsa تمامی و یا اکثریت خروجی های تور رو شناسایی کنه و هک کنه و ترافیکش رو آنالیز کنه یعنی tor برای یه همچین نهاد قدرتمندی هیچی نیست و الکی دارن میگن که نمیتونیم شناسایی کنیم !
البته nsa برای کسی (مثل ما) تهدید نیست و بیشتر نگران حریم خصوصی چیز های ساده خودمون هستیم
شما میتونید یه سرور بگیرید کار های ایمن سازی رو روش بکنید امنیتش رو ببرید بالا که هک نشه فایروال خوب روش تنظیم کنید بعد به tor وصلش کنید و بعد ssh کنید روی پورت تور سرورتون ! سرعتش از این که خودتون tor استفاده کنید بالا تره و این کار ایمن ترین و سریع ترین کار ممکن هست
و البته میتونید خودتون هم اول به tor وصل بشید بعد به سرورتون وصل بشید از طریق tor که البته اینجوری با توجه به اینترنت ایران احتمال ناپایداری اتصالتون بییشتره و میتونید همین کار رو بار ها تکرار کنید مثلا 10-20 تا سرور در جاهای مختلف دنیا بگیرید و اینجوری به هم وصلش کنید ! که البته این چیز ها که میگم به درد سازمان های جاسوسی میخوره نه ما ولی خوب با هزینه میشه شبکه هایی ایجاد کرد که بشه گفت 99.999999 درصد در مقابل نهادی همچون nsa مقاوم هستن چه برسه به افراد دیگه !
البه شما خودت فقط از tor استفاده کنی کافی هست و مدیر شبکه شما نمیتونه چیزی گیر بیاره !
-
Tor یه شبکه ناشناخته هست و شناسایی تمام خروجی هاش چه برای nsa و چه برای هر سازمان دیگه ای امری غیر ممکن هست
شناسایی حملات Man In The Middle هم با trace کردن و در مواقعی که ssl هست با بررسی ارور ها قابل شناسایی هست
از نظر من امن ترین شبکه tor هست چرا که شما سرور اختصاصی هم بگیری باز میشه فهمید شما به سرور وصل شدی و اگه سرور یا روتر سرور یا دیتاسنتر هک شه ...
در اخر یه ایراد خیلی بزرگ هم به کار دوستمون ava هست ( اجرای تور روی یه سرور و وصل شدن به سرور ) در صورتی که این کار رو بکنید ارتباط بین شما و سرور امن نیست چون شما مستقیم وصل میشی و راحت تمام حرکاتتون قابل ردیابی هست
-
Tor یه شبکه ناشناخته هست و شناسایی تمام خروجی هاش چه برای nsa و چه برای هر سازمان دیگه ای امری غیر ممکن هست
شناسایی حملات Man In The Middle هم با trace کردن و در مواقعی که ssl هست با بررسی ارور ها قابل شناسایی هست
از نظر من امن ترین شبکه tor هست چرا که شما سرور اختصاصی هم بگیری باز میشه فهمید شما به سرور وصل شدی و اگه سرور یا روتر سرور یا دیتاسنتر هک شه ...
در اخر یه ایراد خیلی بزرگ هم به کار دوستمون ava هست ( اجرای تور روی یه سرور و وصل شدن به سرور ) در صورتی که این کار رو بکنید ارتباط بین شما و سرور امن نیست چون شما مستقیم وصل میشی و راحت تمام حرکاتتون قابل ردیابی هست
اتفاقا اشتباه میکنید
وصل شدن به سرور پراکسی که از تور استفاده میکنه هیچ فرقی با خود تور نداره
اول آخر اطلاعاتی که برای من میاد از یک جایی میاد و قابل مشاهده هست(البته رمز شده هست) و چه به تور وصل بشم و چه روشی که من انجام میدم هیچ فرقی نداره
شبکه ای که من میسازم پیچیده تر از تور هست و در نتیجه ایمن تر هست
وصل شدن خودت به تور
وصل شدن به سروری که به تور وصله
و میتونی حتی اون سرور رو هم به سرور دیگری وصل کنی که به تور وصله
و تا 4-5 بار همچین کاری بکنی شبکه ای به غایت پیچیده ایجاد میشه در واقع اتصالات تور رو چندین برابر میکنیم و ترک کردنش 5-6 برابر سخت تر از ترک کردن تور معمولی که شما میگید میشه
-
متوجه عرض بنده نشدين
در صورتى كه روى سيستمون به تور وصل بشيد و سپس به سرورى كه ساختين حرفتون صحيحه
اما زمانى كه شما فقط توى لروكسى فايرفاكس يا پروكسى فاير يا هر ابزار ديگه ميزنين 127.0.0200:9150 ابتدا شما به طور نا امن و كاملا بدون هيچ رمزنگارى به سرور وصل ميشين و سپس از سرور اطلاعات به سرور تور فرستاده ميشه و برگشت هم به همين شكله
ميتونين با wireshark تست كنين و ترافيكتون رو مشاهده كنين
ارتباط شما به سرور كاملا نا امنه