Реорганизация Диспетчерской службы такси

Закончен проект по переводу сервисов службы Такси в локальную облачную среду.
Было:
4 (четыре) старых сервера HP (лет по 8 каждому).
Серверы занимали арендуемую специально под это площадь, потребляли электроэнергию, грелись.
На каждом сервере была открыта боковая крышка и стоял настольный вентилятор.
На одном сервере стояло в довесок VmWare Workstation и на ней стоял в виде виртуальной машины ещё один сервер на котором крутился Такси-Мастер.
По списку серверов:
а) Такси-Мастер (виртуальная машина)
б) Контролер домена
в) Второй контролер домена + 1С 7.7
г) Сервер IP Phone Oktell
д) Microsoft TMG
Microsoft TMG заменили на Mikrotik стоимостью в 2000 (две тысячи) рублей. Как бонус появился Wi-Fi
Купили рабочую станцию, которая обошлась примерно в 22 000 (двадцать две тысячи) рублей.
На этой рабочей станции установили ESXi.
Все работающие системы (кроме Oktell), просто “на лету” перетащили в виртуальную среду.
Для Oktell в виртуальной среде установили новую серверную платформу.
Получили новую лицензию и запустили в работу.
Встала задача обеспечить удалённое рабочее место посредством RDP сессии.
Использовались платные карты ИНГИТ, которые в терминальном режиме не хотят работать.
Обратились к разработчикам. Разработчики сказали:
Есть решение для работы с нашими картами в терминальном режиме, но для этого необходимо заплатить ещё около 30 000 (тридцати тысяч) рублей единоразово и ежегодно выплачивать порядка 15 000 (пятнадцати тысяч) рублей в довесок.
В результате прикрутили бесплатные карты, которые сразу замечательно подхватили всё, что нажито годами.
Встал вопрос о работе с IP телефонией в терминальном режиме.
У Oktell эта возможность предусмотрена. Настроили согласно рекомендациям разработчика и всё сразу заработало.
Поверху всего этого организовали резервное копирование.
Купили внешний диск размером 4 Тб.
На данный диск легли все резервные копии Full + incrimental + delta примерно за три недели.
В результате
Минус аренда площадей
Минус аренда лицензий на карты
Минус старое железо
Плюс Wi-Fi
Плюс увеличение быстродействия раза в полтора
Плюс резервное копирование
Плюс возможность организации удалённых рабочих мест через RDP

Резюме

Житков Виталий Петрович

Контакты

Адрес: г. Москва

Дата рождения: 01.04.1965
Гражданство: Российская Федерация

Оплата услуг: по договорённости

Образование

Основное

  • 1998 — ЦИТ при МГУ, Сетевые технологии
  • 1986 — КЭМТ, Производство электронных и электрических средств автоматизации и их эксплуатация

Повышение квалификации/курсы

  • 2013 —TrendMicro Deep Security
  • 2011—Source Fire
  • 2008 — Spectrum r8.1, CA, Envoromentations 200
  • 2008 — Check Point PointSec, RRS, Диплом
  • 2006 — CCSE, VUE, CCSE NGX
  • 2006 — Solaris 9.0 / 3,4, Red Center, Диплом
  • 2005 — eSafe, eSafe, Диплом
  • 2005 — Solaris 9.0 / 1,2, Red Center, Диплом
  • 2003 — Lotus Domino Server administrator, IBM, Диплом
  • 2002 — Net Servers Sales Professional, HP Training Center, Диплом
  • 2002 — Storage Networking Products, HP Training Center, Диплом
  • 2002 — Proliant Technical Pre-Sales, HP Training Center, Диплом
  • 2002 — Proliant Sales, HP Training Center, Диплом
  • 2002 — Check Point NG Management 1, Management 2, UNI, CCSA
  • 2002 — Storage Management Solutions, HP Training Center, Диплом
  • 2002 — Storage Area Network, HP Training Center, Диплом
  • 2002 — Data Protection Products, HP Training Center, Диплом
  • 2001 — Антивирус Касперского, администрирование и сопровождение, УЦ Баумана, Диплом
  • 1999 — Администрирование Novel 4.12, Учебный центр СургутНефтегаз, Диплом
  • 1999 — Администрирование Windows server 4.0, Учебный центр СургутНефтегаз, Диплом
  • 1999 — Hardware HP workstation and servers, Учебный центр СургутНефтегаз, Диплом

Тесты/Экзамены

  • 2008 — Spectrum r8.1, CA
  • 2006 — CCSE, VUE
  • 2005 — CCSA, VUE
  • 2004 — Check Point NG Management 1, VUE
  • 1999 — Администрирование Windows server 4.0, VUE

Профессиональный опыт

05.2012  по н/в, Индивидуальный предприниматель Житков В.П.

Информационные технологии, системная интеграция,http://pub.tesenmir.net/

Оказываю услуги на основании заключенного договора с Заказчиком:

  • Консультационные услуги
  • Комплексный аудит ИТ- инфраструктуры
  • ИТ- консалтинг
  • Построение Информационных систем
  • Оптимизация ИТ- инфраструктуры
  • Сервис и ИТ- аутсорсинг
  • Продажа программного обеспечения

11.2009 – 04.2012, ГК «Виктория»

(федеральная торговая компания)

Специалист по информационной безопасности

Работа в сфере Информационной Безопасности (ИБ) с бизнес единицами компании. Разработка правил доступа к различным бизнес приложениям. Обеспечения безопасного доступа к бизнес-приложениям.
Разработка концепции информационной безопасности компании. Участие в разработке и реализации системы информационной безопасности компании.
Решение административных вопросов.
Обеспечение соблюдения ФЗ №152 о персональных данных.

05.2004 – 11.2009UNI

«Корпорация ЮНИ» специализируется на разработке и реализации инфраструктурных проектов, базирующихся на использовании информационных и телекоммуникационных технологий.

Главный специалист

Работа в сфере Информационной Безопасности (ИБ). Работа с клиентами. Составление спецификаций для клиентов. Разработка и реализация проектов. Участие в крупных проектах.
Разработка и реализация системы информационной безопасности компании. Решение административных вопросов.
Обучение новым продуктам. Развитие нового направления.

Компетенция по решениям:
Hewlett Packard, DELL, Cisco, IBM, Nortel, Microsoft, Check Point, Trend Micro, CA, eSafe, RSA, SafeNet.

01.2001 – 05.2004TopS

Один из крупнейших в России дистрибьюторов программного обеспечения и системный интегратор на тот момент.

Эксперт по IT и информационной безопасности
Работа в сфере Информационной Безопасности (ИБ). Работа с клиентами. Составление спецификаций для клиентов. Разработка и реализация проектов. Участие в крупных проектах.
Разработка и реализация системы информационной безопасности компании. Решение административных вопросов.
Обучение новым продуктам. Развитие нового направления.

Компетенция по решениям:
Hewlett Packard, DELL, Cisco, IBM, Nortel, Microsoft, Check Point, Trend Micro, CA, eSafe, RSA, SafeNet.

02.1989 – 12.2000Сургут АСУ нефть АОО СургутНефтегаз

Сфера деятельности компании охватывает разведку, обустройство и разработку нефтяных и нефтегазовых месторождений, добычу и реализацию, производство и сбыт нефтепродуктов и продуктов нефтехимии. Имеет более 50 подразделений.

Эксперт
Организация бесперебойной работы участка интрасети, включающего в себя до 1500 рабочих станций. Централизованное управление вверенным участком интрасети.
Работа с пользовательскими подразделениями, ремонтным центром. Обеспечение транспортных вопросов. Обеспечение согласованной работы участков интрасети.
Участие в организация единого информационного пространства компании (электронная почта, R2, подключение по различным каналам подразделений организации.) Установка и настройка серверных приложений.

Загранкомандировки (тестирование и получение нового оборудования и обучение).

Дополнительная информация

Знание языков:
Русский – родной язык;
Английский – читаю профессиональную литературу.

Рекомендации предоставлю по требованию.

Ключевые навыки:
TCP/IP, all Windows platforms, all *nix platforms, Post systems (Exchange server, Lotus Domino server, Postfix, Sendmail), знаниепостроениесистемсиспользованием Web технологий, Novel NetWare, Check Point NGX. Навыки построения сетей различной сложности. Средства защиты информации и персональных данных. Работа с документацией согласно ГОСТ. Навыки руководящей работы.

Ваша анонимность в сети Internet

1Аннотация

 Массовое распространение сети Интернет стало причиной начала тотальной слежки за ее пользователями и блокирования неугодных власти ресурсов. Естественно, что и провайдеров обязали сотрудничать с соответствующими органами. Как рядовому пользователю избежать этого безобразного произвола? Для решения проблемы предлагается система Tor. К сожалению, в настоящее время очень мало литературы по установке и использованию данной системы. Целью настоящей работы является восполнить имеющийся пробел и научить всех желающих безопасной деятельности в Интернет.

Установка и настройка Tor

Предисловие

К сожалению, анонимность в Интернет нужна не только злодеям и хулиганам, но и нормальным честным людям, для того, чтобы избежать преследования за право просто высказать своё мнение или обнародовать факты, которые существующие власти пытаются скрывать от народа.

Никакой свободы слова в России и в прочих странах СНГ как не было ранее, так нет и сейчас. Чего стоит только статья 282 УК РФ. Под неё легко можно подвести почти любое высказывание недовольства или критики в адрес власти или чего-либо другого.

В родной Беларуси уже имеют место факты привлечения к судебной ответственности за безобидные посты в Сети. Что же нам так и молчать всю жизнь!

В апреле 2008 года представитель Генпрокуратуры, предложил включать в список запрещённых материалов конкретные сайты и все российские провайдеры должны будут заблокировать доступ к запрещённому сайту в течение месяца после публикации списка. В поддержку идеи выступали и некоторые законодатели.

В отличие от СМИ (пресса, радио, телевидение), которые в большинстве своём зависимы и куплены, Интернет свободен, ибо купить его нельзя. Некоторым это, увы, не нравится. Вот эти то некоторые и пытаются закрывать или блокировать неугодные сайты или устанавливать в Сети слежку за людьми, чтобы потом привлекать их судебной расправе по пресловутой статье 282. И ещё много других пакостных не правовых действий властных структур, связанных с информационным обменом в Интернет.

Поэтому, если не хотите лишних проблем, то пора пересматривать свое беспечное отношение к пользованию Интернетом — научиться скрывать и шифровать свою деятельность в Сети. В данной статье предлагается одно из решений проблемы безопасного использования Интернета — преодоления блокировки её ресурсов со стороны провайдеров, обеспечения анонимности при общении и при посещении сайтов, блогов, форумов и т. д. Это система Tor.

На сегодняшний день Tor — одно из лучших средств для анонимной работы в Интернет. Кроме того, использование Tor совершенно бесплатно. Нужны только компьютер и желание.

К сожалению, в настоящее время очень мало литературы по установке и использованию системы Tor. Да и та, которая имеется, далеко не полная. На официальном сайте разработчиков Tor — на русский язык переведены всего несколько страниц.

Целью данной работы является восполнить имеющийся пробел и научить всех желающих безопасной деятельности в Интернет. (Заодно и собственные мозги прочищу.)

 

1. Общие соображения об анонимности в Интернет

 

Человек написал и отправил письмо по электронной почте, посетил какой-то сайт, оставил своё сообщение на форуме и т. д. Любое из указанных действий позволяет найти этого человека и узнать кто он такой. А при желании и привлечь к судебной ответственности. Оказывается, перехваченные в Сети пакеты могут использоваться как доказательство в суде. (Прецеденты уже имели место быть!)

Каким же образом можно найти человека по его деятельности в Интернет?

Главный «предатель» — это ваш IP-адрес. IP-адрес – сетевой адрес компьютера в сети, построенной по протоколу IP. Он необходим для маршрутизации данных, другими словами, если вы хотите получать информацию с какого-либо сервера, то необходимо указать свой адрес, как адрес получателя. Но по IP-адресу всегда можно найти компьютер, с которого был отправлен запрос на получение информации или совершены какие-либо иные действия. Можно также установить провайдера предоставившего доступ в Интернет, ваше реальное место нахождения и ряд другой информации. Способов «Чтобы никакого IP-адреса не высвечивалось» — не существует!

Поэтому новички часто задают вопрос: «Как можно изменить свой IP-адрес?»

Ответ на такой вопрос будет очень краток — «Никак нельзя! »

Но можно подсунуть интересующимся вместо своего IP-адреса какой-либо другой адрес, и тем самым отправить их на поиски себя в неизвестном направлении. А можно использовать такой IP-адрес, который не приведёт непосредственно к вам. Этот путь сложнее.

Для подмены своего IP-адреса, существует множество способов. Все они так или иначе связаны с использованием proxy-серверов (прокси). Proxy-сервер — это сервер посредник. Т.е. все пакеты проходят от пользователя к источнику через промежуточный proxy-сервер. Некоторые proxy могут быть анонимными (далеко не все). При работе через анонимный proxy на посещенном ресурсе останется IP-адрес proxy-сервера, а не пользователя.

Только не всё так просто, как может показаться на первый взгляд. Во-первых, не все proxy анонимные. Да и анонимность может быть разной. Найти хороший надёжный анонимный сервер, да к тому же бесплатный, совсем не просто.

Во-вторых, на самом proxy-сервере, как правило, ведутся логи (журнал посещений), в которых имеются IP-адреса всех посетителей и время посещения. Получив доступ к логам, ваш адрес узнать будет не очень сложно. Т.е., анонимность вроде бы и есть, но при большом желании вас найдут.

Кроме IP-адреса существуют и другие способы идентификации человека в Интернете. Если используется открытый (не зашифрованный) канал передачи информации, то в передаваемых пакетах может содержаться адрес электронной почты, номер счёта, логины и пароли для входа в соответствующие ресурсы и ещё многое другое. Такая информация, как правило, вполне достаточна, чтобы по ней найти человека.

Следует знать, что 100%-й гарантии анонимности не обеспечивают никакие способы. Всё зависит от того, насколько сильно будут искать. Если вы, например, ломанули банковский сервак и перевели куда-нибудь несколько миллионов, то искать будут долго и тщательно, возможно при участии специалистов из Интерпола. И с большой вероятностью найдут. А если цена вопроса не столь велика — проникновение (без взлома) на закрытый ресурс, или выкладывание в Сеть информации, которая кому-то не нравится, или если пользователь просто предпочитает не «светить» себя как посетителя данного ресурса. В таких случаях могут и не найти или не станут искать вообще.

Примерно как в анекдоте про неуловимого Джо, который был неуловим, потому что никому и на фиг не нужен.

Таким образом, реальная анонимность в Интернете зависит от надёжности применяемых методов, и от того насколько сильно (и кто) будут искать.

Обмен информационными сообщениями в Интернет обязательно происходит через провайдера — организацию, которая обеспечивает доступ. При отсутствии соответствующей защиты, провайдер будет знать все: кто отправил (IP-адрес), куда отправил и что отправлено. Более того, он может закрыть от вас (заблокировать) определённые интернет-ресурсы. В Китае власти вообще исхитрились фильтровать почти весь Интернет-трафик, не пуская сограждан на идеологически вредные ресурсы.

К слову сказать, не очень широко известен тот факт, что в России действует система оперативно-розыскных мероприятий под названием СОРМ-2, которая предназначена для контроля в Интернет. Российские провайдеры обязаны сотрудничать с органами и соответственно предоставят им любую информацию, проходящую через них.

Желающие могут вкратце ознакомиться с проектом СОРМ на странице Википедии (http://ru.wikipedia.org/wiki/СОРМ). А заодно там же по ссылкам посмотреть «Дело Терентьева» и «Интернет-цензура»

Сейчас (2011 г.) Роскомнадзор разрабатывает автоматизированную систему поиска экстремистских материалов. (Опять любимая статья 282). Вот такой всеохватывающий шпионаж за пользователями сети Интернет.

А если вы иногда посещаете «крамольные» оппозиционные интернет-ресурсы, то не исключено, что в базе данных соответствующих организаций уже идёт накопление информации и о вас.

Последние веяния в законах и технологиях угрожают анонимности как никогда ранее, убивая на корню возможность свободно читать, писать или просто высказывать своё мнение в Сети.

Вышесказанное позволит найти правильный ответ на вопрос: «Нужна ли анонимность в Интернете?»

Если ответ найден, то пора начинать изучение системы Tor.

 

2. Что такое Tor?

 

Tor (The Onion Router)  свободное программное обеспечение для реализации второго поколения так называемой «луковой маршрутизации». Это система, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания. Рассматривается как анонимная сеть, предоставляющая передачу данных в зашифрованном виде. (Определение из Википедии)

Несмотря на то, что название произошло от акронима, принято писать «Tor», а не «TOR». Только первая буква — заглавная.

Tor является свободным программным обеспечением и открытой сетью, в помощь вам для защиты от сетевого надзора, известного как анализ трафика, угрожающего персональной свободе и приватности, конфиденциальности бизнес контактов и связей, и государственной безопасности. (Определение с сайта программы http://www.torproject.org)

Таким образом, Tor — это не только программное обеспечение, но и распределенная система серверов, между которыми трафик проходит в зашифрованном виде. (Иногда серверы системы Tor называют нодами.) На последнем сервере-ноде в цепочке передаваемые данные проходят процедуру расшифровки и передаются целевому серверу в открытом виде. Кроме того, через заданный интервал времени (около 10 минут) происходит периодическая смена цепочки (изменение маршрута следования пакетов). При таком подходе вскрыть канал можно только при взломе всех серверов цепочки, что практически нереально, т.к. они располагаются в разных странах, а сама цепочка постоянно меняется. По состоянию на апрель 2011 года сеть Tor включает более 2500 нодов, разбросанных по всем континентам Земли. Все ноды работают по протоколу SOCKS.

Шифрование производится следующим образом. Перед отправлением пакет последовательно шифруется тремя ключами: сначала для третьей ноды, потом для второй и, в конце концов, для первой. Когда первая нода получает пакет, она расшифровывает «верхний» слой шифра и узнает, куда отправить пакет дальше. Второй и третий серверы поступают аналогичным образом. Именно эти слои шифрования и напомнили авторам луковицу (Onion). Оттуда и пошли название и логотип.

О поддержке проекта Tor объявила известная организация по защите гражданских свобод Electronic Frontier Foundation, которая начала активно пропагандировать новую систему и прилагать значительные усилия для максимального расширения сети нод.

Сейчас многие общественные организации поддерживают разработку Tor, поскольку видят в нём механизм для защиты базовых гражданских прав и свобод в Интернете.

Наиболее часто звучащими обвинениями в адрес сети Tor является возможность ее использования в преступных целях. Но в реальности компьютерные преступники гораздо чаще используют для этого средства собственного изготовления, будь то VPN, взломанные сети, беспроводная связь или другие способы.

Tor может работать не только с веб-браузерами, но и со многими существующими приложениями на основе протокола TCP. Приложения для работы в Сети, в простейшем случае это браузер, необходимо ещё настроить на работу с Tor.

Система Tor позволяет скрывать от провайдера конечные (целевые) адреса, тем самым, прорывая возможную блокаду доступа к заблокированным им сетевым ресурсам. Также система Tor надёжно скрывает от целевых ресурсов адрес отправителя.

Однако Tor допускает перехват самого содержимого сообщений (без выявления отправителя) из-за необходимости их расшифровки на выходном узле! Впрочем, для такого перехвата нужно поставить на выходных узлах анализатор трафика (сниффер), что не всегда просто сделать. Особенно, если учесть, что выходные узлы постоянно меняются.

Как известно — никакая система не может быть безопасной на 100%. Сообщество разработчиков Tor постоянно анализирует возможные способы деанонимизации ее клиентов (т.н. атаки) и ищет способы борьбы с ними.

Ещё одним достоинством Tor является то, что это свободное программное обеспечение. Т.е. распространение его полностью бесплатно и с открытым исходным кодом.

Проект Tor является некоммерческой (благотворительной) организацией, поддерживающей и развивающей программное обеспечение Tor.

Изначально система Tor разрабатывалась в лаборатории ВМС США по федеральному заказу. В 2002 г. разработка была рассекречена, а исходные коды были переданы независимым разработчикам, которые создали клиентское ПО и опубликовали исходный код под свободной лицензией, чтобы все желающие могли проверить его на отсутствие багов и прочих уязвимостей. (По заявлению разработчиков системы — к январю 2009 года число багов стало равным нулю.)

3. Дополнительные компоненты

 

Следует понимать, что сам факт установки Tor не анонимизирует сетевые соединения компьютера. Нужны дополнительные программные компоненты и настройки. Программа Tor только управляет шифрованием и определяет путь прохода пакетов через сеть ретрансляторов.

1. Прежде всего, нам необходим виртуальный прокси-сервер, установленный на компьютере пользователя. Иногда его называют «фильтрующий прокси». Такой прокси является промежуточным звеном между пользовательскими приложениями для работы в Интернет и сетью Tor.

Существуют два основных варианта фильтрующего прокси-сервера — это Privoxy и Polipo.

Несколько лет назад разработчики системы Tor рекомендовали использовать Privoxy. Сейчас они во все сборки, выложенные на сайте torproject.org, включают только Polipo. (?)

Сравнить их по характеристикам довольно сложно. Polipo считается миниатюрным — размер менее 200К. Все его настройки содержатся в файле polipo.conf. Подробной литературы по его настройкам я не нашёл. Возможно, что она и не нужна.

Для работы с системой Tor следует использовать версию прокси polipo не меньше, чем 1.0.4, так как более ранние версии не поддерживают работу с протоколом SOCKS, и следовательно, непригодны для системы Tor.

Privoxy – это свободный веб-прокси с расширенными возможностями фильтрования интернет-контента для защиты конфиденциальности пользователей Интернет. Последняя версия 3.0.17. (2011 г.) Хотя Privoxy часто используется в качестве промежуточного звена между приложениями и программой Tor, не следует забывать о том, что Privoxy может быть и совершенно самостоятельной программой, защищающей интересы своих пользователей на уровне протокола HTTP.

В Сети имеется достаточно исчерпывающей литературы по установке и настройке фильтрующего прокси Privoxy.

Какой из двух прокси использовать на своём компьютере пусть решает каждый самостоятельно. Использовать их одновременно категорически не рекомендуется, т.к. оба прокси-сервера используют порт 8118 и при совместной работе могут возникнуть накладки.

Простейший совет: тем, кто не хочет особо заморачиваться, лучше использовать Polipo, который входит в состав всех последних сборок на сайте torproject.org. Тем, кто желает иметь больше дополнительных возможностей для настройки, следует скачать и установить Privoxy, а потом, при установке сборки, исключить Polipo из инсталляции.

2. Для управления загрузкой и работой системы Tor используется программа Vidalia. Её часто называют графической оболочкой для Tor.

В настройках Vidalia имеются возможности запускать Tor и фильтрующий прокси при запуске Vidalia, запускать и останавливать Tor в процессе работы, просматривать карту сети Tor и другие. Более подробно работа с Vidalia будет рассмотрена в 8. Настройка параметров Tor при помощи оболочки Vidalia.

При запуске программы Vidalia должен появиться значок Vidalia в виде луковицы. В ОС Windows он возникает в системном трее (рядом с часами) (см. на рисунке), В ОС Ubuntu он появляется на панели задач. Вызвать окно Vidalia можно щелкнув левой кнопкой мыши по её значку.

 

 

 2

 

 3

 

На первом рисунке Tor выключен, на втором — включен.

Теперь, при наличии Tor, фильтрующего прокси-сервера и Vidalia можно настраивать приложения для работы с Tor, или как говорят «Торифицировать приложения».

3. TorButton – фильтрующий плагин для браузера Nozilla FireFox. Входит во многие сборки.

Разработчики системы Tor настоятельно рекомендуют использовать в качестве Web-браузера именно Firefox, притом с расширением Torbutton.

Такая связка хороша тем, что иногда значительно повышает анонимность пользователя. Torbutton блокирует такие плагины обозревателей как Java, Flash, ActiveX и т. д., которые теоретически могут быть использованы для раскрытия вашего IP-адреса. Torbutton также пытается обработать cookie безопасно, что также повышает анонимность. Кроме того, с его помощью можно включать или отключать Tor в браузере. Т.е. в первом случае FireFox будет работать через Tor, а во втором напрямую.

4. Некоторые сборки содержат Pidgin – мультипротокольный (icq, jabber,…) интернет-пейджер. Практическая ценность анонимности пейджинговой связи через Интернет невелика. Поэтому далее она рассматриваться не будет.

5. FirefoxPortable – портативный браузер на основе FireFox. Он входит только в пакет Tor BrowserFirefoxPortable – это настроенная для работы с Tor портативная версия браузера Firefox вместе с расширением Torbutton. Запускается автоматически сразу после установки связи в системе Tor.

 

4. Пакеты (сборки) системы Tor

 

Программное обеспечение Tor разрабатывается для различных операционных систем:

– ОС семейства Microsoft Windows

– ОС семейства Linux/Unix

– ОС Apple

– и для смартфонов (ОС Android, iPhone, iPad и др.)

Для каждой из операционных систем существуют различные варианты пользовательских сборок (пакетов) ПО для обеспечения работы системы Tor. Скачать любой из возможных вариантов можно на русскоязычной странице сайта разработчиков https://www.torproject.org/download.html.ru.

Там обычно представлены две версии каждого из пакетов, стабильная и альфа-версия. Стабильные версии выпускаются тогда, когда разработчики считают, что код и предоставляемый функционал уже не будут меняться. Альфа или нестабильные версии делаются, чтобы вы могли помочь протестировать и подправить новые функции. Даже если они имеют более высокий номер версии, чем y вышеперечисленных стабильных версий, есть гораздо больше шансов на серьезные проблемы с надёжностью и безопасностью из-за ошибок в нестабильных, а значит, не до конца протестированных версиях.

Рассмотрим существующие пакеты для ОС Microsoft Windows (как наиболее распространённой).

Имеется четыре варианта стабильных пакетов:

– Сборка Tor Browser (tor-browser-1.3.26_ru) содержит все необходимое для безопасной работы в Интернете. Этот пакет не требует установки. Просто распакуйте его и запустите.

– Пакет Vidalia Bundle (vidalia-bundle-0.2.1.30-0.2.12) содержит Tor, Vidalia, Polipo, и Torbutton для установки на компьютере. Нужен также Firefox. И для использования Tor необходимо будет торифицировать приложения.

– Пакет Bridge-by-Default Vidalia Bundle is a Vidalia Bundle which is configured to be a bridge in order to help censored users reach the Tor network. (Vidalia Bundl, которая сконфигурирована, чтобы работать и как мост, чтобы помочь блокированным (дословно — закрытым цензурой) пользователям достигнуть сети Tor.)

– Пакет Экспертa (tor-0.2.1.30-win32) содержит только Tor и больше ничего. Вам нужно вручную установить и настроить свой набор дополнительных компонентов, а также торифицировать приложения.

Сборка Пакет Экспертa применяется в основном для тестирования и разработки улучшенных версий ПО Tor. Название говорит само за себя.

Очевидно, что для тех, кто делает первые шаги в использовании системы Tor, представляют интерес два первых варианта пакетов.

Сборка Tor Browser позволит работать без инсталляций и настроек. Правда работа с ней ограничивается обычно применением встроенного портативного браузера FireFox (FirefoxPortable). Что касается анонимности, то она обеспечивается в полном объёме.

Сборка Vidalia Bundle предоставит больше возможностей для настройки и использования различных приложений (торификацию), и, следовательно, более широкий диапазон действий в системе Tor.

Существуют и сборки составленные сторонними разработчиками. Например, сборка OperaTor. В неё входит браузер Opera, клиент Tor и виртуальный прокси-сервер Polipo (Vidalia – отсутствует). Анонимизируется только работа по протоколам HTTP и HTTPS.

После завершения сеанса OperaTor вся информация о нём стирается. Последняя версия OperaTor 3.5 выпущена 6 января 2010 года и включает в себя: Opera v. 10.10 и Tor v. 0.2.1.21. (Вообще говоря, это далеко не лучший вариант использования системы Tor.)

В заключение, укажу, что на сайте проекта (torproject.org) имеется обращение разработчиков к пользователям. Оно приведено в Приложении 1.

Автор настоящего обозрения советует внимательно прочитать данное обращение не менее 2-х раз, запомнить и всегда использовать при своей работе с системой Tor!

 

5. Первые шаги с Tor — пакет Tor Browser

 

Наиболее простым и удобным для начинающих пользователей системы Tor является использование портативной анонимизирующей сборки Tor Browser.

Вообще говоря, есть две версии Tor Browser: Tor Browser Bundle for Windows with Firefox (version 1.3.26, 16 MB) и Tor IM Browser Bundle for Windows with Firefox and Pidgin(version 1.3.21, 25 MB). (Pidgin — мультипротокольный интернет-пейджер.) Если не планируется использования интернет-пейджера, то лучше скачать первую версию.)

Пакет не требует инсталляции. Всего то и нужно — скачать русскоязычную версию сборки Tor Browser http://www.torproject.org/dist/torbrowser/tor-browser-1.3.26_ru.exe с сайта разработчика. Это самораспаковывающийся архив. Распаковать его в указанный вами каталог и запустить из него файл Start Tor Browser.exe. Наглядный пример работы по принципу «Поставил и всё работает! »

Пакет содержит все компоненты, необходимые для анонимной работы в сети (Tor, фильтрующий прокси-сервер Polipo и Vidalia), и дополнительно портативный (Portable) браузер FireFox версии 3.6. со встроенным плагином TorButton.

После запуска Start Tor Browser.exe автоматически запускаются Tor, графическая оболочка Vidalia и Polipo. При этом (если, конечно, имеется соединение с Интернет) начинается установка связи с сетью Tor и формируется цепочка промежуточных серверов. Процесс занимает от одной до нескольких минут.

Когда Tor запущен и цепочка промежуточных серверов установлена, Vidalia выглядит так:

4

 

 

 

Когда Tor выключен, то

5

 

 

 

После того как цепочка сформирована — автоматически запускается браузер FirefoxPortable. На этом всё! Можете приступать к анонимному серфингу в Интернете.

В версии Tor-browser-1.3.26 портативный браузер настроен так, что после запуска он загружает тестовую страницу сайта Tor https://check.torproject.org

При нормальном подключении к Интернету, первая строка страницы будет содержать сообщение:

 

Congratulations. Your browser is configured to use Tor

 

Это означает, что ваш браузер сконфигурирован для анонимной работы с Tor.

Ниже будет сообщение типа:

 

Дополнительная информация:

Ваш IP адрес: 46.19.138.242

 

Это IP-адрес одного из выходных серверов сети Tor, который подменяет ваш реальный адрес.

Значит всё в порядке, и вы уже работаете анонимно через сеть Tor.

Для уверенности в своей анонимности нужно знать свой настоящий IP-адрес. Для чего можно предварительно зайти на тестовую страницу сайта Tor не анонимно, или на какой-либо другой сайт, позволяющий определить IP-адрес. (См. «15. Как проверить работу Tor?»)

 

В заключение — несколько практических советов по работе с пакетом Tor Browser:

– Если браузер FirefoxPortable не запустился автоматически, то следует запустить файл…lt;каталог TorBrowser>.exe

– Портативный браузер FirefoxPortable не может работать одновременно с другими версиями браузеров Mozilla FireFox.

– Для обычной (неанонимной) работы в Интернете целесообразно использовать не FirefoxPortable, а какой либо другой браузер, например Opera.

– Иногда может быть полезно в целях повышения конспирации записать (разархивировать) пакет Tor Browser (размер примерно 64М) не на жёсткий диска компьютера, а на флэшку и запускать оттуда только при необходимости анонимной работы. При этом на жёстком диске не останется никаких следов вашей анонимной работы. Все сделанные настройки и параметры Tor, портативного браузера FirefoxPortable и TorButton также будут сохраняться только на флэшке.

 

6. Установка Tor в ОС Windows — пакет Vidalia Bundle

 

В отличие от Tor Browser все остальные сборки (пакеты) производят инсталляцию Tor и дополнительных компонентов.

Компоненты работают примерно так же как и в Tor Browser, но есть некоторые нюансы. Так, например, если у вас не был установлен браузер Mozilla FireFox, то не установится и TorButton. Поэтому рекомендуется установить FireFox перед установкой Vidalia Bundle.

На следующих рисунках показан процесс инсталляции пакета Vidalia Bundle B>:

 

6

 

 

7

 

8

 

 

 

Сборка Vidalia Bundle для Windows содержит Tor, Vidalia, Polipo и Torbutton (номера версий видны на последнем рисунке).

Как видно из 2-го рисунка, если на компьютере не установлен браузер FireFox, то программа инсталляции предупреждает об этом, рекомендует установить его и повторить инсталляцию.

Все компоненты стандартной конфигурации по умолчанию устанавливаются настроенными для совместной работы.

Если пользователь желает использовать иную конфигурацию, например, использовать фильтрующий прокси-сервер Privoxy или другой браузер для анонимной работы, следует убрать птички с ненужных компонентов. При этом Privoxy и браузер должны быть установлены заранее.

Программа Tor устанавливается в качестве клиентской программы по умолчанию. Она использует встроенный конфигурационный файл, и большинству пользователей нет необходимости изменять какие-либо настройки. Тем не менее, в разделах 8 и 9 описаны множество дополнительных настроек системы Tor на вашем компьютере.

Далее потребуется (если это нужно) настроить приложения на работу в системе Tor. См. 10. Торификация приложений.

7. Установка Tor в ОС Ubuntu Linux

 

Пакеты с Tor находятся в репозитории Ubuntu или в репозитарии разработчиков Tor. Также в репозитарии Ubuntu есть несколько типов фильтрующих прокси-серверов.

1. Открываем список доступных репозиториев

 

sudo gedit /etc/apt/sources.list

 

Вообще говоря, рекомендуется не использовать пакеты Tor из репозиториев Ubuntu. Они не поддерживаются и являются устаревшими. Т.е. вы не сможете получать критические обновления.

2. Добавляем новый репозиторий:

 

deb http://deb.torproject.org/torproject.org karmic main

 

Примечание 1: Адрес deb.torproject.org ссылается на множество независимых серверов. Если вы по каким-то причинам не можете получить доступ к серверам с использованием этого имени, вы можете попробовать одно из следующих имён:

deb-master.torproject.org,

mirror.netcologne.de или

tor.mirror.youam.de.

Примечание 2: Для Ubuntu 9.10 — «karmic », a для Ubuntu 10.04 — вместо «karmic» ставим «lucid »

3. Затем добавляем gpg-ключ, используемый для подписи пакетов, с помощью этих команд в строке терминала:

 

gpg —keyserver keys.gnupg.net —recv 886DDD89

gpg —export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | sudo apt-key add –

 

4. Обновляем пакеты и устанавливаем Tor путем запуска ниже перечисленных команд с правами пользователя root:

 

apt-get update

apt-get install tor tor-geoipdb

 

Tor установлен. Теперь можно запускать программу просто командой tor.

Далее следует установка фильтрующего прокси privoxy или polipo. Оба прокси-сервера (Privoxy и Polipo) можно загрузить с репозитория Ubuntu. (Оба прокси-сервера используют порт 8118, поэтому не стоит использовать их одновременно. Убедитесь, что версия загружаемого Polipo не меньше, чем 1.0.4, так как более ранние версии не поддерживают работу с протоколом SOCKS)

Privoxy настраиваем так:

 

apt-get update

apt-get install tor tor-geoipdb

echo «forward-socks4a / 127.0.0.1:9050.« >> /etc/privoxy/config

apt-get install sysv-rc-conf

sysv-rc-conf

 

Для использования Polipo с Tor. Вам потребуется удалить Privoxy. Например,

apt-get remove privoxy or yum remove privoxy

Затем выполнить:

 

mv /etc/polipo/config /etc/polipo/config-old

gedit /etc/polipo/config

 

В большинстве случаев перенастройка Tor и фильтрующего прокси не потребуется.

Если хотите управлять Tor не только из консоли, но и в графическом виде, то ставим Vidalia:

 

/etc/init.d/tor stop apt-get install vidalia

 

При установке согласиться запускать Tor с помощью Vidalia.

После установки Tor и Polipo, Вам потребуется настроить ваши приложения для работы с ними. Прежде всего следует настроить браузер.

При работе с Tor рекомендуется использовать браузер Firefox с дополнением Torbutton для обеспечения наивысшей безопасности. Поскольку в ОС Ubuntu основным системным браузером является именно Firefox, то просто установите дополнение Torbutton, перезагрузите Firefox, и браузер будет готов к работе.

Чтобы направить через сеть Tor трафик приложений, поддерживающих настройку HTTP-прокси, укажите настройки Polipo (по умолчанию localhost порт 8118). Для использования SOCKS5 можете настроить приложение непосредственно на Tor (по умолчанию localhost порт 9050).

Дополнительную информацию по настройке различных приложений для работы с Tor можно найти на https://wiki.torproject.org/noreply/TheOnionRouter/TorifyHOWTO.

 

8. Настройка параметров Tor при помощи оболочки Vidalia

 

Программа Vidalia служит графической оболочкой для системы Tor. Она работает практически на всех платформах, включая Windows, Mac OS, Linux или другие Unix системы.

Если используется сборка Tor Browser, то Vidalia запускается файлом Start Tor Browser.exe из каталога <TorBrowser>

Если используется пакет Vidalia Bundle — запускается файлом vidalia.exe из каталога: <каталог установки Vidalia-bundle>

При запуске должен появиться значок Vidalia в виде луковицы. В ОС Ubuntu он появляется на панели задач. В ОС Windows он возникает в системном трее (рядом с часами)

Вызвать «Панель управления Vidalia» можно щелкнув левой кнопкой мыши по её значку.

 

 

Настройки Vidalia прозрачны и понятны. Тем не менее, перечислим их вкратце:

 

9

 

– Запуск/Остановка Tor (Start/Stop Tor)

 

10

 

– Настройка сервера. (Sharing) Устанавливает режим работы (клиент, сервер или мост)

 

11

 

– Обзор сети (Network Map)

12

Показывает карту сети Tor:

При нормальной работе Tor в нижнем центральном окне должны быть перечислены используемые цепочки. При этом в соседнем справа окне должны быть перечислены серверы выбранной цепочки и их характеристики. В верхнем окне отображается их географическое расположение.

С помощью карты сети можно выбирать серверы по принадлежности или по скорости.

13

 

– Сменить личину (New Identity). Меняет цепочку Tor и следовательно выходной IP-адрес.

14

 

– График трафика

 

Показывает входной и выходной трафик, и скорость обмена Tor:

 

15

 

 

16 – Журнал сообщений (Message Log). Позволяет посмотреть логи работы Tor:

 

17

 

 

 

 

– Настройки 18  (Setting). Открывают окно «Настройки»:

19

– Вкладка «General » позволяет установить режимы запуска компонентов Tor

– Вкладка «Сеть » (Network) позволяет прописать внешний прокси сервер («Я использую прокси для доступа в Интернет») или/и мост («Мой провайдер блокирует доступ к сети Tor») (См. Блокирование Tor и как с ним бороться.)

– Вкладка «Расширенный » (Advanced) позволяет установить (проверить) параметры TCP соединения (127.0.0.1 порт 9051). А также устанавливает (контролирует) местоположение файла настроек torrc и каталога данных. Кроме того, отсюда можно редактировать конфигурационный файл torrc.

– Вкладка «Помощь » вызывает панель Справка Vidalia. Впрочем, в русскоязычной версии она пока весьма ограничена.

Как видно из вышесказанного, при помощи оболочки Vidalia можно настраивать и контролировать довольно много параметров системы Tor.

 

9. Тонкая настройка Tor

 

Как правило, стандартных настроек, которые реализованы в оболочке Vidalia вполне достаточно для полноценной анонимной работы в Интернет. Однако возможны случаи, когда могут потребоваться дополнительные изменения параметров Tor. Такие изменения производятся редактированием конфигурационного файла Tor и называются тонкой настройкой.

Конфигурационный файл — обычный текстовый файл. Он носит имя torrc (без расширения) и находится:

– при использовании сборки Tor Browser — в каталоге..lt;Каталог Tor Browser>

– в инсталлированных пакетах – <Documents and Settingslt;пользователь>Data

– в ОС Ubuntu Linux — в каталоге /etc/tor

Программа Tor при загрузке (перезагрузке) первым делом считывает конфигурационный файл и устанавливает рабочие параметры в соответствии со значениями команд в файле torrc.

Редактирование файла torrc можно производить в простейшем текстовом редакторе: Блокнот, AkePad и т.д. Желательно перед правкой сохранить первоначальный файл torrc в той же папке. Например, прибавив к имени расширение *.bak, *.001 и т. д.

Чтобы изменения вступили в силу нужно перезагрузить всё ПО системы Tor!

 

1. Фиксирование выходного или входного узла сети Tor

Напомним, что выходные сервера в Tor постоянно меняются случайным образом. Для пользователя это означает, что его IP не стабилен. С точки зрения посещаемого ресурса пользователь в любой момент может превратиться из француза, скажем, в японца, или ещё кого хуже. При работе с сайтами, фиксирующими сессию пользователя, такой вариант совершенно неприемлем.

Есть возможность прямо указывать, какой сервер (нод) должен быть выходным. IP в этом случае будет постоянным. Для этого в torrc дописываем две строчки:

ExitNodes <имя узла>

StrictExitNodes 1

Где:

Переменная ExitNodes – указывает использовать определённый сервер в качестве выходного узла

StrictExitNodes 1 – указание в случае недоступности выбранного сервера не пытаться подключиться к другому, а выводить ошибку.

Допускается записывать несколько узлов через запятую или, например, указав ExitNodes de – получим только немецкие сервера в качестве выходных. («Закосим» под немца!)

Найти необходимый сервер можно на: http://torstatus.kgprog.com/ или https://torstat.xenobite.eu/

 

Аналогично фиксируется и входной узел:

EntryNodes <имя узла>

StrictEntryNodes 1

 

Есть ещё одна полезная настройка из этой серии – TrackHostExits фиксирует выходной узел (host) для заданных доменов, что позволяет сохранять сессию для тех серверов, которые проверяют IP клиентов. Синтаксис записи такой:

TrackHostExits host,.domain,…

 

2. Исключение подозрительных узлов

Для исключения не вызывающих доверия узлов (Например — российских, украинских и белорусских) нужно добавить в torrc строку:

ExcludeNodes ru, ua, by

Или можно указать конкретный список имён.

Теперь если пытливые ребята с серенькими глазками в РФ, УА или РБ додумаются сделать подставной Tor-сервер и попытаются прослушивать выходные данные, то мы никак не сможем попасть на такой сервер.

Есть полезное свойство файла torrc. Это комментарий. Tor не выполняет строки в файле torrc если строка начинается с символа «#». Благодаря комментариям вы можете хранить в файле torrc заготовки, и при необходимости быстро включать их, убрав «#».

 

3. Прописывание прокси-сервера в Tor

Добавить следующие строки в конец конфигурационного файла Tor с заменой <адрес прокси> и <номер порта> (а также <логин> и <пароль>, если они есть) на конкретные значения прописываемого http или https прокси-сервера.

# Force Tor to make all HTTP directory requests through this host:port (or

# host:80 if port is not set).

HttpProxy <адрес прокси>:<номер порта>

# A username:password pair to be used with HTTPProxy.

HttpProxyAuthenticator <логин>:<пароль>

# Force Tor to make all TLS (SSL) connectinos through this host:port (or

# host:80 if port is not set).

HttpsProxy <адрес прокси>:<номер порта>

# A username:password pair to be used with HTTPSProxy.

HttpsProxyAuthenticator <логин>:<пароль>

 

После правки и сохранения файла torrc необходимо перезапустить Tor.

Для проверки настроек можно использовать графическую оболочку Vidalia или Tor-анализатор (зайти на http://check.torproject.org).

 

Список некоторых команд (настроек) Tor

 

EntryNodes nickname,nickname,…

Список серверов, которые предпочтительно использовать в качестве «входных» для установления TCP/IP-соединения с узловой цепочкой маршрутизаторов Tor, если это возможно.

 

ExitNodes nickname,nickname,…

Список серверов, которым предпочтительно отводить роль замыкающего звена в узловой цепочке маршрутизаторов Tor, если это возможно.

 

ExcludeNodes nickname,nickname,…

Список узлов, которые вовсе не следует использовать при построении узловой цепочки.

 

StrictExitNodes 0|1 Если установлено в 1, Tor не будет использовать какие-либо узлы, кроме тех, которые присутствуют в списке выходных узлов в качестве посредников, устанавливающих соединение с целевым хостом и, соответственно, являющихся своеобразным замыкающим звеном в цепочке узлов.

 

StrictEntryNodes 0|1

Если данному параметру присвоено значение 1, Tor не будет использовать какие-либо узлы, кроме тех, которые присутствуют в списке входных узлов для подключения к сети Tor.

 

FascistFirewall 0|1

Если данному параметру присвоено значение 1, Tor при создании соединения будет обращаться исключительно на Луковые Маршрутизаторы, у которых для осуществления подключения открыты строго определённые номера портов, с коими позволяет устанавливать соединение Ваш файрволл (по умолчанию: 80-й (http), 443-й (https), см. FirewallPorts). Это позволит Tor, запущенному на вашей системе, работать в качестве клиента за файрволлом, имеющим жёсткие ограничительные политики. Обратное утверждение неверно, поскольку в этом случае Tor не сможет исполнять обязанности сервера, закрытого таким файрволлом.

 

FirewallPorts ПОРТЫ

Список портов, к которым Ваш файрволл позволяет подсоединяться. Используется только при установленном значении параметра FascistFirewall. (По умолчанию: 80, 443) (Default: 80, 443)

 

LongLivedPorts ПОРТЫ

Список портов для сервисов, которые имеют склонность устанавливать особо длительные соединения (к ним относятся преимущественно чаты, а также интерактивные оболочки) Узловые цепочки из маршрутизаторов Tor, которые используют эти порты, будут содержать только узлы c наиболее высоким аптаймом (характерным временем присутствия в сети), с целью уменьшения вероятности отключения узлового сервера от сети Tor до закрытия потока. (По умолчанию: 21, 22, 706, 1863, 5050, 5190, 5222, 5223, 6667, 8300, 8888).

 

MapAddress адрес:новый_адрес

Когда к Tor придёт запрос на указанный адрес, луковый маршрутизатор изменит адрес перед тем, как приступить к обработке запроса. Например, если вы хотите, чтобы при соединении с www.indymedia.org была использована цепочка узлов Tor с выходом через torserver (где torserver – это псевдоним сервера), используйте «MapAddress www.indymedia.org www.indymedia.org.torserver.exit».

 

NewCircuitPeriod ЧИСЛО

Каждые ЧИСЛО секунд анализировать состояние соединения и принимать решение о том, нужно ли инициировать построение новой узловой цепочки. (По умолчанию: 30 секунд)

 

MaxCircuitDirtiness ЧИСЛО

Разрешить повторное использование цепочки, в первый раз собранная в определённом составе своих звеньев — самое большее — ЧИСЛО секунд назад, но никогда не присоединять новый поток к цепочке, которая обслуживала данный сеанс в течение достаточно продолжительного времени. (По умолчанию: 10 минут)

 

NodeFamily псевдоним,псевдоним,…

Именованные сервера Tor (закономерным образом, для повышения степени прозрачности иерархии сети Tor) объединяются в «семейства» по признаку общего или совместного администрирования, так что следует избегать использования любых 2-х из таких узлов, «связанных родственными узами», в одной и той же цепочке анонимных маршрутизаторов Tor. Специальное задание опции NodeFamily может понадобиться только тогда, когда сервер с данным псевдонимом сам не сообщает о том, к какому «семейству» он себя причисляет, что на стороне сервера OR должно быть продекларировано путём указания параметра MyFamily в файле torrc. Допускаются множественные указания этой опции.

 

RendNodes псевдоним,псевдоним,…

Список узлов, которые по возможности желательно использовать в качестве точек рандеву (встречи).

 

RendExcludeNodes псевдоним,псевдоним,…

Список узлов, которые ни в коем случае не следует использовать при выборе точек рандеву (точек встречи).

 

SOCKSPort ПОРТ

Известить Tor о том, что на этом порту должны прослушиваться соединения, устанавливаемые приложениями, использующими SOCKS-протокол. Обнулите этот параметр, если Вам вовсе ни к чему, чтобы приложения устанавливали соединения по SOCKS-протоколу посредством Tor. (Значение по умолчанию: 9050)

 

SOCKSBindAddress IP[:ПОРТ]

Установить привязку к данному адресу для прослушивания запросов на соединение от приложений, взаимодействующих по SOCKS-протоколу. (По умолчанию: 127.0.0.1). Также Вы можете указать порт (например, 192.168.0.1:9100), который, разумеется, на целевой машине должен быть «открыт» посредством соотв. настройки файерволла. Определение этой опции может быть повторено многократно для осуществления одновременной («параллельной») привязки ко множеству различных адресов/портов.

 

SOCKSPolicy политика,политика,…

Задаёт политики входа на данный сервер с целью ограничения круга клиентских машин, которым разрешено подключаться к SOCKS порту. Описание этих политик вводится аналогично тому, как это делается для политик выхода (см. ниже).

 

TrackHostExits хост,.домен,…

Для каждого из значений в разделённом запятыми списке, Tor проследит недавние соединения для хостов, соответствующих этому значению и попытается использовать один и тот же выходной (замыкающий) узел для каждого из них. Если очередной элемент списка предваряется символом «.», то его значение будет трактоваться, как соответствующее домену в целом. Если один из элементов списка состоит из одной только «точки», то это указывает на его «универсальное» соответствие всем путевым именам. Эта опция может оказаться полезной, если Вы часто устанавливаете соединение с серверами, которые аннулируют все записи о пройденной Вами аутентификации (т.е. принуждают выйти и зарегистрироваться снова) при осуществлении попытки переадресации TCP/IP-соединения, установленного с одним из таких серверов, на Ваш новый IP-адрес после его очередной смены. Обратите особое внимание на то, что использование этой опции невыгодно для Вас тем, что это позволяет серверу напрямую ассоциировать историю соединений, запрашиваемых определённым IP, с Вашей пользовательской учётной записью. Хотя в принципе, если кому-то и понадобится собрать всю информацию о Вашем пребывании на сервере, желающие в любом случае смогут сделать это посредством cookies или других специфичных для используемого протокола обмена средств.

 

TrackHostExitsExpire ЧИСЛО

Поскольку серверы, являющиеся выходными звеньями узловой цепочки, имеют право начинать работу и завершать её по собственному усмотрению, т.е. так или иначе – произвольным, случайным образом, желательно, чтобы ассоциация между хостом и выходным узлом автоматически потеряла свою силу по истечении некоторого ЧИСЛА секунд полного отсутствия сетевой активности со стороны сервера. По умолчанию – 1800 секунд (30 минут).

 

Существующий набор команд Tor достаточно велик. Рассмотрение их всех выходит за рамки настоящего обозрения. Здесь были приведены лишь несколько наиболее типичных вариантов редактирования и лишь часть команд. Полный список и синтаксис команд (на английском языке) можно найти на сайте разработчиков Tor.

См. https://www.torproject.org/tor-manual.html.en

10. Торификация приложений

 

Когда Tor и фильтрующий прокси уже установлены пора настроить нужные сетевые приложения для работы с Tor.

Напомним, что сам факт установки Tor не анонимизирует сетевые соединения компьютера. Приложение, в простейшем случае это браузер, необходимо настроить на работу с Tor.

В принципе подключить к Tor можно любые сетевые приложения, работающие по транспортному протоколу TCP. Это дает возможность усиления анонимности их использования. Процесс называют «торификацией » приложений. Приложения, работающие по транспортному протоколу UDP в настоящее время не торифицируются (в планах разработчиков переход на UDP в недалеком будущем). Системы IP-телефонии (Skype и др.), помимо использования UDP, используют специфичный протокол VoIP. VoIP анонимизировать через Tor можно, но процесс весьма непростой и мы этим заниматься не будем.

Tor, Vidalia и фильтрующий прокси (Polipo) совместно работают как прокси сервер, т.е. на локальном компьютере они эмулируют работу обычного интернет-сервера. Приложения для Интернет спроектированы в расчёте на то, что они будут обмениваться сообщениями по сети, используя протокол TCP/IP и IP-адрес в качестве уникального сетевого адреса другого компьютера.

Для взаимодействия сетевых процессов в пределах одного компьютера используется специальный внутренний IP-адрес 127.0.0.1. Когда программа посылает данные по IP-адресу 127.0.0.1, то данные не передаются по сети, а остаются в пределах данного компьютера.

Вместо IP-адреса 127.0.0.1 можно использовать значение «localhost », оно всегда обозначает, что соединяться следует с тем же компьютером, на котором запущено приложение.

Таким образом, алгоритм торификации приложения заключается в поиске и установке его настроек для работы с внутренним прокси-сервером (Tor, Vidalia и Polipo) по адресуlocalhost.

В настройках фильтрующего прокси Polipo (файл polipo.conf) указаны параметры прокси-сервера:

proxyAddress = «127.0.0.1″

proxyPort = 8118

а также его параметры по протоколу SOCKS:

socksParentProxy = «localhost:9050″

socksProxyType = socks5

 

Итак Tor внутри компьютера работает по адресу 127.0.0.1 и через порт 8118

Для торификации приложения необходимо прописать данные параметры в его настройках (Сеть-прокси):

– адрес прокси 127.0.0.1 (или localhost)

– порт 8118

– по протоколу SOCKS адрес тот же, а порт 9050

– тип протокола SOCKS – socks5

Вот так это выглядит, например, в браузере FirefoxPortable:

20

В случае использования фильтрующего прокси Privoxy следует поступить аналогично.

Если у вас перед инсталляцией пакета Vidalia Bundle был установлен браузер Firefox, то его торификация произойдёт автоматически после запуска плагина TorButton. Другие браузеры для работы с Tor придётся торифицировать.

 

Все прочие программы, умеющие работать с HTTP прокси (браузеры, FTP-клиенты, интернет-пейджеры и т. д.), настраиваются на работу с Tor таким же образом. Но в некоторых приложениях приходится выбирать между протоколами http (https, ssl, ftp и др.) и socks. Чтобы научить приложение работать с socks-протоколами их нужно «соксифицировать», для чего требуется дополнительно специальныя программа — соксификатор.

Не рекомендуется использовать через сеть Tor «качалки» и BitTorrent. Во-первых, потому, что сеть Tor сравнительно медленная, по причине задержки на промежуточных серверах. Во-вторых, анонимизировать процесс закачки в большинстве случаев просто бессмысленно. Например, ну что из того, если кто-то узнает, что вы скачали неприличный фильм или «крамольную» книгу.

 

Сложнее обстоит дело с анонимной отправкой почты. Дело в том, что почтовые клиенты отправляют почту по протоколу SMTP, а большинство почтовых серверов работает по этому протоколу через порт 25. Но порт 25 в сети Tor закрыт. Что делать?

Теоретически тут возможны два варианта решения проблемы:

1. Самый очевидный. Настроить браузер на работу через Tor и воспользоваться веб-интерфейсом для отправки и получения анонимной почты. Т.е. делать всё через браузер.

2. Искать для своего анонимного ящика почтовый сервер, который работает с нестандартным портом. (Например, Gmail использует нестандартный порт 587) И соответственно настраивать почтового клиента.

Для анонимной почты можно ещё воспользоваться римейлерами. (Римейлер – это сервис, пропускающий письмо через цепочку серверов, и заменяющий IP отправителя своими.) Но сервисы, работающих под видом римейлеров не всегда анонимны, и, кроме того, римейлеры безбожно уродуют кириллические кодировки, вплоть до абсолютной нечитаемости. Я бы этот способ не посоветовал.

Разумеется, прежде чем действительно отправлять анонимное письмо нужно проверить корректность настроек, отписавшись на какой-либо свой ящик.

 

Дополнительная информация по анонимности и настройкам браузеров

 

Когда у пользователей возникает необходимость скрыть свои личные данные и пользоваться Интернет анонимно, то закономерно, что появляются и ресурсы, по тем или иным причинам заинтересованные в раскрытии этой анонимности. (Такие вот «Единство и борьба противоположностей».)

Как известно, использование Socks-прокси не позволяет вычислять IP-адрес стандартными методами. Поэтому для определения IP-адреса научились использовать дополнительно следующие средства: плагины к браузерам (plugins), скрипты (Script) и куки (cookies).

Плагины – дополнения, устанавливаемые браузером для просмотра некоторых страниц. Многие плагины угрожают анонимности, посылая информацию в обход прокси-серверам (следовательно и в обход цепочки Tor). Например, Java, Flash, ActiveX, RealPlayer, Quicktime, Adobe PDF являются потенциально опасными для анонимности. Отключение плагинов может привести к неполному или искажённому отображению страниц. Однако всё равно рекомендуется отключать их при использовании Tor. (Анонимность требует жертв.)

Скрипты встраиваются непосредственно в исходный код страниц для увеличения их функциональности и исполняются браузером при получении.

Многие ошибочно полагают, что JavaScript – это то же самое, что и Java, лишь потому, что эти языки имеют схожие названия. На самом деле — это два совершенно различных языка, с разными задачами. Java язык программирования для приложений, которые вполне способны раскрыть анонимность. На языке JavaScript пишутся скрипты (сценарии), которые вставляются в страницы web-сайтов и выполняются в браузере пользователя. Он менее опасен для анонимности. Но помимо полезных функций, скрипты вполне способны при соответствующем написании определить IP-адрес или другую информацию, и передать это, минуя прокси. Поэтому для большей анонимности целесообразно отключать выполнение скриптов в вашем браузере.

Следующий потенциально опасный фактор – Cookies. Cookies (или Куки) — небольшой фрагмент служебной информации, помещаемый web-сервером на компьютер пользователя. Применяется для сохранения данных, специфичных для конкретного пользователя, и используемых веб-сервером для различных целей.

Сервер записывает в cookies-файлы информацию о пользователе, например если при входе на сайт требуется авторизация, то логин и пароль сохраняются в cookies-файл и в следующий раз не запрашиваются. Это удобно и по большому счёту безопасно, так как прочесть cookie может только тот сервер, который её установил.

Определить IP-адрес с помощью cookies невозможно, но использование сервером сохранённых данных может создать проблемы. Например, cookies могут привести к раскрытию связи между разными псевдонимами посетителя форума или сайта. Теоретически адресат может «зашить» в cookies любую информацию о себе, а другой «любопытный» ресурс может подцепить чужой cookie и узнать эту информацию.

Очевидно, что в целях максимальной приватности разумным решением было бы вообще не принимать cookies-файлы. Однако некоторые сайты требуют обязательной поддержки cookies и полное их отключение может сделать невозможной работу с ресурсом. Решается это просто: следует разрешить cookies, но запрещать прием cookies от чужого имени, избегать одновременных сеансов с разными ресурсами и обязательно удалять cookies-файлы после окончания сеанса.

 

Почти все вышеперечисленные дополнительные угрозы раскрытия анонимности решаются применением браузера Firefox совместно с расширением для этого браузера –Torbutton.

Разработчики системы Tor также настоятельно рекомендуют использование в качестве браузера Firefox и обязательно с расширением Torbutton. Такой вариант более тщательно изучается, чаще обновляется, и в нем реализованы дополнительные меры безопасности. Так Torbutton блокирует Java, Flash, ActiveX и другиe плагины, которые могут быть использованы для раскрытия вашего IP-адреса. Кроме того, Torbutton умеет обрабатывать cookies более безопасно.

Кроме того, в версии плагина Torbutton начиная с 1.2.0 добавлено несколько дополнительных возможностей безопасности, чтобы защитить вашу анонимность от всех главных угроз. Настройки, выставленные по умолчанию, должны быть подходящими (и самыми безопасными!) для большинства пользователей, но если вы хотите большей гибкости и безопасности, то можно выполнить следующие настройки плагина Torbutton:

1. Отключать плагины при использовании Tor! Эта опция является ключевой в безопасности Tor. Плагины выполняют свою работу в сети независимо от браузера, и многие плагины только частично подчиняются своим собственным настройкам прокси.

2. Ограничить динамическое содержание текущим режимом Tor.

3. Перехватывать опасный код Javascript!

Эта опция разрешает работу перехватывающего кода Javascript. Javascript встроен в страницы, чтобы перехватывать данные о дате и маскировать вашу временную зону, и, перехватывая данные о навигаторе, скрывать информацию об операционной системе и браузере. Эта функция не выполняется стандартными настройками браузера Firefox.

Целесообразно использовать Firefox с расширением Torbutton для анонимной работы в Интернет, а для обычной (неанонимной) работы — какой-либо другой браузер (например Opera), не торифицированный.

 

Довольно часто причиной раскрытия анонимности является беспечность и небрежность пользователя. Например, ранее вы пользовались своим почтовым ящиком не анонимно, а сегодня решили отправить письмо через сеть Tor, не раскрывая себя. Но в почтовом ящике остались логин и пароль с вашим подлинным IP-адресом. При желании, вашу анонимность уже можно раскрыть.

Поэтому надо взять себе за правило — для анонимной работы пользоваться одним набором логинов, паролей и т.д., а для неанонимной работы совсем другим набором. Это означает, что и почтовые ящики, номера счетов и прочие должны быть другими.

 

11. Блокирование Tor и как с ним бороться

 

Система Tor позволяет скрывать от провайдера конечные (целевые) адреса, тем самым прорывая возможную блокаду доступа к заблокированным им сетевым ресурсам. Также система Tor скрывает от целевых ресурсов адрес отправителя, тем самым снимая возможность нахождения пользователя или блокировки пользователей.

Однако и провайдер и сетевые ресурсы могут бороться с самим Tor путем блокировки его публичных узлов. Далее приводятся приемы борьбы с такими блокировками Tor.

 

1. Использования непубличных входных узлов (bridge-узлов)

В странах с интернет-цензурой провайдеры часто пытаются блокировать доступ к «запрещённым» интернет-ресурсам. (Не понимаю, почему какой-то урод будет решать какие сайты мне посещать, а какие — нет!)

Информационный поток данных, идущий от пользователя в сеть Tor маскируется под шифрованный SSL-трафик (протокол https) и распознать его по каким-то особенностям нереально. Однако провайдер всегда знает первичный адрес, по которому шлются данные. При работе через Tor это адрес первого узла анонимизирующей цепочки.

Tor — открытая система, поэтому все адреса публичных узлов Tor известны и нетрудно включить их в «чёрный список» с последующей блокировкой.

Иногда такую блокировку считают даже как уязвимость системы Tor.

Разработчики Tor предусмотрели такую ситуацию и создали некоторое подмножество непубличных входных узлов (bridge-узлов или мостов), узнать адреса которых можно только вручную и небольшими порциями.

На странице https://bridges.torproject.org можно найти адреса трех текущих bridge-узлов в формате proxy_host:proxy_port (например 188.40.112.195:443). Там же будет краткая инструкция по установке мостов. (Правда на английском языке.)

Если данная страница также заблокирована, то можно получить адреса bridge-узлов по почте, отправив письмо-запрос на bridges@torproject.org с заголовком и единственной строкой get bridges в теле письма.

Вставить в клиент Tor полученные bridge-узлы можно через его графическую оболочку Vidalia.

Для чего нужно: открыть окно Vidalia, нажать кнопку «Настройки » («Settings»), в открывшемся окне выбрать вкладку «Сеть » («Network»), пометить там галочкой пункт «Мой Интернет-провайдер блокирует доступ к сети Tor » («My ISP blocks connections to the Tor network»).

Скопировать адрес первого bridge-узла в поле «Добавить bridge » («Add bridge») и нажать кнопку «+». Таким же образом вставить и остальные bridge-узлы.

Нажать кнопку «Ok». Перезапустить Tor.

 

2. Добавления в конец цепочки Tor внешнего прокси

В настоящее время некоторые интернет-ресурсы блокируют или ограничивают доступ посетителей при использовании ими Tor. Видимо хотят контролировать своих посетителей (!?). (К сожалению сюда относятся даже такие известные сайты как Wikipedia, Gmail, ЖЖ, Linux.org.ru и другие.) Для такого блокирования составляется «чёрный список» всех (или почти всех) публичных выходных серверов системы Tor (блоклист) и запрещаются или ограничиваются посещения с этих серверов. Иногда можно посмотреть «чёрный список» по адресу https://proxy.org/tor_blacklist.txt, но скорее всего там будет сообщение типа «Зайдите завтра»

Простым способом преодоления блокирования со стороны интернет-ресурсов является добавление к цепочке Tor внешнего прокси-сервера. (Он не входит в «чёрный список».) Внешних прокси-серверов очень много и их можно легко найти в Сети (например, http://www.proxy-list.org/en/index.php/). Необходимо только, чтобы они поддерживали шифровку ssl трафика (для входа по защищенному каналу https) и желательно были «забугорными». Скопировать его адрес в формате: proxy_host:proxy_port.

Затем найти конфигурационный файл фильтрующего прокси Polipo:….conf и добавить в его конец строку parentProxy=proxy_host:proxy_port, где proxy_host:proxy_port — адрес «внешнего прокси».

После этого надо перезагрузить анонимный канал, т.е. Tor Browser.

Проверить анонимный канал можно на сайтах-анализаторах IP, (например http://www.ip-adress.com/what_is_my_ip/, или http://whatismyipaddress.com/, или http://geotool.servehttp.com/. Полученный IP-адрес должен совпадать с адресом внешнего прокси.

В результате добавления в конец цепочки Tor внешнего прокси, общение с целевым адресом (сайтом) пойдет через этот «чистенький» для блокировщика «внешний прокси».

 

12. Сравнительный анализ систем обеспечения анонимности

 

Итак, если, посетив какой-либо интернет-ресурс, вы оставили там свой реальный IP-адрес, то по нему легко узнать страну, где вы находитесь, город, название и адрес вашего провайдера, его телефон и e-mail. Если компьютер из организации, то адрес и название организации. Если компьютер физического лица, то данные о его владельце можно потом узнать у провайдера. Анонимность равна нулю.

Как уже упоминалось ранее, большинство способов сокрытия IP-адреса так или иначе связаны с использованием proxy-серверов и подменой на них IP-адреса.

Существует несколько типов proxy-серверов:

– HTTP proxy — наиболее распространенный тип прокси

– HTTPS proxy (SSL proxy) — то же самое, что HTTP, плюс шифрование

– CGI proxy — анонимайзеры (можно работать только через браузер)

– SOCKS proxy — анонимны по определению, могут работать с разными протоколами

Даже proxy одного типа могут иметь различную степень анонимности. Поэтому для начала следует разобраться, что представляет собой используемый прокси-сервер.

Существуют также различные программы для сокрытия IP-адреса пользователя. Это прежде всего «Steganos Internet Anonym » и программы серии «… Hide IP ».

Steganos пытается работать с прокси серверами, обычно устаревшими. Поэтому программа в принципе даже не всегда функциональна и хорошей (трудно раскрываемой) анонимности не обеспечит.

Программы типа Hide IP в бесплатном варианте (free) работают только с одним proxy сервером, иногда даже не анонимным и настойчиво предлагают купить платную версию (pro). Покупать не пробовал и другим не советую. Ибо платная версия подключит вас через один из широко известных серверов на территории США. Ваш IP-адрес явно светится не будет, но при желании найти вас через логи сервера будет не очень трудно.

Вобщем, это игрушки, широко разрекламированные, но слабофункциональные.

 

С точки зрения обеспечения анонимности намного лучше самому вручную или при помощи соответствующей программы построить цепочку из 2-3 анонимных proxy серверов. Но для этого нужно их найти, проверить на анонимность и выбрать (желательно разных стран). Потом из выбранных proxy серверов составить цепочку. Операция достаточно трудоёмкая, и кроме того, требует дополнительно наличия 3-5 программ.

При этом надо ещё учесть, что бывают как бесплатные так и платные прокси. (Также как платные и бесплатные программы). Как правило, с точки зрения предоставляемого сервиса, бесплатные прокси не отличается от платных proxy серверов, однако в их работе могут быть некоторые особенности — как преимущества, так и недостатки. Основным недостатком является то, что практически отсутствуют долго работающие бесплатные proxy. Как правило, через какое-то время они либо переходят в статус платных, либо прекращают работу.

аким образом, если удалось составить работоспособную цепочку из двух-трёх анонимных прокси серверов, из которых хотя бы один — SOCKS proxy, то можно считать, что достигнут неплохой уровень сокрытия IP-адреса.

 

Что ещё можно узнать о пользователе при посещении им web-сайта или почтового ящика?

Во-первых, если применяется нешифрованный протокол, то провайдер может знать весь текст передаваемого и получаемого сообщений. А в тексте могут быть имена, логины, пароли и т. д.

Во-вторых, кроме IP-адреса, который возможно удастся скрыть, от пользователя передаются значения некоторых переменных окружения (environment variables) с его компьютера. По ним можно установить язык браузера (если не английский, то это информация о национальности и стране), часовой пояс, тип браузера, тип операционной системы. Конечно, по этим данным человека не найти. Но кое-какая информация о нём будет получена.

 

Для создания надежно защищенных сетей была разработана технология VPN (англ. Virtual Private Network – виртуальная частная сеть). При работе через VPN подключённые пользователи работают так, как будто их компьютеры находятся в пределах единой локальной сети. Таким образом, все приложения, программы, браузеры будут работать через IP-адрес локальной сети VPN. Кроме того, в технологиях VPN используются средства криптографии (шифрование пакетов). Технология VPN имеет множество реализаций и описывать их здесь затруднительно.

Существенным фактором является и то, что этот сервис платный, и надо сказать не из дешёвых.

Продавцы услуг VPN, конечно же, обещают полную безопасность и анонимность. Так ли это?

На одном из форумов человек, который раньше работал на крупную структуру связанную с информационной безопасностью, рассказал об «анонимности» хакеров, использующих VPN (причём в связке с SOCKS-сервером). В его практике было 4 случая, когда подобная схема юным хакерам не помогала (2 дела даже дошли до суда).

Дело в том, что у заинтересованных людей уже есть список соответствий диапазонов IP-адресов VPN контор с конкретным провайдером услуг. Т.е. если поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP-адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования.

Т.е., использование VPN неплохой способ сокрытия данных, но не 100-процентный, и к тому же не бесплатный.

 

Система Tor обеспечивает надёжную защиту от провайдера (невозможность прочтения и скрытый конечный адрес). Также достаточно высокий уровень защиты анонимности IP-адреса на конечном адресате и на всех промежуточных серверах (нодах) сети. Единственная существенная брешь — это возможность прочтения передаваемой информации на выходе последнего выходного узла сети Tor (Exit Node). Опять же, такая возможность очень маловероятна, поскольку интересующимся организациям сразу найти конечный узел очень трудно. А с учётом постоянной смены серверов цепочки, это практически невозможно. Самое вероятное в этой бреши — это случайно наткнуться на «подставной» выходной сервер.

Сеть системы Tor строится на большом количестве волонтёров из разных стран, предоставляющих свои компьютеры для работы в качестве нод, и в том числе выходных. В журнале «Хакер» № 10/09 один человек делится опытом построения Exit Node на своём компьютере с хакерскими целями. За небольшой промежуток времени при помощи снифера ему удалось выудить пару логинов и паролей к иностранным трекерам. Не знаю, правда, как он собирается ими воспользоваться.

Есть конечно вероятность, что такой же ловушечный Exit Node организуют у себя на компе и соответствующие органы. Но тут имеется простое решение. В разделе «Тонкая настройка» было показано на конкретном примере, как можно запретить использование в качестве выходных серверов те, которые расположены в России, Украине и Белоруссии. Ну а если вашу информацию перехватят спецслужбы в Парагвае или в каком-нибудь Гонконге, так это на здоровье. Хотя вряд ли она принесёт им ощутимую пользу. Тем более, что IP-адреса то у них не будет!

На всякий случай, порекомендую не указывать открытым текстом при анонимной работе — своего имени, имён родственников и друзей, а также адресов, номеров телефонов и других координатных сведений. (Как говорил один политический деятель — «имена, пароли, явки».)

 

Здесь конечно же не будут рассматриваться методы сокрытия индивидуальной информации, связанные со взломом, проникновением в чужие сети и прочие закононепослушные приёмы. Тогда, если делать выбор из того, что было рассмотрено выше, то оптимальным выбором будет система Tor. Причём не только по соотношению «цена/качество», но и по удобству работы.

13. О построении узлов и мостов сети Tor

 

Как упоминалось ранее, сеть системы Tor строится по большей части усилиями добровольцев-волонтёров из разных стран, которые настраивают пакет Vidalia Bundle на своих компьютерах для работы в качестве ретрансляторов (нод).

Разработчики и идеологи Tor приветствуют создание узлов как можно большим числом пользователей и стараются сделать процесс создания узлов Tor простым и удобным, включая ограничение предоставляемой пропускной способности, правила вывода (с тем чтобы вы могли ограничить вашу незащищенность к возможным жалобам), и даже поддержку динамических IP-адресов. Правда инструкция по созданию и настройке узлов имеется на официальном сайте Tor только на английском языке.

Конечно, наличие множества узлов в разных уголках сети Интернет — это то, что обеспечивает безопасность пользователей Tor. Но с другой стороны, прежде чем прежде чем предоставлять свой компьютер для работы в качестве ноды, следовало бы серьёзно подумать.

Во-первых, если оплата за Интернет происходит по затраченному трафику или по времени подключения, то вы будете оплачивать чужую анонимность из своего кармана. Кроме того, работа ретранслятора требует 500-1000 Мбайт оперативной памяти.

Во-вторых, работая в качестве узла сети Tor человек серьезно подставляет себя. Ведь именно его IP-адрес будет светиться во время неизвестных действий анонимного пользователя. Известен случай, когда немецкая полиция арестовала человека, организовавшего у себя на компьютере ретранслятор Tor, через который неизвестный отправил ложное сообщение о теракте. Но если в Германии этому человеку удалось доказать свою невиновность (он вскоре был отпущен), то в России или Беларуси особо церемониться не станут. Какой-нибудь Басманный суд, не особенно вникая в технические детали, с лёгкостью влепит соответствующий срок.

 

Ретрансляторы типа мост (bridge) являются узлами Tor, которые не указаны в главной директории сети Tor. Это означает, что даже провайдеры, пытающиеся фильтровать соединения с сетью Tor, скорее всего, не смогут заблокировать все мосты. Создание «мостов» — это мера дополнительной предосторожности на случаи активного блокирования системы Tor провайдерами или даже правительствами.

Конфигурация моста практически не отличается от конфигурации обычного узла: разница состоит лишь в том, внесен ретранслятор в публичный список или нет.

Ну а стоит ли вам устанавливать обычный ретранслятор или ретранслятор типа мост? Решайте сами.

 

14. Скрытые сервисы

 

Кроме анонимности в Интернете и шифрования пакетов, Tor предоставляют своим пользователям уникальную возможность создавать бесплатно собственные веб-сайты и системы мгновенного обмена сообщениями, не открывая при этом информацию об истинном (географическом) местоположении ресурса.

Правда, посещать эти ресурсы смогут только пользователи системы Tor. Скрытые сервисы Tor находятся на псевдодомене верхнего уровня onion. Это значит что адреса скрытых сайтов будут выглядеть примерно так – http://hostname.onion.

Если вы видите имя веб сайта, заканчивающееся на.onion – это дескриптор скрытого сервиса. Это автоматически генерируемое имя, которое может располагаться на любом ретрансляторе Tor или клиентском компьютере, подключенном к сети Интернет по всему миру.

Анонимность тут полная. Посетители могут свободно публиковать свои материалы, не опасаясь давления цензуры. В результате никому не удастся определить адреса людей, предоставивших сайту свои материалы и никто из тех, кто посылает сообщения на сайт, не сможет узнать, кто им отвечает. Никто не сможет определить владельца сайта, и владелец сайта не сможет узнать, кто посещал сайт и публиковал там свои материалы.

Утверждают, что сделать такой сайт для своих друзей можно быстро и без знания программирования. При желании вы можете бесплатно создать сайт, форум или блог, для безопасного общения с друзьями и единомышленниками. Но помните, что туда могут попасть только пользователи Tor.

Создавайте и приглашайте друзей. Только, конечно же, не по телефону и не через прослушиваемые форумы.

Описание настройки и конфигурирования скрытых сервисов системы Tor вы сможете найти на сайте разработчиков, на странице «Конфигурирование скрытых сервисов» (Configuring Hidden Services for Tor) – https://www.torproject.org/docs/tor-hidden-service.html.en. К сожалению, такая страница имеется только на английском языке. (Кажется ещё и на польском). Кому очень нужно тот переведёт.

 

15. Как проверить работу Tor?

 

Чтобы проверить то, как Tor обеспечивает анонимность нужно зайти на один из сайтов, которые могут определять и высвечивать IP-адрес и некоторые другие данные о пользователе. Список приведен ниже.

Чтобы узнать свой настоящий IP-адрес — можно зайти на один из этих сайтов, не включая Tor. (Например, http://2ip.ru или тестовую страницу сайта Tor — https://check.torproject.org и т. д.) Запомнить свой IP-адрес и начать проверку.

Включить Tor и зайти последовательно на несколько проверочных сайтов.

Чтобы избежать ошибки проверка IP всегда должна выполнятся на ресурсах, гарантированно учитывающих разные нюансы. Т. е., если анонимность важна, то будет не лишним провериться в нескольких местах, не полагаясь на один сервис.

Ниже приведены ссылки на самые надежные и информативные ресурсы:

– Сайт содержит набор всевозможных тестов прокси сервера на анонимность, включая Java-проверку http://www.stilllistener.addr.com/checkpoint1/index.shtml

– Показывает IP-адрес и (исходя из этого IP) страну проживания, а также информацию о провайдере. http://www.anonymize.net/current-ID.phtml

– http://2ip.ru/ – на сайте есть анонимайзер и другие полезные функции.

– http://smart-ip.net/ – можно узнать адреса HTTP и SOCKS Proxy

– http://leader.ru/secure/who.html – хороший адрес для получения подробной информации о Вашем компьютере. Имеет сервис Whois!

– http://ip-whois.net/

– http://clientn.free-hideip.com/map/whatismyip.php

– http://smart-ip.net/tools/geoip

 

Если ни один из проверочных сайтов не высветил настоящий IP-адрес, значит Tor обеспечил вашу анонимность!

 

16. Неофициальное мнение скептика

 

На одном из сайтов, при обсуждении системы Tor, был задан такой вопрос: «По-моему, сеть Tor слишком хороша, чтобы быть безопасной. Может это просто приманка спецслужб? »

Скорее это даже не вопрос, а предположение. Исчерпывающий и понятный ответ на этот вопрос, конечно же, не был дан. Так, какие-то общие рассуждения о том, кто использует Tor, о целесообразности со стороны государства терпеть существование подобной анонимной сети, о злоумышленниках и т. д.

Точный ответ на этот вопрос могли бы дать только сами спецслужбы! Но они, как известно, не отличаются ни правдивостью, ни излишней откровенностью.

Попробуйте подумать самостоятельно. Что понимать под «приманкой»? Для кого эта «приманка»? Насколько она может быть эффективной?

Действительно, нельзя исключать попытку контроля соответствующими службами трафика миллионов людей, причём именно тех, которые хотят анонимно пользоваться Интернетом. Для этого спецслужбы предлагают им якобы универсальное и бесплатное средство — Tor, а сами потом пишут миллионы терабайт трафика, для последующего анализа и поиска интересной информации. Вариант ловли рыбы в мутной воде. Или добывание информации под видом борьбы с цензурой.

Кстати, рядовые пользователи могут легко проверить подменяется ли их IP-адрес на конечном ресурсе, но не могут проверить насколько защищена шифрованием информация, которую они отправляют. Приходится верить на слово!? Т.о., пользователь фактически получает бесплатного кота в мешке. (Подходит и аналогия с бесплатным сыром, который, как известно, находится только в мышеловке.)

Разработчики системы Tor (правильнее было бы назвать их администраторами проекта) утверждают, что программное обеспечение имеет открытый код и всякий, мол, может проверить, что там нет возможности отслеживать и перехватывать проходящий трафик.

Во-первых, далеко не всякий может это проверить, да большинство и не станет. А во-вторых, никто не может проверить того программного обеспечения, которое находится на серверах системы Tor. Имеются ввиду не серверы созданные волонтёрами, а корневые директории сети Tor (Directory Authority servers). Кто знает какие ключи шифрования имеются там и как они используются?

Далее. Система Tor сначала разрабатывалась по федеральному заказу, якобы для министерства обороны США. Интересно, а чем она не подошла американским военным? Они якобы отказались от неё и в 2002 году отдали каким-то якобы независимым разработчикам. Странная история.

А может она разрабатывалась по заказу ФБР или ЦРУ, а потом по вышеизложенной легенде началась её эксплуатация в качестве той самой приманки, о которой говорилось в вопросе о спецслужбах.

Всё это конечно на уровне гипотезы, но в серьёзных случаях, где требуется настоящая анонимность, я бы Tor использовать не стал. А с другой стороны, и полностью отказываться от него не нужно. Например, Tor вполне пригоден для посещения заблокированных провайдером сайтов. Он может защитить и от перехвата информации провайдером, при условии, конечно, что ваш провайдер не сотрудничает с американскими (или другими западными) спецслужбами. Т.е., при решении внутренних и не денежных вопросов (точнее тех, которые не заинтересуют западные спецслужбы и Интерпол) использование Tor не только не противопоказано, но даже рекомендовано.

При этом не следует забывать, что сеть Tor вовсе не является неуязвимой. А, кроме того, традиционные полицейские методы также могут быть достаточно эффективными против сервиса Tor.

 

Приложение 1. Обращение разработчиков Tor к пользователям

 

На сайте Torproject.org имеется следующее обращение разработчиков системы Tor к пользователям:

 

Хотите чтобы Tor заработал по настоящему?

… тогда пожалуйста поймите, что не достаточно просто установить его и начать использовать. Вы должны изменить ваши некоторые привычки и должным образом настроить программное обеспечение! Tor сам по себе НЕ сможет обеспечить вашу анонимность. Есть несколько основных узких мест, на которые следует обращать внимание:

a. Tor защищает только те сетевые приложения, которые посылают свой трафик через Tor – он не может волшебным образом сделать весь ваш трафик анонимным просто потому, что вы установили Tor. Мы рекомендуем использовать Firefox с расширением Torbutton.

b. Torbutton блокирует такие плагины обозревателей как Java, Flash, ActiveX, RealPlayer, Quicktime, Adobe PDF и другиe: использованы для раскрытия вашего IP-адреса. Например, это означает, что по умолчанию Вы не можете пользоваться Youtube. Если вам действительно нужен доступ к Youtube, вы можете перенастроить Torbutton, чтобы разрешить доступ к Youtube, но знайте, что тем самым вы открываете себя для потенциальных атак. Кроме того, такие расширения как панель инструментов Google узнают дополнительную информацию о сайтах, которые вы посещаете: они могут идти в обход Tor и/или разглашать приватную информацию. Некоторые предпочитают использовать два разных браузера (один для Tor, и другой — для работы в сети без Tor).

c. Будьте осторожны с куки: если вы использовали браузер без Tor и сайт выдал вам куки, оно может идентифицировать вас, даже если вы начнете использовать Tor снова. Torbutton пытается обработать куки безопасно. CookieCuller может помочь в сохранении тех куки, которые вы не хотите потерять.

d. Tor анонимизирует источник вашего трафика, и шифрует всё между вами и сетью Tor, и всё внутри сети Tor, но он не может зашифровать ваш трафик между сетью Tor и конечным получателем информации. Если вы передаете конфиденциальную информацию, вам следует дополнительно позаботится о шифровке передачи информации, как если бы вы работали без Tor – HTTPS или или иной способ шифровки и аутентификации из конца в конец. HTTPS Everywhere — расширение Firefox, разработанное совместно Tor Project и Electronic Frontier Foundation. Оно шифрует ваши связи с рядом крупных веб-сайтов.

e. Хотя Tor и блокирует атаки на вашу локальную сеть с целью выявления вашего расположения и воздействия на него, следует сказать о новых рисках: злонамеренные или неправильно настроенные выходные узлы Tor могут переслать вам неверную страницу, или даже послать вам встроенный Java-апплет так, как будто он от домена, которому вы доверяете. Будьте осторожны и не открывайте приложения и документы, скачанные через сеть Tor, предварительно не убедившись в их целостности.

f. Tor пытается предотвратить, чтобы атакующие узнали, к какому компьютеры вы подключаетесь. Это не мешает кому либо, наблюдающему ваш трафик, понять, что вы используете Tor. Вы можете смягчить (но не в полном объеме устранить) этот риск с использованием моста реле Tor, а не непосредственного подключения к сети общего пользования Tor; но в конечном итоге лучшей защитой здесь является социальный подход: чем больше пользователей Tor рядом с вами и более разнообразны их интересы, тем менее опасным будет тот факт, что вы один из них.

g. Do not use BitTorrent and Tor together unless you are using a system like TAILS.

Подойдите к изучению материала с умом. Постарайтесь понять, что Tor может, а чего не может. Неверно думать, что список узких мест предопределён и окончателен, нам нужна ваша помощь в определении и описании всех возможных проблем.

 

 

Приложение 2. Конфигурационный файл клиента Tor.

 

Конфигурационный файл torrc находится в папке <Documents and Settingslt;пользователь>Data

Программа Tor при загрузке считывает конфигурационный файл и устанавливает рабочие параметры в соответствии со значениями команд в файле torrc.

Здесь приводится простейший (базовый) вариант конфигурационного файла

 

# This file was generated by Tor; if you edit it, comments will not be preserved

# The old torrc file was renamed to torrc.orig.1 or similar, and Tor will ignore it

# If set, Tor will accept connections from the same machine (localhost only)

# on this port, and allow those connections to control the Tor process using

# the Tor Control Protocol (described in control-spec.txt).

ControlPort 9051

# Where to send logging messages. Format is minSeverity[-maxSeverity]

# (stderr|stdout|syslog|file FILENAME).

Log notice stdout

# Bind to this address to listen to connections from SOCKS-speaking

# applications.

SocksListenAddress 127.0.0.1

 

Изменения (добавление строк) конфигурационного файла приводят к изменениям параметров работы Tor.

 

Приложение 3. Конфигурационный файл фильтрующего прокси Polipo

 

Здесь приводится простейший вариант конфигурационного файла polipo.conf (только незакомментированные команды).

 

### Basic configuration

proxyaddress = «127.0.0.1″

proxyport = 8118

 

allowedclients = 127.0.0.1

allowedports = 1-65535

 

proxyName = «localhost»

 

cacheIsShared = false

 

socksParentProxy = «localhost:9050″

socksProxyType = socks5

 

chunkHighMark = 33554432

 

diskCacheRoot = «»

 

disableLocalInterface = true

disableConfiguration = true

 

dnsUseGethostbyname = yes

 

disableVia = true

 

censoredHeaders = from,accept-language,x-pad,link

censorReferer = maybe

 

maxConnectionAge = 5m

maxConnectionRequests = 120

serverMaxSlots = 8

serverSlots = 2

tunnelAllowedPorts = 1-65535

 

Приложение 4. FAQ (Часто задаваемые вопросы)

 

Как проверить, что клиент Tor настроен и работает верно?

См. 15. Как проверить работу Tor?

 

Может ли первый сервер меня идентифицировать?

Он знает только IP-адрес, но не знает текста сообщения. Первый из трех серверов может видеть зашифрованный трафик Tor, исходящий с вашего компьютера. Однако он не знает, кто вы и что вы делаете посредством сети Tor. Он только лишь видит, что с вашего IP-адреса используется Tor. Сервис Tor не является незаконным нигде в мире, так что просто использование Tor – не проблема.

 

Может ли третий сервер видеть мой трафик?

Теоретически это возможно. Третий из трех серверов может видеть текст трафика, т.к. на последнем узле происходит его расшифровка. Но ему не будет известно, кто прислал этот трафик. Если же вы используете шифрование, например, при использовании сервисов работы с банковским счетом через Интернет (всегда шифрованное соединение), при посещении веб сайта электронной торговли (всегда шифрованное соединение) и т. д., то узлу будет известно только направление информационного обмена.

 

Какие программы можно использовать с Tor?

В принципе подключить к Tor можно любые сетевые приложения, работающие по транспортному протоколу TCP. (См. 10. Торификация приложений). Однако существует два важных пункта «Торификации» программ: анонимность уровня соединения и анонимность уровня приложения. Анонимность уровня соединения реализуется пересылкой данных через сеть Tor. Для обеспечения анонимности уровня приложения вам необходимо убедиться, что информация, рассылаемая приложением, не содержит конфиденциальной информации. Эта вторая часть должна делаться на базе конкретной программы, поэтому вряд ли можно так сразу рекомендовать большое количество программ для безопасного использования с Tor. Обычно это браузер.

Большая часть работы была сфокусирована на браузере Firefox. Пакет программ, предоставленный на сайте, автоматически устанавливает дополнение Torbutton для Firefox, если у вас установлен Firefox. Начиная с версии 1.2.0, приложение Torbutton заботится о проблемах, связанных как с уровнем соединения, так и с уровнем приложения.

 

Почему Tor работает медленно?

Tor никогда не будет «летать». Ваш трафик проходит через сеть волонтерских компьютеров в разных частях света, так что «узкие места» и сетевая задержка всегда будут существовать. Вам не стоит ожидать высокоскоростного широкополосного подключения через Tor. Впрочем, это не означает, что сеть не может быть улучшена.

 

При работе через сеть Tor меня постоянно отключает от веб-сервиса с требованием повторно ввести логин и пароль. Почему?

Когда вы работаете через Tor, ваш IP, который видят серверы, регулярно меняется. Некоторые веб-сервисы, например, почтовые службы, рассматривают такую смену IP-адреса пользователя в течение одного сеанса работы как попытку взлома (т.н. перехват сессии), отключают пользователя и просят его снова предоставить свои реквизиты доступа, чтобы доказать свою легитимность.

Чтобы избежать этого, вам нужно открыть конфигурационный файл torrc и прописать в нём вверху команду TrackHostExits и через пробел — адреса тех сайтов, на которых возникают такие проблемы (это могут быть вообще любые хосты, при соединении с которыми вы не хотите, чтобы Tor переключал цепочки и менял ваш IP). Если вводите несколько адресов, разделите их запятыми. Например, если ввести:

TrackHostExits mail.rambler.ru

то постоянный IP у вас будет только на mail-сервисе Рамблера; если же указать:

TrackHostExits.rambler.ru

тогда IP не будет меняться на любых страницах сайта rambler.ru и на всех его сервисах.

Учтите, что использовать команду TrackHostExits и постоянный IP (в течение сеанса) следует только если работа в ином случае становится невозможной. Пока ваш IP (т.е. выходной Tor-узел в цепочке, через которую передаётся трафик) остаётся статичным, у противника появляется больше шансов отследить ваше истинное расположение по статистическим показателям работы сети Tor.

 

Достаточно ли 3-х звеньев цепочки Tor для анонимности?

Размерность в три звена задана жестко в коде программы, и не изменяется через конфигурационные файлы. Причин у этого две: безопасность и производительность.

Три – это оптимальная величина, поскольку интерактивная природа TCP, на уровне которого оперирует Tor, делает наиболее опасными атаки пересечения. Эти атаки эффективны при съёме трафика с начального узла (или перед ним) и с конечного узла (или после него), причём число промежуточных узлов не вносит существенного влияния на эффективность атаки. Вместе с тем нельзя задать длину цепочки меньше 3-х без ущерба в анонимности.

 

Возможно ли удлинить цепочку Tor за счёт дополнительных прокси-серверов?

Если вы используете Tor в связке с Privoxy или Polipo, то можете добавить один HTTP-прокси после цепочки Tor-узлов. Чтобы сделать это, откройте файл конфигурации Privoxy (Main Configuration), найдите в нём строку вида

forward-socks4a / 127.0.0.1:9050.

и замените точку в конце на адрес нужного прокси-сервера.

 

Теоретически, программы типа FreeCap позволяют выстраивать произвольные цепочки из Socks-прокси-серверов, в которые могут быть встроены и цепочки Tor. Практически, однако, это не всегда возможно (особенно в среде Windows).

 

Как заставить трафик выходить из сети Tor в определённой стране?

Откройте какой-либо сайт статистики Tor (к примеру, https://torstat.xenobite.eu/). В поле сортировки выберите упорядочение по стране (например de). В результате получите некоторое количество немецких exit-узлов (проверьте поле Exit – YES). Сайты выделенные розовым полем принадлежит к числу быстрых.

Откройте файл конфигурации Tor и внесите в него:

 

ExitNodes nickname1,nickname2,…

StrictExitNodes 1

 

Вместо nickname1,nickname2, разумеется, подставьте реальные имена узлов.

Перезапустите Tor

Имейте в виду, подобная практика не повысит вашу анонимность, независимо от правового режима той или иной страны. Не забудьте перед возвращением к нормальной работе Tor вернуть настройки в исходное состояние (закомментировать строчки) и снова перезапустить программу. Или запускайте Tor с отдельным конфигом.

 

Почему Google блокирует поисковые запросы через Tor?

Время от времени некоторые безответственные лица используют Tor для поиска через Google уязвимых веб-сайтов. Google поддерживает базу таких подозрительных поисковых запросов, и в случае превышения их числа с конкретного IP, блокирует этот адрес, выдавая в дальнейшем предупреждение, что «ваш компьютер может быть заражён вредоносным ПО, осуществляющим поиск ».

Поскольку количество exit-узлов в сети Tor ограничено, при всплесках подобной активности они практически все оказываются в списке заблокированных Гуглом. Эта блокировка временная, и через несколько часов она автоматически снимается. Иногда помогает переключение exit-узла, т.к. не все же они заблокированы.

 

Можно ли в сети Tor использовать цепочку из одного узла ради повышения скорости (как обычный прокси-сервер)

Такая возможность в последних версиях Tor появилась, хотя разработчики долго возражали против её реализации. В конфигурационный файл можно внести параметр

ExcludeSingleHopRelays 0.

Но следует учитывать, что при этом анонимность пользователя падает не только по причине того, что он использует узлы сети как обычный однохоповый прокси. Для однохоповых прокси-соединений будут использоваться лишь те exit-узлы, в которых включена опция AllowSingleHopExits 1. Число таких узлов крайне мало, так как для операторов таких узлов увеличивается вероятность конфискации серверов с целью проведения следственных мероприятий, а трафик таких узлов имеет больше вероятности быть прослушанным, так как позволяет легко отслеживать пользователей. Использование данной опции крайне не рекомендуется.

 

Может ли запуск собственного сервера Tor повысить анонимность пользователя, если он также будет использовать его и в качестве клиента?

Если провайдер пользователя (ISP) будет вести логи соединений, то при запущенном сервере Tor объём таких логов станет очень большим и на фоне очень большого числа проходящих соединений отследить активность пользователя будет сложнее, включая время выхода в сеть, объём переданной и полученной информации. (За исключение случаев, когда ISP использует систему статистического анализа, специально рассчитанную на отслеживание цепочек Tor. Тогда анонимность пользователя будет не лучше, но и по крайней мере не хуже простого tor-клиента.

Разработчики утверждают, что локальный пользователь сервера Tor лучше защищён от ряда атак, при которых наблюдатель не может контролировать статистику трафика пользователя на уровне ISP. На данный момент этот вопрос исследован недостаточно.

 

Что такое корневые директории сети Tor?

Directory Authority servers (DA) – корневые директории, серверы сбора и аутентификации статистики сети. Формально они независимы, но их число очень мало, отпечатки их ключей помещены в исходники программы Tor.

DA проверяют узлы сети Tor, формируют файл статистики и голосуют между собой для сравнения результатов, формируя подписанный своими ключами файл-консенсус, которому будут доверять участники Tor-сети.

 

Что такое сторожевые узлы сети Tor?

Программа Tor-клиент выбирает список стабильных и высокоскоростных узлов в случайном порядке (но один раз при первоначальном запуске) и старается создавать соединения через один или небольшое число входящих узлов в порядке этого списка, а сам список менять как можно реже (по мере выхода узлов из сети, сверяя свой список со статистикой).

Такие входящие узлы называются сторожевыми (guard nodes). Т.о., вход в сеть Tor осуществляется через редко меняющиеся сторожевые узлы.

 

Используется ли Tor для рассылки спама?

Правила выводных узлов Tor установленные по умолчанию запрещают отправку трафика через 25 порт (SMTP). Таким образом, отправка спам писем через Tor не будет работать. Т.о., сеть Tor не подходит для спама, потому как почти все ретрансляторы Tor настроены на запрет отправки исходящей почты. Гораздо проще использовать для рассылки спама обычный прокси-сервер. Кроме того, спамеры отлично справлялись со своей «работой» и до появления сервиса Tor.

 

Чем чревато использование неподлинной версии программного обеспечения Tor?

Программное обеспечение Tor поставляется с встроенным списком локаций и публичных ключей для каждого управления директорией. Таким образом, единственной возможностью заставить пользователей использовать фальшивую сеть Tor — это предоставлять им модифицированные версии программного обеспечения. Поэтому рекомендуется скачивать пакеты программ только с официального сайта Tor.

 

Как пользователи могут узнать, верную ли версию программного обеспечения они используют?

Код источника или пакета программ, скачанные с сайта разработчиков, обязательно оснащаются цифровыми подписями с GNU Privacy Guard.

 

Приложение 5. Полезные программы и ресурсы Сети

 

 

1. Лучшие сайты-анализаторы IP

 

Сайты на которых можно установить под каким IP-адресом вас видят на посещаемых ресурсах приведены в «15. Как проверить работу Tor? »

 

2. Сайты со списками прокси-северов

 

http://www.xroxy.com/proxylist.htm – сайт предлагает часто обновляемый список HTTP прокси серверов.

 

http://www.proxy-list.org Только рабочие бесплатные прокси сервера. Автоматическая перепроверка прокси серверов каждые 10 минут. Сортировка и вывод результата по latency.

 

http://www.freeproxylists.com Этот web-сайт содержит тонны списков различных типов прокси для всех нужд.

 

http://proxies.my-proxy.com Ежедневно обновляемые списки прокси, онлайн прокси чекер, определение страны по IP и многое другое.

 

http://www.atomintersoft.com/products/alive-proxy/proxy-list Постоянно обновляемый список бесплатных proxy-серверов (имеются HTTP, HTTPS, SOCKS 4, SOCKS 5). Кроме того, там имеется и Proxy Checker. На этом сайте я нашёл даже белорусские прокси! (http://www.atomintersoft.com/proxy_list_Belarus_by)

 

http://emoney.al.ru/security Сайт содержит отличные материалы о безопасности в Internet — подробное описание, «почему» Вам нужно быть анонимным в Сети. Также содержит материалы об анонимных прокси и анонимной почте.

 

http://multiproxy.org/anon_proxy.htm Периодически обновляемый список proxy-серверов, есть онлайновая проверка анонимности proxy, и программа proxy-сервер.

 

http://www.cybersyndrome.net Огромный список прокси. Как написано на сайте «список прокси обновляется каждые 3 часа». Прокси лежат в удобном формате (host/ip:port).

 

http://www.checker.freeproxy.ru/checker/last_checked_proxies.php Здесь можно найти разные прокси и много полезных ссылок.

 

Вообще-то сайтов со списками прокси-северов в Сети без счёта. Тут перечислены самые лучшие.

 

3. Полезные программы

 

SocksChain – одна из самых функциональных программ, предназначенных для работы с прокси. Может создавать цепочки из SOCKS/HTTP proxy произвольной длинны, кроме того осуществляет port mapping (переадресация TCP трафика) через proxy сервер (или через цепочку прокси). Лёгкая настройка приложений на работу с SocksChain. Создаёт собственный, постоянно обновляемый список прокси. Это весьма удобно.

Программа платная. В бесплатной версии количество доступных серверов ограниченно сотней штук. Ограничение, в принципе, не очень критичное. (Скачать можно с — http://www.sockschain.com/socks/)

 

FreeCap – осуществляет соксификацию программ (для программ, не умеющих работать с proxy). Поддерживает цепочки прокси, умеет работать с SOCKS 4/5, HTTPS proxy. (Скачать можно с — http://www.freecap.ru/?p=download)

 

SocksCap – осуществляет соксификацию программ.

 

HTTPort – организует port mapping через HTTP proxy. За счет этого Вы можете работать с почтой, IRC и другими программами через прокси. (Скачать можно с — http://www.htthost.com/)

 

Socks Connector – программа позволяет организовать port mapping через SOCKS/HTTPS proxy сервер. Аналог HTTPort. (Описание — http://www.freeproxy.ru/ru/programs/socks_connector.htm)

 

HTTP-Tunnel – позволяет пропускать любой TCP трафик через корпоративный proxy сервер (организует локальный Socks proxy). (Скачать можно с — http://www.http-tunnel.com/HT_Products_HTTPTunnelClient.asp)

 

Proxy Checker – осуществляет проверку списка HTTP(S) proxy серверов. Позволяет брать списки proxy из файлов разных форматов (htm и txt), проверять proxy на анонимность, проверять HTTP proxy на поддержку FTP, HTTPS. (Скачать можно с — http://www.freeproxy.ru/download/P_Checker.exe)

 

SOCKS Proxy Checker – осуществляет проверку списка SOCKS 4/SOCKS 5 / HTTPS(CONNECT) прокси серверов. Позволяет брать списки прокси из файлов разных форматов (htm и txt). Может проверять списки прокси любых размеров! Бесплатная версия. Дистрибутив содержит ссылки на списки свежих SOCKS proxy серверов. (Скачать можно с — http://www.freeproxy.ru/download/socks_checker.exe)

 

DNS Resolver – преобразует IP-адреса в списке proxy-серверов в доменные имена — DNS (для выборки скажем русских прокси), а также может преобразовывать DNS в IP-адреса. (Скачать можно с — http://www.freeproxy.ru/download/dns_resolver.exe)

Построение защищённых соединений

Туннелирование

В ОС Linux поддерживаются 3 типа тоннелей. Это туннелирование IP в IP, GRE туннелирование и тоннели не-ядерного уровня (как, например, PPTP).
С помощью туннелей происходит объединение разных сетей, расположенные в разных местах в единое информационное пространство
Туннелирование увеличивает нагрузку на систему и сеть, потому что добавляются дополнительные IP-заголовки. Обычно, это 20 байт на пакет. Таким образом, если обычный размер пакета (MTU) в сети равен 1500 байтам, то при пересылке по тоннелю, пакет может содержать только 1480 байт. Это не обязательно становится проблемой, но помните о необходимости правильной настройки фрагментации пакетов, если вы соединяете большие сети.
Туннели настраивается с обеих сторон.

IP В IP

Этот тип туннелирования используется в Linux давно. Для его работы требуются два модуля ядра: ipip.o и new_tunnel.o.

Пример:


Есть три сети: внутренние сети A и B, и промежуточная сеть C (например, Internet).
Сеть A:

сеть          10.0.1.0
маска         255.255.255.0
маршрутизатор 10.0.1.1

Адрес маршрутизатора в сети С  172.16.17.18.

Сеть B:

сеть          10.0.2.0
маска         255.255.255.0
маршрутизатор 10.0.2.1

Адрес маршрутизатора в сети С 172.19.20.21.

 

Мы полагаем, что сеть C передает пакеты от A к B и наоборот. Такой сетью может служить даже Internet.

Алгоритм действий:

Убедитесь, что все необходимые модули загружены:

insmod ipip.o
insmod new_tunnel.o

на маршрутизаторе сети A выполните команды:

ifconfig tunl0 10.0.1.1 pointopoint 172.19.20.21
route add -net 10.0.2.0 netmask 255.255.255.0 dev tunl0

на маршрутизаторе сети B выполните команды:

ifconfig tunl0 10.0.2.1 pointopoint 172.16.17.18
route add -net 10.0.1.0 netmask 255.255.255.0 dev tunl0

Когда нужно отключить тоннель, необходимо выполнить команду:

ifconfig tunl0 down

Через тоннель IP в IP нельзя передавать широковещательные пакеты или пакеты IPv6. Вы можете только соединить 2 сети IPv4, которые в обычной ситуации не могли бы работать друг с другом. При нынешнем положении вещей, совместимость этого кода доходит до ядер версии 2.6.  Туннелирование Linux IP в IP не работает с другими операционными системами и маршрутизаторами. Очень простое решение, если оно вам подходит – используйте его, если вам нужно больше – используйте GRE или IPSec.

GRE туннели

GRE это протокол туннелирования, который был разработан фирмой Cisco. Через GRE туннель могут быт переданы broadcast (широковещательные запросы), multicast и unicast (групповые рассылки), трафик IPv6.
В ОС Linux для установки GRE соединений необходим модуль ip_gre.o.

Туннелирование IPv4

Есть три сети: внутренние сети A и B, и промежуточная сеть C (например, Internet).

Сеть А:

сеть          10.0.1.0
маска         255.255.255.0
маршрутизатор 10.0.1.1

Адрес маршрутизатора в сети С  172.16.17.18. Назовем эту сеть neta

 

сеть B:

сеть          10.0.2.0
маска         255.255.255.0
маршрутизатор 10.0.2.1

Адрес маршрутизатора в сети С — 172.19.20.21. Назовем эту сеть netb

 

Мы полагаем, что сеть C передает пакеты от A к B и наоборот. Как и почему неважно.

На маршрутизаторе сети A, вам необходимо сделать следующее:

        
ip tunnel add netb mode gre remote 172.19.20.21 local 172.16.17.18 ttl 255
ip link set netb up
ip addr add 10.0.1.1 dev netb
ip route add 10.0.2.0/24 dev netb

Объяснение команд:
В первой строке мы добавляем тоннельное устройство и присваиваем ему имя netb (имея при этом ввиду место, куда мы хотим попасть).
Потом мы сообщаем, что хотим использовать протокол GRE (mode gre), удаленный адрес 172.19.20.21 (второй маршрутизатор), и адрес с которого должны отправляться данные, предназначенные для передачи по этому тоннелю 172.16.17.18 (это позволяет вашему маршрутизатору иметь несколько IP-адресов в сети C и оставлять возможность выбора конкретного адреса для тоннеля) и, наконец, TTL-поле пакета должно равняться 255 (ttl 255).
Вторая строка переводит устройство в активное состояние.
В третьей строке мы присваиваем созданному интерфейсу born адрес 10.0.1.1. Это нормально для небольших сетей, но когда вам необходимо использовать много тоннелей, возможно вам нужно будет выбрать другой диапазон адресов для тоннельных интерфейсов. Диапазон туннельных адресов не должен использоваться более нигде, чтобы не возникало никаких проблем с возможными совпадениями IP адресов в других сегментах Интранета.
В четвертой строке определяется маршрут к сети B. Обратите внимание на формат представления сетевой маски. Если вы не знакомы с такой нотацией, краткое пояснение: записываете сетевую маску в двоичной форме и считаете все “единички”. Если вы не знаете как это делается, тогда просто запомните, что:
255.0.0.0 соответствует маске 8
255.255.0.0 соответствует маске 16
255.255.255.0 соответствует маске 24
255.255.254.0 соответствует маске 23

Настройка маршрутизатора сети B.

ip tunnel add neta mode gre remote 172.16.17.18 local 172.19.20.21 ttl 255
ip link set neta up
ip addr add 10.0.2.1 dev neta
ip route add 10.0.1.0/24 dev neta

Когда захотите отключить туннель, выполните на маршрутизаторе A:

ip link set netb down
ip tunnel del netb

Конечно, вы можете изменить netb на neta и выполнить эту команду на маршрутизаторе B.

Туннелирование IPv6

Предположим у вас есть сеть IPv6 и вы хотите подключить ее к sixbone, или к другой удалённой сети.

Network 3ffe:406:5:1:5:a:2:1/96

Ваш адрес IPv4 это 172.16.17.18, а маршрутизатор 6bone имеет адрес 172.22.23.24.

ip tunnel add sixbone mode sit remote 172.22.23.24 local 172.16.17.18 ttl 255
ip link set sixbone up
ip addr add 3ffe:406:5:1:5:a:2:1/96 dev sixbone
ip route add 3ffe::/15 dev sixbone

Рассмотрим более подробно команды.
В первой строке мы создали тоннельное устройство с именем sixbone. Тоннелю задан режим sit (что значит туннелирование IPv6 в IPv4), целевой адрес и адрес источника. TTL установлен в максимальное значение, 255. Далее, мы активируем устройство. После этого задаем наш сетевой адрес и определяем маршрут для 3ffe::/15 (что есть вся сеть sixbone) через тоннель.

Тоннели GRE являются достаточно удобными для организации единого информационного пространства для бизнеса. Это стандарт, который используется за пределами сообщества Linux. Правда применяется в основном с оборудованием Cisco.

Туннелирование IPv6 при помощью Cisco и/или sixbone

Это еще один вариант применения возможностей туннелирования IPv6. Он популярен среди специалистов, использующих протокол IPv6. Практический пример, описанный ниже не единственный способ организовать туннелирование IPv6.
Этот метод часто используется при создании туннеля между Linux и маршрутизатором Cisco. Опыт говорит, что многих пользователей интересует именно этот.

Об адресах IPv6:

По сравнению с адресами IPv4, адреса IPv6 действительно большие: 128 бит по сравнению с 32 битами. Это дает нам именно то, что нужно – очень много IP-адресов, если быть более точным: 340,282,266,920,938,463,463,374,607,431,768,211,465. Кроме этого, IPv6 (или IPng, сокращение от IP Next Generation) позволяет уменьшить таблицы маршрутизации на магистральных маршрутизаторах Internet, упростить конфигурацию оборудования, увеличить безопасность на уровне IP и улучшить качество обслуживания (QoS).

Пример ip address IPv6: 2002:836b:9820:0000:0000:0000:836b:9886

Использование адресов IPv6 может оказаться весьма трудным. Потому, существуют некоторые правила:

  • Не используйте лидирующие нули. Аналогично с IPv4.
  • Используйте двоеточия для отделения каждой 16-битной (2-байтной) группы.
  • Если в адресе есть последовательность нулей, ее можно записать как ::.
    Это можно сделать только один раз в адресе и только для кратных 16-ти битам последовательностей.

Так, например, адрес 2002:836b:9820:0000:0000:0000:836b:9886 может быть записан как 2002:836b:9820::836b:9886, что гораздо короче и удобней.

Другой пример, адрес 3ffe:0000:0000:0000:0000:0020:34A1:F32C может быть записан как 3ffe::20:34A1:F32C, что значительно короче.

IPv6 предназначен для замены текущего IPv4. Поскольку это относительно новая технология, пока не существует всемирной сети, где в качестве основного протокола используется IPv6. Для быстрейшего продвижения этой технологии, была создана sixbone.

Сети основанные на IPv6 соединяются одна с другой инкапсуляцией IPv6 в IPv4 и пересылкой по существующей инфраструктуре IPv4.
Именно здесь применяются тоннели.

Для того, чтобы использовать IPv6, наше ядро должно иметь его поддержку. Существует много хороших описаний, как это сделать. Но все сводится к нескольким шагам:

  • Возьмите достаточно новую версию дистрибутива Linux, с соответствующей glibc.
  • Обновите исходные тексты ядра.

После этого можно приступать к сборке ядра, с включенной поддержкой IPv6:

  • Перейдите в каталог /usr/src/linux и запустите:
  • make menuconfig
  • Перейдите в раздел “Networking Options”
  • Отметьте пункты “The IPv6 protocol”, “IPv6: enable EUI-64 token format”, “IPv6: disable provider based addresses”
Не используйте “модули”. Часто они плохо работают.

Другими словами, код поддержки IPv6 должен быть связан с ядром статически. Теперь сохраните конфигурацию и соберите ядро.

 

Перед сборкой измените строку в Makefile: EXTRAVERSION = -x ; –> ; EXTRAVERSION = -x-IPv6
Процедура сборки и компиляции ядра операционной системы выходит за рамки этого документа.
Если вы будете испытывать трудности на этом этапе, обратитесь к соответствующей документации.

Начать стоит с файла /usr/src/linux/README.
После того, как вы разберетесь с вопросом сборки и компиляции ядра, выполните после перезагрузки операционной системы  команду /sbin/ifconfig -a. Вы должны будете увидеть новый класс устройств sit0-device, где SIT означает Simple Internet Transition.
Чтобы подключить ваш хост или сеть к другой сети IPv6,  вам необходимо проделать следующее:

Предположим, что у вас имеется сеть IPv6 3ffe:604:6:8::/64 и вы хотите подключить ее к sixbone или аналогичной ей. Обратите внимание, что нотация /64 означает тоже самое, что и в обычном IP адресе.

Ваш адрес IPv4 145.100.24.181, а адрес маршрутизатора sizbone 145.100.1.5

# ip tunnel add sixbone mode sit remote 145.100.1.5 [local 145.100.24.181 ttl 255]
# ip link set sixbone up
# ip addr add 3FFE:604:6:7::2/126 dev sixbone
# ip route add 3ffe::0/16 dev sixbone

Объяснение команд:
Первой строкой создается интерфейс тоннеля с именем sixbone и определяется его режим sit (туннелирование IPv6 в IPv4), а так же указываются адреса отправителя и получателя. Напоследок устанавливается максимальный TTL  255.В следующей строке интерфейс активируется (up). Далее, добавляется наш сетевой адрес и задается маршрут к сети 3ffe::/15 (что на сегодняшний день является всей sixbone) через тоннель. Если машина, на которой выполняются эти команды, является шлюзом IPv6, то нужно будет выполнить еще и такие команды:

# echo 1 >/proc/sys/net/ipv6/conf/all/forwarding
# /usr/local/sbin/radvd
radvd, как и zebra, демон маршрутизации, поддерживающий авто конфигурационные возможности IPv6.
Более детальную информацию ищите в сети Internet.
Проверить настройку системы можно командой:
# /sbin/ip -f inet6 addr

Если на вашем шлюзе IPv6 запущен radvd и вы загрузите в вашей сети систему Linux с поддержкой IPv6, то сможете оценить возможности автоматической настройки IPv6:

# /sbin/ip -f inet6 addr
1: lo: <LOOPBACK,UP> mtu 3924 qdisc noqueue inet6 ::1/128 scope host

3: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 100
inet6 3ffe:604:6:8:5054:4cff:fe01:e3d6/64 scope global dynamic
valid_lft forever preferred_lft 604646sec inet6 fe80::5054:4cff:fe01:e3d6/10 
scope link

Теперь можно сделать следующий шаг и настроить bind для адресов IPv6. У типа A существует эквивалент для IPv6: AAAA. Для in-addr.arpa эквивалентом является: ip6.int.
Существует много приложений поддерживающих IPv6 и их количество все время увеличивается. Это secure shell, telnet, inetd, браузер Mozilla, веб-сервер Apache и многие другие. Но все это выходит за рамки данного документа ;-)На стороне Cisco конфигурация должна выглядеть примерно так:

!
interface Tunnel1
description IPv6 tunnel
no ip address
no ip directed-broadcast
ipv6 address 3FFE:604:6:7::1/126
tunnel source Serial0
tunnel destination 145.100.24.181
tunnel mode ipv6ip
!
ipv6 route 3FFE:604:6:8::/64 Tunnel1

Если в вашем распоряжении нет Cisco, можно попробовать использовать тоннельные брокеры IPv6, которых сейчас в Internet существует большое количество. В большинстве случаев они не откажут вам в создании дополнительного тоннеля к вам на своих маршрутизаторах Cisco. Чаще всего это можно сделать при помощи web-интерфейса.
Поищите фразу “ipv6 tunnel broker” в вашей любимой поисковой системе.

Методы построения туннелей не уровня ядра.

Существует буквально масса реализаций тоннелей не уровня ядра. Наиболее известными являются PPP и PPTP.
Но на самом деле методов построения туннелей не уровня ядра гораздо  больше.
Примеры способов построения туннелей не уровня ядра:
проприетарные;
высоко защищенные;
не использующие IP уровень
Обсуждение данных туннелей и способов их построения выходит за рамки этого документа.

 

Туннели  с использованием IPSEC. Безопасная передача данных протоколами IP через публичную сеть Интернет.

 Задать вопрос

Рубрика: VPN

IPRoute2

ВВЕДЕНИЕ

Этот документ расскажет, как повысить эффективность управления трафиком в системах маршрутизации, построенных на базе Linux с помощью пакета iproute2.

 

1 ОГРАНИЧЕНИЯ И ЛИЦЕНЗИОННЫЕ СОГЛАШЕНИЯ

Этот документ распространяется в надежде на то, что он окажется полезным для вас, но без каких-либо гарантий, явных или подразумеваемых, включая, но не ограничиваясь ими, подразумеваемые гарантии коммерческого успеха и пригодности в конкретных целях.

Короче говоря, если ваша магистраль STM-64 была взломана и по ней стала распространяться порнография вашим самым уважаемым клиентам – это не наша вина. Уж простите.

Держателями авторских прав на этот документ являются: Bert Hubert, Gregory Maxwell, Martijn van Oosterhout, Remco van Mook, Paul B. Schroeder и другие. Этот материал может распространяться только на условиях Open Publication License, v1.0 или более поздней (самую последнюю версию текста лицензии вы найдете по адресу http://www.opencontent.org/openpub).

Допускается свободное копирование и распространение (в том числе и продажа) этого документа в любом виде. Настоятельно просим о всех, вносимых вами изменениях (а так же ваши комментарии), сообщать руководителю проекта.

Если вы опубликовали твердую копию этого HOWTO, просим вас передать авторам документа несколько экземпляров в “ознакомительных целях”.

2 ПРЕДВАРИТЕЛЬНЫЕ СВЕДЕНИЯ

Данный документ рассчитан на подготовленного читателя.
Для того, чтобы было возможно использовать данный документ в полном объёме, необходимо прочитать и понимать документ, опубликованный в глобальной сети интернет по адресу или расположенному на локальной машине /usr/doc/HOWTO/NET3-4-HOWTO.txt.

3 ЗАДАЧИ, КОТОРЫЕ МОГУТ БЫТЬ РЕАЛИЗОВАНЫ С ПОМОЩЬЮ LINUX

Вот далеко неполный список из того, что может может быть реализовано с помощью операционной системы Linux:

  • управление пропускной способностью НА отдельных компьютерах.
  • управление пропускной способностью к общим информационным ресурсам
  • управление шириной канала доступа в зависимости от источника
  • защита информационных ресурсов от DoS-атак
  • предотвращение сетевого трафика ботнет
  • организация балансировки сетевой нагрузки на информационный ресурс, с целью равномерного распределения нагрузки.
  • ограничения доступа к сетевым ресурсам
  • ограничение доступа пользователей к другим узлам сети.
  • Выполнять маршрутизацию на основе UID, MAC-адресов, исходящих IP-адресов, номеров портов, типа обслуживания, времени суток и содержимого.

На сегодняшний день дополнительные возможности не получили широкого распространения. На то есть ряд причин: хотя имеющаяся документация достаточно подробна, она почти не содержит практических рекомендаций. А вопросы управления трафиком вообще не освещены.

4 ДОПОЛНИТЕЛЬНЫЕ ЗАМЕЧАНИЯ

Данный материал является попыткой сделать вполне читабельным руководство HOWTO Любые исправления и дополнения по данному материалу не будут лишними.
В текст материала могут быть внесены любые дополнения и исправления предоставленные со стороны.

5 СТРУКТУРА ДОКУМЕНТА

Структура документа строится по принципу “от простого – к сложному”.
В начале основные понятия и простые настройки, после этого более сложные понятия и настройки.

6 ВВЕДЕНИЕ В IPROUTE2

Пакет iprote2 предназначен для полноценного управления всеми сетевыми компонентами и настройками.
Работает на уровне ядра операционный системы.
Программный код пакета оптимизирован в большей мере, чем программный код других сетевых утилит.
Средствами iproute2 реализованы функции управления сетевыми компонентами и настройками, которых не было раньше.

7 КРАТКИЙ ОБЗОР IPROUTE2

Linux обладает довольно сложной системой управления пропускной способностью, названной Traffic Control (Управление Трафиком). Она поддерживает различные методы классификации, деления по приоритетам, совместного использования, и ограничения как входящего, так и исходящего трафика.
Мы начнем обсуждение проблемы с краткого обзора iproute2 и ее возможностей.

8 НЕОБХОДИМЫЕ УСЛОВИЯ

Установленный пакет iproute2. На сегодняшний момент этот пакет включён практически в любой дистрибутив Linux. При правильно настроенном репозитории программного обеспечения установка пакета iproute2 не составляет труда.
В ядре операционной системы должна быть включена поддержка netlink

9 ТЕКУЩАЯ КОНФИГУРАЦИЯ

Утилита ip является основной в пакете.

9.1. ПРОСМОТР СПИСКА СЕТЕВЫХ ИНТЕРФЕЙСОВ С ПОМОЩЬЮ УТИЛИТЫ IP

 ip link list
1: lo: <LOOPBACK,UP> mtu 3924 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: dummy: <BROADCAST,NOARP> mtu 1500 qdisc noop 
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
3: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1400 qdisc pfifo_fast qlen 100
    link/ether 48:54:e8:2a:47:16 brd ff:ff:ff:ff:ff:ff
4: eth1: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100
    link/ether 00:e0:4c:39:24:78 brd ff:ff:ff:ff:ff:ff
3764: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1492 qdisc pfifo_fast qlen 10
    link/ppp

Здесь приведен результат работы команды ip link list на моем домашнем маршрутизаторе ( с “поднятым” NAT), у вас он может несколько отличаться. Я поясню часть того, что вы видите, но не все, а только то, что нас интересует в данный момент.

Первым в списке находится локальный (loopback) интерфейс. В принципе, при конфигурировании ядра, можно отключить поддержку этого интерфейса, но я бы не советовал этого делать. Размер максимального блока передачи данных (MTU – Maximum Transfer Unit) для этого интерфейса составляет 3924 октета, и для него отсутствует очередь, поскольку он не соответствует никакому физическому устройству и существует только в “воображении” ядра.

Пропускаем фиктивный (dummy) интерфейс, так как он может отсутствовать на вашем компьютере. Дальше идут два физических сетевых интерфейса, один – со стороны модема, другой – обслуживает домашнюю локальную сеть. И наконец последним в списке стоит интерфейс ppp0.

Обратите внимание на отсутствие IP-адресов в листинге. iproute отделяет понятие “интерфейса” от понятия “IP-адреса”. При назначении нескольких IP-адресов одному интерфейсу (IP-алиас), понятие IP-адреса становится достаточно расплывчатым.

Зато показываются MAC-адреса – аппаратные идентификаторы сетевых интерфейсов.

9.2. ПРОСМОТР СПИСКА IP-АДРЕСОВ С  ПОМОЩЬЮ УТИЛИТЫ IP

ip address show        
1: lo: <LOOPBACK,UP> mtu 3924 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
2: dummy: <BROADCAST,NOARP> mtu 1500 qdisc noop 
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
3: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1400 qdisc pfifo_fast qlen 100
    link/ether 48:54:e8:2a:47:16 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/8 brd 10.255.255.255 scope global eth0
4: eth1: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100
    link/ether 00:e0:4c:39:24:78 brd ff:ff:ff:ff:ff:ff
3764: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP> mtu 1492 qdisc pfifo_fast qlen 10
    link/ppp 
    inet 212.64.94.251 peer 212.64.94.1/32 scope global ppp0

Этот листинг содержит более подробную информацию. Здесь показаны все IP-адреса, и каким интерфейсам они принадлежат. Здесь “inet” соответствует термину “Internet (IPv4)”. Существует целый ряд типов сетевых адресов, но нас они пока не интересуют.

Взглянем поближе на интерфейс eth0. Из листинга видно, что ему назначен адрес “inet”  10.0.0.1/8, где “/8” определяет число бит, соответствующих адресу сети. Таким образом, для адресации хостов в сети у нас остается 32 – 8 = 24 бита, что соответствует адресу сети 10.0.0.0 и маске сети 255.0.0.0.

Это говорит о том, что любой хост в этой сети, например 10.250.3.13, будет непосредственно доступен через наш интерфейс с IP-адресом 10.0.0.1.

Для ppp0 применима та же концепция, хотя числа в IP-адресе отличаются. Ему присвоен адрес 212.64.94.251, без маски сети. Это означает, что он обслуживает соединение типа”точка-точка” (point-to-point), и что каждый адрес, за исключением 212.64.94.251, является удаленным. Но и это еще не все. Для этого интерфейса указывается адрес другого конца соединения 212.64.94.1. Здесь число “/32” говорит о том, что это конкретный IP-адрес и он не содержит адреса сети.
Вы наверняка обратили внимание на слово “qdisc”. Оно обозначает дисциплину обработки очереди (Queueing Discipline). Позднее мы коснемся этой темы подробнее.

9.3. ПРОСМОТР СПИСКА МАРШРУТОВ С ПОМОЩЬЮ УТИЛИТЫ IP

Итак, мы теперь знаем, как можно отыскать адреса 10.x.y.z, и как обратиться к адресу 212.64.94.1. Однако этого недостаточно, поскольку нам необходимо иметь возможность общения с внешним миром. Интернет доступен нам через ppp-соединение, которое объявляет, что хост с адресом 212.64.94.1, готов передать наши пакеты во внешний мир и вернуть результаты обратно.

      
[ahu@home ahu]$ ip route show
212.64.94.1 dev ppp0  proto kernel  scope link  src 212.64.94.251 
10.0.0.0/8 dev eth0  proto kernel  scope link  src 10.0.0.1 
127.0.0.0/8 dev lo  scope link 
default via 212.64.94.1 dev ppp0

Этот листинг достаточно “прозрачен”. Первые 3 строки сообщают сведения, которые нами уже обсуждались выше. Последняя строка говорит о том, что внешний мир доступен через 212.64.94.1 шлюз, заданный по-умолчанию. То что это шлюз, видно благодаря наличию слова “via” (англ. “через“). Этот шлюз (с адресом 212.64.94.1) готов перенаправлять наши пакеты в Интернет и возвращать обратно результаты наших запросов.

Для примера, более “старая” утилита route, дает такой результат на моей машине:

      
[ahu@home ahu]$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use
Iface
212.64.94.1     0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         212.64.94.1     0.0.0.0         UG    0      0        0 ppp0

10 ARP

ARP – Address Resolution Protocol (Протокол Определения Адреса) описан в RFC 826. Он используется для определения ethernet-адреса по IP-адресу. Машины в Интернет более известны под именами, которые преобразуются в IP-адреса, благодаря чему узел сети, скажем с именем foo.com, имеет возможность связаться с другой машиной, например с именем bar.net. Но в ethernet-сетях для адресации используется не IP-адрес, а ethernet-адрес и здесь на сцену выходит протокол ARP.

Рассмотрим простой пример. Предположим, что имеется сеть из нескольких компьютеров. В ней находятся компьютеры foo, с адресом 10.0.0.1 и bar, с адресом 10.0.0.2. Пусть fooхочет послать пакет ICMP Echo Request (ping) компьютеру bar, чтобы проверить работает ли он, но увы, foo не знает ethernet-адрес компьютера bar. Таким образом, прежде чем выполнить ping barfoo должен отослать ARP-запрос. Этот запрос очень похож на то, что обычно кричит человек, пытаясь отыскать в толпе своего товарища: “Bar (10.0.0.2)! Ты где?”. В результате все машины в сети услышат “крик” foo, но только bar (10.0.0.2) откликнется на него, послав обратно ARP-ответ, который можно трактовать как: “Foo (10.0.0.1)! Я – здесь! Мой адрес 00:60:94:E9:08:12.”. После этой “переклички” foo будет знать ethernet-адрес компьютера bar и сможет связаться с ним, пока опять не “забудет” (в кэше ARP) адрес компьютера bar (обычно записи в ARP-кэше удаляются через 15 минут).

Содержимое ARP-кэша можно просмотреть так:

[root@espa041 /home/src/iputils]# ip neigh show
9.3.76.42 dev eth0 lladdr 00:60:08:3f:e9:f9 nud reachable
9.3.76.1 dev eth0 lladdr 00:06:29:21:73:c8 nud reachable

Как видите, мой компьютер espa041 (9.3.76.41) “знает”, как найти компьютер espagate (9.3.76.1). А теперь добавим еще один адрес в наш кэш:

[root@espa041 /home/paulsch/.gnome-desktop]# ping -c 1 espa043
PING espa043.austin.ibm.com (9.3.76.43) from 9.3.76.41 : 56(84) bytes of data.
64 bytes from 9.3.76.43: icmp_seq=0 ttl=255 time=0.9 ms

--- espa043.austin.ibm.com ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.9/0.9/0.9 ms

[root@espa041 /home/src/iputils]# ip neigh show
9.3.76.43 dev eth0 lladdr 00:06:29:21:80:20 nud reachable
9.3.76.42 dev eth0 lladdr 00:60:08:3f:e9:f9 nud reachable
9.3.76.1 dev eth0 lladdr 00:06:29:21:73:c8 nud reachable

В результате попытки взаимодействия компьютера espa041 с espa043, ethernet-адрес последнего был добавлен в кэш. По истечении некоторого тайм аута (если между этими двумя компьютерами больше не было передано ни одного пакета), espa041 “забудет” адрес компьютера espa043 и для того чтобы что-то сообщить ему, опять потребуется послать ARP-запрос.

Удалим адрес компьютера espa043 из кэша:

[root@espa041 /home/src/iputils]# ip neigh delete 9.3.76.43 dev eth0
[root@espa041 /home/src/iputils]# ip neigh show
9.3.76.43 dev eth0  nud failed
9.3.76.42 dev eth0 lladdr 00:60:08:3f:e9:f9 nud reachable
9.3.76.1 dev eth0 lladdr 00:06:29:21:73:c8 nud stale

Теперь espa041 “забыл” адрес компьютера espa043. Если espa041 опять “захочет” что-то сообщить espa043, он будет вынужден вновь послать ARP-запрос. В этом листинге также видно, что в записи для espagate (9.3.76.1), состояние reachable (доступно) изменилось на stale (устарело). Это означает, что ethernet-адрес все еще является допустимым, но он должен быть подтвержден при первой же попытке обмена.

11 ПРАВИЛА МАРШРУТИЗАЦИИ. ПОЛИТИКИ МАРШРУТИЗАЦИИ.

Если ваш маршрутизатор обслуживает сложную сеть, то нужно удовлетворять нужды разных людей, обслуживание которых, вероятно, должно отличаться. База политик маршрутизации позволяет реализовать это с помощью набора таблиц маршрутизации.
Если вы хотите использовать эту возможность, убедитесь что ядро собрано с поддержкой “IP: advanced router” и “IP: policy routing”.
Когда ядру необходимо выбрать маршрут, оно определяет в соответствии с какой таблицей это нужно делать. По-умолчанию, определены три таблицы. Старая утилита route изменяет таблицы main и local, как и утилита ip (по-умолчанию).
Правила маршрутизации по-умолчанию:

[ahu@home ahu]$ ip rule list
0:	from all lookup local 
32766:	from all lookup main 
32767:	from all lookup default

В этом листинге приведены приоритеты всех правил. Мы видим, что правила применяются ко всем пакетам (from all). Мы уже видели таблицу ‘main’, она выводится командой ip route ls , но таблицы ‘local’ и ‘default’ для нас новые.
Если мы хотим сделать что-то интересное, то нужно задать правила, использующие разные таблицы маршрутизации. Это позволит нам переопределить общесистемную таблицу маршрутизации.
(За точной семантикой происходящего в ядре, когда есть несколько подходящих правил, обратитесь к документации ip-cref Алексея Кузнецова.)

11.1 ПРОСТАЯ МАРШРУТИЗАЦИЯ ПО ИСТОЧНИКУ

Давайте опять рассмотрим реальный пример. Два  кабельных модема, подключенны к маршрутизатору Linux с NAT (‘masquerading’). Люди с которыми я живу в одном доме, платят мне за использование Internet. Допустим одни из моих соседей ходит только на hotmail и хочет платить меньше. Мне это подходит, но при этом будет использоваться медленный канал.

Быстрое соединение имеет с моей стороны адрес 212.64.94.251, а с другой — 212.64.94.1. Медленное соединение получает динамический адрес, в данном примере это 212.64.78.148, адрес провайдера — 195.96.98.253.

Таблица local:

[ahu@home ahu]$ ip route list table local
broadcast 127.255.255.255 dev lo  proto kernel  scope link  src 127.0.0.1 
local 10.0.0.1 dev eth0  proto kernel  scope host  src 10.0.0.1 
broadcast 10.0.0.0 dev eth0  proto kernel  scope link  src 10.0.0.1 
local 212.64.94.251 dev ppp0  proto kernel  scope host  src 212.64.94.251 
broadcast 10.255.255.255 dev eth0  proto kernel  scope link  src 10.0.0.1 
broadcast 127.0.0.0 dev lo  proto kernel  scope link  src 127.0.0.1 
local 212.64.78.148 dev ppp2  proto kernel  scope host  src 212.64.78.148 
local 127.0.0.1 dev lo  proto kernel  scope host  src 127.0.0.1 
local 127.0.0.0/8 dev lo  proto kernel  scope host  src 127.0.0.1

Много очевидных вещей, но они должны быть где-то указаны. Вот здесь они и заданы. Таблица default пустая. Посмотрим теперь на таблицу main:

[ahu@home ahu]$ ip route list table main 
195.96.98.253 dev ppp2  proto kernel  scope link  src 212.64.78.148 
212.64.94.1 dev ppp0  proto kernel  scope link  src 212.64.94.251 
10.0.0.0/8 dev eth0  proto kernel  scope link  src 10.0.0.1 
127.0.0.0/8 dev lo  scope link 
default via 212.64.94.1 dev ppp0

Создадим новое правило для нашего гипотетического соседа, которое будет называться ‘John’. Хотя мы можем работать просто с числами, намного проще и понятней если мы определим названия наших таблиц в файле /etc/iproute2/rt_tables.

# echo 200 John >> /etc/iproute2/rt_tables
# ip rule add from 10.0.0.10 table John
# ip rule ls
0:	from all lookup local 
32765:	from 10.0.0.10 lookup John
32766:	from all lookup main 
32767:	from all lookup default

Теперь нам нужно лишь сгенерировать таблицу John и очистить кэш маршрутов:

# ip route add default via 195.96.98.253 dev ppp2 table John
# ip route flush cache

Вы можете добавить это в скрипт ip-up.

11.2 ОРГАНИЗАЦИЯ МАРШРУТИЗАЦИИ ЧЕРЕЗ НЕСКОЛЬКО ВНЕШНИХ КАНАЛОВ

Раздельный доступ

Организация маршрутизации, чтобы ответы на запросы, приходящие через провайдера 1, уходили через того же провайдера.

Определим переменные.
$IF1 имя первого интерфейса (if1 на рисунке)
$IF2 имя второго интерфейса (if2 на рисунке).
$IP1 будет IP адресом $IF1
$IP2 будет IP адресом $IF2 .
$P1 это IP-адрес шлюза провайдера 1
$P2 это IP адрес шлюза провайдера 2.
$P1_NET это IP сеть, к которой принадлежит $P1
$P2_NET сеть, к которой принадлежит $P2 .

Создадим две дополнительные таблицы маршрутизации, скажем T1 и T2. Добавим их в файл /etc/iproute2/rt_tables. Теперь можно настроить эти таблицы следующими командами:

ip route add $P1_NET dev $IF1 src $IP1 table T1
ip route add default via $P1 table T1
ip route add $P2_NET dev $IF2 src $IP2 table T2
ip route add default via $P2 table T2

В таблице описаны маршрут к шлюзу и маршрут по-умолчанию через этот шлюз. Точно так же, как и в случае одного провайдера, но по таблице на каждого провайдера.
Заметьте, что маршрута к сети, в которой находится шлюз достаточно, потому что он определяет как найти все хосты в этой сети, включая сам шлюз.Теперь нужно настроить главную таблицу маршрутизации. Хорошо бы маршрутизировать пакеты для сетей провайдеров через соответствующие интерфейсы. Обратите внимание на аргумент `src’, который обеспечивает правильный выбор исходного IP-адреса.

ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2

Задаём маршрут по умолчанию:

ip route add default via $P1

Зададим правила маршрутизации. Они будут отвечать за то, какая таблица будет использоваться при маршрутизации. Вы хотите, чтобы пакет с определенным адресом источника маршрутизировался через соответствующий интерфейс:

ip rule add from $IP1 table T1
ip rule add from $IP2 table T2

Эти команды обеспечивают маршрутизацию ответов через интерфейс, на котором был получен запрос.

 

‘ Если $P0_NET это локальная сеть, а $IF0 — соответствующий ей интерфейс, желательно задать следующие команды:

ip route add $P0_NET     dev $IF0 table T1
ip route add $P2_NET     dev $IF2 table T1
ip route add 127.0.0.0/8 dev lo   table T1
ip route add $P0_NET     dev $IF0 table T2
ip route add $P1_NET     dev $IF1 table T2
ip route add 127.0.0.0/8 dev lo   table T2

Пример, который мы рассмотрели, будет работать для всех процессов, выполняющихся на маршрутизаторе и для локальной сети, если настроено преобразование адресов (NAT/masquerading). В противном случае, вам будет необходим диапазон IP адресов обоих провайдеров, или выполнять маскирование для одного из провайдеров. В любом случае, вы можете задать правила выбора провайдера для каждого конкретного адреса вашей локальной сети.

Распределение нагрузки.

Второй вопрос заключается в балансировке нагрузки между двумя провайдерами. Это не сложно, если у вас уже настроен раздельный доступ, описанный в предыдущем разделе.

Вместо выбора одного из провайдеров в качестве маршрута по умолчанию, вы настраиваете многолучевой (multipath) маршрут. В стандартном ядре это обеспечит балансировку нагрузки между двумя провайдерами. Делается это следующим образом:

ip route add default scope global nexthop via $P1 dev $IF1 weight 1 \
nexthop via $P2 dev $IF2 weight 1

Результатом выполнения команды будет попеременный выбор маршрута по-умолчанию. Вы можете изменить параметр weight, так чтобы один из провайдеров получал большую нагрузку.

Балансировка не будет идеальной, так как она основывается на маршрутах, а маршруты кэшируются. Это означает, что маршруты к часто посещаемым сайтам не будут проходить через разных провайдеров.

Задать вопрос

RIP

Включение и настройка RIP протокола на Secure Platform возможна двумя способами.

  • при помощи команды router
  • при помощи настройки демона “Zebra”

Для включения и настройки RIP при помощи команды router необходимо перейти в привилегированный режим expert.
Листинг настройки:
router rip
enable
network 10.10.1.1
network 172.30.1.1
network 172.30.2.1
redistribute direct
redistribute kernel
exit
interface eth3
ip rip enable
ip rip version 2
exit
interface eth4
ip rip enable
ip rip version 2
exit
interface eth5
ip rip enable
ip rip version 2
exit
write memory

Настройка демона “Zebra” для работы RIP происходит аналогично настройки  “Zebra” для протокола OSPF.

Пример настройки.
Открыть файл в режиме редактирования (использовать редактор vi)
vi /etc/rc.d/init.d/zebra, заменить блок в двух местах
# Initial configuration values
ZEBRA=0
OSPF=0
BGP=0
RIP=0

на

# Initial configuration values
ZEBRA=1
OSPF=0
BGP=0
RIP=1

Открыть файл в режиме редактирования vi /etc/zebra/daemons.conf, необходимо заменить блок

ZEBRA=0
OSPF=0
BGP=0
RIP=0

ZEBCONFFILE=/etc/zebra/zebra.conf
RIPDCONFFILE=/etc/zebra/ripd.conf
OSPFDCONFFILE=/etc/zebra/ospfd.conf
BGPDCONFFILE=/etc/zebra/bgpd.conf

BGPDOPTS=» -d -P 0″
OSPFDOPTS=» -d -P 0″
RIPDOPTS=» -d -P 0″
ZEBRADOPTS=» -d -P 0″

 

на

ZEBRA=1
OSPF=0
BGP=0
RIP=1

ZEBCONFFILE=/etc/zebra/zebra.conf
RIPDCONFFILE=/etc/zebra/ripd.conf
OSPFDCONFFILE=/etc/zebra/ospfd.conf
BGPDCONFFILE=/etc/zebra/bgpd.conf

BGPDOPTS=» -d -P 0″
OSPFDOPTS=» -d -P 0″
RIPDOPTS=» -d -P 2604″
ZEBRADOPTS=» -d -P 2601″

2601 – порт для подключения к ZEBRA. 2604 – порт (RIPD) для подключения и управления работой протокола OSPF.
Открыть файл в режиме редактирования vi /etc/zebra/zebra.conf . В файл необходимо добавить следующие строки:

password zebra
enable password zebra

Открыть файл в режиме редактирования vi /etc/zebra/ripd.conf . В файл необходимо добавить следующую строку:

password zebra

Пароль zebra можно заменить на любой.
Запускаем Zebra Routing Daemon и RIPD:

[Expert@cpmodule]# /etc/rc.d/init.d/zebra start
Starting Zebra Routing Daemon                              [  OK  ]
Starting RIPD                                             [  OK  ]
[Expert@cpmodule]#

В качестве примера возьмём следующую схему.

 При помощи клиента telnet подключиться к порту 2604 и настраиваем протокол RIP.

User Access Verification

Password: zebra
fw-rip> enable
Password: zebra
fw-rip# configure terminal
fw-rip(config)# router rip
fw-rip(config-router)# network 10.0.0.0/8
fw-rip(config-router)# network 192.168.0.0/16
fw-rip(config-router)# end
fw-rip# show run

Current configuration:
!
hostname fw-rip
password zebra
enable password zebra
!
interface lo
!
interface eth0
!
interface dummy0
!
router rip
network 0.0.0.0/0
network 192.168.0.0/16
!
line vty
!
end
fw-rip# write memory
Configuration saved to /etc/zebra/ripd.conf
fw-rip#

 

Рубрика: RIP

OSPF

Установка и настройка протокола динамической маршрутизации OSPF на базе операционной системы Splat.
Настройка взаимодействия между маршрутизаторами на основе операционных систем Windows и Splat.
Первый маршрутизатор – это SecurePlatform Pro, второй – Windows Server 2003.

Компания Microsoft прекратила поддержку протокола OSPF начиная с версии Windows Server 2008.
Грабли с OSPF Link-Local Signaling (RFC 4813)

Для конфигурирования OSPF и вообще любого другого протокола динамической маршрутизации используется команда router в консоли SecurePlatform:

router               – Configure Dynamic Routing

Информация по конфигурированию подробно изложена в официальной документации SecurePlatform Pro™ & Advanced Routing Command Line Interface. Но, если вы хотите заставить работать маршрутизатор Windows и маршрутизатор SecurePlatform по протоколу OSPF, не стоит тратить время. Дело в том, что при конфигурировании OSPF командой router, исходящие OSPF-пакеты содержат блок «OSPF LLS Data Block». Windows не понимает пакеты с таким блоком и сразу их реджектит, записывая при этом в журнале событий следующее:

Event Type:    Error
Event Source:    OSPF
Event Category:    None
Event ID:    120
Date:        10/13/2009
Time:        3:52:05 PM
User:        N/A
Computer:    NEWFW
Description:
Rejected an OSPF packet from 10.10.3.5 to 224.0.0.5 because the OSPF data length in the OSPF header was 48 but the length calculated from the IP Header fields was 60.

Для обеспечения нормального взаимодействия по протоколу OSPF между маршрутизатором с операционной системой Splat и другими маршрутизаторами сети необходимо использовать программный пакет для работы с протоколами динамической маршрутизации “Zebra” входящий в базовую установку SecurePlatform.

Zebra на SecurePlatform

Для работы мне потребуется консоль SecurePlatform и режим эксперта.

Если вы выполняли какие-то настройки OSPF командой router и сохраняли их (write memory), по умолчанию, в файл /etc/gated.ami.
Рекомендуется удалить этот файл
rm /etc/gated.ami.

Активируем предустановленный сервис ZEBRA и сервис OSPF.

Открыть файл в режиме редактирования (использовать редактор vi)
vi /etc/rc.d/init.d/zebra, заменить блок в двух местах
# Initial configuration values
ZEBRA=0
OSPF=0
BGP=0
RIP=0

на

# Initial configuration values
ZEBRA=1
OSPF=1
BGP=0
RIP=0

Открыть файл в режиме редактирования vi /etc/zebra/daemons.conf, необходимо заменить блок

ZEBRA=0
OSPF=0
BGP=0
RIP=0

ZEBCONFFILE=/etc/zebra/zebra.conf
RIPDCONFFILE=/etc/zebra/ripd.conf
OSPFDCONFFILE=/etc/zebra/ospfd.conf
BGPDCONFFILE=/etc/zebra/bgpd.conf

BGPDOPTS=» -d -P 0″
OSPFDOPTS=» -d -P 0″
RIPDOPTS=» -d -P 0″
ZEBRADOPTS=» -d -P 0″

 

на

ZEBRA=1
OSPF=1
BGP=0
RIP=0

ZEBCONFFILE=/etc/zebra/zebra.conf
RIPDCONFFILE=/etc/zebra/ripd.conf
OSPFDCONFFILE=/etc/zebra/ospfd.conf
BGPDCONFFILE=/etc/zebra/bgpd.conf

BGPDOPTS=» -d -P 0″
OSPFDOPTS=» -d -P 2604″
RIPDOPTS=» -d -P 0″
ZEBRADOPTS=» -d -P 2601″

2601 – порт для подключения к ZEBRA. 2604 – порт (OSPFD) для подключения и управления работой протокола OSPF.
Открыть файл в режиме редактирования vi /etc/zebra/zebra.conf . В файл необходимо добавить следующие строки:

password zebra
enable password zebra

Открыть файл в режиме редактирования vi /etc/zebra/ospfd.conf . В файл необходимо добавить следующую строку:

password zebra

Пароль zebra можно заменить на любой.
Запускаем Zebra Routing Daemon и OSPFD:

[Expert@cpmodule]# /etc/rc.d/init.d/zebra start
Starting Zebra Routing Daemon                              [  OK  ]
Starting OSFPD                                             [  OK  ]
[Expert@cpmodule]#

Теперь можно при помощи клиента telnet подключиться к порту 2604 и настроить протокол OSPF.
Если по каким-то причинам вас не пускает на порт 2604, то проверьте правила в SmartDashboard.
Теперь остается правильно настроить OSPF протокол. Полная документация  по настройке модуля “Zebra” находится на сайте Zebra zebra.org и сайте Quagga quagga.net.
Ниже приведён минимальный типовой листинг настройки.

Hello, this is zebra (version 0.93b).
Copyright 1996-2002 Kunihiro Ishiguro.
User Access Verification

Password:
cpmodule>
cpmodule> en   //Полная команда: enable – включает привилегированный режим команд
cpmodule#
cpmodule# conf t   //Полная команда: configure terminal – режим конфигурирования
cpmodule(config)#
cpmodule(config)# access-list 1 permit 192.168.1.0 0.0.0.255   //Создаю список доступа с идентификатором 1, который будет разрешать адреса из сети 192.168.1.0/24. Обратите внимание на запись 0.0.0.255 – это Wildcard bits, инвертированная маска подсети.
cpmodule(config)#
cpmodule(config)# router ospf   //Начинаю конфигурировать общие параметры протокола OSPF
cpmodule(config-router)#
cpmodule(config-router)# ospf router-id 192.168.1.1   //Задаю идентификатор маршрутизатора
cpmodule(config-router)#
cpmodule(config-router)# redistribute connected   //Экспортирую, т.е. передаю по OSPF маршруты всех подключенных сетевых интерфейсов
cpmodule(config-router)#
cpmodule(config-router)# network 192.168.1.0/24 area 0   //Задаю сеть, где будет работать OSPF протокол. Если IP-адрес сетевого интерфейса попадает в данную сеть, то на нем автоматически поднимается OSPF протокол.
cpmodule(config-router)#
cpmodule(config-router)# area 0 authentication   //Для зоны 0.0.0.0 требуется авторизация
cpmodule(config-router)#
cpmodule(config-router)# distribute-list 1 out connected   //Ограничиваю экспорт маршрутов, например, для того чтобы не передавались маршруты интерфейса на котором установлена лицензия Check Point.
cpmodule(config-router)#
cpmodule(config-router)# exit
cpmodule(config)#
cpmodule(config)# interface eth0   //Конфигурирую параметры OSPF для сетевого интерфейса
cpmodule(config-if)#
cpmodule(config-if)# ip ospf authentication-key 123   //Простая simple password авторизация, пароль: 123
cpmodule(config-if)#
cpmodule(config-if)# ip ospf cost 2   //Стоимость маршрута
cpmodule(config-if)#
cpmodule(config-if)# exit
cpmodule(config)#
cpmodule(config)# exit
cpmodule#
cpmodule# write memory   //Записать настройки в конфигурационный файл
Configuration saved to /etc/zebra/ospfd.conf
cpmodule#
cpmodule# sh run   //Просмотреть текущие настройки. show run – полная команда.

Current configuration:
!
password zebra
!
!
!
interface lo
!
interface eth0
ip ospf authentication-key 123
ip ospf cost 2
!
interface loop00
!
router ospf
ospf router-id 192.168.1.1
redistribute connected
network 192.168.1.0/24 area 0
area 0 authentication
distribute-list 1 out connected
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
line vty
!
end
cpmodule#
cpmodule#

На этом конфигурирование OSPF завершено. Теперь SecurePlatform будет отправлять на multicast адреса 224.0.0.5 и 224.0.0.6 пакеты OSPF без блока «OSPF LLS Data Block». Для правильной работы создайте на Check Point правила, которые будут пропускать OSPF пакеты из одной сети в другую.

Настройка OSPF на Windows Server 2003

Тут все проще. Заходим в оснастку «Маршрутизация и удаленный доступ«, запускаем сервис маршрутизации и добавляем OSPF протокол, в раздел OSPF добавляем сетевые интерфейсы.

Документация по подробной настройке OSPF под Windows Server 2003 находится тут:technet.microsoft.com

Ссылка на оригинал статьи

Рубрика: OSPF

Установка лицензий

Лицензия выдается на IP-адрес, причем если раньше компания выдавала лицензии только на белые адреса, то сейчас можно спокойно получить на серый адрес. Лицензия представляет собой файл CPLicenseFile.lic. Файл имеет примерно следующее содержимое:

Sign {
LICENSE IP_Address never Signature_Key-NGX Features
}= Certificate_Key Index=0 Version=0

При установке лицензии на Check Point, необходимо, чтобы существовал интерфейс с таким IP адресом и был в состоянии Connected. Поэтому, часто получают лицензию на неиспользуемый IP-адрес, затем создают в системе loopback интерфейс, назначают ему адрес из лицензии и работают. Итак приступим.

Создаю loopback интерфейс. Если Check Point на Windows, то loopback интерфейс можно добавить через Панель упрвления – Установка оборудования. В мастере установки оборудования говорю «Да, устройство уже подключено«, в списке выбираю «Добавление нового устройства«, затем «Установка оборудования, выбранного из списка вручную«, затем «Сетевые платы«, затем в изготовителе Microsoft выбираю адаптер замыкания на себя или loopback.
В SecurePlatform операция выглядит несколько проще.

Захожу через web-интерфейс в управление SecurePlatform. В разделе Network – Connections нажимаю на кнопку New и выбираю Loopback. Ввожу IP-адрес из лицензии и маску. Готово.

Остальные операции я буду выполнять через SmartConsole, в частности мне понадобится SmartDashboard и SmartUpdate. SmartConsole – это набор оснасток для управления продуктом. В SmartConsole входит:

  • SmartDashboard – пользовательский интерфейс управления.
  • SmartView Tracker – приложение для просмотра и создания запросов по логам.
  • SmartUpdate – централизованное управление лицензированием и обновлениями ПО.
  • SmartView Monitor – мониторинг трафика и производительности всех шлюзов.
  • SmartProvisioning – управление конфигурациями на основе профилей.
  • SecureClient Packaging Tool – подготовка установочных самораспаковывающихся архивов программ с заранее настроенной конфигурацией для своих пользователей.
  • Eventia Analyzer и Eventia Reporter – анализ данных и составление отчетов по безопасности.

Скачать SmartConsole можно через web-интерфейс управления в разделе Product Configuration – Download SmartConsole.

Запускаю SmartDashboard, авторизуюсь.

В левой части окна, на закладке Network Objects выбираю модуль Check Point, он у меня там один. Захожу в режим редактирования данного объекта и пишу в поле IP Address адрес из лицензии. Жму Ок. Теперь нужно инсталлировать политику: меню Policy – Install. В процессе инсталяции политики, возможно появится ошибка, это нормально. У меня ругается на отсутствие правил, но мне пока это не интересно.

Запускаю SmartUpdate: меню Windows – SmartUpdate. Далее в окне Check Point SmartUpdate выбираю меню Licenses & Contracts – Add License – From File… Находим файл CPLicenseFile.lic и выбираю его

Получаю сообщение, что лицензии успешно добавлены в репозиторий.

Выбираю меню Licenses & Contracts – View Repository. В только что появившемся разделе пытаюсь приаттачить лицензии. Все прошло успешно, лицензии изменили статус на Attached, значит они установлены.

 

Если имеется несколько лицензий, на разные IP-адреса, то после установки и приаттачивания первой лицензии на один адрес, нужно вернуться в SmartDashboard, поменять у объекта Check Point IP-адрес на новый, тот, что во второй лицензии и аналогично приаттачить её через SmartUpdate

 Источник

Динамическая маршрутизация. Протокол RIP. Протокол OSPF.

Протоколы динамической маршрутизации предназначены для автоматизации процесса построения маршрутных таблиц маршрутизаторов. Принцип их использования достаточно прост: маршрутизаторы с помощью устанавливаемого протоколом порядка рассылают определенную информацию из своей таблицы маршрутизации другим и корректируют свою таблицу на основе полученных от других данных.

Такой метод построения и поддержки маршрутных таблиц существенно упрощает задачу администрирования сетей, в которых могут происходить изменения (например, расширение) или в ситуациях, когда какие-либо маршрутизаторы и/или подсети выходят из строя.

Следует отметить, что использование протоколов динамической маршрутизации не отменяет возможность «ручного» внесения данных в таблицы маршрутизаторов. Внесенные таким образом записи называют статическими, а записи, полученные в результате обмена информацией между маршрутизаторами – динамическими. В любой таблице маршрутизации всегда присутствует, по крайней мере, одна статическая запись – маршрут по умолчанию.

Современные протоколы маршрутизации делятся на две группы: протоколы типа «вектор-расстояние» и протоколы типа «состояние канала».

В протоколах типа «вектор-расстояние» каждый маршрутизатор рассылает список адресов доступных ему сетей («векторов»), с каждым из которых связано параметр «расстояния» (например, количество маршрутизаторов до этой сети, значение, основанное на производительности канала и т.п.). Основным представителем протоколов данной группы является протокол RIP (Routing Information Protocol, протокол маршрутной информации).

Протоколы типа «состояние канала» основаны на ином принципе. Маршрутизаторы обмениваются между собой топологической информацией о связях в сети: какие маршрутизаторы с какими сетями связаны. В результате каждый маршрутизатор имеет полное представление о структуре сети (причем это представление будет одинаковым для всех), на основе которого вычисляет собственную оптимальную таблицу маршрутизации. Протоколом этой группы является протокол OSPF (Open Shortest Path First, «открой кратчайший путь первым»).

Протокол RIP.

Протокол RIP (Routing Information Protocol, протокол маршрутной информации) является наиболее простым протоколом динамической маршрутизации. Он относится к протоколам типа «вектор-расстояние».

Под вектором протокол RIP определяет IP-адреса сетей, а расстояние измеряется в переходах («хопах», hope) – количестве маршрутизаторов, которое должен пройти пакет, чтобы достичь указанной сети. Следует отметить, что максимальное значение расстояния для протокола RIP равно 15, значение 16 трактуется особым образом «сеть недостижима». Это определило основной недостаток протокола – он оказывается неприменимым в больших сетях, где Возможны маршруты, превышающие 15 переходов.

Протокол RIP версии 1 имеет ряд существенных для практического использования недостатков. К числу важных проблем относятся следующие:

  • Оценка расстояния только с учетом числа переходов. Протокол RIP не учитывает реальную производительность каналов связи, что может оказаться неэффективным в гетерогенных сетях, т.е. сетях, объединяющих каналы связи различного устройства, производительности, в которых используются разные сетевые технологии.
  • Проблема медленной конвергенции. Маршрутизаторы,  спользующие протокол RIP. Рассылают маршрутную информацию каждые 30 с, причем их работа не синхронизирована. В ситуации, когда некоторый маршрутизатор обнаружит, что какая-либо сеть стала недоступной, то в худшем случае (если проблема была выявлена сразу после очередной рассылки) он сообщит об это соседям через 30 с. Для соседних маршрутизаторов все будет происходить также. Это означает, что информация о недоступности какой-либо сети может распространятся маршрутизаторам в достаточно долго, очевидно, что сеть при этом будет находиться в нестабильном состоянии.
  • Широковещательная рассылка таблиц маршрутизации. Протокол RIP изначально предполагал, что маршрутизаторы рассылают информацию в широковещательном режиме. Это означает, что отправленный пакет вынуждены получить и проанализировать на канальном, сетевом и транспортном уровне все компьютеры сети, в которую он направлен.

Частично указанные проблемы решаются в версии 2 (RIP2).

Протокол OSPF

Протокол OSPF (Routing (Open Shortest Path First, «открой кратчайший путь первым») является более новым протоколом динамической маршрутизации и относится к протоколам типа «состояние канала».

Функционирование протокола OSPF основано на использовании всеми маршрутизаторами единой базы данных, описывающей, как и с какими сетями связан каждый маршрутизатор. Описывая каждую связь, маршрутизаторы связы
вают с ней метрику – значение, характеризующее «качество» канала. Например, для сетей Ethernet со скоростью обмена 100 Мбит/с используется значение 1, а для коммутируемых соединений 56 Кбит/с – значение 1785. Это позволяет маршрутизаторам OSPF (в отличие от RIP, где все каналы равнозначны) учитывать реальную пропускную способность и выявлять эффективные маршруты. Важной особенностью протокола OSPF является то, что используется групповая, а не широковещательная рассылка.

Указанные особенности, такие как групповая рассылка вместо широковещательной, отсутствие ограничений на длину маршрута, периодический обмен только короткими сообщениями о состоянии, учет «качества» каналов связи позволяют использовать OSPF в больших сетях. Однако такое использование может породить серьезную проблему – большое количество циркулирующей в сети маршрутной информации и увеличение таблиц маршрутизации. А поскольку алгоритм поиска эффективных маршрутов является, с точки зрения объема вычислений, достаточно сложным, то в больших сетях могут потребоваться высокопроизводительные и, следовательно, дорогие маршрутизаторы. Поэтому возможность построения эффективных таблиц маршрутизации может рассматриваться и как достоинство, и как недостаток протокола OSPF.

Источник