понеділок, 23 липня 2012 р.

Безопасный сёрфинг в Интернете

Будем настраивать более безопасный сёрфинг в Интернете, чем нам предоставляется по умолчанию. Всё делается под Ubuntu Linux и используется браузер Firefox, но ничего не мешает реализовать описанное и под другими операционными системами и браузерами. Firefox выбран из-за большого количества плагинов, которые расширяют его стандартный функционал.

А зачем это всё?

Дело в том, что многие используют бесплатные Wi-Fi сети в различных кафе, чтобы зайти в социальные сети и вводят свои логины и пароли, рискуя быть перехваченными. Ведь вы работаете по открытому протоколу http.

Виды атак на Wi-Fi

Главная мысль статьи: мы поднимем tor, который будет шифровать трафик, который по своей природе открытый (протокол http, icq). Прокси сервер polipo позволит программам через себя пустить трафик на tor, который умеет только SOCK, а многие программы не умеют работать с SOCK. Браузер Firefox открытый трафик http будет пускать на связку polipo + tor. Шифрованный трафик https будем пускать напрямую, мимо Тора, так как природа Tor по своей сути медленная и латентная.

А теперь всё помедленнее и подробнее.

Тор

Вначале нам понадобится Tor. Данный проект позволит улучшить анонимность при посещении сайтов по http протоколу. Тор шифрует трафик и использует 3 своих случайных сервера прежде чем выпустит ваш трафик в Интернет.

Устанавливаем в систему -

sudo apt-get install tor
.

Тор по умолчанию, мягко говоря, не быстр. Его задача ваша анонимность и шифрация. Раньше были только вы и вебсервер, на который вы зашли браузером, а теперь вы, веб сервер и сеть Тора, которая меняет свои сервера с каждым вашим запросом и шифрует ваш трафик.

Но есть настройки ускоряющие Тор.

# Время, отводимое на постройку нового кольца
CircuitBuildTimeout 5
# Закрыть соединение, если не было никакого обмена информацией в течение заданного периода времени (по умолчанию 5 минут)
KeepalivePeriod 60
# Каждые NUM секунд Тор просматривает другие варианты построения цепей.
NewCircuitPeriod 15
# Увеличим количество Guards
NumEntryGuards 8

Данные настройки нужно внести в файл /etc/tor/torrc. Если параметры уже там есть, то изменить дефолтные на новые данные.

Параметр SocksPort 9050 намекает, что работать мы будем через порт 9050. Если ваши программы умеют работать через SOCK, то смело указывайте им localhost:9050. Но много программ не умеют работать с SOCK и тогда переходим к ещё одному звену безопасности - Polipo.

Polipo

Polipo - это маленький, легковесный прокси сервер.

Его задача:

  • работать с программами, которые не умеют работать с SOCK.
  • убирать заголовки, которые много болтают о вас во время http сеанса.

Установите polipo -

sudo apt-get install polipo
. В /etc/polipo/config должны быть строки

socksParentProxy = "localhost:9050"
socksProxyType = socks5

Данные строки означают, что трафик полученный Полипо будет отправлен Тору.

Пускай Polipo уменьшает информацию о вас, которая доступна веб сайтам. Для этого нужны настройки.

disableVia=true

Если вы умеренный параноик. Сайты должны работать нормально.

censoredHeaders = from, accept-language
censorReferer = maybe

Если вы вздрагиваете от каждого шороха за дверями. Сайты могут работать не корректно.

censoredHeaders = set-cookie, cookie, cookie2, from, accept-language
censorReferer = true

Полипо ждёт вас по адресу 127.0.0.1:8123 и теперь в программах можно указывать адрес прокси, как 127.0.0.1:8123. Приятным бонусом идёт возможность Polipo кешировать результаты сёрфинга, что сэкономит вам секунду другую при посещении сайтов.

На данном этапе можно программы мгновенных сообщений типа ICQ настроить на свой прокси polipo + tor, указав в настройках 127.0.0.1:8123.

У Skype свой закрытый протокол с шифрацией, так что можно не заморачиваться по поводу прокидывания шифрованного трафика скайпа через polipo + tor. Можно только ухудшить итоговый результат, так как голос и видео чувствительны к латентности сети, а Тор только ухудшает её, занимаясь вашей анонимностью и шифрацией.

Firefox с автопереключением прокси.

Нет смысла пускать шифрованный трафик https через систему Тор. Только лишние секунды ожидания. Шифровать шифрованное - это не очень умная мысль.

Мы сделаем так, чтобы открытый трафик http шифровался, а шифрованный https шёл шифрованным напрямую.

В Firefox ставим расширение FoxyProxy Standard. Выставляем режим: Использовать прокси, основанные на шаблонах.

http через tor

Прямой Интернет. Рекомендую сделать на всякий случай пункт direct_inet - прямой доступ в Интернет для своих белых сайтов. Данный список вы можете пополнять и, таким образом, заходить на эти веб сайты, МИНУЯ защиту в виде Tor + Polipo.

БУДЬТЕ ОСТОРОЖНЫ и не вводите логины и пароли, не занимайтесь финансовыми вопросами на этих сайтах. Данный пункт нужен, только для убыстрения работы с данным сайтом или если работа с сайтом через Тор вызывает больше проблем.

Кеширующий Полипо и Тор. Пункт ниже под названием tor_polipo - использование прокси сервера polipo + tor. Вбейте шаблон httр://* с именем http_via_tor, используя Белый список и Метасимволы. Укажите адрес прокси 127.0.0.1:8123. Теперь весь http трафик будет FoxyProxy заворачивать на Polipo с Тором, другими словами - шифровать и анонимизировать.

HTTPS идёт прямо. Последний пункт "по умолчанию" пустит весь трафик так же напрямую, а значит шифрованный https будет идти напрямую, минуя tor + polipo, так как https не попадёт под фильтр httр://* с именем http_via_tor, описанный выше.

Протоколов, кроме http(s), обычно мало кто использует, поэтому не будем усложнять схему из-за редкостных динозавров. Тем более у Polipo хроническое не умение работать с ftp.

НЕ РАБОТАЙТЕ с ftp требующих вашей авторизации и запрашивающих ваш логин и пароль.

Ещё толику безопасности.

  • Рекомендую установить расширение NoScript, которые позволяет отключать динамическое содержимое на недоверенных сайтах и предотвращает некоторые виды атак.
  • Установите расширение "HTTPS Повсюду" (HTTPS Everywhere) от Electronic Frontier Foundation. Данный плагин обладает базой, в которой есть информация о наличие у веб сайта https возможности. Вы посещаете сайт и плагин "HTTPS Повсюду" перенаправляет на его https версию, даже если вы и не знали, что у сайта есть такая возможность. Или банально забылись и набрали вместо https - http.
  • Будьте аккуратны с Wi-Fi и не забывайте его "воздушную" природу.
    защита Wi-Fi
  • Отключите в своём роутере технологию WPS. Брешь в WPS позволяет быстро взламывать стойкий пароль WPA2. Подробнее Взломать Wi-Fi за 10 часов - habrahabr.ru/company/xakep/blog/143834/

Мощь GPU и вот ключ WPA2 уже взломан. Кто виноват? Подстава от брата WPS.

Похожие материалы:
Безопасность Ubuntu.
Правила AppArmor.
Ubuntu стала безопаснее с seccomp фильтрами.
Ускоряем сёрфинг в Интернете.

Немає коментарів:

Дописати коментар

HyperComments for Blogger

comments powered by HyperComments