हम सभी ओएस ट्रैफिक को टॉर में लपेटते हैं

लेख में वर्णित सब कुछ GitHub पर उपलब्ध टोरोक्सी टूल के रूप में लागू किया गया है

हाल ही में, ऑनलाइन गुमनामी गरम बहस का विषय रहा है। यह कोई रहस्य नहीं है कि उपयोगकर्ता के "मॉडल" के निर्माण के लिए एक स्थानीय डिवाइस से इंटरनेट संसाधनों पर जाने वाले डेटा को विभिन्न स्तरों पर एकत्र किया जा सकता है, जिसे बाद में उसके (या) के खिलाफ इस्तेमाल किया जा सकता है। इसलिए, यह आश्चर्यजनक नहीं है कि सक्रिय इंटरनेट उपयोगकर्ताओं की बढ़ती संख्या प्रॉक्सी और अज्ञातकरण तंत्र की आवश्यकता के प्रति आश्वस्त हो रही है। इस संबंध में, अधिक से अधिक नए वीपीएन क्लाइंट हैं, लेकिन, जैसा कि अभ्यास से पता चलता है, उनमें से सभी पर वास्तव में भरोसा नहीं किया जा सकता है: या तो सब कुछ बॉक्स से बाहर काम नहीं करता है, फिर केवल HTTP ट्रैफ़िक को अज्ञात किया जाता है, फिर कार्यान्वयन की गुणवत्ता लंगड़ी होती है, या और डेवलपर्स अपने उपयोगकर्ताओं के बारे में डेटा मर्ज करके पाप करते हैं।

इस लेख में, हम अपने स्वयं के टूल को UI के साथ कई सॉफ़्टवेयर घटकों से इकट्ठा करने का प्रयास करेंगे, जो हमें स्थानीय प्रणाली के ट्रैफ़िक को पूरी तरह से गुप्त रखने और काम के किसी भी चरण में "सुनने" चैनलों पर लीक को रोकने की अनुमति देगा।

हमारा मुख्य लक्ष्य तैयार उपकरणों से एक विश्वसनीय उपयोगिता "निर्माण" करना होगा। जाहिर है, एक उचित समय में खरोंच से उच्च गुणवत्ता वाले उपकरण बनाने का विचार त्रुटियों से भरा है, और इसलिए यह तैयार किए गए घटकों को चुनने के लिए तेज़ और अधिक विश्वसनीय होगा, और फिर उन्हें सही ढंग से कनेक्ट करेगा!

एक उपकरण क्या करने में सक्षम होना चाहिए?

1. लक्ष्य प्रणाली के सभी यातायात को अंतरालीय रूप से स्रोत को मास्क करने के लिए मध्यवर्ती नोड्स (अधिमानतः कई) पर पुनर्निर्देशित करें
2. संभावित अनाम उल्लंघनों को ट्रैक करें, उन्हें सही करें और UI सूचनाओं का उपयोग करके उन्हें रिपोर्ट करें

उपकरण बनाने के लिए चयनित घटक:

• टो
• iptables
• python3
• systemd

"लिनक्स" नामक शेल में सभी घटकों को मिलाकर, हम निश्चित रूप से कुछ सार्थक प्राप्त कर सकते हैं जो अंतिम लक्ष्य को प्राप्त करने में मदद करेगा।

घटक # 1: तोर

यह इस घटक के आस-पास है कि बाकी टूल इंफ्रास्ट्रक्चर का निर्माण किया जाएगा। टॉर एक ऐसा तंत्र प्रदान करता है जो किसी भी वीपीएन क्लाइंट का हिस्सा होता है - एक बाहरी प्रेक्षक (ऐसे नोड 3 के मानक विन्यास में) के लिए मध्यवर्ती नोड्स गुमनाम के माध्यम से ट्रैफ़िक को लपेटने के लिए एक तंत्र।

डिफ़ॉल्ट रूप से, इंस्टॉलेशन के बाद मानक बैच रिपॉजिटरी से टॉर क्लाइंट 9050 पोर्ट को सुनना शुरू कर देता है, जो किसी भी क्लाइंट को मोजे को स्वीकार कर सकता है। समस्या यह है कि हमारे सिस्टम में मोज़े-ट्रैफ़िक के अलावा उन अनुप्रयोगों से अन्य ट्रैफ़िक का एक गुच्छा हो सकता है जो इस प्रोटोकॉल पर काम नहीं करते हैं। इस संबंध में, सबसे पहले, स्थानीय प्रणाली के भीतर, आपको किसी भी नए नेटवर्क कनेक्शन के लिए टोर नेटवर्क में एक खिड़की काटनी होगी। यह काफी सरलता से टोर्स्क विन्यास में पारदर्शी प्रॉक्सी को बढ़ाकर किया जाता है:

/etc/tor/torrc ... TransPort 9040 #           python ControlPort 9051 ... 

यूडीपी ट्रैफिक पर विशेष ध्यान दिया जाना चाहिए। तथ्य यह है कि प्याज मार्ग सिद्धांत एक "धारा" की अवधारणा पर आधारित है, जो कि जैसा कि आप जानते हैं, केवल टीसीपी में मौजूद है। टोर के माध्यम से एक यूडीपी पैकेट भेजने से, लक्ष्य प्रणाली प्रतिक्रिया प्राप्त नहीं कर पाएगी, क्योंकि प्रतिक्रिया पैकेट को वापसी का रास्ता नहीं मिलेगा। लेकिन इस ख़ासियत के बावजूद, हमारे पास अभी भी DNS प्रश्नों को अनाम करने का अवसर है, जिन्हें UDP पर किए जाने के लिए जाना जाता है, और एक ही समय में .onion रिज़ॉल्यूशन शामिल हैं:

 /etc/tor/torrc ... AutomapHostsOnResolve 1 DNSPort 53 ... 

इस पर, Tor का उपयोग लूपबैक के भीतर खुला है।

घटक # 2: Iptables

चूंकि हमारा काम पूरे सिस्टम के भीतर एक बाहरी पर्यवेक्षक से यातायात के वास्तविक स्रोत को छिपाना है, और टो में खिड़की पहले से ही खुली है, यह केवल इस विंडो में सभी ट्रैफ़िक को लपेटने के लिए बनी हुई है। लिनक्स कर्नेल के साथ बंडल किया गया सिस्टम फ़ायरवॉल हमें इसमें मदद करेगा:

 #  tcp iptables -t nat -A OUTPUT -p tcp --syn -j REDIRECT --to-ports $TRANS_PORT #   udp (dns only) iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 53 iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #       iptables -A OUTPUT -j REJECT ip6tables -A OUTPUT -j REJECT 

इस स्तर पर, हमें एक कार्य उपयोगिता मिलती है जो सभी आउटगोइंग ट्रैफ़िक को मज़बूती से हटाती है, लेकिन यह केवल आधा काम है।

घटक # 3: अजगर + डेस्कटॉप यूआईआर यूआई

हर बार, कंसोल से मैनुअल कॉन्फ़िगरेशन (भले ही यह बैश स्क्रिप्ट का लॉन्च होगा) काफी थका देने वाला होगा, इसलिए यह एक छोटी उपयोगिता लिखना शुरू करने का समय है जो हमें विशेष रूप से निम्नलिखित में मदद करता है:

1. स्वचालित कॉन्फ़िगरेशन
2. किसी भी समय टॉर के भीतर अपनी पहचान बदलें
3. निगरानी iptables नियम अखंडता और पुनर्लेखन अगर उल्लंघन किया है
4. अपनी वर्तमान पहचान (IP) ट्रैक करना
5. ग्राफिकल नोटिफिकेशन के साथ दो पिछले पैराग्राफ की अधिसूचना

पहली शुरुआत में, उपयोगिता अपने आप ही सभी आवश्यक घटकों को डाउनलोड करेगी, और बाद में लॉन्च होने पर यह टो को iptables के साथ कॉन्फ़िगर करेगी, जैसा कि ऊपर वर्णित है।

यदि आप अपना बाहरी IP पता बदलना चाहते हैं, तो आप Tor - 9051 सेवा पोर्ट के साथ बातचीत करेंगे, जो IP परिवर्तन को स्वचालित करने के लिए बहुत शुरुआत में खुला था:

 with Controller.from_port(port = 9051) as controller: controller.authenticate() controller.signal(Signal.NEWNYM) 

इंटीग्रिटी ट्रैकिंग को काफी हद तक लागू किया जा सकता है (हम इसे घुटने पर करते हैं) समय-समय पर iptables नियम संरचना को पढ़ते हैं और उनकी SHA256 राशि की जाँच करते हैं:

 def rulesOk(self): RULES_CHECKSUM_CMD = "{ iptables-save && ip6tables-save; } | sed s/\-\-uid\-owner\\\\s[0-9]\\\\+\\\\s//g | grep -viE '^#' | grep -viE '^\:' | sort | uniq | sha256sum | cut -d' ' -f 1" checkSum = getoutput(RULES_CHECKSUM_CMD).strip() alright = checkSum == Strings.RULES_CHECKSUM_CORRECT_HASH if not alright: rules = getoutput('iptables-save && ip6tables-save') self.lastSnapshotFileName = "/tmp/broken-rules-%s.log" % time.strftime("%d-%m-%Y_%I-%M-%S") open(self.lastSnapshotFileName, "w").write(rules) return False else: return True 

इसके अलावा, अगर अपेक्षित चेकसम के साथ असंगतताएं हैं, तो आप iptables नियमों को /tmp/broken-rules-%d-%m-%Y_%I-%M-%S.log में आगे की कार्यवाही के लिए सहेज सकते हैं। अगर यह पता चला है कि

 rulesOk() == False 

यह iptables नियम तालिका को फिर से लिखना शुरू करेगा।

वर्तमान आईपी की निगरानी कुछ बाहरी संसाधन जो आईपी क्लाइंट प्रदान करता है, को लगातार एक्सेस करने से होगा - उदाहरण के लिए, ident.me ।

खैर, अंत में, हम आईपी के नियमों या परिवर्तन के साथ समस्याओं की रिपोर्ट करने के लिए DE UI का उपयोग करेंगे। प्रत्येक चित्रमय वातावरण किसी न किसी तरह से अद्वितीय है, खासकर जब यह डीमन प्रक्रिया से यूआई का उपयोग करने की बात आती है, लेकिन अधिकांश लिनक्स प्रणालियों पर, पायथन से कॉल किए गए ऐसे बैश कोड सफलतापूर्वक सूचनाएं प्रदर्शित करेंगे:

 # root UI eval "export $(egrep -z DBUS_SESSION_BUS_ADDRESS /proc/$(pgrep -u $LOGNAME gnome-session)/environ)" export DISPLAY=:0 for USR in `ls /home && echo root` do # ubuntu gnome + root UI export XAUTHORITY=/home/$USR/.Xauthority notify-send -u {0} '{1}' '{2}' # ubuntu parallels for UID in `ls /run/user/` do su $USR -c "DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/$UID/bus notify-send -u {0} '{1}' '{2}'" done done 

200-रेखा वाले पायथन लिपि में यह सब मिलाकर, हमें वह प्राप्त होता है जो हमने हासिल किया। यहाँ, उदाहरण के लिए, एक सूचना क्या दिखाई देगी कि हमारी पहचान अपडेट की गई है:



और यह है कि अधिसूचना कैसे दिखाई देगी कि Iptables नियमों की अखंडता का उल्लंघन किया गया है, जिसमें डंप डंप का उल्लंघन दिखाया गया है:

घटक # 4: systemd

और अंत में, हम निश्चित रूप से एक बार का सेटअप करना चाहते हैं और भविष्य में हमारी सुरक्षा के बारे में नहीं सोचते हैं, और इसलिए ऑटोरन और सेवाएं बचाव में आती हैं। लिनक्स में कई मानक डेमन मैनेजमेंट सबसिस्टम हैं: systemd, sysV, init। हमारे मामले में, सिस्टम कॉन्फ़िगरेशन के लचीलेपन के कारण सिस्टमड पर गिर गया।

मान लीजिए कि पिछले चरण में लिखी गई पाइथन लिपि को "टोरोक्सी" कहा जाता है और /usr/bin/ में निहित है, तो इसके ऑटोरन और बाद में डेमॉन को नियंत्रित करने के लिए एक निश्चित लचीलेपन के साथ निगरानी इस तरह होगी:

 [Unit] Description=Toroxy After=network.target StartLimitIntervalSec=0 [Service] Type=simple Restart=always RestartSec=1 User=root # service toroxy start ExecStart=/usr/bin/toroxy service # service toroxy stop ExecStop=/usr/bin/toroxy stop # service toroxy reload ExecReload=/usr/bin/toroxy switch [Install] #   init 3,       UI     Tor WantedBy=multi-user.target 

लगभग सब कुछ "औद्योगिक" ऑपरेशन के लिए तैयार है। अंतिम स्पर्श जिसे मैं अतिरिक्त विश्वसनीयता के लिए टूल में जोड़ना चाहूंगा, सिस्टम स्टार्टअप पर iptables नियमों का स्वत: प्रारंभ है (जैसा कि आप जानते हैं, iptables-persistent का उपयोग करके रिबूट करते समय iptables नियम रीसेट हो जाते हैं:

 iptables-save > /etc/iptables/rules.v4 ip6tables-save > /etc/iptables/rules.v6 netfilter-persistent start && netfilter-persistent save 

निष्कर्ष

इसलिए हमने अपने स्वयं के उपकरण को विभिन्न घटकों के संयोजन से इकट्ठा किया है, जो काफी उच्च स्तर की विश्वसनीयता के साथ नेटवर्क पर लिनक्स उपयोगकर्ता की निरंतर गुमनामी प्रदान करने में सक्षम है। निष्कर्ष में, यह कहा जाना चाहिए कि लेख में वर्णित सब कुछ GitHub पर उपलब्ध टोरोक्सी उपकरण के रूप में लागू किया गया है।