forum.opennet.ru

Составление сообщения

Исходное сообщение

"Сокрытие факта маршрутизации на FreeBSD"
Отправлено AMDmi3, 15-Ноя-05 19:50

>Вопрос в том, как скрыть то, что в наличии имеется факт маршрутизации?
Самый надежный способ - это не дать внутренним машинам посылать пакеты в сеть провайдера напрямую. Все пакеты будут исходить с гейта, поэтому по параметрам TCP и IP пакетов ничего определить не получится, разве что анализировать траффик, чем провайдер, я думаю, заниматься не будет. Для того, чтобы с ноутбуков можно было работать с внешней сетью, придется ставить прокси для всех нужных сервисов. HTTP (выключить x-forwarded-for и подменять http-user-agent, чтобы прикинуться браузером под FreeBSD), FTP, кэширующий dns сервер. Если скурпулезно не анализировать траффик, такую схему не обнаружить. Для других служб - есть TCP прокси, но их придется запускать по экземпляру на каждую пару удаленный_хост:порт.
Для остального придется, вероятно, запускать нативный софт на гейте.
Вариант с NAT, конечно, удобнее с точки зрения юзабельности, но нужно переписывать множество полей заголовков TCP/IP пакетов - ttl, timestamp, mss и т.д. Кое-что умеет пакетный фильтр pf (смотреть man на тему scrub). Но это лучше сначала тестировать в своей сети, ибо велик риск ошибиться.
Есть 100% надежный вариант, но для него нужна машина вне сети провайдера, с хорошим каналом, небольшим пингом и реальным адресом (на работе, например). Тогда до нее бросается VPN (например, с помощью openvpn) с гейта и весь траффик перенаправляется через тоннель. (на самом деле для openvpn хватит и одного реального адреса из двух).
Очень надежным выглядит теоретический вариант с прозрачным проксированием всех tcp соединений (и udp пакетов) - но это должно поддерживаться на уровне ядра, реализаций я не видел. Хотя вполне возможно, что что-то такое есть под linux.
Во всех перечисленных случаях, кроме VPN, теоретически можно обнаружить, что вы использете несколько компьютеров, если на ноутбуках у вас стоит не то, что на гейте - будет выглядеть странным, что с FreeBSD хоста идет траффик виндовой ICQ2000. Но это уже паранойя, скорее всего мониторингу подвергается какой-либо один заголовок - IP TTL или TCP timestamp.

Исходное сообщение
"Сокрытие факта маршрутизации на FreeBSD" Отправлено AMDmi3, 15-Ноя-05 19:50
>Вопрос в том, как скрыть то, что в наличии имеется факт маршрутизации? Самый надежный способ - это не дать внутренним машинам посылать пакеты в сеть провайдера напрямую. Все пакеты будут исходить с гейта, поэтому по параметрам TCP и IP пакетов ничего определить не получится, разве что анализировать траффик, чем провайдер, я думаю, заниматься не будет. Для того, чтобы с ноутбуков можно было работать с внешней сетью, придется ставить прокси для всех нужных сервисов. HTTP (выключить x-forwarded-for и подменять http-user-agent, чтобы прикинуться браузером под FreeBSD), FTP, кэширующий dns сервер. Если скурпулезно не анализировать траффик, такую схему не обнаружить. Для других служб - есть TCP прокси, но их придется запускать по экземпляру на каждую пару удаленный_хост:порт. Для остального придется, вероятно, запускать нативный софт на гейте. Вариант с NAT, конечно, удобнее с точки зрения юзабельности, но нужно переписывать множество полей заголовков TCP/IP пакетов - ttl, timestamp, mss и т.д. Кое-что умеет пакетный фильтр pf (смотреть man на тему scrub). Но это лучше сначала тестировать в своей сети, ибо велик риск ошибиться. Есть 100% надежный вариант, но для него нужна машина вне сети провайдера, с хорошим каналом, небольшим пингом и реальным адресом (на работе, например). Тогда до нее бросается VPN (например, с помощью openvpn) с гейта и весь траффик перенаправляется через тоннель. (на самом деле для openvpn хватит и одного реального адреса из двух). Очень надежным выглядит теоретический вариант с прозрачным проксированием всех tcp соединений (и udp пакетов) - но это должно поддерживаться на уровне ядра, реализаций я не видел. Хотя вполне возможно, что что-то такое есть под linux. Во всех перечисленных случаях, кроме VPN, теоретически можно обнаружить, что вы использете несколько компьютеров, если на ноутбуках у вас стоит не то, что на гейте - будет выглядеть странным, что с FreeBSD хоста идет траффик виндовой ICQ2000. Но это уже паранойя, скорее всего мониторингу подвергается какой-либо один заголовок - IP TTL или TCP timestamp.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>Вопрос в том, как скрыть то, что в наличии имеется факт маршрутизации?

> Самый надежный способ - это не дать внутренним машинам посылать пакеты в 
> сеть провайдера напрямую. Все пакеты будут исходить с гейта, поэтому по 
> параметрам TCP и IP пакетов ничего определить не получится, разве что 
> анализировать траффик, чем провайдер, я думаю, заниматься не будет. Для того, 
> чтобы с ноутбуков можно было работать с внешней сетью, придется ставить 
> прокси для всех нужных сервисов. HTTP (выключить x-forwarded-for и подменять http-user-agent, 
> чтобы прикинуться браузером под FreeBSD), FTP, кэширующий dns сервер. Если скурпулезно 
> не анализировать траффик, такую схему не обнаружить. Для других служб - 
> есть TCP прокси, но их придется запускать по экземпляру на каждую 
> пару удаленный_хост:порт.
> Для остального придется, вероятно, запускать нативный софт на гейте.

> Вариант с NAT, конечно, удобнее с точки зрения юзабельности, но нужно переписывать 
> множество полей заголовков TCP/IP пакетов - ttl, timestamp, mss и т.д. 
> Кое-что умеет пакетный фильтр pf (смотреть man на тему scrub). Но 
> это лучше сначала тестировать в своей сети, ибо велик риск ошибиться.

> Есть 100% надежный вариант, но для него нужна машина вне сети провайдера, 
> с хорошим каналом, небольшим пингом и реальным адресом (на работе, например). 
> Тогда до нее бросается VPN (например, с помощью openvpn) с гейта 
> и весь траффик перенаправляется через тоннель. (на самом деле для openvpn 
> хватит и одного реального адреса из двух).

> Очень надежным выглядит теоретический вариант с прозрачным проксированием всех tcp соединений 
> (и udp пакетов) - но это должно поддерживаться на уровне ядра, 
> реализаций я не видел. Хотя вполне возможно, что что-то такое есть 
> под linux.

> Во всех перечисленных случаях, кроме VPN, теоретически можно обнаружить, что вы использете 
> несколько компьютеров, если на ноутбуках у вас стоит не то, что 
> на гейте - будет выглядеть странным, что с FreeBSD хоста идет 
> траффик виндовой ICQ2000. Но это уже паранойя, скорее всего мониторингу подвергается 
> какой-либо один заголовок - IP TTL или TCP timestamp.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру