Тор в России

Автор вПрограммы

Территория опережающего экономического развития: что это

Данная территория – это зона с определенным льготным режимом для предпринимателей и инвесторов, решившихся вести бизнес в пределах ТОР (территория опережающего развития так называется сокращенно). Она охватывает не целые субъекты Российской Федерации, а их части, список которых утверждает Кабмин.

Перечень ТОР не является закрытым (неизменным). Правительство уполномочено добавлять в него дополнительные зоны, принимая соответствующие постановления. То есть, территории опережающего развития, имеющиеся в России, не перечислены в одном документе, а указываются в отдельных нормативных актах – по мере того, как Кабмин присваивает этот статус тому или иному территориальному пространству.

В постановлениях Правительства о создании привилегированных «кластеров», в частности, указываются:

  • ТОРы (территории опережающего развития) и их границы;

  • виды экономической деятельности, попадающей под льготный режим (в пределах данной ТОР);

  • минимальная сумма инвестиций, которую должны вложить в свой бизнес-проект резиденты территории опережающего социально экономического развития, и т.д.

Закон о ТОР № 473-ФЗ от 29.12.2014 вступил в силу спустя три месяца – 29 марта 2015 года. Согласно его переходным положениям, первые три года с момента, как заработал закон, ТОР разрешалось создавать в границах:

  • либо Дальневосточного федерального округа;

  • либо моногородов с тяжелой экономической ситуацией.

Однако весной 2018 года данное ограничение было снято, и география ТОР заметно расширилась, о чем свидетельствует их список, приведенный в конце статьи.

Федеральный закон о территориях опережающего развития: ключевые положения

Правовым актом установлено, что ТОР по решению Правительства образуется на длительный срок — 70 лет, и он может быть продлен (п. 1 ст.3 закона № 473-ФЗ). Досрочно прекратить ее существование Кабмин вправе в случаях:

  • если созданная территория опережающего развития небезопасна для жизни и здоровья россиян, окружающей среды или культурного наследия;

  • если это необходимо для обеспечения обороноспособности страны;

  • если в течение 3-х лет после образования ТОР на данной территории не было подписано ни одного соглашения с резидентом, или все ранее заключенные договоры стороны расторгли.

Согласно закона № 473-ФЗ (ст.2), резидент территории опережающего развития – это ИП или коммерческие организации, заключившие соглашение о ведении деятельности в границах определенной ТОР. Среди них не могут оказаться унитарные предприятия – муниципальные и государственные.

Резиденты ТОР включены в специальный реестр и наделены особыми преференциями. Какими именно, закон 473-ФЗ о территориях опережающего развития перечисляет в ст.17. В частности, инвесторы вправе рассчитывать на льготы:

  • по уплате налогов – от полного освобождения до пониженной ставки;

  • по таможенным и административным процедурам;

  • по арендной плате;

  • по первоочередному присоединению к объектам инфраструктуры, и т.д.

Закон 473-ФЗ о территориях опережающего развития не содержит четкого перечня льгот для резидентов. Их конкретный объем прописан в иных федеральных и региональных законах. Например, преференции по налогам закреплены в Налоговом кодексе РФ:

  • ст. 176.1 – упрощенный (заявительный) порядок возмещения НДС;

  • п. 1.8 ст. 284, ст. 284.4 – нулевая ставка по налогу на прибыль (при определенных условиях);

  • ст. 427 – пониженные страховые взносы (7,6% вместо обычных 30%).

Льготы по налогу на имущество устанавливаются законодательными актами субъектов РФ.

Территории опережающего развития: список 2019 года

Федеральный закон № 473-ФЗ многими политиками и экспертами был встречен критично. В нем увидели опасность легальной «оккупации» российских земель, бесконтрольной коммерческой деятельности, а также отсутствие государственной выгоды от внедряемых бизнес-проектов. Тем не менее, города территории опережающего развития и другие населенные пункты продолжают множиться, и сегодня их перечень включает 85 наименований.

В ближайшее время список территорий опережающего развития 2019 года вновь будет расширен. В частности, Правительство планирует наделить особым экономическим статусом Благовещенск, Чапаевск, Нефтекамск и иные местности, нуждающиеся в активном инвестировании.

Название ТОР

Постановления Правительства (ПП) РФ о создании ТОР

Абаза (Хакасия)

ПП РФ от 24.07.2017 № 870

Анжеро-Судженск (Кемеровская обл.)

ПП РФ от 19.09.2016 № 941

Бакал (Челябинская обл.)

ПП РФ от 06.03.2017 № 265

Белебей (Башкирия)

ПП РФ от 29.12.2016 № 1536

Варгаши (Курганская обл.)

ПП РФ от 16.03.2018 № 276

Верхний Уфалей (Челябинская обл.)

ПП РФ от 13.11.2017 № 1369

Вятские Поляны (Кировская обл.)

ПП РФ от 12.10.2017 № 1239

Гаврилов-Ям (Ярославская обл.)

ПП РФ от 16.03.2018 № 272

Галич (Костромская обл.)

ПП РФ от 25.01.2019 № 37

Губкин (Белгородская обл.)

ПП РФ от 16.03.2018 № 274

Гуково (Ростовская обл.)

ПП РФ от 28.01.2016 № 45

Дагестанские Огни (Дагестан)

ПП РФ от 11.12.2018 № 1508

Далматово (Курганская обл.)

ПП РФ от 16.03.2018 № 267

Димитровград (Ульяновская обл.)

ПП РФ от 19.07.2017 № 848

Донецк (Ростовская обл.)

ПП РФ от 16.03.2018 № 280

Дорогобуж (Смоленская обл.)

ПП РФ от 06.03.2017 № 266

Емва (Республика Коми)

ПП РФ от 06.03.2017 № 267

Ефремов (Тульская обл.)

ПП РФ от 16.03.2018 № 269

Заринск (Алтайский край)

ПП РФ от 16.03.2018 № 279

Зверево (Ростовская обл.)

ПП РФ от 16.03.2018 № 263

Зеленодольск (Татарстан)

ПП РФ от 22.12.2017 № 1611

Камешково (Владимирская обл.)

ПП РФ от 06.09.2018 № 1060

Канаш (Чувашская республика)

ПП РФ от 16.03.2018 № 270

Каспийск (Дагестан)

ПП РФ от 24.03.2017 № 334

Кировск (Мурманская обл.)

ПП РФ от 06.03.2017 № 264

Кондопога (Карелия)

ПП РФ от 22.12.2017 № 1608

Котовск (Тамбовская обл.)

ПП РФ от 22.12.2017 № 1607

Краснокаменск (Забайкальский край)

ПП РФ от 16.07.2016 № 675

Краснотурьинск (Свердловская обл.)

ПП РФ от 19.09.2016 № 942

Кумертау (Башкирия)

ПП РФ от 29.12.2016 № 1550

Лесной (Рязанская обл.)

ПП РФ от 13.11.2017 № 1368

Линево (Новосибирская обл.)

ПП РФ от 16.03.2018 № 268

Набережные Челны (Татарстан)

ПП РФ от 28.01.2016 № 44

Наволоки (Ивановская обл.)

ПП РФ от 17.02.2018 № 171

Надвоицы (Карелия)

ПП РФ от 19.09.2016 № 940

Невинномысск (Ставропольский край)

ПП РФ от 22.12.2017 № 1606

Нижнекамск (Татарстан)

ПП РФ от 22.12.2017 № 1609

Новоалтайск (Алтайский край)

ПП РФ от 16.03.2018 № 273

Новокузнецк (Кемеровская обл.)

ПП РФ от 16.03.2018 № 278

Новотроицк (Оренбургская обл.)

ПП РФ от 24.07.2017 № 871

Онега (Архангельская обл.)

ПП РФ от 16.03.2018 № 266

Павловск (Воронежская обл.)

ПП РФ от 16.03.2018 № 264

Петровск (Саратовская обл.)

ПП РФ от 27.09.2017 № 1166

Пикалево (Ленинградская обл.)

ПП РФ от 16.03.2018 № 271

Прокопьевск (Кемеровская обл.)

ПП РФ от 03.12.2018 № 1470

Ростов (Ярославская обл.)

ПП РФ от 30.06.2018 № 762

Рузаевка (Мордовия)

ПП РФ от 27.09.2017 № 1165

Сарапул (Удмуртия)

ПП РФ от 29.09.2017 № 1178

Саянск (Иркутская обл.)

ПП РФ от 16.03.2018 № 262

Селенгинск (Бурятия)

ПП РФ от 29.07.2017 № 898

Сердобск (Пензенская обл.)

ПП РФ от 16.03.2018 № 277

Сосенский (Калужская обл.)

ПП РФ от 13.11.2017 № 1370

Тольятти (Самарская обл.)

ПП РФ от 28.09.2016 № 974

Тутаев (Ярославская обл.)

ПП РФ от 28.09.2017 № 1170

Угловка (Новгородская обл.)

ПП РФ от 16.03.2018 № 275

Усолье-Сибирское (Иркутская обл.)

ПП РФ от 26.02.2016 № 135

Черемхово (Иркутская обл.)

ПП РФ от 16.03.2018 № 265

Череповец (Вологодская обл.)

ПП РФ от 07.08.2017 № 939

Чистополь (Татарстан)

ПП РФ от 22.12.2017 № 1610

Чусовой (Пермский край)

ПП РФ от 23.03.2017 № 329

Южа (Ивановская обл.)

ПП РФ от 14.12.2018 № 1522

Юрга (Кемеровская обл.)

ПП РФ от 07.07.2016 № 641

Железногорск (Красноярский край)

ПП РФ от 06.02.2018 № 114

Заречный (Пензенская обл.)

ПП РФ от 05.07.2018 № 785

Озерск (Челябинская обл.)

ПП РФ от 06.02.2018 № 113

Саров (Нижегородская обл.)

ПП РФ от 20.04.2017 № 481

Снежинск (Челябинская обл.)

ПП РФ от 06.02.2018 № 115

Амуро-Хинганская (Еврейская автономная обл.)

ПП РФ от 27.08.2016 № 847

Белогорск (Амурская обл.)

ПП РФ от 21.08.2015 № 875

Большой Камень (Приморский край)

ПП РФ от 28.01.2016 № 43

Горный воздух (Сахалинская обл.)

ПП РФ от 17.03.2016 № 200

Индустриальный парк «Кангалассы» (Якутия)

ПП РФ от 21.08.2015 № 877

Камчатка (Камчатский край)

ПП РФ от 28.08.2015 № 899

Комсомольск (Хабаровский край)

ПП РФ от 25.06.2015 № 628

Курилы (Сахалинская обл.)

ПП РФ от 23.08.2017 № 992

Михайловский (Приморский край)

ПП РФ от 21.08.2015 № 878

Надеждинская (Приморский край)

ПП РФ от 25.06.2015 № 629

Нефтехимический (Приморский край)

ПП РФ от 07.03.2017 № 272

Николаевск (Хабаровский край)

ПП РФ от 19.04.2017 № 464

Приамурская (Амурская обл.)

ПП РФ от 21.08.2015 № 879

Свободный (Амурская обл.)

ПП РФ от 03.06.2017 № 673

Хабаровск (Хабаровский край)

ПП РФ от 25.06.2015 № 630

Чукотка (Чукотский автономный округ)

ПП РФ от 21.08.2015 № 876

Южная (Сахалинская обл.)

ПП РФ от 17.03.2016 № 201

Южная Якутия (Республика Саха — Якутия)

ПП РФ от 28.12.2016 № 1524

Ситуация на сегодняшний день

Формально запрет на использование ВПН-серверов не действует. Но подобные ресурсы могут подвергнуться атаке со стороны Роскомнадзора по следующим причинам:

  • Невозможно установить личность пользователя;
  • При технической возможности реализуют доступ к запрещенным веб-страницам;
  • Скрывают данные о гражданстве и местоположении пользователя.

Описанные выше действия – основное поле деятельности программы, помогающей сохранять анонимность. Отсюда следует логичный вопрос – разрешен ли в России браузер Тор? Приведем простые факты:

  • Ни один закон не запрещает пользователю сохранять анонимность;
  • Вы можете пользоваться обозревателем для просмотра страниц, которые не были внесены в реестр РКН.

Хотите понять, что будет за использование Тор браузера? Ответ прост – никакого наказания не последует:

  • Обозреватель не является запрещенным продуктом, вы можете смело просматривать нужные ресурсы;
  • Единственное условие – избегайте входа на сайты, подвергшиеся блокировке.

В самом плохом случае запущенный обозреватель можно трактовать как программу, предоставляющую доступ к блокируемым порталам. Доказать это сложно, но максимальное наказание – административный штраф в размере пяти тысяч рублей.

nadejnei.net

Deploy TOR Exit Relay, TOR monitor and TOR SOCKS proxy.

A.Вступление.

Важными состовляющими сети TOR являются Relay(ретранстляторы), Bringe(мосты) и Exit Node(выходные точки). Так же можно ещё упомянуть об TOR Socks Proxy, Obfsproxy(прокси с поддержкой обфускации траффика) и Hidden Service(скрытые сервисы TOR, доступные только внутри самой сети), но о них чуть позже. Рассмотрим всё по порядку, т.е. что это всё из себя представляет, поехали ))

1) Relay — это публичные ретрансляторы в сети TOR. Получить список ретрансляторов можно здесь → Globe, Atlas. Главная задача ретрансляторов состоит в том, что бы перегонять через себя транзитный трафик, т.е. ретранслятор является посредником в цепочке нодов, но точно так же есть возможность настроить ретранслятор на работу в режиме выходной точки и одновременно TOR Socks Proxy .

2) Bridge — мост, является точкой входа в саму сеть TOR. Может являться публичным мостом или не публичным. В случае с развёртыванием не публичного моста(не публичные мосты стоит развёртывать, если вы хотите предоставлять сход в сеть TOR пользователям стран с сильной цензурой), он не будет доступен по ссылкам приведённым в описании Relay и что бы пользователь мог получить мосты для подключения к сети нужно настроить TOR клиент для работы через мост, либо (если в вашей стране закрыт доступ к мостам TOR) написать письмо в Tor Project с просьбой прислать вам несколько IP адресов с мостами (в основном вам пришлют 3 рандомных адреса). Так же bridge может работать в решиме проски сервера с поддержкой обфускации трафика, Obfsproxy(используется для того, что бы обойти DPI. Так же имеется возможность прикрутить авторизацию, для использования нашего моста.

3) Exit Node — собственно завершающее звено в сети. Точка из которой выходят запросы клиентов к внешним ресурсам. По сути дела мало чего можно рассказать про то, чем является Exit Node. Но стоит сказать то, что выходной нодой может являтся как relay, так и bridge(не рекомендуется делать мост одновременно и точкой выхода, особенно есть ваш мост не публичный !!).

4) TOR Socks Proxy — так же, для тех, кто не желает скачивать полноценный TOR клиент, есть возможность настроить на работу с сетью TOR, через Socks Proxy. Для этого вам, как клиенту, необходимо в настройках браузера указать подключение через Socks и прописать туда адрес вашего прокси и порт(в основном это порт 9050).
5) Hidden Service — одна из самых интересных «фишек». Это возможность создавать свои скрытые сервисы(например: Web, FTP, IRC и т.п. сервисы). Данные сервисы доступны только из сети TOR и их доменные имена заканчиваются на .onion (пример имени: http://wikitjerrta4qgz4.onion/ ) Более подробно Hidden Service описана в документации на оф. сайте Тыц и мануал по настройке Тыц2

Небольшие примечания: Если вы собрались стать участником TOR, то вам необходимо знать несколько формальностей.

a) Не все провайдеры и сервисы, которые дают вам возможность арендовать виртуальный сервер, равнодушно дышат в сторону данной сети. Так что перед тем как на радостях бежать покупать VPS или арендовать юнит в стойке ЦОДа. Убедитесь в том, что ваш провайдер одобрит то, что вы держите у себя ретранслятор или выходную ноду. Список провайдеров и их отношений к TOR: List Но, если вы используете домашнего провайдера, то им, по большей части(если это конечно крупный провайдер), по барабану на то, что вы у себя дома храните.

b) Крайне не рекомендуется держать Exit Node у себя дома. Но если вы Джедай/Ситх/Чак/Плюшевая Борода/волшебный единорог/пиченюха (нужное подчеркнуть), то знайте, что в случае sql/xss/exploit/bruteforce/dos атак именно ваш IP будет в логах жертв атакующих. Так же были прицеденты к владельцу Exit Node, которая размещалась в ЦОДе Пруф. Хотя если учесть то, как в нашей стране реагируют на подобные случаи то… всё не так уж плохо.

c) Чтобы избежать проблем с синхронизацией вашего ретранслятора с остальными участниками TOR, вам необходимо убедиться в том, что NTP на вашем сервере корректно настроен на ваш часовой пояс !

d) В целях повышенной безопасности, имеется возможность запустить TOR в SandBox если указать в конциге опцию Sandbox 1. Но это не рекомендуется делать, из-за того, что пока это только экспериментальная возможность, поэтому если вы хотите стабильно работающий relay/bridge, то лучше вам этого не делать. Так же имеется возможность запустить tor в chroot, но в данной статье не буду заострять на это внимание, так как не тестировал данный метод запуска tor. Возможно позже дополню эту статью данной заметкой.

e) У ретранслатора TOR есть свой жизненный цикл Так что у вас не получится работать как полноценный «узел», сразу после запуска. Сначала стоит выдержать проверку временем и трафиком

f) Безопасное использование TOR — security

g) Ну и конечно же есть во многих негативных моментах свой пряник . И конечно же это футболки.

B. Deploy

В качестве дистрибутива я выбрал уже привычный для себя Debian 7 x64 (netinstall). И собираюсь описать то, как поднять ретранслятор с выходной нодой и socks proxy. А теперь вперёд в бой ))

1) Добавляем строчку deb http://deb.torproject.org/torproject.org wheezy main в /etc/apt/source.list P.S. Данный репозиторий должен находится первым в списке зеркал, иначе мы скачаем пакет tor из совершенного другого репозитория(который находится выше репы torproject при условии, что пакет tor, будет там находится), что не рекомендуется разработчиками TOR.

2) Теперь добавим ключ данного репозитория:

gpg –keyserver keys.gnupg.net –recv 886DDD89 && gpg –export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add —

И после этого вводим apt-get update && apt-get install tor tor-arm

3) После установки, должны установиться три пакета (tor, tor-arm и torsocks). В /etc/passwd появился пользователь deabin-tor а в /etc/group группа debian-tor. Основные файлы находятся в /etc/tor (основной конфиг), /var/lib/tor (секретные ключи а так же кэш), /usr/share/tor (дефолтный конфиг и базы GeoIP) ну и конечно же доки /usr/share/doc/tor и /usr/share/doc/tor-arm

C. Настройка.

1) Первым делом нам необходимо сгенерировать пароль для доступа к контрольной панели нашего TOR сервера.

tor –hash-password MySUpp3rT0Rp@sSw0rd

И зачищаем всю нашу историю. history -c && rm ~/.bash_history P.S. Если используете snoopy кейлоггер, то так же уберите эту команду из файла /var/log/auth.log !
На выходе мы получим хэш, который вы должны либо временно переместить в буфер, либо куда-нибудь записать в файл. Этот хэш нам скоро понадобится.

2) Теперь добавьте вашего обычного пользователя, который не обладает какими-либо административными привилегиями в группу debian-tor. Так же переходим в каталог /etc/tor/ и вводим меняем права у файла torrc

chown root:debian-tor torrc && chmod 0640 torrc

3) Вскрываем наш основной конфиг /etc/tor/torrc
P.s. Держим на готове наш хэш

Вот основные параменты, которые нам нужны:

SocksPort 1.1.1.1:9050 ← устанавливаем сокет для прокси, в качестве адреса можно указать только порт и тогда socks proxy будет доступен только вам.

SocksPolicy accept * ← указывем от каких адресов/сетей мы можем принимать коннекты к прокси. Так же можно отдельно указать опцию SocksPolicy reject * Где вместо ‘*’ можно прописать сеть или отдельный адрес. Например SocksPolicy reject 172.16.1.0/24

Log notice file /var/log/tor/log ← куда пишем логи. Доступные уровни логирования (err,warn,info,nocite,debug)

RunAsDaemon 1 ← устанавливаем параметр в 1, так как будем работать в «демоническом» режиме. Дефолтное значение 0

DataDirectory /var/lib/tor ← указываем директорию с ключами и кэшем, это домашняя директория пользователя debian-tor.

PidFile /var/run/tor/tor.pid ← можно и не указывать данную опцию, но почему-то из-за её отсутствия, на начале развёртывания у меня были ошибки в логах при перезупаске сервиса tor, которые ссылались на то, что не могут найти .pid файл демона.

ControlPort 9050 ← к данному порту мы будем подключаться для считывания статиски и управления нашим TOR сервером через tor-arm

HashedControlPassword <HASH> ← в данной опции нужно скопипастить наш хэш, который мы сгенерировали.

CookieAuthentication 0 ← выставляем данный параметр в 0, если используете аутентификацию по паролю. Иначе, даже при наличии пароля, будете подключаться через куки.

ORPort 443 NoListen
ORPort 1.1.1.1:9001 NoAdvertise ← эти два параметра отвечают за пересылку транзитного трафика и для общения с клиентами. Но, если вы планируете реализовывать веб-сервер, то тогда уберите строчку ORPort 443 NoListen . Но если же, данный сервер будет использоваться только как TOR, то лучше установить ORPort на 443, думаю, что понятно по каким причинам это лучше делать.

Address 1.1.1.1 ← вписываем наш адрес/dns. Эа опция вовсе не обязательна для указания, так как tor сервер сам определит адрес вашего ретранслятора.

Nickname MyExitRelay ← подключаем фантазию и придумываем имя нашему ретранслятору. Имя не обязательно должно быть уникальным, неоторые ретрансляторы/мосты имеют одинаковые имена.

ContactInfo shit@spam.com ← можно и не заполнять, если вы не хотите оставлять о себе контактную информацию.

DirPort 80 NoListen
DirPort 1.1.1.1:9030 NoAdvertise ← сокет, по которому клиенты будут получать списки TOR серверов. Поэтому, так же, если вы не планируете использовать web сервер, то установите опцию DirPort 80 NoListen .

ExitPolicy accept *:20 ← данный параметр определяет, какие порты и от каких адресов мы будем разрешать использовать на выходе (если вы планируете использовать свой сервер Exit Node). Если вы не хотите быть Exit Node а только ретранслятором, то просто напишите ExitPolicy reject *:*

ExitPolicy reject6 *:* ← «отрыгиваем» на выходе ipv6 трафик.

BridgeRelay 0 ← Так как мы деплоим relay, то устанавливаем параметр 0.

NumCPUs 1 ← указываем количество ядер, которые может отдать для TOR сервера.

ServerDNSResolvConfFile <пусть к файлу> ← Можно указать пусть к списку DNS серверов, которые будут использовать TOR клиенты. По дефолту используется /etc/resolv.conf

PublishServerDescriptor 1 ← данная опцию говорит о том, что мы являемся публичным, т.е. общедоступным релеем.

User debian-tor ← указываем с правами какого пользователя мы будем запускать TOR. (Запускать от рута, либо пользователя с административными привилегиями, крайне не рекомендуется.)

GeoIPFile /usr/share/tor/geoip ← указываем файл с GeoIP данными.

AllowSingleHopExits 0 ← лучше установить данный параметр в 0, если вы relay. Опция говорит о том, что мы можем пропускать трафик на прямую от клиента до источника, минуя все остальные цепочки ретрансляторов.

IPv6Exit 0 ← запрещаем прохождение ipv6 трафика.

ExitPolicyRejectPrivate 0 ← разрешаем соединение с нашим TOR сервером от клиентов локальных сетей.

MaxMemInQueues 6500 MB ← устанавливаем максимальный предел в использовании оперативной памяти для нашего сервера. По дефолту значение 0 и тогда пределом является вся ваша физическая память на сервере. Обьём памяти можно указывать в KB,MB и GB.

RelayBandwidthRate 50 KB/MB/GB ← устанавливаем скорость пропускного канала для транзитного трафика.
RelayBandwidthBurst 50 KB/MB/GB ← устанавливаем «всплеск» пропускного канала для транзитного трафика. Данные два параметры можно не указывать, если хотите выдетить всю вашу пропускную способность.

BandwidthRate 60 KB/MB/GB ← Та же опция, что и RelayBandwidthRate, только применяется для Exit Node
BandwidthBurst 75 KB/MB/GB ← Та же опция, что и RelayBandwidth, только применяется для Exit Node

ExcludeNodes Nickname или fingerprint ← Пожно указать список (через запятую) хостов, которые вы можете исключить из «цепочки» нодов.

MyFamily <fingerprint> ← можно указать ретрансляторы, максимум 40 хостов, которые будут более приоритетными в цепочке трафика.

DirPortFrontPage <путь к файлу *.html> ← Весьма интересный параметр, если вы пропишете путь к какому-либо html файлу в вашей системе, и совершите http запрос на ваш порт директорий, то отобразися содерживое данного html файла. Для примера можете открыть файл tor-exit-notice.html, который находится в директории, /usr/share/doc/tor/

Ниже приведены опции ответственные за запуск Tor DNS. Настраивать это только по лично желанию.

DNSPort 9053 ← дефолтный порт DNS Tor.
AutomapHostsOnResolve 1 ← Развешаем резолв через наш TOR DNS
AutomapHostsSuffixes .exit,.onion ← указываем список зон для резолвера. По дефолту резолвятся только .exit и .onion

Проверяем: dig @localhost -p 9053 ya.ru && dig @localhost -p 9053 xmh57jrzrnw6insl.onion

Примечание: TOR DNS не поддерживает MX и NS записи !

Ну вот мы и разобрали все основные опции в конфиге TOR, на самом деле их гораздо больше чем я описал. Для того, чтобы увидеть их всех, вам необходимо ввести команду:
tor –list-torrc-options

Либо ознакомиться с достаточно подробным мануалом, доступным при скачивании пакета tor:

man tor

3) Firewall.

В конфиге фаервола создаём таблицу nat с данными правилами перенаправления входящих пакетов. (Если вы не используете для TOR порты 80 и 443, то таблица nat вам не нужна)

/etc/init.d/tor restart

И проверяем, что tor запущен от пользователя debian-tor ( lsof -c tor && ps aux | grep tor ) и смотрим в лог файл. Если в логах появится запись:

4.1) Тюнингуем ядрою

Записываем в файл /etc/sysctl.conf след. параметры:

И применяем изменения sysctl -p

5) Мониторинг

tor-arm.
Теперь нам бы хотелось мониторить состояние нашего ретранслятора, сделать это можно при помощи tor-arm. Тут нам необходимо вспомнить про наш пароль, который мы генерировали при помощи команды tor –hash-password . Вводим команду arm и свой пароль (не стоит запускать данную команду от root пользователя).

web сервисы мониторинга.
globe.torproject.org и atlas.torproject.org

Мне больше понравился globe, в отличии от atlas не такой «глючный». Но из миносов данных web сервисов, хотелось бы отметить не своевременное обновление информации.

Примечания:
a) Так же стоит иметь ввиду, что TOR, при старте своего сервиса, по дефолту, изначально читает конфиг из директории «/usr/share/tor/» и только после этого читает /etc/tor/torrc. В дефолтном конфиге уже прописаны такие параметры как DataDirectory. PidFile, RunAsDaemon, User, ControlSocket ControlSocketGroup, CookieAuthentication, CookieAuthFileGroupReadable, CookieAuthFile и Log notice file. Если вы не хотите, что бы демон tor читал дефолтный конфиг, то можно просто подредактировать init-скрипт /etc/init.d/tor изменив в нём значение переменной DEFAULT_ARGS на –defaults-torrc /etc/tor/torrc

b) При бэкапировании TOR сервера вам необходимо так же не забывать о сохранности важного приватного ключа secret_id_key, который находятся в директории /var/lib/tor/keys/ Это ваш универнальный идентификационный ключ, если вы его потеряете, то при восстановлении, вы уже будете «другим» ретранслятором. Так же если данный ключ попадёт к злоумышленнику, то он может представиться вами и получать ваш трафик.

c) Для развёртывания TOR Relay не обязательно иметь статический адрес. В случае, если вы решили развернуть relay на вашем домашнем компьютере, который находится на NAT и у вас нет белого адреса. То вам нужно убрать из конфига строчку Address а на вашем роутере сделать проброс портов (ORPort и DirPort).

d) У меня при нагрузке в 2700 коннектов потреблялось 520 Mb моего DDR2.

e) Хорошим тоном было бы дать возможность сервису tor открывать большее количество файловых дескрипторов, чем по дефолту (примерно 1200). Это можно сделать отредактировав файл /etc/security/limits.conf Вписав туда строчку:

Если ты считаешь, что Tor — это исключительно средство для обеспечения
приватности в сети, то ты неправ дважды. Во-первых, его распределенную сеть
можно использовать в разных целях. А, во-вторых, не так уж безопасен черт, как
его малюют. Увы.

Замечательный инструмент для обеспечения анонимности и сохранности данных в
сети хорош по многим причинам. Сразу остаются не у дел любые сниферы, в том
числе установленные и на интернет-маршрутизаторах, потому как весь трафик
передается через цепочку узлов исключительно в зашифрованном виде. Крайне
затруднительно или, если полностью поверить разработчикам, то даже невозможно
становится отследить источник отправки данных благодаря постоянно меняющимся
цепочкам специальных узлов-посредников, через которые передаются данные. Кто не
пробовал использовать Tor, чтобы банально сменить свой IP? Минус на первый
взгляд один — скорость работы. Каждый из нодов, входящих в цепочку, вносит
серьезную задержку, как по времени отклика, так и банально по ширине канала. В
результате получаем анонимное соединение. Анонимное и модемное :). Но диалапный
коннект — это не самая главная проблема активных пользователей Tor. Гораздо
сильнее их должно волновать, что любые данные можно перехватить и, черт подери,
сделать это просто!

Откуда берутся… ноды

Чтобы пустить трафик приложения через Tor, достаточно указать в настройках
прокси — адрес локального SOCKS-сервера. В случае, если такой возможности не
предусмотрено можно использовать соксофикатор (например, Sockcap), но помнить
при этом, что через сокс можно пустить только TCP-трафик. Впрочем, для
большинства пользователей намного более интересны будут готовые сборки (так
называемые Bundles), включающие сам Tor, а также преконфигурированные браузер
Firefox и IM-клиент Pidgin. Поставил и все работает! Кстати говоря, для большего
удобства для Firefox’а реализован плагин
Torbutton.
Щелкнул — и весь безопасно трафик уже передается через цепочку промежуточных
узлов. Что вообще представляют собой эти узлы и как в принципе устроен Tor?
Попробуем разобраться.

В основе лежит распределенная система узлов — так называемых нод, между
которыми в зашифрованном виде передаются данные. Для соединения обычно
используется три сервера, которые образуют временную цепочку. Каждый сервер
выбирается случайным образом, при этом он знает только то, от какого звена
получил данные и кому они предназначаются. Мало этого — цепочки постоянно
меняются. Даже в случае перехвата данных на одном из серверов отследить полный
маршрут пакетов (в том числе и их отправителя) не представляется возможным.
Перед отправлением пакет последовательно шифруется тремя ключами: сначала для
третьей ноды, потом для второй и, в конце концов, для первой. Когда первая нода
получает пакет, она расшифровывает «верхний» слой шифра и узнает, куда отправить
пакет дальше. Второй и третий сервер поступают аналогичным образом.

Да здравствует Exit node!

Ну что ж, приступим. Для экспериментов нам понадобится любой никсовый
дистрибутив, пускай даже это будет
Backtrack,
запущенный с флешки, или Ubuntu на виртуальной машине — это совершенно не нужно.
Далее потребуется последняя версия Tor (на момент публикации — 0.2.1.19).
Любители GUI также могут скачать и установить Vidalia — мы же будем работать в
консоли. Итак скачиваем пакет, распаковываем и устанавливаем. Я думаю на этой
стадии никаких проблем быть не должно.

Для Tor’а важно, чтобы часы были установлены точно. В противном случае —
синхронизируем с публичными серверами времени. Забегая вперед скажу, что для
запуска Tor лучше создать отдельного пользователя — делается это командой
adduser. Я создал себе пользователя toruser: uid=111(toruser) gid=10(wheel)
groups=0(wheel),10(wheel). Теперь нужно создать файл конфигурации. Tor
использует для хранения своих данных папку .tor в домашней директории
пользователя (/home/toruser). Создаем папку .tor, создаем в ней файл torrc и
открываем его в текстовом редакторе.

Нас интересует несколько параметров :

ControlPort – на этом порту Tor будет принимать подключения для
управления Tor-сервером (т.е. можно подключиться удаленно для конфигурации Tor’а,
опция важна для тех, кто использует графические оболочки типа Vidalia или Tork).
Устанавливаем его в 9051.

DirPort – на этом порту Tor будет принимать данные от сервера
директорий. Устанавливаем в 9030.

ControlPort 9051
DirPort 9030

ExitPolicy – определяет, какой трафик мы будем принимать и форвардить.
Имеет формат «ExitPolicy Accept | reject address:port». По умолчанию политика
следующая:

Означает, что мы будем резать трафик, направленный на вышеперечисленные
порты, а весь остальной будем пропускать. В принципе можно ее и не
переопределять и оставить дефолтной, ну это уж на твой выбор. Я использовал
следующую:

ExitPolicy accept *:80, accept *:443, accept *:110, accept *:143,
accept *:993, accept *:995, reject *:*

HashedControlPassword – хеш пароля для доступа и конфигурации
Tor-сервера (чтобы никакой злобный хакер не смог переконфигурировать наш
сервер), создается при помощи команды: tor —hash-password.

Nickname – имя нашего сервера.

ORPort – порт, ожидающий подключения от других нодов.

SocksListenAddress — адрес, по которому Tor будет ждать подключений от
приложений, работающих через SOCKS. Формат: SocksListenAddress IP
Установим IP в 127.0.0.1, а порт оставим дефолтным (9050). Это понадобится нам,
если мы захотим использовать Tor в связке с Privoxy или другими прокси.

Сохраняем изменения и закрываем файл. Можно приступать к запуску. Открываем
консоль, логинимся под toruser и запускаем Tor, передав в качестве параметра
путь до конфиг-файла:

$ tor -f /home/toruser/.tor/torrc

И смотрим выдаваемые сообщения. Как только сервер сможет подсоединиться к
сети, он попытается определить доступность своих портов снаружи. Это может
занять до 20 минут. В логах появятся сообщения вида «Self-testing indicates your
ORPort is reachable from the outside. Excellent». Если таковых нет, это значит,
что сервер недоступен из Сети — тогда следует перепроверить файрволл.

Как только сервер определит доступность, он загрузит на сервер директорий
(базу нод) свой дескриптор. Это позволит клиентам узнать адрес, порты, ключи и
другую информацию о нашем сервере. Можно зайти на
http://moria.seul.org:9032/tor/status/authority и найти там nickname своего
сервера, чтобы убедиться, что он будет использоваться клиентами. Правда,
обновляется он не моментально — иногда может потребоваться некоторая время,
чтобы эта информация в базе обновилась.

Вот и появился наш сервер в списке. Посмотрим на строчку ниже HelloHacker.
Что мы видим: s Exit Fast Running V2Dir Valid. Exit — означает, что мы являемся
Exit Node!

Ловись-ловись, рыбка

Итак, выходная нода настроена, запущена, добавлена в базу — кто-нибудь
обязательно ею воспользуется уже в самое ближайшее время. Что ж, остается только
запустить любимый снифер Wireshark, выбрать Интерфейс, смотрящий во внешнюю сеть
и включить захват пакетов. А дальше нужно чуть подождать. В большинстве случаев
пакеты начинают сыпаться в логи уже очень скоро :))

После этого можно отключить захват и проанализировать полученный дамп
(например, осуществить поиск строки pass в пакетах). Как ты знаешь HTTP-протокол
передает все в открытом виде, так что может попасться что-нибудь интересное (мне
за 40 минут работы попались 2 логина и пасса к забугорным трекерам). Согласись,
неплохо. Но все же самое вкусное пролетает мимо нас (вернее проходит то оно как
раз через нас, но зашифрованным). Но и тут есть выход. Мы уже писали в
майском номере о
тулзе, перехватывающей данные в SSL-соединениях – sslstrip. На прошедшей в
августе конференции BlackHat2009 Moxie Marlinspike зарелизил новую версию этой
замечательной программульки (кстати, настоятельно рекомендую ознакомиться с его
докладом — все материалы с BlackHat мы выкладывали на
сентябрьском DVD).
Скачиваем sslstrip с сайта автора и устанавливаем (подробнее от том как
использовать sslstrip смотри
майским номер).

Запускаем:

$ python sslstrip.py -a -l 8080 -w today.log

Так как мы являемся последним узлом, то трафик от предыдущего узла передается
зашифрованным, расшифровывается на нашем сервере и уже потом отправляется
конечному адресату. Итак, нам необходимо пропускать исходящий http трафик через
sslstrip. Для этого добавим в iptables такое правило:

$ iptables -t nat -I OUTPUT -p tcp -m owner -uid-owner 111 —dport 80 -j
DNAT —to-destination 127.0.0.1:8080

где 111 — id пользователя toruser. Иными словами, мы задаем, чтобы весь
исходящий HTTP-трафик пользователя toruser шел на sslstrip. Все, теперь процесс
полностью автоматизирован, а нам осталось только ждать. А потом проверять логи.
🙂

Анонимное сканирование

Перехватывать чужие логины и пароли мы научились. А вот задачка поинтересней.
Сталкивался ли ты c ситуацией, когда ты находишься во внутренней сети, а
посканировать интересующий тебя сервак нельзя, потому как это тут же привлечет
внимание IDS и соответственно админа. Или вот еще вариант: ты сканируешь
удаленный хост, а он распознает сканирование и блокирует твой айпишник.
Неприятные ситуации. Но и из них есть выход! Нам опять поможет Tor, который
можно использовать в качестве посредника для сканирования. Ведь, кто говорил,
что эта система можно использовать только для анонимного серфинга? 🙂

В чем преимущество такого сканирования? В нашем первом случае сканирование
сервера будет происходить из инета, а не из локальной сети. А во втором, даже
если нас заблокируют, мы всегда сможем пустить трафик через другой Tor-сервер,
благо их хватает. Итак, для наших экспериментов нам понадобится:

Устанавливаем, все, кроме tortunnel. Заходим в конфиг proxychains и, чтобы
пустить трафик через Tor, раскомментируем строчку:

Socks4 127.0.0.1 9050

Сохраняем и запускаем сканирование (адрес 92.241.175.142 — это IP xakep.ru):
«proxychains nmap -PN 92.241.175.142». На первый взгляд это кажется
быстрым и эффективным способом сканирования, но это не так. При дефолтном
SYN-сканировании пакеты через Tor не пойдут. Таким образом мы бы сканировали
сервер напрямую и, возможно, спалились бы. Хорошо — попробуем по-другому,
посмотрим, какие еще техники сканирования предлагает Nmap: «SCAN TECHNIQUES: -sS/sT/sA/sW/sM:
TCP SYN/Connect()/ACK/Window/Maimon scans».

Укажем Nmap использовать сканирование с полным соединением: «proxychains
nmap -sT -PN 92.241.175.142″

Поздравляю! Вот теперь мы сканируем через Tor-сеть. Правда что-то долго. А
все потому, что наши пакеты проходят через три узла прежде, чем достигнуть цели,
причем эти узлы могут быть не самые быстрые на планете. В случае сканирования
целой подсети, процесс может затянуться на часы или даже дни. Кроме того, такое
сканирование все еще не является анонимным, так как перед сканированием Nmap
посылает icmp запросы (идущие напрямую от нашей машины), чтобы проверить
доступность удаленной машины. Что ж, придется резать файрволом весь исходящий
трафик, идущей к этой машине не через Tor или просто указать опцию -PN Nmap’у
(чтобы он не проверял доступность удаленной машины): «iptables -A OUTPUT -dest
92.241.175.142 -j DROP». Я указываю везде опцию -PN, так как фаервол на
xakep.ru рубит ICMP_трафик, поэтому я вручную указываю, что хост жив.

Прокачиваем скорость

А как же быть со скоростью? Ведь с такой скоростью много не посканируешь, что
лишает смысла все наши изыски. Тут нам поможет утилита torrtunnel. Она служит
для того, чтобы пускать трафик сразу через выходной узел, минуя два предыдущих.
И в данной ситуации скорость сканирования зависит только от того, какой
последний нод ты выберешь. Для установки утилиты потребуются дополнительные
библиотеки boost. Скачиваем последнюю версию библиотек с сайта
www.boost.org. Распаковываем,
заходим в папку и выполняем:

$ bootstrap.sh —libdir=/usr/lib —includedir=/usr/include
$ ./bjam —prefix=/usr
$ ./bjam install

После этого, заголовочные файлы должны оказаться в /usr/include/boost, а
библиотеки в /usr/lib. Теперь надо вручную создать символическую ссылку на
библиотеку libboost_system.so.1.40.0 (может кому и не понадобится, но у меня она
при установке автоматически не создалась):

$ ln -s /usr/lib/libboost_system.so.1.40.0 /usr/lib/libboost_system-mt.so

После этого можно компилировать и устанавливать tortunnel. Запускаем torproxy
— она выдает: torproxy <torExitNodeHost>. Теперь нужно выбрать подходящий exit
node. Для это идем сюда
http://128.31.0.34:9031/tor/status/all или сюда
http://moria.seul.org:9032/tor/status/authority и ищем узел с описанием «Exit,
Fast, Stable, Valid». Так обозначаются надежные и быстрые ноды — именно такие
нам и нужны. Далее копируем айпишик и выполняем: «./torproxy «

Теперь, для того чтобы все заработало, нужно через конфиг указать proxychains
использовать socks5. Итак, комментируем строку Socks4 127.0.0.1 9050
в /etc/proxychains.conf и добавляем socks5 127.0.0.1 5060 (5060 –
порт, который будет слушать tortunnel).

После этого можно запустить и Nmap:

@proxychains nmap -sT -p 80,443,21,23 92.241.175.142

Как ты видишь, скорость сканирования увеличилась (если нет – попробуй другой
нод). Теперь можно даже просканировать свою собственную машину. В довершении
научим Privoxy работать через tortunnel. Тем самым мы снизим уровень анонимности
(одна промежуточная нода вместо трех), но получим более шустрый серфинг. Заходим
в файл конфигурации и добавляем строчку:

forward-socks5 / 127.0.0.1:5060

Теперь открываем лиса и настраиваем http-proxy на 127.0.0.1:8118. После этого
идем на
http://torcheck.xenobite.eu/index.php проверять, действительно ли мы серфим
через Tor, если все ок — то отобразится страница с надписью «Your IP is
identified to be a Tor-EXIT.». Вот и все, теперь можно провести и ручной аудит
удаленной системы.

Tor Scanner

Ну вот, мы и заставили Tor работать на себя. Можем сканировать через Tor,
перехватывать чужие пароли. А что если нам самим понадобится использовать Tor
чтобы, например, на Gmail зайти? Как не попасть в логи sslstrip’a? Выход есть! В
пакете tortunnel есть утилита torscanner, предназначенная для поиска Exit
Node’ов, использующих sslstrip. Работает она следующим образом: мы передаем
программе URL страницы, содержащей https ссылку(и), после чего она напрямую
соединяется со всеми Exit Node’ами и запрашивает указанную страницу. Полученные
данные выводятся в консоль, но можно перенаправить вывод в файл, для дальнейшего
изучения. Синтаксис для запуска — «torscanner destinationHost
destinationPort request». Например:

$ torscanner www.google.ru 80 / > 1.txt

Если проанализировав файл 1.txt в ответах одного и серверов ты обнаружишь
подмену HTTPS на HTTP, то на сервере однозначно работает sslstrip.

Torscanner сканирует все выходные узлы, что занимает достаточно много
времени. Но я думаю, что ты сумеешь модифицировать программу таким образом,
чтобы она проверяла только определенный диапазон или один конкретный сервер и
уже их использовать в качестве выходных серверов (Tor’у можно явно указать какой
или какие выходные узлы использовать).

Жди подвох 🙂

Вывод может быть один — используя Tor будь осторожен. Да, система
обеспечивает неплохой уровень анонимности, но не может защитить твои данные от
перехвата. И пусть ты даже ты убедился, что на последнем узле не запущен
sslstrip, все равно никто не даст гарантии, что проходящие пакеты не дампятся
снифером. С другой стороны необязательно рассматривать Tor как исключительно
инструмент для анонимного серфинга в Сети. Несколько наших примеров — тому в
подтверждение.

Держать Exit Node — задача для крепких парней

Надо понимать, что работая в качестве Exite Node’ы, человек серьезно
подставляет себя. Ведь именно его IP светиться во время взломов и т.д. В
процессе написания статьи через мой сервер дважды пытались провести атаку
типа SQL-injection. Так что держи ухо востро, за такие вещи можно запросто
схлопотать от правоохранительных органов или от провайдера. Вот лишь
некоторые примеры:

В 2006 г. спецслужбы Германии осуществили захват шести компьютеров,
работавших нодами сети Tor на основании того, что они были незаконно
использованы для доступа к детской порнографии.

В 2007 г.
Национальная полиция Швеции арестовала известного эксперта по компьютерной
безопасности Дена Эгерстада по обвинению в неправомерном доступе к
компьютерной информации. 22-летний сотрудник компании Deranged Security
опубликовал на своем рабочем сайте пароли к электронной почте посольств,
негосударственных организаций, коммерческих фирм и правительственным
агентств разных стран. По его словам, он в качестве эксперимента создал 5
выходных серверов Tor и перехватывал через них незашифрованный трафик.

В 2007 г. немецкая
полиция арестовала в Дюссельдорфе Александра Янссена, организовавшего у себя
на компьютере сервер Tor, через который неизвестный отправил ложное
сообщение о теракте. Несмотря на то, что вскоре г-н Янссен был отпущен,
он решил отказаться от дальнейшего использования своего компьютера в
качестве точки выхода Tor.

Скрытые сервисы — уникальная фишка Tor

Есть у Tor еще одна интересная фича — скрытые сервисы. Пользователи Tor
могут предоставлять различные сервисы, такие как веб-доступ или сервер
системы мгновенного обмена сообщениями, не открывая своё истинное
местоположение. Скрытые службы доступны через специальные псевдо-домены
верхнего уровня .onion. Сеть Tor понимает эти домены и направляет информацию
анонимно к скрытым службам. Скрытая служба затем обрабатывает её посредством
стандартного софта, который настраивается на прослушивание только
непубличных (закрытых для внешнего доступа) интерфейсов. Данный функционал
можно использовать для размещения сайта, не беспокоясь о цензуре. Никто не
будет в состоянии определить владельца сайта, и владелец сайта не будет в
состоянии узнать, кто использовал сайт.

Специализированные ОС

  • Anonym.OS — LiveCD-ОС на базе OpenBSD, в которой весь входящий трафик
    запрещен, а весь исходящий автоматически и прозрачно для пользователя
    шифруется и анонимизируется при помощи Tor —
    http://sourceforge.net/projects/anonym-os/
  • ELE — Damn Small Linux+Dillo+Tor+Privoxy+Scroogle (LiveCD) —
    http://northernsecurity.net/download/ele/
  • Incognito LiveCD —
    Gentoo+Tor+TrueCrypt+Thunderbird+Enigmail+Firefox+Torbutton+FireGPG+GnuPG+KeePassX

    http://anonymityanywhere.com/incognito/
  • Phantomix — LiveCD-дистрибутив, предназначенный для анонимного
    пользования Интернетом с помощью Tor и Privoxy-
    http://phantomix.ytternhagen.de/
  • Tor-ramdisk — Дистрибутив Linux, разработанный, чтобы обеспечить работу
    Tor полностью в оперативной памяти, без использования жесткого диска или
    иных устройств долговременного хранения данных —
    http://opensource.dyc.edu/tor-ramdisk/

Полезные статьи: