info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
TOR
8 views
Skip to first unread message
Vladislav Vetrov
Aug 23, 2019, 3:50:01 PM8/23/19
to
Hello All!
Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то могу ли
теперь клиенты TOR выходить через меня в интернет. Hе хотело бы превратиться в
проходной двор.
Vladislav
... -= - <<< - >>> - =-
Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то могу ли
теперь клиенты TOR выходить через меня в интернет. Hе хотело бы превратиться в
проходной двор.
Vladislav
... -= - <<< - >>> - =-
Eugene Grosbein
Aug 23, 2019, 4:30:01 PM8/23/19
to
23 авг. 2019, пятница, в 22:43 NOVT, Vladislav Vetrov написал(а):
VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли
VV> теперь клиенты TOR выходить через меня в интернет. Hе хотело бы
VV> превратиться в
VV> проходной двор.
То есть ты хочешь ходить через других пользователей,
а чтобы через тебя никто не ходил? Такие юзера убивают суть p2p-сетей.
Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.
Eugene
VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли
VV> теперь клиенты TOR выходить через меня в интернет. Hе хотело бы
VV> превратиться в
VV> проходной двор.
То есть ты хочешь ходить через других пользователей,
а чтобы через тебя никто не ходил? Такие юзера убивают суть p2p-сетей.
Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.
Eugene
Victor Sudakov
Aug 24, 2019, 12:40:01 AM8/24/19
to
Dear Vladislav,
23 Aug 19 22:43, you wrote to All:
VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV> бы превратиться в проходной двор.
Так ты в настройках сабжа смотри. Можно быть релеем, можно быть выходным узлом,
можно ни тем ни другим.
Быть выходным узлом сейчас в России опасно (см. "дело Богатова"). По умолчанию
это вряд ли включено.
А быть релеем по-моему желательно, потому что иначе ты сабжевой сетью
пользуешься, но пользы ей никакой не приносишь. Скорее всего функция релея
включена по умолчанию.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
23 Aug 19 22:43, you wrote to All:
VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV> бы превратиться в проходной двор.
Так ты в настройках сабжа смотри. Можно быть релеем, можно быть выходным узлом,
можно ни тем ни другим.
Быть выходным узлом сейчас в России опасно (см. "дело Богатова"). По умолчанию
это вряд ли включено.
А быть релеем по-моему желательно, потому что иначе ты сабжевой сетью
пользуешься, но пользы ей никакой не приносишь. Скорее всего функция релея
включена по умолчанию.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alexey Vissarionov
Aug 24, 2019, 3:35:01 AM8/24/19
to
Доброго времени суток, Vladislav!
23 Aug 2019 22:43:32, ты -> All:
VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV> Hе хотело бы превратиться в проходной двор.
Это обязательное условие для работы: и твои, и чужие соединения идут внутри
одних и тех же тоннелей. То есть, если хочешь пользоваться чужими ресурсами -
предоставляй свои.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Ну что же вы стоите на пороге? Не стесняйтесь, идите отсюда!
23 Aug 2019 22:43:32, ты -> All:
VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV> Hе хотело бы превратиться в проходной двор.
Это обязательное условие для работы: и твои, и чужие соединения идут внутри
одних и тех же тоннелей. То есть, если хочешь пользоваться чужими ресурсами -
предоставляй свои.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Ну что же вы стоите на пороге? Не стесняйтесь, идите отсюда!
Alexey Vissarionov
Aug 24, 2019, 3:40:01 AM8/24/19
to
Доброго времени суток, Eugene!
24 Aug 2019 03:16:16, ты -> Vladislav Vetrov:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
EG> тебя никто не ходил? Такие юзера убивают суть p2p-сетей.
Оверлейных сетей, где это было даже теоретически возможно, уже не осталось:
теперь для того, чтобы пользоваться чужими ресурсами, надо предоставить свои.
EG> Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.
Жень, ты что? Это ж деньги платить... :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Пароль - как коньяк: чем больше звездочек, тем лучше
24 Aug 2019 03:16:16, ты -> Vladislav Vetrov:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>> Hе хотело бы превратиться в проходной двор.
EG> То есть ты хочешь ходить через других пользователей, а чтобы через
VV>> Hе хотело бы превратиться в проходной двор.
EG> тебя никто не ходил? Такие юзера убивают суть p2p-сетей.
Оверлейных сетей, где это было даже теоретически возможно, уже не осталось:
теперь для того, чтобы пользоваться чужими ресурсами, надо предоставить свои.
EG> Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.
Жень, ты что? Это ж деньги платить... :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Vladislav Vetrov
Aug 24, 2019, 3:40:01 AM8/24/19
to
Hello Victor!
24 авг 19 11:15, you wrote to me:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV>> могут ли теперь клиенты TOR выходить через меня в интернет. Hе хотелось
VS> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть выходным
VS> узлом, можно ни тем ни другим.
А в чём отличие между выходным узлом и релеем?
VS>Быть выходным узлом сейчас в России опасно (см. "дело Богатова"). По
VS> умолчанию это вряд ли включено.
Дело Богатова нашёл, действительно опасно -
https://meduza.io/feature/2017/08/01/ya-ne-rekomenduyu-derzhat-vyhodnye-uzly-tor-doma
24 авг 19 11:15, you wrote to me:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV>> бы превратиться в проходной двор.
VS>
VS> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть выходным
VS> узлом, можно ни тем ни другим.
А в чём отличие между выходным узлом и релеем?
VS>Быть выходным узлом сейчас в России опасно (см. "дело Богатова"). По
VS> умолчанию это вряд ли включено.
Дело Богатова нашёл, действительно опасно -
https://meduza.io/feature/2017/08/01/ya-ne-rekomenduyu-derzhat-vyhodnye-uzly-tor-doma
Alexey Vissarionov
Aug 24, 2019, 3:50:02 AM8/24/19
to
Доброго времени суток, Victor!
24 Aug 2019 11:15:42, ты -> Vladislav Vetrov:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>> Hе хотело бы превратиться в проходной двор.
VS> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть
VS> выходным узлом, можно ни тем ни другим.
Промежуточным релеем ты работаешь всегда, и это неотключаемо. Явно выключить
можно (попробовать, хи-хи) только вход или выход.
VS> Быть выходным узлом сейчас в России опасно (см. "дело Богатова").
Его нашли прежде всего как экстремиста, и только в процессе обнаружили выход
сабжа (точнее, слепили из него отягчающее обстоятельство).
Но тут поцыэнт сам себе дурак.
VS> По умолчанию это вряд ли включено.
Не надо считать разработчиков дебилами: по умолчанию как раз включено все, а
отключается оно либо если не работает, либо вручную пользователем.
VS> А быть релеем по-моему желательно, потому что иначе ты сабжевой сетью
VS> пользуешься, но пользы ей никакой не приносишь. Скорее всего функция
VS> релея включена по умолчанию.
Она не просто включена - это основа "анонимизации", которую на заре своего
появления пытался предоставлять сабж. Сейчас это не более, чем прокси для
нищебродов.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Политкорректная замена термина "черная дыра" - "афроотверстие"
24 Aug 2019 11:15:42, ты -> Vladislav Vetrov:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>> Hе хотело бы превратиться в проходной двор.
VS> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть
VS> выходным узлом, можно ни тем ни другим.
Промежуточным релеем ты работаешь всегда, и это неотключаемо. Явно выключить
можно (попробовать, хи-хи) только вход или выход.
VS> Быть выходным узлом сейчас в России опасно (см. "дело Богатова").
Его нашли прежде всего как экстремиста, и только в процессе обнаружили выход
сабжа (точнее, слепили из него отягчающее обстоятельство).
Но тут поцыэнт сам себе дурак.
VS> По умолчанию это вряд ли включено.
Не надо считать разработчиков дебилами: по умолчанию как раз включено все, а
отключается оно либо если не работает, либо вручную пользователем.
VS> А быть релеем по-моему желательно, потому что иначе ты сабжевой сетью
VS> пользуешься, но пользы ей никакой не приносишь. Скорее всего функция
VS> релея включена по умолчанию.
Она не просто включена - это основа "анонимизации", которую на заре своего
появления пытался предоставлять сабж. Сейчас это не более, чем прокси для
нищебродов.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Vladislav Vetrov
Aug 24, 2019, 4:05:01 AM8/24/19
to
Hello Victor!
24 авг 19 11:15, you wrote to me:
24 авг 19 11:15, you wrote to me:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV>> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV>> бы превратиться в проходной двор.
VS>
VV>> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV>> бы превратиться в проходной двор.
VS> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть выходным
VS> узлом, можно ни тем ни другим.
Hашёл толковую статью - http://nadejnei.net/doku.php?id=tor_exit_relay
Цитата:
1) Relay - это публичные ретрансляторы в сети TOR. Получить список
ретрансляторов можно здесь -> Globe, Atlas. Главная задача ретрансляторов
состоит в том, что бы перегонять через себя транзитный трафик, т.е.
ретранслятор является посредником в цепочке нодов, но точно так же есть
возможность настроить ретранслятор на работу в режиме выходной точки и
одновременно TOR Socks Proxy .
2) Bridge - мост, является точкой входа в саму сеть TOR. Может являться
публичным мостом или не публичным. В случае с развёртыванием не публичного
моста(не публичные мосты стоит развёртывать, если вы хотите предоставлять сход
в сеть TOR пользователям стран с сильной цензурой), он не будет доступен по
ссылкам приведённым в описании Relay и что бы пользователь мог получить мосты
для подключения к сети нужно настроить TOR клиент для работы через мост, либо
(если в вашей стране закрыт доступ к мостам TOR) написать письмо в Tor Project
с просьбой прислать вам несколько IP адресов с мостами (в основном вам пришлют
3 рандомных адреса). Так же bridge может работать в решиме проски сервера с
поддержкой обфускации трафика, Obfsproxy(используется для того, что бы обойти
DPI. Так же имеется возможность прикрутить авторизацию, для использования
нашего моста.
3) Exit Node - собственно завершающее звено в сети. Точка из которой выходят
запросы клиентов к внешним ресурсам. По сути дела мало чего можно рассказать
про то, чем является Exit Node. Hо стоит сказать то, что выходной нодой может
являтся как relay, так и bridge(не рекомендуется делать мост одновременно и
точкой выхода, особенно есть ваш мост не публичный !!).
...
ExitPolicy accept *:20 <- данный параметр определяет, какие порты и от каких
адресов мы будем разрешать использовать на выходе (если вы планируете
использовать свой сервер Exit Node). Если вы не хотите быть Exit Node а только
ретранслятором, то просто напишите ExitPolicy reject *:*
------------------------
Как запретить выходной узел вроде разобрался.
Vladislav Vetrov
Aug 24, 2019, 4:35:01 AM8/24/19
to
Hello Vladislav!
24 авг 19 10:55, I wrote to Victor Sudakov:
VV> 1) Relay - это публичные ретрансляторы в сети TOR. Получить список
VV> ретрансляторов можно здесь -> Globe, Atlas. Главная задача ретрансляторов
VV> состоит в том, что бы перегонять через себя транзитный трафик, т.е.
VV> ретранслятор является посредником в цепочке нодов, но точно так же есть
VV> возможность настроить ретранслятор на работу в режиме выходной точки и
VV> одновременно TOR Socks Proxy .
VV>
VV> 2) Bridge - мост, является точкой входа в саму сеть TOR. Может являться
VV> публичным мостом или не публичным. В случае с развёртыванием не публичного
VV> моста(не публичные мосты стоит развёртывать, если вы хотите предоставлять
VV> сход в сеть TOR пользователям стран с сильной цензурой), он не будет
VV> доступен по ссылкам приведённым в описании Relay и что бы пользователь мог
VV> получить мосты для подключения к сети нужно настроить TOR клиент для
VV> работы
VV> через мост, либо (если в вашей стране закрыт доступ к мостам TOR) написать
VV> письмо в Tor Project с просьбой прислать вам несколько IP адресов с
VV> мостами
VV> (в основном вам пришлют 3 рандомных адреса). Так же bridge может работать
VV> в
VV> решиме проски сервера с поддержкой обфускации трафика,
VV> Obfsproxy(используется для того, что бы обойти DPI. Так же имеется
VV> возможность прикрутить авторизацию, для использования нашего моста.
VV>
VV> 3) Exit Node - собственно завершающее звено в сети. Точка из которой
VV> выходят
VV> запросы клиентов к внешним ресурсам. По сути дела мало чего можно
VV> рассказать
VV> про то, чем является Exit Node. Hо стоит сказать то, что выходной нодой
VV> может являтся как relay, так и bridge(не рекомендуется делать мост
VV> одновременно и точкой выхода, особенно есть ваш мост не публичный !!).
Там же нашёл:
BridgeRelay 0 <- Так как мы деплоим relay, то устанавливаем параметр 0.
__________
В самом конфиге написано:
## Bridge relays (or "bridges") are Tor relays that aren't listed in the
## main directory. Since there is no complete public list of them, even an
## ISP that filters connections to all the known Tor relays probably
## won't be able to block all the bridges. Also, websites won't treat you
## differently because they won't know you're running Tor. If you can
## be a real relay, please do; but if not, be a bridge!
#BridgeRelay 1
Hе совсем понятно. BridgeRelay - это что? С точки зрения трёх вариантов работы
TOR (см. цитату выше).
Также напрягает выражение:
VV> но точно так же есть возможность настроить ретранслятор на работу в
VV> режиме выходной точки и одновременно TOR Socks Proxy .
В общем, мне выходная точка не нужна. Как запретить работу ретранслятора в
режиме выходной точки и одновременно TOR Socks Proxy? Может кто подскажет?
24 авг 19 10:55, I wrote to Victor Sudakov:
VV> 1) Relay - это публичные ретрансляторы в сети TOR. Получить список
VV> ретрансляторов можно здесь -> Globe, Atlas. Главная задача ретрансляторов
VV> состоит в том, что бы перегонять через себя транзитный трафик, т.е.
VV> ретранслятор является посредником в цепочке нодов, но точно так же есть
VV> возможность настроить ретранслятор на работу в режиме выходной точки и
VV> одновременно TOR Socks Proxy .
VV>
VV> 2) Bridge - мост, является точкой входа в саму сеть TOR. Может являться
VV> публичным мостом или не публичным. В случае с развёртыванием не публичного
VV> моста(не публичные мосты стоит развёртывать, если вы хотите предоставлять
VV> сход в сеть TOR пользователям стран с сильной цензурой), он не будет
VV> доступен по ссылкам приведённым в описании Relay и что бы пользователь мог
VV> получить мосты для подключения к сети нужно настроить TOR клиент для
VV> работы
VV> через мост, либо (если в вашей стране закрыт доступ к мостам TOR) написать
VV> письмо в Tor Project с просьбой прислать вам несколько IP адресов с
VV> мостами
VV> (в основном вам пришлют 3 рандомных адреса). Так же bridge может работать
VV> в
VV> решиме проски сервера с поддержкой обфускации трафика,
VV> Obfsproxy(используется для того, что бы обойти DPI. Так же имеется
VV> возможность прикрутить авторизацию, для использования нашего моста.
VV>
VV> 3) Exit Node - собственно завершающее звено в сети. Точка из которой
VV> выходят
VV> запросы клиентов к внешним ресурсам. По сути дела мало чего можно
VV> рассказать
VV> про то, чем является Exit Node. Hо стоит сказать то, что выходной нодой
VV> может являтся как relay, так и bridge(не рекомендуется делать мост
VV> одновременно и точкой выхода, особенно есть ваш мост не публичный !!).
Там же нашёл:
BridgeRelay 0 <- Так как мы деплоим relay, то устанавливаем параметр 0.
__________
В самом конфиге написано:
## Bridge relays (or "bridges") are Tor relays that aren't listed in the
## main directory. Since there is no complete public list of them, even an
## ISP that filters connections to all the known Tor relays probably
## won't be able to block all the bridges. Also, websites won't treat you
## differently because they won't know you're running Tor. If you can
## be a real relay, please do; but if not, be a bridge!
#BridgeRelay 1
Hе совсем понятно. BridgeRelay - это что? С точки зрения трёх вариантов работы
TOR (см. цитату выше).
Также напрягает выражение:
VV> но точно так же есть возможность настроить ретранслятор на работу в
VV> режиме выходной точки и одновременно TOR Socks Proxy .
В общем, мне выходная точка не нужна. Как запретить работу ретранслятора в
режиме выходной точки и одновременно TOR Socks Proxy? Может кто подскажет?
Vladislav Vetrov
Aug 24, 2019, 4:35:01 AM8/24/19
to
Hello Alexey!
24 авг 19 10:33, you wrote to Victor Sudakov:
VS>> По умолчанию это вряд ли включено.
AV>
AV> Hе надо считать разработчиков дебилами: по умолчанию как раз включено все,
AV> а
AV> отключается оно либо если не работает, либо вручную пользователем.
По умолчанию выключена. Цитата из моего конфига:
## For security, by default Tor rejects connections to private (local)
## networks, including to the configured primary public IPv4 and IPv6
addresses,
## and any public IPv4 and IPv6 addresses on any interface on the relay.
## See the man page entry for ExitPolicyRejectPrivate if you want to allow
## "exit enclaving".
24 авг 19 10:33, you wrote to Victor Sudakov:
VS>> По умолчанию это вряд ли включено.
AV> Hе надо считать разработчиков дебилами: по умолчанию как раз включено все,
AV> а
AV> отключается оно либо если не работает, либо вручную пользователем.
По умолчанию выключена. Цитата из моего конфига:
## For security, by default Tor rejects connections to private (local)
## networks, including to the configured primary public IPv4 and IPv6
addresses,
## and any public IPv4 and IPv6 addresses on any interface on the relay.
## See the man page entry for ExitPolicyRejectPrivate if you want to allow
## "exit enclaving".
Vladislav Vetrov
Aug 24, 2019, 4:40:01 AM8/24/19
to
Hello Alexey!
24 авг 19 10:33, you wrote to Victor Sudakov:
AV> Его нашли прежде всего как экстремиста, и только в процессе обнаружили
24 авг 19 10:33, you wrote to Victor Sudakov:
AV> выход
AV> сабжа (точнее, слепили из него отягчающее обстоятельство).
AV>
AV> Hо тут поцыэнт сам себе дурак.
А почему он дурак? Он сделал, как ты говоришь - предоставил выходную точку
через свой домашний комп. И оказался дураком...
Vladislav Vetrov
Aug 24, 2019, 4:50:01 AM8/24/19
to
Hello Alexey!
24 авг 19 10:33, you wrote to Victor Sudakov:
AV> Hе надо считать разработчиков дебилами: по умолчанию как раз включено все,
24 авг 19 10:33, you wrote to Victor Sudakov:
AV> а
AV> отключается оно либо если не работает, либо вручную пользователем.
Кстати, подскажи, как посмотреть текущие рабочие настройки? Заодно проверим,
есть ли там "ExitPolicy reject *:*" по умолчанию?..
в man tor нашёл только --list-torrc-options, то выхлоп без текущих значений.
Vladislav Vetrov
Aug 24, 2019, 6:40:01 AM8/24/19
to
Hello Alexey!
24 авг 19 10:33, you wrote to Victor Sudakov:
AV> Hе надо считать разработчиков дебилами: по умолчанию как раз включено все,
24 авг 19 10:33, you wrote to Victor Sudakov:
AV> а
AV> отключается оно либо если не работает, либо вручную пользователем.
Вот ещё нашёл:
ExitRelay 0|1|auto
Tells Tor whether to run as an exit relay. If Tor is running as a non-bridge
server, and ExitRelay is set to 1, then Tor allows traffic to exit according to
the ExitPolicy option (or the default ExitPolicy if none is specified).
If ExitRelay is set to 0, no traffic is allowed to exit, and the ExitPolicy
option is ignored.
If ExitRelay is set to "auto", then Tor behaves as if it were set to 1, but
warns the user if this would cause traffic to exit. In a future version, the
default value will be 0. (Default: auto)
------------
Я так понимаю, что exit relay - это и есть exit node - завершающее звено цепи
TOR? Если да, то по умолчанию выключено.
Eugene Grosbein
Aug 24, 2019, 11:50:01 AM8/24/19
to
24 авг. 2019, суббота, в 10:28 NOVT, Alexey Vissarionov написал(а):
EG>> Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.
AV> Жень, ты что? Это ж деньги платить... :-)
О да, у Арубы кончился промоушн и теперь одним евро не отделаться.
Теперь лучшее предложение, увы, целых 230 рублей в месяц
за полноценную виртуалку с выделенным публичным IPv4 и блоком IPv6,
2 гигабайтами памяти и 20 гигабайтами SSD, разориться можно.
https://www.hetzner.com/cloud-ru
Eugene
--
Чтобы всё как у всех, но чтоб при этом - не так, как они.
EG>> Купи себе виртуалку за один евро в месяц и не делись ей ни с кем.
О да, у Арубы кончился промоушн и теперь одним евро не отделаться.
Теперь лучшее предложение, увы, целых 230 рублей в месяц
за полноценную виртуалку с выделенным публичным IPv4 и блоком IPv6,
2 гигабайтами памяти и 20 гигабайтами SSD, разориться можно.
https://www.hetzner.com/cloud-ru
Eugene
--
Чтобы всё как у всех, но чтоб при этом - не так, как они.
Victor Sudakov
Aug 24, 2019, 12:25:01 PM8/24/19
to
Dear Alexey,
24 Aug 19 10:33, you wrote to me:
VV>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>> IP, то могу ли теперь клиенты TOR выходить через меня в
VV>>> интернет. Hе хотело бы превратиться в проходной двор.
Похоже ты прав, не могу сейчас найти в torrc возможности отключить релей.
Только лимиты по трафику и т.п. можно поставить. А раньше помнится, можно было.
AV> Явно
AV> выключить можно (попробовать, хи-хи) только вход или выход.
VS>> Быть выходным узлом сейчас в России опасно (см. "дело Богатова").
AV> Его нашли прежде всего как экстремиста,
Пруф можно? В чем его экстремизм заключался?
AV> и только в процессе обнаружили
AV> выход сабжа (точнее, слепили из него отягчающее обстоятельство).
А что обнаружили у него до выхода сабжа?
AV> Но тут поцыэнт сам себе дурак.
VS>> По умолчанию это вряд ли включено.
AV> Не надо считать разработчиков дебилами: по умолчанию как раз включено
AV> все, а отключается оно либо если не работает, либо вручную
AV> пользователем.
Нет, в том torrc, который сейчас передо мной, ExitRelay надо явным образом
раскомментировать.
VS>> А быть релеем по-моему желательно, потому что иначе ты сабжевой
VS>> сетью пользуешься, но пользы ей никакой не приносишь. Скорее
VS>> всего функция релея включена по умолчанию.
AV> Она не просто включена - это основа "анонимизации", которую на заре
AV> своего появления пытался предоставлять сабж.
Как раз на заре появления AFAIR функционал релея можно было отключить в
конфиге.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
24 Aug 19 10:33, you wrote to me:
VV>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>> IP, то могу ли теперь клиенты TOR выходить через меня в
VS>> Так ты в настройках сабжа смотри. Можно быть релеем, можно быть
VS>> выходным узлом, можно ни тем ни другим.
AV> Промежуточным релеем ты работаешь всегда, и это неотключаемо.
VS>> выходным узлом, можно ни тем ни другим.
Похоже ты прав, не могу сейчас найти в torrc возможности отключить релей.
Только лимиты по трафику и т.п. можно поставить. А раньше помнится, можно было.
AV> Явно
AV> выключить можно (попробовать, хи-хи) только вход или выход.
VS>> Быть выходным узлом сейчас в России опасно (см. "дело Богатова").
Пруф можно? В чем его экстремизм заключался?
AV> и только в процессе обнаружили
AV> выход сабжа (точнее, слепили из него отягчающее обстоятельство).
А что обнаружили у него до выхода сабжа?
AV> Но тут поцыэнт сам себе дурак.
VS>> По умолчанию это вряд ли включено.
AV> все, а отключается оно либо если не работает, либо вручную
AV> пользователем.
Нет, в том torrc, который сейчас передо мной, ExitRelay надо явным образом
раскомментировать.
VS>> А быть релеем по-моему желательно, потому что иначе ты сабжевой
VS>> всего функция релея включена по умолчанию.
AV> Она не просто включена - это основа "анонимизации", которую на заре
AV> своего появления пытался предоставлять сабж.
Как раз на заре появления AFAIR функционал релея можно было отключить в
конфиге.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
I Almaz
Aug 24, 2019, 4:40:01 PM8/24/19
to
Привет, Vladislav!
Ответ на сообщение Vladislav Vetrov (2:5020/2140.152) к All, написанное 23
авг 19 в 22:43:
VV> Hello All!
VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV> бы превратиться в проходной двор.
Мне норм :-)
если не нравится - есть прокси и VPN. Т.к. я сомневаюсь, что за посещение
телеграма/телеграфа посадят (всех не пересажают), то можно бесплатные.
Напрягают бесплатные - есть браузер Opera, со встроенным и бесплатныи ВПН :-)
С уважением - Ivan
Ответ на сообщение Vladislav Vetrov (2:5020/2140.152) к All, написанное 23
авг 19 в 22:43:
VV> Hello All!
VV> Поставил сабж для обхода блокировок Telegram. Если у меня белый IP, то
VV> могу ли теперь клиенты TOR выходить через меня в интернет. Hе хотело
VV> бы превратиться в проходной двор.
Мне норм :-)
если не нравится - есть прокси и VPN. Т.к. я сомневаюсь, что за посещение
телеграма/телеграфа посадят (всех не пересажают), то можно бесплатные.
Напрягают бесплатные - есть браузер Opera, со встроенным и бесплатныи ВПН :-)
С уважением - Ivan
Alexey Fayans
Aug 25, 2019, 7:15:01 AM8/25/19
to
Hello Vladislav!
On Sat, 24 Aug 2019 at 10:25 +0300, Alexey Vissarionov wrote to you:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>> Hе хотело бы превратиться в проходной двор.
AV> Это обязательное условие для работы: и твои, и чужие соединения идут
AV> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV> чужими ресурсами - предоставляй свои.
Это не совсем так. По умолчанию через тебя идёт только промежуточный
зашифрованный трафик внутри сабжа. Проблемы могут появиться только если ты
настроишь сабж как exit-ноду.
... Music Station BBS | https://bbs.bsrealm.net | telnet://bbs.bsrealm.net
On Sat, 24 Aug 2019 at 10:25 +0300, Alexey Vissarionov wrote to you:
VV>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>> Hе хотело бы превратиться в проходной двор.
AV> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV> чужими ресурсами - предоставляй свои.
Это не совсем так. По умолчанию через тебя идёт только промежуточный
зашифрованный трафик внутри сабжа. Проблемы могут появиться только если ты
настроишь сабж как exit-ноду.
... Music Station BBS | https://bbs.bsrealm.net | telnet://bbs.bsrealm.net
Alexey Vissarionov
Aug 25, 2019, 11:10:01 AM8/25/19
to
Доброго времени суток, Alexey!
25 Aug 2019 14:11:00, ты -> Vladislav Vetrov:
VV>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>> Hе хотело бы превратиться в проходной двор.
AV>> Это обязательное условие для работы: и твои, и чужие соединения идут
AV>> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV>> чужими ресурсами - предоставляй свои.
AF> Это не совсем так. По умолчанию через тебя идёт только промежуточный
AF> зашифрованный трафик внутри сабжа. Проблемы могут появиться только
AF> если ты настроишь сабж как exit-ноду.
СОРМ-2? Не... ни разу не слышал :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Как мяукнется - так и отгавкнется
25 Aug 2019 14:11:00, ты -> Vladislav Vetrov:
VV>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>> Hе хотело бы превратиться в проходной двор.
AV>> Это обязательное условие для работы: и твои, и чужие соединения идут
AV>> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV>> чужими ресурсами - предоставляй свои.
AF> зашифрованный трафик внутри сабжа. Проблемы могут появиться только
AF> если ты настроишь сабж как exit-ноду.
СОРМ-2? Не... ни разу не слышал :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Vladislav Vetrov
Aug 25, 2019, 3:15:01 PM8/25/19
to
Hello Alexey!
25 авг 19 18:03, you wrote to Alexey Fayans:
VV>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>> Hе хотело бы превратиться в проходной двор.
AV>>> Это обязательное условие для работы: и твои, и чужие соединения идут
AV>>> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV>>> чужими ресурсами - предоставляй свои.
AF>> Это не совсем так. По умолчанию через тебя идёт только промежуточный
AF>> зашифрованный трафик внутри сабжа. Проблемы могут появиться только
AF>> если ты настроишь сабж как exit-ноду.
AV>
AV> СОРМ-2? Hе... ни разу не слышал :-)
А ты слышал, как он работает?
25 авг 19 18:03, you wrote to Alexey Fayans:
VV>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>> Hе хотело бы превратиться в проходной двор.
AV>>> Это обязательное условие для работы: и твои, и чужие соединения идут
AV>>> внутри одних и тех же тоннелей. То есть, если хочешь пользоваться
AV>>> чужими ресурсами - предоставляй свои.
AF>> Это не совсем так. По умолчанию через тебя идёт только промежуточный
AF>> зашифрованный трафик внутри сабжа. Проблемы могут появиться только
AF>> если ты настроишь сабж как exit-ноду.
AV> СОРМ-2? Hе... ни разу не слышал :-)
А ты слышал, как он работает?
Alexey Vissarionov
Aug 25, 2019, 7:35:02 PM8/25/19
to
Доброго времени суток, Vladislav!
25 Aug 2019 22:07:54, ты -> мне:
VV>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>>> Hе хотело бы превратиться в проходной двор.
AV>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>> появиться только если ты настроишь сабж как exit-ноду.
Я достоверно знаю, как он работает :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Я не злопамятный, но логи веду
25 Aug 2019 22:07:54, ты -> мне:
VV>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>>> Hе хотело бы превратиться в проходной двор.
AV>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>> появиться только если ты настроишь сабж как exit-ноду.
AV>> СОРМ-2? Hе... ни разу не слышал :-)
VV> А ты слышал, как он работает?
Я достоверно знаю, как он работает :-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Aug 26, 2019, 1:40:01 AM8/26/19
to
26 авг. 2019, понедельник, в 02:27 NOVT, Alexey Vissarionov написал(а):
VV>>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>>>> Hе хотело бы превратиться в проходной двор.
AV>>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>> А ты слышал, как он работает?
AV> Я достоверно знаю, как он работает :-)
/me too. Он не вмешивается в трафик и со стойкой криптографией
ничего не может, но зато он может засечь факт транзита между
IP-адресами юзера провайдера и адресами в сети. Вычислить ноду TOR
особенных проблем не составляет, было бы желание.
Eugene
VV>>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня белый
VV>>>>>> IP, то могу ли теперь клиенты TOR выходить через меня в интернет.
VV>>>>>> Hе хотело бы превратиться в проходной двор.
AV>>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>> А ты слышал, как он работает?
/me too. Он не вмешивается в трафик и со стойкой криптографией
ничего не может, но зато он может засечь факт транзита между
IP-адресами юзера провайдера и адресами в сети. Вычислить ноду TOR
особенных проблем не составляет, было бы желание.
Eugene
Alexey Fayans
Aug 26, 2019, 4:00:02 AM8/26/19
to
Hello Alexey!
On Sun, 25 Aug 2019 at 18:03 +0300, you wrote to me:
AV>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>> пользоваться чужими ресурсами - предоставляй свои.
AF>> появиться только если ты настроишь сабж как exit-ноду.
AV> СОРМ-2? Не... ни разу не слышал :-)
За использование сабжа у нас не сажают (пока), а что там внутри ходит, СОРМ-2
вряд ли сможет разнюхать.
On Sun, 25 Aug 2019 at 18:03 +0300, you wrote to me:
AV>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>> пользоваться чужими ресурсами - предоставляй свои.
AF>> Это не совсем так. По умолчанию через тебя идёт только
AF>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>> появиться только если ты настроишь сабж как exit-ноду.
AV> СОРМ-2? Не... ни разу не слышал :-)
За использование сабжа у нас не сажают (пока), а что там внутри ходит, СОРМ-2
вряд ли сможет разнюхать.
Alexey Vissarionov
Aug 26, 2019, 1:50:01 PM8/26/19
to
Доброго времени суток, Eugene!
26 Aug 2019 12:31:54, ты -> мне:
VV>>>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня
VV>>>>>>> белый IP, то могу ли теперь клиенты TOR выходить через
VV>>>>>>> меня в интернет. Hе хотело бы превратиться в проходной двор.
EG> ничего не может,
DPI - это уже СОРМ-3.
EG> но зато он может засечь факт транзита между IP-адресами юзера
EG> провайдера и адресами в сети. Вычислить ноду TOR
... а следовательно, и любого пользователя сабжа, ...
EG> особенных проблем не составляет, было бы желание.
[голосом двоих из ларца]
АГА!
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Сверхзвуковая реактивная ступа с изменяемой геометрией помела
26 Aug 2019 12:31:54, ты -> мне:
VV>>>>>>> Поставил сабж для обхода блокировок Telegram. Если у меня
VV>>>>>>> меня в интернет. Hе хотело бы превратиться в проходной двор.
AV>>>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>>> А ты слышал, как он работает?
AV>> Я достоверно знаю, как он работает :-)
EG> /me too. Он не вмешивается в трафик и со стойкой криптографией
AV>>>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>>> А ты слышал, как он работает?
AV>> Я достоверно знаю, как он работает :-)
EG> ничего не может,
DPI - это уже СОРМ-3.
EG> но зато он может засечь факт транзита между IP-адресами юзера
EG> провайдера и адресами в сети. Вычислить ноду TOR
... а следовательно, и любого пользователя сабжа, ...
EG> особенных проблем не составляет, было бы желание.
[голосом двоих из ларца]
АГА!
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Alexey Vissarionov
Aug 26, 2019, 1:50:01 PM8/26/19
to
Доброго времени суток, Alexey!
26 Aug 2019 10:43:06, ты -> мне:
AV>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>> появиться только если ты настроишь сабж как exit-ноду.
AV>> СОРМ-2? Не... ни разу не слышал :-)
AF> За использование сабжа у нас не сажают (пока), а что там внутри
AF> ходит, СОРМ-2 вряд ли сможет разнюхать.
Это не его забота: DPI - это СОРМ-3.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Никогда не оставляйте в туалете кубик Рубика!
26 Aug 2019 10:43:06, ты -> мне:
AV>>>> Это обязательное условие для работы: и твои, и чужие соединения
AV>>>> идут внутри одних и тех же тоннелей. То есть, если хочешь
AV>>>> пользоваться чужими ресурсами - предоставляй свои.
AF>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>> появиться только если ты настроишь сабж как exit-ноду.
AV>> СОРМ-2? Не... ни разу не слышал :-)
AF> ходит, СОРМ-2 вряд ли сможет разнюхать.
Это не его забота: DPI - это СОРМ-3.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Aug 26, 2019, 8:00:02 PM8/26/19
to
26 авг. 2019, понедельник, в 20:40 NOVT, Alexey Vissarionov написал(а):
AV>>>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>>>> А ты слышал, как он работает?
AV>>> Я достоверно знаю, как он работает :-)
EG>> /me too. Он не вмешивается в трафик и со стойкой криптографией
EG>> ничего не может,
AV> DPI - это уже СОРМ-3.
СОРМ и СОРМ-2 это официальные названия были,
но я не слышал, чтобы на яровой сумке ставили штампик СОРМ-3.
EG>> но зато он может засечь факт транзита между IP-адресами юзера
EG>> провайдера и адресами в сети. Вычислить ноду TOR
AV> ... а следовательно, и любого пользователя сабжа, ...
AV> АГА!
Как и пользователя любой другой p2p-сети типа bittorrent
или любого традиционного вида VPN без стеганографии,
но пока это не наказуемо.
Eugene
AV>>>>> СОРМ-2? Hе... ни разу не слышал :-)
VV>>>> А ты слышал, как он работает?
AV>>> Я достоверно знаю, как он работает :-)
EG>> /me too. Он не вмешивается в трафик и со стойкой криптографией
EG>> ничего не может,
СОРМ и СОРМ-2 это официальные названия были,
но я не слышал, чтобы на яровой сумке ставили штампик СОРМ-3.
EG>> но зато он может засечь факт транзита между IP-адресами юзера
EG>> провайдера и адресами в сети. Вычислить ноду TOR
EG>> особенных проблем не составляет, было бы желание.
AV> [голосом двоих из ларца]
AV> АГА!
Как и пользователя любой другой p2p-сети типа bittorrent
или любого традиционного вида VPN без стеганографии,
но пока это не наказуемо.
Eugene
I Almaz
Aug 27, 2019, 8:40:02 AM8/27/19
to
Привет, Alexey!
Ответ на сообщение Alexey Vissarionov (2:5020/545) к Alexey Fayans,
написанное 25 авг 19 в 18:03:
AV> СОРМ-2? Не... ни разу не слышал :-)
Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных компаний.
С уважением - I
Ответ на сообщение Alexey Vissarionov (2:5020/545) к Alexey Fayans,
написанное 25 авг 19 в 18:03:
AV> СОРМ-2? Не... ни разу не слышал :-)
Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных компаний.
С уважением - I
Eugene Grosbein
Aug 27, 2019, 4:40:01 PM8/27/19
to
27 авг. 2019, вторник, в 14:09 NOVT, I Almaz написал(а):
AV>> СОРМ-2? Hе... ни разу не слышал :-)
IA> Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных компаний.
У всех операторов связи без исключения, кто работает в белую -
без него нельзя сдать узел связи в эксплуатацию.
Операторы связи в данном случае не только интернет-провайдеры.
Телефонные операторы стационарной и мобильной связи тоже,
для телефонии свои технологии в СОРМ-2.
Eugene
--
Поэты - страшные люди. У них все святое.
AV>> СОРМ-2? Hе... ни разу не слышал :-)
IA> Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных компаний.
У всех операторов связи без исключения, кто работает в белую -
без него нельзя сдать узел связи в эксплуатацию.
Операторы связи в данном случае не только интернет-провайдеры.
Телефонные операторы стационарной и мобильной связи тоже,
для телефонии свои технологии в СОРМ-2.
Eugene
--
Поэты - страшные люди. У них все святое.
Stanislav Vlasov
Aug 28, 2019, 12:10:01 AM8/28/19
to
Привет, Eugene!
28 Aug 19 03:33, Eugene Grosbein -> I Almaz:
AV>>> СОРМ-2? Hе... ни разу не слышал :-)
IA>> Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных
IA>> компаний.
EG> У всех операторов связи без исключения, кто работает в белую -
EG> без него нельзя сдать узел связи в эксплуатацию.
EG> Операторы связи в данном случае не только интернет-провайдеры.
EG> Телефонные операторы стационарной и мобильной связи тоже,
EG> для телефонии свои технологии в СОРМ-2.
Точнее, все, кому требуется лицензия на телематические услуги.
В частности, услуги электронной почты за деньги (по-крайней мере, лет 5 назад -
точно требовалось...)
С наилучшими пожеланиями, Stanislav.
28 Aug 19 03:33, Eugene Grosbein -> I Almaz:
AV>>> СОРМ-2? Hе... ни разу не слышал :-)
IA>> Он у всех стоит? Где-то слышал, что, вроде бы, только у крупных
EG> У всех операторов связи без исключения, кто работает в белую -
EG> без него нельзя сдать узел связи в эксплуатацию.
EG> Операторы связи в данном случае не только интернет-провайдеры.
EG> Телефонные операторы стационарной и мобильной связи тоже,
EG> для телефонии свои технологии в СОРМ-2.
Точнее, все, кому требуется лицензия на телематические услуги.
В частности, услуги электронной почты за деньги (по-крайней мере, лет 5 назад -
точно требовалось...)
С наилучшими пожеланиями, Stanislav.
Alexey Fayans
Aug 28, 2019, 6:20:01 PM8/28/19
to
Hello Alexey!
On Mon, 26 Aug 2019 at 20:42 +0300, you wrote to me:
AF>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>> СОРМ-2? Не... ни разу не слышал :-)
AF>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV> Это не его забота: DPI - это СОРМ-3.
DPI может только определить тип трафика, а не его содержимое, так что всё равно
мимо. :)
On Mon, 26 Aug 2019 at 20:42 +0300, you wrote to me:
AF>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>> СОРМ-2? Не... ни разу не слышал :-)
AF>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>> ходит, СОРМ-2 вряд ли сможет разнюхать.
DPI может только определить тип трафика, а не его содержимое, так что всё равно
мимо. :)
Eugene Grosbein
Aug 28, 2019, 11:45:02 PM8/28/19
to
29 авг. 2019, четверг, в 01:00 NOVT, Alexey Fayans написал(а):
AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF> равно
AF> мимо. :)
Мимо или нет - сильно зависит от предъявленного обвинения.
Судье потом будешь рассказывать, что мол "мимо".
Eugene
AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AF>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>> Это не его забота: DPI - это СОРМ-3.
AF> DPI может только определить тип трафика, а не его содержимое, так что всё
AF>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>> Это не его забота: DPI - это СОРМ-3.
AF> равно
AF> мимо. :)
Мимо или нет - сильно зависит от предъявленного обвинения.
Судье потом будешь рассказывать, что мол "мимо".
Eugene
Alexey Vissarionov
Aug 29, 2019, 10:50:01 AM8/29/19
to
Доброго времени суток, Alexey!
29 Aug 2019 01:00:12, ты -> мне:
AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>> Это не его забота: DPI - это СОРМ-3.
AF> DPI может только определить тип трафика, а не его содержимое, так
AF> что всё равно мимо. :)
Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Не рой другому яму - используй ту, которую он вырыл для тебя
29 Aug 2019 01:00:12, ты -> мне:
AF>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>> Это не его забота: DPI - это СОРМ-3.
AF> что всё равно мимо. :)
Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Aug 29, 2019, 12:55:01 PM8/29/19
to
29 авг. 2019, четверг, в 17:40 NOVT, Alexey Vissarionov написал(а):
AF>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>>> появиться только если ты настроишь сабж как exit-ноду.
AV>>>>> СОРМ-2? Hе... ни разу не слышал :-)
Hикто не заставляет использовать сертификаты от публичных CA
для шифрования трафика. Доверие к ним - нулевое.
Eugene
AF>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы могут
AF>>>>>> появиться только если ты настроишь сабж как exit-ноду.
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
AV> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
Hикто не заставляет использовать сертификаты от публичных CA
для шифрования трафика. Доверие к ним - нулевое.
Eugene
Viktor V. Kudlak
Aug 29, 2019, 4:15:02 PM8/29/19
to
Hello Eugene.
29 Aug 19 23:42, you wrote to Alexey Vissarionov:
AF>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>>> могут появиться только если ты настроишь сабж как exit-ноду.
EG> Hикто не заставляет использовать сертификаты от публичных CA
EG> для шифрования трафика. Доверие к ним - нулевое.
просто не доверяйте генерацию ключа приватного никому.
кем подписан ваш CSR не имеет значения
важно как происходит хендшейк и важно каким CA доверяет браузер клиента.
Viktor
29 Aug 19 23:42, you wrote to Alexey Vissarionov:
AF>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AV>>>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF>>>>> За использование сабжа у нас не сажают (пока), а что там
AF>>>>> внутри ходит, СОРМ-2 вряд ли сможет разнюхать.
AF>>>>> За использование сабжа у нас не сажают (пока), а что там
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое,
AF>>> так что всё равно мимо. :)
AF>>> DPI может только определить тип трафика, а не его содержимое,
AV>> Содержимое тоже. Или ты думаешь, что держатели CA не
AV>> "сотрудничают"?
EG> Hикто не заставляет использовать сертификаты от публичных CA
EG> для шифрования трафика. Доверие к ним - нулевое.
просто не доверяйте генерацию ключа приватного никому.
кем подписан ваш CSR не имеет значения
важно как происходит хендшейк и важно каким CA доверяет браузер клиента.
Viktor
Alexey Vissarionov
Aug 30, 2019, 4:15:01 AM8/30/19
to
Доброго времени суток, Eugene!
29 Aug 2019 23:42:58, ты -> мне:
AF>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>>> могут появиться только если ты настроишь сабж как exit-ноду.
EG> шифрования трафика. Доверие к ним - нулевое.
Понятно, что самоподписанный сертификат надежнее... осталось придумать
аналогичный по надежности способ его доставки каждому пользователю.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Хайло (сущ.): инструмент для руководства горными и земляными работами
29 Aug 2019 23:42:58, ты -> мне:
AF>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AV>>>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
AV>> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
EG> Hикто не заставляет использовать сертификаты от публичных CA для
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
AV>> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
EG> шифрования трафика. Доверие к ним - нулевое.
Понятно, что самоподписанный сертификат надежнее... осталось придумать
аналогичный по надежности способ его доставки каждому пользователю.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Alexey Vissarionov
Aug 30, 2019, 4:20:02 AM8/30/19
to
Доброго времени суток, Viktor!
29 Aug 2019 22:56:22, ты -> Eugene Grosbein:
AF>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>> так что всё равно мимо. :)
AV>>> Содержимое тоже. Или ты думаешь, что держатели CA не
AV>>> "сотрудничают"?
EG>> Hикто не заставляет использовать сертификаты от публичных CA
EG>> для шифрования трафика. Доверие к ним - нулевое.
VVK> просто не доверяйте генерацию ключа приватного никому.
VVK> кем подписан ваш CSR не имеет значения
VVK> важно как происходит хендшейк и важно каким CA доверяет браузер
VVK> клиента.
Дык посмотри, каким. И попробуй хотя бы оценить количество "сотрудничающих".
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Облачных технологий не существует - существуют только чужие компутеры
29 Aug 2019 22:56:22, ты -> Eugene Grosbein:
AF>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>> так что всё равно мимо. :)
AV>>> Содержимое тоже. Или ты думаешь, что держатели CA не
AV>>> "сотрудничают"?
EG>> Hикто не заставляет использовать сертификаты от публичных CA
EG>> для шифрования трафика. Доверие к ним - нулевое.
VVK> кем подписан ваш CSR не имеет значения
VVK> важно как происходит хендшейк и важно каким CA доверяет браузер
VVK> клиента.
Дык посмотри, каким. И попробуй хотя бы оценить количество "сотрудничающих".
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Aug 30, 2019, 7:45:01 AM8/30/19
to
30 авг. 2019, пятница, в 11:03 NOVT, Alexey Vissarionov написал(а):
AV> Понятно, что самоподписанный сертификат надежнее... осталось придумать
AV> аналогичный по надежности способ его доставки каждому пользователю.
Это зависит от того, какие пользователи. Если пользователи - клиенты,
которым поставляется софт, железо или услуги с физическим посещением
или доставкой носителя хотя бы раз - лучше всего так и доставить
сертификат или GPG-ключ, которым потом проверять хоть почту подписанную.
Eugene
--
Сердце - малочувствительный, мускулистый, грубый и жесткий орган.
AV> Понятно, что самоподписанный сертификат надежнее... осталось придумать
AV> аналогичный по надежности способ его доставки каждому пользователю.
Это зависит от того, какие пользователи. Если пользователи - клиенты,
которым поставляется софт, железо или услуги с физическим посещением
или доставкой носителя хотя бы раз - лучше всего так и доставить
сертификат или GPG-ключ, которым потом проверять хоть почту подписанную.
Eugene
--
Сердце - малочувствительный, мускулистый, грубый и жесткий орган.
Victor Sudakov
Aug 30, 2019, 11:05:02 PM8/30/19
to
Dear Alexey,
29 Aug 19 17:40, you wrote to Alexey Fayans:
AF>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>> могут появиться только если ты настроишь сабж как exit-ноду.
С российскими производителями оборудования для СОРМ? Почти уверен, что не
сотрудничают. Вот в Казахстане совсем топорно получилось:
https://roskomsvoboda.org/49053/
Разве что всплывали некие факты, тогда с интересом послушаю и признаю свою
неинформированность.
IMHO идея прослушивать весь *транзитный* трафик всех пользователей спецслужбами
могла возникнуть только от некомпетентности. Гораздо эффективнее а) затроянить
конечные устройства б) принудить операторов сервисов типа Facebook и Gmail
выдавать данные и т.п.
А вот для коммерсантов такая возможность внедряться в трафик может представлять
коммерческий интерес, который впрочем граничит с криминалом:
https://pikabu.ru/story/kak_tele2_massovo_vnedryaet_svoi_skriptyi_na_saytyi_cherez_cdn_688
8214
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
29 Aug 19 17:40, you wrote to Alexey Fayans:
AF>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AV>>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
AV> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
С российскими производителями оборудования для СОРМ? Почти уверен, что не
сотрудничают. Вот в Казахстане совсем топорно получилось:
https://roskomsvoboda.org/49053/
Разве что всплывали некие факты, тогда с интересом послушаю и признаю свою
неинформированность.
IMHO идея прослушивать весь *транзитный* трафик всех пользователей спецслужбами
могла возникнуть только от некомпетентности. Гораздо эффективнее а) затроянить
конечные устройства б) принудить операторов сервисов типа Facebook и Gmail
выдавать данные и т.п.
А вот для коммерсантов такая возможность внедряться в трафик может представлять
коммерческий интерес, который впрочем граничит с криминалом:
https://pikabu.ru/story/kak_tele2_massovo_vnedryaet_svoi_skriptyi_na_saytyi_cherez_cdn_688
8214
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Victor Sudakov
Aug 30, 2019, 11:05:02 PM8/30/19
to
Dear Alexey,
30 Aug 19 11:03, you wrote to Eugene Grosbein:
AF>>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>>>> могут появиться только если ты настроишь сабж как
AF>>>>>>>> exit-ноду.
AV> аналогичный по надежности способ его доставки каждому пользователю.
Публикация сертификатов в DNS тебе не нравится?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
30 Aug 19 11:03, you wrote to Eugene Grosbein:
AF>>>>>>>> Это не совсем так. По умолчанию через тебя идёт только
AF>>>>>>>> промежуточный зашифрованный трафик внутри сабжа. Проблемы
AF>>>>>>>> могут появиться только если ты настроишь сабж как
AV>>>>>>> СОРМ-2? Hе... ни разу не слышал :-)
AF>>>>>> За использование сабжа у нас не сажают (пока), а что там
AF>>>>>> внутри ходит, СОРМ-2 вряд ли сможет разнюхать.
AF>>>>>> За использование сабжа у нас не сажают (пока), а что там
AV>>>>> Это не его забота: DPI - это СОРМ-3.
AF>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>> так что всё равно мимо. :)
AF>>>> DPI может только определить тип трафика, а не его содержимое,
AV>>> Содержимое тоже. Или ты думаешь, что держатели CA не
AV>>> "сотрудничают"?
EG>> Hикто не заставляет использовать сертификаты от публичных CA для
EG>> шифрования трафика. Доверие к ним - нулевое.
AV> Понятно, что самоподписанный сертификат надежнее... осталось придумать
EG>> шифрования трафика. Доверие к ним - нулевое.
AV> аналогичный по надежности способ его доставки каждому пользователю.
Публикация сертификатов в DNS тебе не нравится?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Eugene Grosbein
Aug 31, 2019, 2:05:01 AM8/31/19
to
31 авг. 2019, суббота, в 09:54 NOVT, Victor Sudakov написал(а):
AV>> Понятно, что самоподписанный сертификат надежнее... осталось придумать
AV>> аналогичный по надежности способ его доставки каждому пользователю.
VS> Публикация сертификатов в DNS тебе не нравится?
В DNS тоже есть mitm.
Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.
AV>> Понятно, что самоподписанный сертификат надежнее... осталось придумать
AV>> аналогичный по надежности способ его доставки каждому пользователю.
В DNS тоже есть mitm.
Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.
Victor Sudakov
Aug 31, 2019, 11:50:02 AM8/31/19
to
Dear eugen,
31 Aug 19 12:46, Eugene Grosbein wrote to me:
AV>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>> придумать аналогичный по надежности способ его доставки каждому
AV>>> пользователю.
Как его осуществить в DNSSEC? Есть известные атаки?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
31 Aug 19 12:46, Eugene Grosbein wrote to me:
AV>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>> пользователю.
VS>> Публикация сертификатов в DNS тебе не нравится?
EG> В DNS тоже есть mitm.
Как его осуществить в DNSSEC? Есть известные атаки?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Eugene Grosbein
Sep 1, 2019, 8:25:01 AM9/1/19
to
31 авг. 2019, суббота, в 22:37 NOVT, Victor Sudakov написал(а):
AV>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>> придумать аналогичный по надежности способ его доставки каждому
AV>>>> пользователю.
VS>>> Публикация сертификатов в DNS тебе не нравится?
EG>> В DNS тоже есть mitm.
VS> Как его осуществить в DNSSEC? Есть известные атаки?
А что, DNSSEC-у не нужна изначальный источник доверия?
Eugene
AV>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>> придумать аналогичный по надежности способ его доставки каждому
AV>>>> пользователю.
VS>>> Публикация сертификатов в DNS тебе не нравится?
EG>> В DNS тоже есть mitm.
А что, DNSSEC-у не нужна изначальный источник доверия?
Eugene
Victor Sudakov
Sep 1, 2019, 10:25:01 AM9/1/19
to
Dear eugen,
01 Sep 19 19:10, Eugene Grosbein wrote to me:
AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки
AV>>>>> каждому пользователю.
Таки нужен, но его публичный ключ вшит в (или идет в комплекте с) ПО
(операционные системы, резолверы и т.п.). Я почему и не говорю "это невозможно
осуществить", я спрашиваю "как его осуществить?" К примеру, атакующий должен
для этого подменить /var/unbound/root.key на моём компе или подменить бинарник
unbound, насколько это легко сделать?
С другой стороны, если мой компьютер безоговорочно доверяет провайдерскому
DNS-серверу и сам не делает dnssec validation, то провайдер сделает со мной что
хочет.
В связи с чем интересно, как обстоит дело с dnssec validation на планшетах,
мобилах и т.п.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
01 Sep 19 19:10, Eugene Grosbein wrote to me:
AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки
VS>>>> Публикация сертификатов в DNS тебе не нравится?
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?
EG> А что, DNSSEC-у не нужна изначальный источник доверия?
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?
Таки нужен, но его публичный ключ вшит в (или идет в комплекте с) ПО
(операционные системы, резолверы и т.п.). Я почему и не говорю "это невозможно
осуществить", я спрашиваю "как его осуществить?" К примеру, атакующий должен
для этого подменить /var/unbound/root.key на моём компе или подменить бинарник
unbound, насколько это легко сделать?
С другой стороны, если мой компьютер безоговорочно доверяет провайдерскому
DNS-серверу и сам не делает dnssec validation, то провайдер сделает со мной что
хочет.
В связи с чем интересно, как обстоит дело с dnssec validation на планшетах,
мобилах и т.п.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Alexey Fayans
Sep 1, 2019, 4:55:02 PM9/1/19
to
Hello Eugene!
On Thu, 29 Aug 2019 at 10:36, you wrote to me:
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
EG> Мимо или нет - сильно зависит от предъявленного обвинения.
EG> Судье потом будешь рассказывать, что мол "мимо".
Прецеденты были?
On Thu, 29 Aug 2019 at 10:36, you wrote to me:
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
EG> Мимо или нет - сильно зависит от предъявленного обвинения.
EG> Судье потом будешь рассказывать, что мол "мимо".
Прецеденты были?
Alexey Fayans
Sep 1, 2019, 4:55:02 PM9/1/19
to
Hello Alexey!
On Thu, 29 Aug 2019 at 17:40 +0300, you wrote to me:
AV>>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
AV> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
Тор как бы опенсорсный и сертификаты доверенных CA не использует. Так что
насчёт содержимого - это какие-то сказочки. Или мы уже с обсуждения сабжа
перешли на обсуждение HTTPS?
On Thu, 29 Aug 2019 at 17:40 +0300, you wrote to me:
AV>>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>> Это не его забота: DPI - это СОРМ-3.
AF>> DPI может только определить тип трафика, а не его содержимое, так
AF>> что всё равно мимо. :)
Тор как бы опенсорсный и сертификаты доверенных CA не использует. Так что
насчёт содержимого - это какие-то сказочки. Или мы уже с обсуждения сабжа
перешли на обсуждение HTTPS?
Alexey Vissarionov
Sep 2, 2019, 1:30:01 AM9/2/19
to
Доброго времени суток, Alexey!
01 Sep 2019 23:27:12, ты -> Eugene Grosbein:
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
EG>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>> Судье потом будешь рассказывать, что мол "мимо".
AF> Прецеденты были?
Еще хуже: судебная практика была.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Лучше отписываться, чем отпеваться
01 Sep 2019 23:27:12, ты -> Eugene Grosbein:
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
EG>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>> Судье потом будешь рассказывать, что мол "мимо".
Еще хуже: судебная практика была.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Alexey Vissarionov
Sep 2, 2019, 1:40:02 AM9/2/19
to
Доброго времени суток, Alexey!
01 Sep 2019 23:35:42, ты -> мне:
AV>>>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
AV>> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
AF> Тор как бы опенсорсный и сертификаты доверенных CA не использует.
AF> Так что насчёт содержимого - это какие-то сказочки.
В случае сабжа содержимое извлекается из пользователя классическим шланговым
методом. А обнаружить его использование и найти пользователя совсем просто.
AF> Или мы уже с обсуждения сабжа перешли на обсуждение HTTPS?
В этой ветке - очевидным образом да.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Кто с чем к нам зачем - тот от того и того
01 Sep 2019 23:35:42, ты -> мне:
AV>>>>>> СОРМ-2? Не... ни разу не слышал :-)
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
AV>> Содержимое тоже. Или ты думаешь, что держатели CA не "сотрудничают"?
AF> Так что насчёт содержимого - это какие-то сказочки.
В случае сабжа содержимое извлекается из пользователя классическим шланговым
методом. А обнаружить его использование и найти пользователя совсем просто.
AF> Или мы уже с обсуждения сабжа перешли на обсуждение HTTPS?
В этой ветке - очевидным образом да.
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Eugene Grosbein
Sep 2, 2019, 1:40:02 AM9/2/19
to
01 сент. 2019, воскресенье, в 23:27 NOVT, Alexey Fayans написал(а):
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
EG>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>> Судье потом будешь рассказывать, что мол "мимо".
AF> Прецеденты были?
Прецеденты чего конкретно? Обвинения за трафик исходящей ноды - были.
Eugene
AF>>>>> За использование сабжа у нас не сажают (пока), а что там внутри
AF>>>>> ходит, СОРМ-2 вряд ли сможет разнюхать.
AV>>>> Это не его забота: DPI - это СОРМ-3.
AF>>> DPI может только определить тип трафика, а не его содержимое, так
AF>>> что всё равно мимо. :)
EG>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>> Судье потом будешь рассказывать, что мол "мимо".
Прецеденты чего конкретно? Обвинения за трафик исходящей ноды - были.
Eugene
Eugene Grosbein
Sep 2, 2019, 1:40:02 AM9/2/19
to
01 сент. 2019, воскресенье, в 21:03 NOVT, Victor Sudakov написал(а):
VS> Таки нужен, но его публичный ключ вшит в (или идет в комплекте с) ПО
VS> (операционные системы, резолверы и т.п.). Я почему и не говорю "это
VS> невозможно
VS> осуществить", я спрашиваю "как его осуществить?" К примеру, атакующий
VS> должен для
VS> этого подменить /var/unbound/root.key на моём компе или подменить бинарник
VS> unbound, насколько это легко сделать?
А чем гарантировано отсутствие изначальных закладок в этих местах,
ты ездил к производителю софта или от производителя к тебе привозили
доверенный носитель? :-) Hа практике-то и DNS необязателен,
полно сторонних каналов передачи информации, которые очень сложно
практически эксплоитить. Тот же fingerprint ключа или сам ключ
можно стеганографически встроить во вторую картиночку из серии котиков
на сайте с картиночками, а адрес поста с котиками или специальный тег
поста продиктовать по телефону. Много гитик.
Я как-то тестировал одну софтинку - реально работает, даёшь ей jpg,
она говорит, сколько байт информации туда может засунуть,
в обычного котика хорошего разрешения влазит до нескольких килобайт,
вполне достаточно для ключа, не говоря уже об отпечатке, и результат
визуально от исходника не отличается и не зная, что там есть данные
и без пароля шифрования данные оттуда не извлечь.
VS> Таки нужен, но его публичный ключ вшит в (или идет в комплекте с) ПО
VS> (операционные системы, резолверы и т.п.). Я почему и не говорю "это
VS> невозможно
VS> осуществить", я спрашиваю "как его осуществить?" К примеру, атакующий
VS> должен для
VS> этого подменить /var/unbound/root.key на моём компе или подменить бинарник
VS> unbound, насколько это легко сделать?
А чем гарантировано отсутствие изначальных закладок в этих местах,
ты ездил к производителю софта или от производителя к тебе привозили
доверенный носитель? :-) Hа практике-то и DNS необязателен,
полно сторонних каналов передачи информации, которые очень сложно
практически эксплоитить. Тот же fingerprint ключа или сам ключ
можно стеганографически встроить во вторую картиночку из серии котиков
на сайте с картиночками, а адрес поста с котиками или специальный тег
поста продиктовать по телефону. Много гитик.
Я как-то тестировал одну софтинку - реально работает, даёшь ей jpg,
она говорит, сколько байт информации туда может засунуть,
в обычного котика хорошего разрешения влазит до нескольких килобайт,
вполне достаточно для ключа, не говоря уже об отпечатке, и результат
визуально от исходника не отличается и не зная, что там есть данные
и без пароля шифрования данные оттуда не извлечь.
Victor Sudakov
Sep 2, 2019, 11:05:02 AM9/2/19
to
Dear eugen,
02 Sep 19 12:22, Eugene Grosbein wrote to me:
VS>> Таки нужен, но его публичный ключ вшит в (или идет в комплекте с)
VS>> ПО (операционные системы, резолверы и т.п.). Я почему и не говорю
VS>> "это невозможно осуществить", я спрашиваю "как его осуществить?"
VS>> К примеру, атакующий должен для этого подменить
VS>> /var/unbound/root.key на моём компе или подменить бинарник
EG> ты ездил к производителю софта или от производителя к тебе привозили
EG> доверенный носитель? :-)
Можно сравнить Trust Anchor в твоем named с Root Zone KSK, который выложен
публично на iana.org.
EG> Hа практике-то и DNS необязателен,
EG> полно сторонних каналов передачи информации, которые очень сложно
EG> практически эксплоитить. Тот же fingerprint ключа или сам ключ
EG> можно стеганографически встроить во вторую картиночку из серии котиков
EG> на сайте с картиночками, а адрес поста с котиками или специальный тег
EG> поста продиктовать по телефону. Много гитик.
Я не понял, к чему это. Мы вроде о возможности MITM в DNSSEC.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
02 Sep 19 12:22, Eugene Grosbein wrote to me:
VS>> Таки нужен, но его публичный ключ вшит в (или идет в комплекте с)
VS>> "это невозможно осуществить", я спрашиваю "как его осуществить?"
VS>> К примеру, атакующий должен для этого подменить
VS>> /var/unbound/root.key на моём компе или подменить бинарник
VS>> unbound, насколько это легко сделать?
EG> А чем гарантировано отсутствие изначальных закладок в этих местах,
EG> ты ездил к производителю софта или от производителя к тебе привозили
EG> доверенный носитель? :-)
Можно сравнить Trust Anchor в твоем named с Root Zone KSK, который выложен
публично на iana.org.
EG> Hа практике-то и DNS необязателен,
EG> полно сторонних каналов передачи информации, которые очень сложно
EG> практически эксплоитить. Тот же fingerprint ключа или сам ключ
EG> можно стеганографически встроить во вторую картиночку из серии котиков
EG> на сайте с картиночками, а адрес поста с котиками или специальный тег
EG> поста продиктовать по телефону. Много гитик.
Я не понял, к чему это. Мы вроде о возможности MITM в DNSSEC.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Eugene Grosbein
Sep 2, 2019, 3:20:01 PM9/2/19
to
02 сент. 2019, понедельник, в 21:45 NOVT, Victor Sudakov написал(а):
VS>>> Таки нужен, но его публичный ключ вшит в (или идет в комплекте с)
VS>>> ПО (операционные системы, резолверы и т.п.). Я почему и не говорю
VS>>> "это невозможно осуществить", я спрашиваю "как его осуществить?"
VS>>> К примеру, атакующий должен для этого подменить
VS>>> /var/unbound/root.key на моём компе или подменить бинарник
VS>>> unbound, насколько это легко сделать?
EG>> А чем гарантировано отсутствие изначальных закладок в этих местах,
EG>> ты ездил к производителю софта или от производителя к тебе привозили
EG>> доверенный носитель? :-)
VS> Можно сравнить Trust Anchor в твоем named с Root Zone KSK, который выложен
VS> публично на iana.org.
А чем гарантировано отсутствие подмены трафика по пути от iana.org к тебе?
EG>> Hа практике-то и DNS необязателен,
EG>> полно сторонних каналов передачи информации, которые очень сложно
EG>> практически эксплоитить. Тот же fingerprint ключа или сам ключ
EG>> можно стеганографически встроить во вторую картиночку из серии котиков
EG>> на сайте с картиночками, а адрес поста с котиками или специальный тег
EG>> поста продиктовать по телефону. Много гитик.
VS> Я не понял, к чему это. Мы вроде о возможности MITM в DNSSEC.
До того, как ты свернул на DNS, мы говорили об MITM вообще.
И я предпочитаю не терять этот общий контекст.
Eugene
VS>>> Таки нужен, но его публичный ключ вшит в (или идет в комплекте с)
VS>>> ПО (операционные системы, резолверы и т.п.). Я почему и не говорю
VS>>> "это невозможно осуществить", я спрашиваю "как его осуществить?"
VS>>> К примеру, атакующий должен для этого подменить
VS>>> /var/unbound/root.key на моём компе или подменить бинарник
VS>>> unbound, насколько это легко сделать?
EG>> А чем гарантировано отсутствие изначальных закладок в этих местах,
EG>> ты ездил к производителю софта или от производителя к тебе привозили
EG>> доверенный носитель? :-)
VS> публично на iana.org.
А чем гарантировано отсутствие подмены трафика по пути от iana.org к тебе?
EG>> Hа практике-то и DNS необязателен,
EG>> полно сторонних каналов передачи информации, которые очень сложно
EG>> практически эксплоитить. Тот же fingerprint ключа или сам ключ
EG>> можно стеганографически встроить во вторую картиночку из серии котиков
EG>> на сайте с картиночками, а адрес поста с котиками или специальный тег
EG>> поста продиктовать по телефону. Много гитик.
До того, как ты свернул на DNS, мы говорили об MITM вообще.
И я предпочитаю не терять этот общий контекст.
Eugene
Eugene Grosbein
Sep 2, 2019, 3:45:01 PM9/2/19
to
01 сент. 2019, воскресенье, в 21:03 NOVT, Victor Sudakov написал(а):
VS> С другой стороны, если мой компьютер безоговорочно доверяет провайдерскому
VS> DNS-серверу и сам не делает dnssec validation, то провайдер сделает со
VS> мной что
VS> хочет.
А если провайдер редиректит запросы на свои DNS-сервера принудительно
и по сути делает прозрачное проксирование DNS, а "твой компьютер"
делает DNSSEC-валидацию и отбрасывает ответы, то ты тупо остаёшься
без интернета. Я с таким у клиентов уже сталкивался два раза
в разных местах. Как уже писал в UAFUG, определить такую ситуацию
достаточно легко, если уже в неё попал. Достаточно сделать вот такой
запрос к серверу whoami.ultradns.net:
# dig @204.74.108.1 whoami.ultradns.net +noall +answer
; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer
; (1 server found)
;; global options: +cmd
whoami.ultradns.net. 0 IN A 109.94.1.18
В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net.
Если провайдер перехватывает запросы DNS, в ответе будет IP-адрес какого-то
из провайдерских серверов, как в данном примере, когда вернулся IP-адрес
провайдерского DNS-сервера ns4.podolsknet.ru [109.94.1.18]
вместо реального адреса со внешнего интерфейса спрашивающей машины,
который даже в другой IP-сети /24.
В такой ситуации тебе либо приходится "жрать что дают",
либо дополнительно платить за VPN куда-то и туннелировать
трафик DNS туда.
Eugene
--
For the Colonel's Lady an' Judy O'Grady
Are sisters under their skins!
VS> С другой стороны, если мой компьютер безоговорочно доверяет провайдерскому
VS> DNS-серверу и сам не делает dnssec validation, то провайдер сделает со
VS> мной что
VS> хочет.
А если провайдер редиректит запросы на свои DNS-сервера принудительно
и по сути делает прозрачное проксирование DNS, а "твой компьютер"
делает DNSSEC-валидацию и отбрасывает ответы, то ты тупо остаёшься
без интернета. Я с таким у клиентов уже сталкивался два раза
в разных местах. Как уже писал в UAFUG, определить такую ситуацию
достаточно легко, если уже в неё попал. Достаточно сделать вот такой
запрос к серверу whoami.ultradns.net:
# dig @204.74.108.1 whoami.ultradns.net +noall +answer
; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer
; (1 server found)
;; global options: +cmd
whoami.ultradns.net. 0 IN A 109.94.1.18
В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net.
Если провайдер перехватывает запросы DNS, в ответе будет IP-адрес какого-то
из провайдерских серверов, как в данном примере, когда вернулся IP-адрес
провайдерского DNS-сервера ns4.podolsknet.ru [109.94.1.18]
вместо реального адреса со внешнего интерфейса спрашивающей машины,
который даже в другой IP-сети /24.
В такой ситуации тебе либо приходится "жрать что дают",
либо дополнительно платить за VPN куда-то и туннелировать
трафик DNS туда.
Eugene
--
For the Colonel's Lady an' Judy O'Grady
Are sisters under their skins!
Alexey Fayans
Sep 3, 2019, 3:00:01 PM9/3/19
to
Hello Eugene!
On Mon, 02 Sep 2019 at 12:23, you wrote to me:
AF>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>> так что всё равно мимо. :)
За использование сабжа в качестве прокси, без предоставления точки выхода (exit
node). Другими словами, обвинение из серии "через ваш IP какой-то зашифрованный
трафик ходит, мы вас за это посодим".
On Mon, 02 Sep 2019 at 12:23, you wrote to me:
AF>>>> DPI может только определить тип трафика, а не его содержимое,
EG>>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>>> Судье потом будешь рассказывать, что мол "мимо".
AF>> Прецеденты были?
EG> Прецеденты чего конкретно? Обвинения за трафик исходящей ноды - были.
EG>>> Судье потом будешь рассказывать, что мол "мимо".
AF>> Прецеденты были?
За использование сабжа в качестве прокси, без предоставления точки выхода (exit
node). Другими словами, обвинение из серии "через ваш IP какой-то зашифрованный
трафик ходит, мы вас за это посодим".
Alexey Fayans
Sep 3, 2019, 3:00:01 PM9/3/19
to
Hello Alexey!
On Mon, 02 Sep 2019 at 08:24 +0300, you wrote to me:
AF>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>> так что всё равно мимо. :)
Грусть-печаль.
On Mon, 02 Sep 2019 at 08:24 +0300, you wrote to me:
AF>>>> DPI может только определить тип трафика, а не его содержимое,
EG>>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>>> Судье потом будешь рассказывать, что мол "мимо".
AF>> Прецеденты были?
AV> Еще хуже: судебная практика была.
EG>>> Судье потом будешь рассказывать, что мол "мимо".
AF>> Прецеденты были?
Грусть-печаль.
Eugene Grosbein
Sep 3, 2019, 4:35:01 PM9/3/19
to
03 сент. 2019, вторник, в 21:39 NOVT, Alexey Fayans написал(а):
AF>>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>>> так что всё равно мимо. :)
EG>>>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>>>> Судье потом будешь рассказывать, что мол "мимо".
AF>>> Прецеденты были?
EG>> Прецеденты чего конкретно? Обвинения за трафик исходящей ноды - были.
AF> За использование сабжа в качестве прокси, без предоставления точки выхода
AF> (exit
AF> node). Другими словами, обвинение из серии "через ваш IP какой-то
AF> зашифрованный
AF> трафик ходит, мы вас за это посодим".
Это пока ненаказуемо. Hо если не будет exit-нод, то сеть будет бесполезной.
Eugene
--
Кара за одно съеденное яблоко, все-таки, была несоизмеримо велика,
приступ диареи послужил бы достаточным уроком.
AF>>>>> DPI может только определить тип трафика, а не его содержимое,
AF>>>>> так что всё равно мимо. :)
EG>>>> Мимо или нет - сильно зависит от предъявленного обвинения.
EG>>>> Судье потом будешь рассказывать, что мол "мимо".
AF>>> Прецеденты были?
EG>> Прецеденты чего конкретно? Обвинения за трафик исходящей ноды - были.
AF> (exit
AF> node). Другими словами, обвинение из серии "через ваш IP какой-то
AF> зашифрованный
AF> трафик ходит, мы вас за это посодим".
Это пока ненаказуемо. Hо если не будет exit-нод, то сеть будет бесполезной.
Eugene
--
Кара за одно съеденное яблоко, все-таки, была несоизмеримо велика,
приступ диареи послужил бы достаточным уроком.
Victor Sudakov
Sep 4, 2019, 12:25:02 PM9/4/19
to
Dear eugen,
03 Sep 19 02:30, Eugene Grosbein wrote to me:
[dd]
EG> А чем гарантировано отсутствие подмены трафика по пути от iana.org к
EG> тебе?
Если в твою модель угроз входит подмена сайта iana.org, я кажется знаю как это
можно обнаружить. Можно попросить своих знакомых с нескольких концов мира зайти
на iana.org, скачать ключ и сравнить результат. А ещё по-моему можно скачать
Root KSK с разных корневых серверов и опять же сравнить. Если обнаружится, что
результат разный - значит против тебя атака через DNSSEC.
Но моя паранойя до такого не доходит. Это же вообще философский вопрос о
первоначальной точке доверия. Мой способ тоже не панацея в том смысле, что
вдруг и тех твоих друзей в нескольких концах мира подменят люди в чёрном...
Где-то надо остановиться, я думаю ты понимаешь о чём я.
Это так же как в суде, заключению экспертов почему-то принято доверять, но
эксперт может ведь обмануть, что тогда делать?
VS>> С другой стороны, если мой компьютер безоговорочно доверяет
VS>> провайдерскому DNS-серверу и сам не делает dnssec validation, то
VS>> провайдер сделает со мной что хочет.
EG> А если провайдер редиректит запросы на свои DNS-сервера принудительно
EG> и по сути делает прозрачное проксирование DNS, а "твой компьютер"
EG> делает DNSSEC-валидацию и отбрасывает ответы, то ты тупо остаёшься
EG> без интернета.
Да, это один из недостатков DNSSEC, и об этих недостатках не раз писали:
полученный в результате описанной тобой атаки SERVFAIL никаким толковым образом
не передаётся на уровень приложения (в отличие от HTTPS, где браузер может
осмысленно отреагировать именно на недействительный сертификат), соответственно
пользователь видит только "неработающий интернет".
EG> Я с таким у клиентов уже сталкивался два раза
EG> в разных местах. Как уже писал в UAFUG, определить такую ситуацию
EG> достаточно легко, если уже в неё попал. Достаточно сделать вот такой
EG> запрос к серверу whoami.ultradns.net:
EG> # dig @204.74.108.1 whoami.ultradns.net +noall +answer
Прикольная штука, откуда ты узнал про неё?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
03 Sep 19 02:30, Eugene Grosbein wrote to me:
[dd]
EG> А чем гарантировано отсутствие подмены трафика по пути от iana.org к
EG> тебе?
Если в твою модель угроз входит подмена сайта iana.org, я кажется знаю как это
можно обнаружить. Можно попросить своих знакомых с нескольких концов мира зайти
на iana.org, скачать ключ и сравнить результат. А ещё по-моему можно скачать
Root KSK с разных корневых серверов и опять же сравнить. Если обнаружится, что
результат разный - значит против тебя атака через DNSSEC.
Но моя паранойя до такого не доходит. Это же вообще философский вопрос о
первоначальной точке доверия. Мой способ тоже не панацея в том смысле, что
вдруг и тех твоих друзей в нескольких концах мира подменят люди в чёрном...
Где-то надо остановиться, я думаю ты понимаешь о чём я.
Это так же как в суде, заключению экспертов почему-то принято доверять, но
эксперт может ведь обмануть, что тогда делать?
VS>> С другой стороны, если мой компьютер безоговорочно доверяет
VS>> провайдер сделает со мной что хочет.
EG> А если провайдер редиректит запросы на свои DNS-сервера принудительно
EG> и по сути делает прозрачное проксирование DNS, а "твой компьютер"
EG> делает DNSSEC-валидацию и отбрасывает ответы, то ты тупо остаёшься
EG> без интернета.
Да, это один из недостатков DNSSEC, и об этих недостатках не раз писали:
полученный в результате описанной тобой атаки SERVFAIL никаким толковым образом
не передаётся на уровень приложения (в отличие от HTTPS, где браузер может
осмысленно отреагировать именно на недействительный сертификат), соответственно
пользователь видит только "неработающий интернет".
EG> Я с таким у клиентов уже сталкивался два раза
EG> в разных местах. Как уже писал в UAFUG, определить такую ситуацию
EG> достаточно легко, если уже в неё попал. Достаточно сделать вот такой
EG> запрос к серверу whoami.ultradns.net:
EG> # dig @204.74.108.1 whoami.ultradns.net +noall +answer
Прикольная штука, откуда ты узнал про неё?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Eugene Grosbein
Sep 4, 2019, 2:00:02 PM9/4/19
to
04 сент. 2019, среда, в 22:35 NOVT, Victor Sudakov написал(а):
VS> Прикольная штука, откуда ты узнал про неё?
В IRC рассказали.
Eugene
VS> Прикольная штука, откуда ты узнал про неё?
В IRC рассказали.
Eugene
Viktor V. Kudlak
Sep 4, 2019, 8:35:01 PM9/4/19
to
Hello Victor.
31 Aug 19 22:37, you wrote to eugen:
VS> 31 Aug 19 12:46, Eugene Grosbein wrote to me:
AV>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>> придумать аналогичный по надежности способ его доставки каждому
AV>>>> пользователю.
VS>>> Публикация сертификатов в DNS тебе не нравится?
EG>> В DNS тоже есть mitm.
VS> Как его осуществить в DNSSEC? Есть известные атаки?
в DNS проще простого заменить запись. на любом провайдерском кеширующем DNS.
тот же 8.8.8.8 маршрутизировать к себе
Viktor
31 Aug 19 22:37, you wrote to eugen:
VS> 31 Aug 19 12:46, Eugene Grosbein wrote to me:
AV>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>> придумать аналогичный по надежности способ его доставки каждому
AV>>>> пользователю.
VS>>> Публикация сертификатов в DNS тебе не нравится?
EG>> В DNS тоже есть mitm.
в DNS проще простого заменить запись. на любом провайдерском кеширующем DNS.
тот же 8.8.8.8 маршрутизировать к себе
Viktor
Alexey Vissarionov
Sep 5, 2019, 3:15:01 AM9/5/19
to
Доброго времени суток, Viktor!
31 Aug 2019 21:23:40, ты -> Victor Sudakov:
AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки каждому
AV>>>>> пользователю.
VS>>>> Публикация сертификатов в DNS тебе не нравится?
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?
VVK> в DNS проще простого заменить запись. на любом провайдерском
VVK> кеширующем DNS. тот же 8.8.8.8 маршрутизировать к себе
Так он вообще anycast...
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Дао, высказанное словами - это не Дао, а так, дао какое-то
31 Aug 2019 21:23:40, ты -> Victor Sudakov:
AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки каждому
AV>>>>> пользователю.
VS>>>> Публикация сертификатов в DNS тебе не нравится?
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?
VVK> кеширующем DNS. тот же 8.8.8.8 маршрутизировать к себе
Так он вообще anycast...
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
Victor Sudakov
Sep 5, 2019, 9:20:01 AM9/5/19
to
Dear Viktor,
31 Aug 19 21:23, you wrote to me:
VS>> 31 Aug 19 12:46, Eugene Grosbein wrote to me:
AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки
AV>>>>> каждому пользователю.
VK> в DNS проще простого заменить запись. на любом провайдерском
VK> кеширующем DNS. тот же 8.8.8.8 маршрутизировать к себе
Читай внимательнее, речь про DNSSEC, не просто про DNS.
В том же 8.8.8.8 поддержка DNSSEC есть, насколько я понимаю:
"dig @8.8.8.8 dnssec-failed.org" и "dig @2001:4860:4860::8888
dnssec-failed.org" ожидаемо возвращают SERVFAIL.
ЗЫ я в курсе про недостатки DNSSEC и про то, что он не так распространен, как
хотелось бы.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
31 Aug 19 21:23, you wrote to me:
VS>> 31 Aug 19 12:46, Eugene Grosbein wrote to me:
AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки
VS>>>> Публикация сертификатов в DNS тебе не нравится?
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?
^^^^^^^^^^^^^^^^
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?
VK> в DNS проще простого заменить запись. на любом провайдерском
VK> кеширующем DNS. тот же 8.8.8.8 маршрутизировать к себе
Читай внимательнее, речь про DNSSEC, не просто про DNS.
В том же 8.8.8.8 поддержка DNSSEC есть, насколько я понимаю:
"dig @8.8.8.8 dnssec-failed.org" и "dig @2001:4860:4860::8888
dnssec-failed.org" ожидаемо возвращают SERVFAIL.
ЗЫ я в курсе про недостатки DNSSEC и про то, что он не так распространен, как
хотелось бы.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Victor Sudakov
Sep 5, 2019, 9:35:01 AM9/5/19
to
Dear Viktor,
31 Aug 19 21:23, you wrote to me:
31 Aug 19 21:23, you wrote to me:
VS>> 31 Aug 19 12:46, Eugene Grosbein wrote to me:
AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки
AV>>>>> каждому пользователю.
AV>>>>> Понятно, что самоподписанный сертификат надежнее... осталось
AV>>>>> придумать аналогичный по надежности способ его доставки
VS>>>> Публикация сертификатов в DNS тебе не нравится?
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?
EG>>> В DNS тоже есть mitm.
VS>> Как его осуществить в DNSSEC? Есть известные атаки?
^^^^^^^^^^^^^^^^
VK> в DNS проще простого заменить запись. на любом провайдерском
VK> кеширующем DNS. тот же 8.8.8.8 маршрутизировать к себе
Читай внимательнее, речь про DNSSEC, не просто про DNS. DANE работает только c
VK> в DNS проще простого заменить запись. на любом провайдерском
VK> кеширующем DNS. тот же 8.8.8.8 маршрутизировать к себе
DNSSEC.
Vladislav Vetrov
Sep 7, 2019, 2:55:02 PM9/7/19
to
Hello Eugene!
03 сен 19 02:30, you wrote to Victor Sudakov:
EG> в разных местах. Как уже писал в UAFUG, определить такую ситуацию
EG> достаточно легко, если уже в неё попал. Достаточно сделать вот такой
EG> запрос к серверу whoami.ultradns.net:
EG>
EG> # dig @204.74.108.1 whoami.ultradns.net +noall +answer
EG>
EG> ; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer
EG> ; (1 server found)
EG> ;; global options: +cmd
EG> whoami.ultradns.net. 0 IN A 109.94.1.18
EG>
EG> В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net.
DNSSEC - расскажите, плиз, кто-нибудь по-подробнее, как его применять на
практике? Для чего он, вообще? Как-то к домену привязывать или из дома
выходить, чтобы провайдер не палил dns-запросы?
Vladislav
... -= - <<< - >>> - =-
03 сен 19 02:30, you wrote to Victor Sudakov:
EG> в разных местах. Как уже писал в UAFUG, определить такую ситуацию
EG> достаточно легко, если уже в неё попал. Достаточно сделать вот такой
EG> запрос к серверу whoami.ultradns.net:
EG>
EG>
EG> ; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer
EG> ; (1 server found)
EG> ;; global options: +cmd
EG> whoami.ultradns.net. 0 IN A 109.94.1.18
EG>
EG> В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net.
DNSSEC - расскажите, плиз, кто-нибудь по-подробнее, как его применять на
практике? Для чего он, вообще? Как-то к домену привязывать или из дома
выходить, чтобы провайдер не палил dns-запросы?
Vladislav
... -= - <<< - >>> - =-
Eugene Grosbein
Sep 7, 2019, 4:40:01 PM9/7/19
to
07 сент. 2019, суббота, в 21:44 NOVT, Vladislav Vetrov написал(а):
VV> DNSSEC - расскажите, плиз, кто-нибудь по-подробнее, как его применять на
VV> практике? Для чего он, вообще? Как-то к домену привязывать или из дома
VV> выходить,
VV> чтобы провайдер не палил dns-запросы?
Чтобы не палил - никак. DNSSEC не скрывает содержимое запросов,
он только защищает от скрытой модификации ответов посередке -
позволяет определить и отбросить модифицированный ответ.
Штука имеет достаточно ограниченное применение в современных
условиях, если не сказать жестче - бесполезная чуть менее,
чем всегда. Всё равно нужно шифровать содержимое запросов
и не только DNS.
Eugene
VV> DNSSEC - расскажите, плиз, кто-нибудь по-подробнее, как его применять на
VV> практике? Для чего он, вообще? Как-то к домену привязывать или из дома
VV> выходить,
VV> чтобы провайдер не палил dns-запросы?
Чтобы не палил - никак. DNSSEC не скрывает содержимое запросов,
он только защищает от скрытой модификации ответов посередке -
позволяет определить и отбросить модифицированный ответ.
Штука имеет достаточно ограниченное применение в современных
условиях, если не сказать жестче - бесполезная чуть менее,
чем всегда. Всё равно нужно шифровать содержимое запросов
и не только DNS.
Eugene
Victor Sudakov
Sep 9, 2019, 10:45:01 AM9/9/19
to
Dear eugen,
08 Sep 19 03:25, Eugene Grosbein wrote to Vladislav Vetrov:
VV>> DNSSEC - расскажите, плиз, кто-нибудь по-подробнее, как его
VV>> применять на практике? Для чего он, вообще? Как-то к домену
VV>> привязывать или из дома выходить, чтобы провайдер не палил
VV>> dns-запросы?
EG> Чтобы не палил - никак. DNSSEC не скрывает содержимое запросов,
EG> он только защищает от скрытой модификации ответов посередке -
EG> позволяет определить и отбросить модифицированный ответ.
EG> Штука имеет достаточно ограниченное применение в современных
EG> условиях, если не сказать жестче - бесполезная чуть менее,
EG> чем всегда. Всё равно нужно шифровать содержимое запросов
EG> и не только DNS.
Я думаю, от любителей подменять инфу в DNS-ответах она таки хороша, а таких
любителей немало. Была бы хороша, если бы был больший процент внедрения.
Кроме того, она нужна для "VerifyHostKeyDNS yes". А если ssh умеет видеть
наличие DNSSEC на уровне приложения, почему нельзя научить и браузеры?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
08 Sep 19 03:25, Eugene Grosbein wrote to Vladislav Vetrov:
VV>> DNSSEC - расскажите, плиз, кто-нибудь по-подробнее, как его
VV>> привязывать или из дома выходить, чтобы провайдер не палил
VV>> dns-запросы?
EG> Чтобы не палил - никак. DNSSEC не скрывает содержимое запросов,
EG> он только защищает от скрытой модификации ответов посередке -
EG> позволяет определить и отбросить модифицированный ответ.
EG> Штука имеет достаточно ограниченное применение в современных
EG> условиях, если не сказать жестче - бесполезная чуть менее,
EG> чем всегда. Всё равно нужно шифровать содержимое запросов
EG> и не только DNS.
Я думаю, от любителей подменять инфу в DNS-ответах она таки хороша, а таких
любителей немало. Была бы хороша, если бы был больший процент внедрения.
Кроме того, она нужна для "VerifyHostKeyDNS yes". А если ssh умеет видеть
наличие DNSSEC на уровне приложения, почему нельзя научить и браузеры?
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Eugene Grosbein
Sep 9, 2019, 6:55:01 PM9/9/19
to
09 сент. 2019, понедельник, в 21:18 NOVT, Victor Sudakov написал(а):
EG>> Штука имеет достаточно ограниченное применение в современных
EG>> условиях, если не сказать жестче - бесполезная чуть менее,
EG>> чем всегда. Всё равно нужно шифровать содержимое запросов
EG>> и не только DNS.
VS> Я думаю, от любителей подменять инфу в DNS-ответах она таки хороша, а
VS> таких
VS> любителей немало. Была бы хороша, если бы был больший процент внедрения.
Во всех случаях, когда я сталкивался с любителями подменять инфу
в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах
популярных сервисов в сочетании с локальным ресолвером,
валидирующим ответы (в лице BIND) приводило к "не работает интернет"
с точки зрения клиента. Клиент в данном случае контора с поставленным
ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером.
И получается сплошная профанация - хочешь "интернета",
включай форвардинг DNS-запросов через провайдерский DNS явно,
а не через mitm. Hу или туннелируй DNS через VPN.
И чего хорошего тут в DNSSEC? В обоих случаях его приходится
убирать с дороги.
Eugene
--
Комбинация заискивания, подкупа и устрашения заставит молодого ученого
работать над управляемыми снарядами или атомной бомбой. (Hорберт Винер)
EG>> Штука имеет достаточно ограниченное применение в современных
EG>> условиях, если не сказать жестче - бесполезная чуть менее,
EG>> чем всегда. Всё равно нужно шифровать содержимое запросов
EG>> и не только DNS.
VS> таких
VS> любителей немало. Была бы хороша, если бы был больший процент внедрения.
Во всех случаях, когда я сталкивался с любителями подменять инфу
в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах
популярных сервисов в сочетании с локальным ресолвером,
валидирующим ответы (в лице BIND) приводило к "не работает интернет"
с точки зрения клиента. Клиент в данном случае контора с поставленным
ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером.
И получается сплошная профанация - хочешь "интернета",
включай форвардинг DNS-запросов через провайдерский DNS явно,
а не через mitm. Hу или туннелируй DNS через VPN.
И чего хорошего тут в DNSSEC? В обоих случаях его приходится
убирать с дороги.
Eugene
--
Комбинация заискивания, подкупа и устрашения заставит молодого ученого
работать над управляемыми снарядами или атомной бомбой. (Hорберт Винер)
Victor Sudakov
Sep 10, 2019, 12:50:02 PM9/10/19
to
Dear eugen,
10 Sep 19 05:44, Eugene Grosbein wrote to me:
EG>>> Штука имеет достаточно ограниченное применение в современных
EG>>> условиях, если не сказать жестче - бесполезная чуть менее,
EG>>> чем всегда. Всё равно нужно шифровать содержимое запросов
EG>>> и не только DNS.
VS>> Я думаю, от любителей подменять инфу в DNS-ответах она таки
VS>> хороша, а таких любителей немало. Была бы хороша, если бы был
VS>> больший процент внедрения.
EG> Во всех случаях, когда я сталкивался с любителями подменять инфу
EG> в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах
EG> популярных сервисов в сочетании с локальным ресолвером,
EG> валидирующим ответы (в лице BIND) приводило к "не работает интернет"
EG> с точки зрения клиента. Клиент в данном случае контора с поставленным
EG> ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером.
IMHO так и задумано: любитель подменять выводится на чистую воду, а не было бы
DNSSEC - подмена осталась бы незамеченной.
EG> И получается сплошная профанация - хочешь "интернета",
EG> включай форвардинг DNS-запросов через провайдерский DNS явно,
IMHO не поможет, если валидацию не отключить при этом.
EG> а не через mitm. Hу или туннелируй DNS через VPN.
Ну а что делать, если завёлся "перехватчик" и уйти на другого провайдера
нельзя.
EG> И чего хорошего тут в DNSSEC? В обоих случаях его приходится
EG> убирать с дороги.
Не DNSSEC тут нужно убирать с дороги, а любителя mitm. Потому что доверия к
такому провайдеру уже нет, кто знает что он тебе подсунет в DNS-ответах.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
10 Sep 19 05:44, Eugene Grosbein wrote to me:
EG>>> Штука имеет достаточно ограниченное применение в современных
EG>>> условиях, если не сказать жестче - бесполезная чуть менее,
EG>>> чем всегда. Всё равно нужно шифровать содержимое запросов
EG>>> и не только DNS.
VS>> Я думаю, от любителей подменять инфу в DNS-ответах она таки
VS>> больший процент внедрения.
EG> Во всех случаях, когда я сталкивался с любителями подменять инфу
EG> в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах
EG> популярных сервисов в сочетании с локальным ресолвером,
EG> валидирующим ответы (в лице BIND) приводило к "не работает интернет"
EG> с точки зрения клиента. Клиент в данном случае контора с поставленным
EG> ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером.
IMHO так и задумано: любитель подменять выводится на чистую воду, а не было бы
DNSSEC - подмена осталась бы незамеченной.
EG> И получается сплошная профанация - хочешь "интернета",
EG> включай форвардинг DNS-запросов через провайдерский DNS явно,
IMHO не поможет, если валидацию не отключить при этом.
EG> а не через mitm. Hу или туннелируй DNS через VPN.
Ну а что делать, если завёлся "перехватчик" и уйти на другого провайдера
нельзя.
EG> И чего хорошего тут в DNSSEC? В обоих случаях его приходится
EG> убирать с дороги.
Не DNSSEC тут нужно убирать с дороги, а любителя mitm. Потому что доверия к
такому провайдеру уже нет, кто знает что он тебе подсунет в DNS-ответах.
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
Eugene Grosbein
Sep 10, 2019, 10:05:01 PM9/10/19
to
10 сент. 2019, вторник, в 23:17 NOVT, Victor Sudakov написал(а):
EG>> Во всех случаях, когда я сталкивался с любителями подменять инфу
EG>> в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах
EG>> популярных сервисов в сочетании с локальным ресолвером,
EG>> валидирующим ответы (в лице BIND) приводило к "не работает интернет"
EG>> с точки зрения клиента. Клиент в данном случае контора с поставленным
EG>> ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером.
VS> IMHO так и задумано: любитель подменять выводится на чистую воду, а не
VS> было бы
VS> DNSSEC - подмена осталась бы незамеченной.
Да прям, незамеченно. Hа практике в 99% случаев подменяют DNS
вовсе не для перенаправления запросов на подставной сайт,
мимикрирующий под оригинал и уводящий конфиденциальную информацию
(её нынче сами отдают), а для очень даже заметной выдачи
HTTP 451.
EG>> И получается сплошная профанация - хочешь "интернета",
EG>> включай форвардинг DNS-запросов через провайдерский DNS явно,
VS> IMHO не поможет, если валидацию не отключить при этом.
Ты не понял. Без использования провайдерских DNS в качестве форвардеров
локальный рекурсор (BIND) начинает обслуживание запроса про ya.ru
с обращений к корневым серверам и затем к серверам зоны RU, запрашивая,
в частности, IN DS для зоны RU, и не получает (NOERROR, Answer RRs: 0):
11-Sep-2019 04:24:46.906 no valid DS resolving 'ya.ru/A/IN': 193.232.128.6#53
11-Sep-2019 04:24:46.908 no valid DS resolving 'ya.ru/A/IN': 193.232.142.17#53
11-Sep-2019 04:24:46.909 no valid DS resolving 'ya.ru/A/IN': 194.190.124.17#53
11-Sep-2019 04:24:46.910 no valid DS resolving 'ya.ru/A/IN': 193.232.156.17#53
11-Sep-2019 04:24:46.912 no valid DS resolving 'ya.ru/A/IN': 194.85.252.62#53
Возвращает клиенту SERVFAIL.
А если включить форвардинг запросов через провайдера, то всё прекрасно
получает и в случе с ya.ru даже без подмены и "интернет работает".
EG>> а не через mitm. Hу или туннелируй DNS через VPN.
VS> Hу а что делать, если завёлся "перехватчик" и уйти на другого провайдера
VS> нельзя.
VS> к
VS> такому провайдеру уже нет, кто знает что он тебе подсунет в DNS-ответах.
А к провайдеру доверия в любом случае нет в нынешних условиях,
но решение VPN, а не DNSSEC.
Eugene
EG>> Во всех случаях, когда я сталкивался с любителями подменять инфу
EG>> в DNS-ответах (провайдерами), простое наличие DNSSEC в зонах
EG>> популярных сервисов в сочетании с локальным ресолвером,
EG>> валидирующим ответы (в лице BIND) приводило к "не работает интернет"
EG>> с точки зрения клиента. Клиент в данном случае контора с поставленным
EG>> ей DNS/роутером/почтовым сервером/DHCP/UniFi-контроллером.
VS> было бы
VS> DNSSEC - подмена осталась бы незамеченной.
Да прям, незамеченно. Hа практике в 99% случаев подменяют DNS
вовсе не для перенаправления запросов на подставной сайт,
мимикрирующий под оригинал и уводящий конфиденциальную информацию
(её нынче сами отдают), а для очень даже заметной выдачи
HTTP 451.
EG>> И получается сплошная профанация - хочешь "интернета",
EG>> включай форвардинг DNS-запросов через провайдерский DNS явно,
Ты не понял. Без использования провайдерских DNS в качестве форвардеров
локальный рекурсор (BIND) начинает обслуживание запроса про ya.ru
с обращений к корневым серверам и затем к серверам зоны RU, запрашивая,
в частности, IN DS для зоны RU, и не получает (NOERROR, Answer RRs: 0):
11-Sep-2019 04:24:46.906 no valid DS resolving 'ya.ru/A/IN': 193.232.128.6#53
11-Sep-2019 04:24:46.908 no valid DS resolving 'ya.ru/A/IN': 193.232.142.17#53
11-Sep-2019 04:24:46.909 no valid DS resolving 'ya.ru/A/IN': 194.190.124.17#53
11-Sep-2019 04:24:46.910 no valid DS resolving 'ya.ru/A/IN': 193.232.156.17#53
11-Sep-2019 04:24:46.912 no valid DS resolving 'ya.ru/A/IN': 194.85.252.62#53
Возвращает клиенту SERVFAIL.
А если включить форвардинг запросов через провайдера, то всё прекрасно
получает и в случе с ya.ru даже без подмены и "интернет работает".
EG>> а не через mitm. Hу или туннелируй DNS через VPN.
VS> нельзя.
EG>> И чего хорошего тут в DNSSEC? В обоих случаях его приходится
EG>> убирать с дороги.
VS> Hе DNSSEC тут нужно убирать с дороги, а любителя mitm. Потому что доверия
EG>> убирать с дороги.
VS> к
VS> такому провайдеру уже нет, кто знает что он тебе подсунет в DNS-ответах.
А к провайдеру доверия в любом случае нет в нынешних условиях,
но решение VPN, а не DNSSEC.
Eugene
Anton Gorlov
Nov 10, 2019, 4:10:01 AM11/10/19
to
Привет Eugene!
03 сен 19 года (а было тогда 02:30)
Eugene Grosbein в своем письме к Victor Sudakov писал:
EG> в разных местах. Как уже писал в UAFUG, определить такую ситуацию
EG> достаточно легко, если уже в неё попал. Достаточно сделать вот такой
EG> запрос к серверу whoami.ultradns.net:
EG> # dig @204.74.108.1 whoami.ultradns.net +noall +answer
EG> ; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall
EG> +answer ; (1 server found) ;; global options:
EG> +cmd whoami.ultradns.net. 0 IN A 109.94.1.18
Уже не актуально. Более ушлый телеком.. научился отправлять запрос со своего
DNS от твоего имени (IP)..
Поэтому у себя весь днс трафик пришлось завернуть в vpn..
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
03 сен 19 года (а было тогда 02:30)
Eugene Grosbein в своем письме к Victor Sudakov писал:
EG> в разных местах. Как уже писал в UAFUG, определить такую ситуацию
EG> достаточно легко, если уже в неё попал. Достаточно сделать вот такой
EG> запрос к серверу whoami.ultradns.net:
EG> ; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall
EG> +answer ; (1 server found) ;; global options:
EG> +cmd whoami.ultradns.net. 0 IN A 109.94.1.18
Уже не актуально. Более ушлый телеком.. научился отправлять запрос со своего
DNS от твоего имени (IP)..
Поэтому у себя весь днс трафик пришлось завернуть в vpn..
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
0 new messages