Tor chroot'en?

S

SteWo

OpenBSD User
Hallo Gemeinde,

ich habe mal eine Verständnisfrage zu Tor:
Im NoReply-Wiki und in der Tor-Doku (der Link ist vom Office leider nicht zu erreichen) wird beschrieben, wie Tor chrooted läuft.

Aber irgendwie hat sich für mich der Sinn dahinter nicht wirklich erschlossen: Was bringt mir dies? Worin besteht die zusätzliche Sicherheit, wenn ich Tor nur als Client laufen lasse? Da ich keinen Apachen laufen lasse, habe ich mich bislang mit dem Konzept des chroot nur akademisch-allgemein befaßt.

Kann mir (=noob) dies jemand erläutern?

Vielen Dank und noch einen schönen Tag!

Gruß,
SteWo
 
Es geht dabei vora allem darum Tor als Server laufen zu lassen. Wenn du Tor als client laufen lässt sollten die Probleme kleiner sein. Aber eventuell ist es auch möglich, dass dir ein Server falsche Daten schickt und einen Absturz mit eingeschleustem Code/Kommandos schickt. Ist also ganz normales Hürden schaffen.
 
Zuletzt bearbeitet:
Welche Probleme?

Hi Athaba,

vielen Dank für Deine Antwort. Nur ...
Wenn du Tor als client laufen lässt sollten die Probleme kleiner sein.
Zum Vergrößern anklicken....
Worin bestehen die Probleme? Eingeschleuster Code ist sicherlich ein Thema, aber habe ich dies nicht auch ohne Tor? Inwieweit würde der Betrieb eines Tor-Servers die Sicherheit meines Systems erhöhen? Würde ein chrooteter Tor-Client bspw. die Einschleusung eines "Bundestroyaners" verhindern??? <leicht verwirrt... />

Ich habe Tor entsprechend der Anleitung hier im Wiki Tor installiert (Vielen Dank - gute Arbeit!). Danach habe ich noch Privoxy entsprechend der Angaben in der Tor-Doku (SOCKS 4a) und den Firefox-TorButton installiert. Läuft "einfach so" :) Ach ja: Im Hintergrund werkelt auch noch Squid, aber da bin ich mir im Moment nicht wirklich sicher, ob die Zusammenarbeit mit Privoxy wirklich läuft... :confused: an der squid.conf habe ich jedenfalls noch nix verändert.

Schließlich will ich noch auf OpenDNS umsteigen. Damit hoffe ich, die Performance-Verluste durch Tor wieder etwas aufzufangen. Paranoia führt manchmal zu seeehr langen Ladezeiten und Welt-Weites-Warten ... Aber: Handele ich mir damit eine weitere "Sicherheits-Baustelle" ein???

Gruß,
SteWo
 
Du musst wissen, ob du das tun willst. Wenn man mehr Sicherheit haben will muss man eben mehr daran arbeiten oder du löscht deine Daten vom Computer, zerlegst ihn und sperrst die Teile in Tresore usw.

Wenns dir nur um Gefahren aus dem Internet geht genügt es den Stecker raus zu ziehen.

Jede Art von Computernutzung braucht einen anderen Grad an Sicherheit und andere Mechanismen zum Schutz. Meist vergisst man vorher zu überlegen, was man will und das genau zu planen. Vielleicht könntest du mehr darüber schreiben, wie du deinen Computer einsetzen willst. Ich würde die Einsatzbereiche möglichst gut trennen (chroot, jails, qemu, xen oder am besten gleich an der Hardware). Dann kannst du die Bereiche individuell schützen oder ggf. deaktivieren und forensische Untersuchungen durchführen. Wenn alles undgeplant zusammenhängt, dann machst du viel leichter Fehler und das ist es ja, was der Eindringling versucht zu finden und nutzen.

Wegen des Bundestrojaners und Chroot. Der Sinn von Chroot ist es ja eine Trennung zu deinem System zu Schaffen. Sollte der Eindringling (in dem Fall also der Trojaner) es schaffen Herr über die chroot-Umgebung zu werden hat er "nur" Tor und eine weitere Hürde zu deinen anderen Systemen (ob nun physikalische/echte Systeme oder andere, virtuelle Systeme (chroots, jails, ...)

Bei jeder Hürde hast du aufs neue (zumindest) folgende Möglichkeiten/Hhancen:
Der Eindringling gibt auf/weiß nicht mehr weiter (dazu musst du den Einbruch nicht mal bemerken
Du bemerkst den Einbruch und deaktivierst den Eingang, durch den er kam und deaktivierst ihn. Dann kannst du den/die Fehler suchen und reparieren (bzw. einen Bugreport schreiben)
Vielleicht bekommst du sogar genug Informationen um den Eindringling anzuzeigen

Zumindest lernst du was daraus. Eventuell könntest du auch Honeypots aufstellen um mehr zu lernen, Eindringlinge zu Beschäftigen o.ä. Wäre dann auch eine weitere Hürde.
 
Einsatzzweck

also bislang bin ich allein über die DSL-Box im Internet unterwegs gewesen. Nun steht jedoch ein Auftrag ins Haus, bei dem ich remote auf dem System des Kunden unterwegs bin.

Gleichzeitig nörgeln die Kinderlein, daß sie mit ihren Win*-Spielekisten nicht ins Netz und zum chatten kommen. Das soll jetzt also alles über eine Leitung laufen - kurz: Ohne dezidierte OpenBSD-Firewall geht es nicht! Und da meine Kleinen nun einmal Kinder sind, werden sie sicherlich auch einmal etwas ausprobieren wollen oder klicken etwas "Falsches" an... (that's live). Ich will keinen Contentfilter a la DansGuardian einrichten, möchte aber meiner Verantwortung gerecht werden können.

<Meinung>
So dämlich die aktuelle Werbekampagne der EU auch ist - prinzipiell halte ich es für richtig, den Kindern entsprechend ihrer Entwicklung sukzessive mehr Freiheiten einzuräumen. Früher wurden Bildchen auf dem Schulhof getauscht - heute Dateien per Internet. Und da habe ich keinen Bock darauf, daß die Aktivitäten meiner Kinderlein mir zugeschrieben werden - und umgekehrt natürlich auch.

Bislang bin ich mir relativ sicher, daß nix Gefährliches auf den Rechnern der Kinder ist. Aber es soll ja Softwarehersteller geben, die mit der Tolerierung von Raubkopien zu Imperien wurden und nun in ihre Programme Hintertüren einbauen, um per Internet nach unlizensierten Installationen suchen zu können... :ugly: Und wenn ich mir erlaube, einen kritisch-satirischen Kommentar in einem Forum zu hinterlassen, soll dieser Ausbruch einer eigenen Meinung im Internet-Gedächnis niemals den Kindern zugerechnet werden können (deren Ansichten werden sich hoffentlich auf Basis einer eigenen Persönlichkeit entwickeln).
<Meinung/>

Zurück zum Thema: Angesichts der skizzierten Situation, daß in unserem Netzwerk halt auch Win*-Kisten zum Einsatz kommen, kann ich gar nicht Vorsichtig genug sein. Angeblich sollen ja Millionen Win*-Kisten schlummernde Botnet-Zombies sein. Der genannte "Bundestroyaner" macht mir ersteinmal weniger Sorgen - doch das Prinzip können sich ja auch weniger ehrenvolle Gestalten zu Nutze machen. Wenn ich denen die "Arbeit" mit einem chroot'eten Tor schwerer machen kann, sollte ich mir wohl die Mühe machen. Ich dachte halt, daß ein "einfacher" Tor-Client schon reicht.

Wenns dir nur um Gefahren aus dem Internet geht genügt es den Stecker raus zu ziehen.
Zum Vergrößern anklicken....
Sicherlich die ultimative Lösung - deshalb bin ich mir bislang auch recht sicher, daß die Win*-Kisten sauber sind: Kein Netz - kein Problem.:rolleyes:

Honeypots
Zum Vergrößern anklicken....
Wäre nicht schlecht, nur muß ich gelegentlich auch noch ein paar Euronen verdienen... ;'( Die Erfahrung, eine größere Systemlandschaft aufzubauen und zu warten bzw. zu überwachen, habe ich leider nicht. Mal ganz abgesehen davon, daß meine häusliche Regierung ein mächtiges Veto einlegt, wenn noch mehr Rechner ins Haus kommen... ;) Und von Mengenrabatt bei der Stromrechnung habe ich auch noch nichts gelesen. Mehr als zwei Kisten kann ich nicht aufstellen - eine als Firewall und eine als Proxy/DNS- und Mail-Server. Und auf der Firewall soll auch Tor laufen. (Ich weiß - eine DMZ wäre noch besser, geht aber nicht.)

Noch ein paar schlaue Gedanken dazu?
 
Zuletzt bearbeitet:
Das Hauptproblem an den Windowskisten sind die Standardeinstellungen. So wenig ich auch Geheimdienste mag - ich finde die Sicherheitsprofile [1] für Windows vom NSA ziemlich hilfreich. Es ist keine Software. Es handelt sich um Konfigurationsdateien für Windows, die gute Standardeinstellungen haben (trotzdem durchgehen! Wird auch empfohlen!). Ich würde dazu raten den Kindern beizubringen als normaler User zu arbeiten. Es dauert ein wenig bis man sich umgewöhnt hat und unter Windows ist das nicht so einfach gelöst. Man muss eben Installer und teilweise auch Software als Administrator starten (also rechtsklick "Ausführen als...". Dann würde ich alle nicht benötigten Services/Dienste deaktivieren. Damit fällt auch schon mal ein Teil der Lücken weg und deine Kinder werden es dir vielleicht auch danken, weil der Computer "schneller wird" - um einiges mehr RAM.

Windows hat ein paar gute und vor allem gut versteckte Features. Wenn man ein bisschen googlet oder sich den Bereich Verwaltung in den Einstellungen mal genauer ansieht kann man da einiges finden.

Wenn deine Kinder als Browser den FF verwenden würde ich einfach mal NoScript installieren (ähnliche Lösungen gibts auch für Cookies - eben gut gegen tracking Cookies). Am Anfang nervig, aber wenn man seine "Standardseiten" mal drin hat, dann störts auch nur noch selten.

Ich habe das alles auf dem Rechner meines Bruders gemacht. Klappt alles prima. Prkatisch keine Würmer/Spyware mehr.

Apropos Spyware. Da gibt's ein Programm mit dem Namen "Spybot - Search and Destroy". Würde ich mal durchlaufen lassen. Findet um einiges mehr, als andere Anti-Spyware Software. Achja, sollten deine Kinder den FF oder einen anderen Browser verwenden, dann stell alle Features des IE ab. Erhöht die Sicherheit auch stark, da es viel Software und Spyware gibt, die den nutzt.

Schau dir diese Dinge mal an. Sind einfach, schwer zu übersehen, aber sehr effektiv.

[1] http://www.nsa.gov/snac/downloads_os.cfm?MenuID=scg10.3.1.1
 
Merci!

Hallo Athaba!

Vielen Dank für Deine Tipps - der Link zur NSA ist wirklich sehr hilfreich!

Auf den Win*-Kisten ist bereits der FF, aber die IE-Funktionen habe ich noch nicht deaktiviert. Werde ich machen, sobald ich die NSA-Seite für mich aufgearbeitet habe und zur Tat schreite. Interessant wird sein, ob dann noch alle Spiele der Kinder laufen. Denn bislang kennen sie nur die Anmeldung als Admin, damit der Spielkram funzt ... :mad:

Den NoScript-Addon für den FF kenne ich bereits - ist auf meiner OpenBSD-Schatzkiste natürlich auch drauf.

Von SpyBot hatte ich bereits einmal etwas gelesen. Der Hinweis ist Gold wert, da ich das schon wieder vergessen hatte. Dafür ein Extra-Danke!

Gruß,
SteWo
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben