Tor com o servidor SSH em cima dele

Navegue suas respostas
2

Um dos problemas com o tor é o nó de saída - se for malicioso, ele pode farejar todo o tráfego. Se eu encadear os servidores Tor e SSH (Tor- > SSH Server - > Internet), o nó de saída poderá descriptografar meu tráfego ou roteará para o servidor SSH e somente o servidor SSH poderá ver o tráfego de texto simples?

    
por guest 03.02.2014 / 11:09

2 respostas

1

Contanto que a criptografia usada seja segura, qualquer homem no meio não pode ver os dados em texto plano. Esse é o propósito da criptografia, e funciona da mesma forma sobre o Tor, como qualquer outro canal de comunicação. Então, em geral, a resposta é sim. Note, no entanto, que isso requer que ...

  1. A criptografia não é muito fraca. Por exemplo, você deve evitar o uso da versão 1 do SSH.
  2. A implementação de criptografia não possui bugs. Um desses ataques famosos é o ataque de renegociação SSL que surgiu em 2009. Se o cliente e o servidor SSH não tiverem atualizado desde 2009, você pode estar vulnerável a um ataque man-in-the-middle baseado nessa vulnerabilidade.
  3. Que você entenda como a segurança do SSH funciona. O SSH precisa se conectar para obter uma impressão digital SSL do servidor para confiar no servidor. Isso é feito automaticamente quando você se conecta pela primeira vez. Se esta impressão digital for diferente quando você conectar outra hora, o que seria o caso em um ataque man-in-the-middle trivial, você receberá um aviso. Se você ignorar esse aviso, seus dados não estarão seguros. Se você se conectar a um determinado servidor pela primeira vez através de um canal não confiável, seus dados não estarão seguros.
por 03.02.2014 / 11:42
0

My question is about the ability to see the data in non - encrypted form, not about anonymity. I want to conceal my traffic from the TOR exit node.

Se este é o seu objetivo, então você não precisa do Tor: o ssh sozinho impede que alguém o descriptografe. Simplesmente esqueça Tor, e a pesada sobrecarga de mais uma rodada de criptografia e uma tortuosa rota até o seu destino final.

O Tor destina-se a ocultar o acesso de A ao recurso B, de qualquer pessoa que esteja escutando em A ou B. Em outras palavras, ele não apenas oculta (= criptografa) o conteúdo da conversa de bisbilhoteiros, mas também oculta o fato de que é uma conversa contínua entre A e B.

No entanto, você não está preocupado em esconder o fato de que está entrando em contato com o servidor ssh, apenas tornando o conteúdo da conversa ininteligível para os bisbilhoteiros. Para isso, openssh é mais que suficiente.

Wikipedia afirma:

Vulnerabilities

In November 2008, a theoretical vulnerability was discovered for all versions of SSH which allowed recovery of up to 32 bits of plaintext from a block of ciphertext that was encrypted using what was then the standard default encryption mode, CBC.The most straightforward solution is to use CTR mode instead of CBC mode, since this renders SSH resistant to the attack.

OpenSSH

In the case of using the standard OpenSSH configuration, the attacker's success probability for recovering 32 bits of plaintext is 2^{-18}.The OpenSSH 5.2 release modified the behavior of the OpenSSH server to further mitigate against this vulnerability.

Parece-me que essas probabilidades devem inspirar confiança, exceto talvez quando a NSA é a intrusa. Mas eu não sou interessante para eles.

    
por 03.02.2014 / 12:46

Tags

Problemas com desempenho de leitura do disco em buffer Como renomear em lote e remover os últimos caracteres