Развертывание “анонимной цепочки” любой сложности на Hyper-V

  • Автор темы Manadis
  • Дата начала
  • Просмотров 10000 Просмотров

Manadis

Участник
27
2
6 Май 2020
Наверное никому не составит труда создать самую простую схему vpn=>tor. Для этих целей нужно всего лишь установить впн клиент и скачать тор браузер. После запуска трафик пойдет последовательно через впн, потом на ноды тора. А что если требуется усложнить схему? Например, параллельно вести два потока трафика и потом сливать их в один случайно разбрасывая запросы между нодами тора? Для этих целей воспользуемся виртуальными машинами. Разберем на моем примере

1.png


WAN – машина, которая непосредственно подключается к модему, она не имеет сети с хостом. Реальный адаптер реплицируется в виртуальную карточку, которая и подключена к этой машине.
R00 – машина, которая принимает трафик от роутеров. Связывается отдельной виртуальной сетью с ROUTE I, которая в свою очередь связывается аналогичным способом с WAN. То есть WAN видит только модем и ROUTE I. В общим понятно, как устроена адресация. На каждой машине установлен прокси сервер, вся связь осуществляется через него.
R11, R12 – виртуальный роутер, на котором установлено сразу две параллельные цепочки тора. Здесь также установлен прокси сервер, который принимая трафик (каждый запрос) случайным образом кидает его на одну из цепочек. От этих машин трафик идет на R00.
R21, R22 – аналогия предыдущему описанию, только вот трафик от тора идет не на R00, а случайным образом делится между R11 и R12.
ROUTE II – мы должны создать новую сеть, которая будет соединять последующие машины с роутерами. Поступающий трафик на эту машину делится между машинами R21, R22.
ROUTE III – Для чистого айпи нам понадобится впн, что ж, сделаем его.

Рассмотрим теперь выход в соц. сеть. ROUTE – VK принимает запросы от другой машины (на которой установлен сам браузер) и разрешает имена с помощью DOH (dns over https). Трафик от DOH идет на ROUTE II. Так как ВК очень прожорлив по запросам и требуется разрешать постоянно большое количество адресов (порядка 300к за 3 дня работы). Случались краши программы yogadns. Для этих целей я ввел днс-сервер, который разрешает из кэша. Визуально это все выглядело бы так

2.png


Как настроена виртуальная машина TOR BROWSER? Без использования снапшота не обойтись. После работы сбрасывает всю накопленную информацию к определённой точке, а именно до момента, когда не было браузера. Устанавливаем браузер каждый раз с нуля и обновляем. Добавляем побольше оперативной памяти и не скупимся на ядрах процессора.
Возьмем построение схемы для ютуба. Аналогичным образом трафик идет через виртуальные машины, но не через роутеры R, ведь нету смысла гонять трафик через тор, это приведет к большим задержкам и потери скорости. Для ютуба лучше всего подходит впн

3.png


Почему стоит разделять вк, ютуб, форумы, тор браузер и тд. Потому что, заходя с одного браузера на разные сервисы мы рискуем сообщить разную информацию этому сайту через скрипты, которые выполняются в браузере. Скрипт — это мощнейший инструмент, обеспечивающий работу сайтов подлежащим образом. Кроме этого они способны высосать информацию о браузере, историю, время и тд. Все это называют идентификаторами, у гугла их около 500. Чтобы абсолютно избежать утечек запускаем каждый браузер на отдельной машине. Браузер не должен быть запущен от имени администратора, а от обычного юзера. Более детально о браузере в статье «Анонимность и безопасность в сети ч5 – Анонимность. Браузер».

Это всего лишь пример того, как может быть организован доступ к сети. Можно ставить впн, тор, прокси, ssh, дедик куда угодно, изменять ttl и мак адреса, стоит только создать виртуальную машину и создать сеть, ну и прописать соответствующее правило. Кстати о сетях. Любая из машин должна быть по возможности экранирована от другой машины. Например, машина R11 может иметь такой же айпи адрес, как и машина ROUTE II или VK-MAIN. Но они находятся в разных виртуальных сетях, поэтому никак не могут видеть друг друга.

Нужно обезопасить сам хост. Не одна машина не должна иметь с ним связи через сеть. И сам не должен иметь выхода куда-либо. Разумеется, удалённое управление должно быть (если требуется) настроено на отдельной сетевой карте и не должно быть использовано для виртуальных машин. Само подключение интернета к хосту нужно ограничить, снять все галочки в свойствах этого подключения кроме виртуального свитча hyper-v. Если каким-то образом считаете, что и этого мала, то можно машину WAN перенести на какой-то отдельный реальный компьютер (даже маломощный старый «пенёк» сойдет). «Пенёк» будет соединятся с интернетом и через прокси принимать запросы от виртуальных машин, крутящихся на сервере виртуализации.
Разумеется, необходимо использовать файервол на критически важных виртуальных машинах. Таких как WAN, ROUTE III и на тех, которые управляются удаленно. То есть существует подключение к некоторым машинам с другой машины по rdp или vnc. Всем этим машинам добавляется сеть, в моем случае «VNC NETWORK» и эти машины по факту могут видеть друг друга через эту сеть. Чтобы этого не происходило блокируем трафик файерволом (использую agnitum).
vk.com/id58924119​