מאחורי האנונימיות המורכבת – חלק ג’

אחרי שהסברנו מהו The Onion Router וכיצד הוא עובד, החלק השלישי של המדריך יעסוק בחשיפה של תהליך הפרסום של שירותים נסתרים בשיטת TOR.

אחרי שהסברנו מהו The Onion Router וכיצד הוא עובד, החלק השלישי של המדריך יעסוק בחשיפה של תהליך הפרסום של שירותים נסתרים בשיטת TOR.רגע לפני שנעבור לכיצד מתבצע התהליך של פרסום שרתים מוסתרים נסכם מה שלמדנו עד עכשיו. TOR בעצם מספק לנו:

  • Forward secrecy
  • End-to-end integrity check
  • Multi TCP streams per circuit
  • Leaky-pipe topology
  • Distributed authority
  • Directory server
  • Inter-TORnetwork TLS
  • Decentralized congestion control
  • Protocol cleaning via SOCKS support

כדי להבין כיצד נפרסם שרות מוסתר, אנו צריכים להכיר מספר מושגים ב-TOR. הראשון הוא Hidden service, הלא הוא אותו שרות מוסתר אותו אנו רוצים לפרסם, Rendezvous points שכשמם כן הן, נקודות מפגש, Introduction point ו Service directory שמייד נסביר גם אותם.

סביבת העבודה בתרחיש הזה (סכמה 7.) מושתת כמובן על אותה המערכת אולם בשל הכיוון ההפוך והדרישות שעולות מכך התהליך מעט שונה.

אם הגענו למצב שבו אני רוצים לפרסם שרות מבלי לחסוף את הכתובת שלו, אז בוודאי שנרצה לוודא שבידנו האפשרות לבצע Access control filtering כך שלא כל אחד יוכל להגיע לשרות וגם לאחר שהגיעו אלינו ניתן לקבוע מדיניות עבודה, דבר נוסף שמרצה להבטיח הוא זמינות, ובפרט כשאר מדובר ברשת שאין לה “אמא ואבא” וכולה מושתת על מתנדבים.

נרצה גם להבטיח שאף על פי שהגישה לשרות שלנו מחייבת עבודה עם TOR, אותו משתמש שיגיע אלינו יוכל להמשיך לעבוד עם הכלים הסטנדרטיים איתם הוא עובד, ולצורך העניין שיוכל להמשיך ולעבוד עם הדפדפן הרגיל שלו. אולי הדבר החשוב מכל הוא להבטיח כי תוקף לא יוכל להציג נקודת גישה משלו לאתר שלנו, מה קוראים phishing.

סכמה 7

סכמה 7

בצד שמאל למעלה שוב ידידנו “בן” שמפרסם שרות Web מוסתר ומצד ימין למטה נמצאת “בת” שמעוניינת להגיע אל שרות ה Web שלנו, את השרות שלנו אנחנו יכולים לפרסם דרך פורטל סגור באתר האינטרנט הראשי שלנו, או פשוט ליידע בצורה כזו או אחרת את “בת” על המצאותו של השרות.

במקרא המפה מתחת ל “בן” מופיעים לפי הסדר:

  • Introduction point
  • זו בעצם נקודת הקישור אליה מפורסם השרות – הזהות הבדויה.
  • Rendezvous point
  • היא Onion router שהוגדר ע”י “בת” כזהות הבדויה שלה.
  • Service Directory (DHT)
  • הוא שרות מבוזר המספק שרותי Lookup

התהליך הכללי (סכמה 8.) מתחיל כאשר כאשר “בן” מייצר Public key pair שישמש כמזהה של השרות אותו הוא מעוניין לפרסם ולאחר מכן בוחר את ה Introduction points דרכן יפרסם את השרות ושולח את רשימת ה Introduction points אל ה Service directory, לבסוף “בן” מגדיר Circuits לכל ה Introduction points שבחר ומורה להן להמתין לפניות.

עכשיו תורה של “בת” לקבוע Rendezvous point שהוא בעם Onion router שנבחר על-ידה ודרכו היא תיגש לשרות, בנוסף “בת” מייצרת Rendezvous point cookie אותו היא שולחת אל ה Rendezvous point שבחרה כדי שיכיר בשרות של “בן” אליו היא רוצה לפנות.

לאחר שבחרה ב Circuits אל ה Rendezvous point שלה,  היא פותחת סשן אנונימי אל אחד מה- Introduction points שברשותה ומעבירה לבן הודעה שמכילה את הבקשה לחיבור, את זהותו של ה Rendezvous point שלה, ואת ה Rendezvous point cookie והתחלה של DH handshake, כל המידע הוצפן בעזרת המפתח הציבורי שהונפק לשרות של “בן”.

לאחר ש “בן” מקבל את ההודעה ובמידה והוא מעוניין לאפשר ל “בת” להתחבר הוא יוצר Circuit אל ה Rendezvous point של “בת” ושולח אליה תגובה המכילה את ה Rendezvous point cookie, את תגובתו ל DH handshake וכן Hash של ה Session key שיצרו זה עתה.

בשלב זה ה Rendezvous point של “בת” מחבר אותה ל “בן”. הדבר האחרון שנותר לעשות הוא ש “בת” תשלח Relay begin cell אל ה Onion proxy של “בן” שיחבר אותה ישירות לשרות שלו.

סכמה 8

סכמה 8

ואיך אפשר לסיים בלי ציור זמן (סכמה 9.) מפורט?, אז בבקשה.

סכמה 9

סכמה 9

תוכלו למצוא מידע נוסף בנושא באתר הרשמי של TOR.

אני ממליץ להציץ גם על Vidalia. זו מערכת גרפית המאפשרת לדעת:

  • אם ה OP שלכם פעיל ולהפעיל או לעצור אותו.
  • להגדיר את ה relayים שלכם.
  • להביט על פריסת הרשת של TOR.
  • להחליף זהות.
  • לראות גרף של ניצול רוחב פס.
  • להציץ בלוג.
  • ולגשת למאפיינים של המערכת.

אתר מעניין נוסף שאולי תרצו להכיר הוא Chord. כאן תוכלו למצא מידע על CFS, שהיא מערכת מבוססת DHT (Distributed Hash Table)

ושאלה אחרונה למחשבה, האם יש משמעות להיכן מתבצעת שאילתת ה DNS של המשתמש?

מערכת גיקטיים

גיקטיים, שהוקם בגלגולו הקודם כניוזגיק במרץ 2009, פונה לאנשי טכנולוגיה ואינטרנט בארץ הרוצים לקבל חדשות, עדכונים וכתבות בתחומים אלה בעברית. בנוסף לסיקור טכנולוגי לקח על עצמו גיקטיים לקדם את תעשיית ההיי טק בארץ.

הגב

1 תגובה על "מאחורי האנונימיות המורכבת – חלק ג’"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
trackback

[…] בפוסט הבא בסדרה, נסביר את תהליך הפרסום של שרתים נסתרים. […]

wpDiscuz

תגיות לכתבה: