Cloudish - anonymný mrak
Pri surfovaní internetom, sme si už akosi
zvykli, že záznamy o prístupoch k informáciám prostredníctvom
HTTP protokolu sú vyhodnocované, často však nie kvôli
administratívnym účelom, ale z dôvodov marketingových.
Používaním cookiesov vznikajú snahy o čiastočnú identifikáciu
klientov a sledovanie ich návratu na stránky, cieľov záujmu a
podobne.
K dispozícii máme množstvo filtrovacích prostriedkov, ktoré
čiastočne zastrú niektoré nežiadúce informácie o klientoch ich
vyfiltrovaním z http trafficu, aj tak však zostáva naďalej
možné sledovať jednotlivé sessions z logových súborov
prideľovaním ich identifikátorov apachom a ich následným
vyhodnotením. Existuje viacero projektov zaoberajúcich sa
anonymizáciou klientov, či už komerčných alebo zdarma. My si
dnes ukážeme, ako je možné pomocou nástroja
cloudish vytvoriť svoj anonymný mrak pre
uzavretú alebo otvorenú skupinu užívateľov a to jednoduchým a
efektívnym spôsobom.
1. Predstavenie
Projekt s názvom cloudish vznikol pre možnosť vytvorenia
siete špecializovaných proxyserverov, ktorých účelom je
vytvoriť anonymný mrak. Základný princíp spočíva vo vybudovaní
istej infraštruktúry s plošnou distribúciou jednotlivých
serverov, kde jednotlivé servery plnia viaceré funkcie. Prvou
môže byť preberanie http požiadaviek od klientov, následné
odfiltrovanie identifikujúcich súčastí a uspokojenie
požiadavky či už priamym requestom, alebo forwardom na lokálny
proxyserver. V tomto prípade sú z http requestu odfiltrované
nasledujúce súčasti User-Agent:
Referer:
Cookie:
Proxy-Connection:
If-Modified-Since:
If-None-Match:
Keep-Alive:
a analogicky z odpovedí ETag:
X-Cache:
Set-Cookie:
P3P:
Tým docielime odstránenie citlivých informácií, ktoré by
mohli pomáhať v identifikácii klienta, cesty, ktorou sa dostal
k dokumentu, existenciu lokálnej cachovanej kópie označujúcou
návrat, ako aj jednoznačnú identifikáciu hostov pomocou
cookies. V takomto jednoúrovňovom nasadení sa vlastne jedná o
klasický filter, ktorý nám poskytujú mnohé proxyservery.
Za pomoci cloudish serverov je však možné vytvoriť
distribuovanú sieť, v ktorej jednotlivé servery komunikujú
vzájomne pomocou SSL zabezpečených kanálov a na základe
definovaných pravidiel a počtu hopov uspokojujú požiadavky
jednotlivých klientov distribuovane z celej anonymizačnej
infraštruktúry, čím sa možnosť identifikácie klientov znižuje
na minimum.
2. Inštalácia
Domovskú stránku projektu nájdete na adrese http://www.vanheusden.com/cloudish/, kde je
v súčasnosti k dispozícii aktuálna verzia s označením 1.2.
Pristúpime teda ako vždy k dekomprimácii tar xzvf cloudish-1.2.tgz
cd cloudish
Hlavným predpokladom je existencia nainštalovaných SSL
knižníc pre podporu krytpovanej komunikácie. V prípade, že
chceme zmeniť umiestnenie a názov implicitného konfiguračného
súboru, uskutočníme to modifikáciou main.cpp 40: char *ini_file="/etc/cloudish.conf";
a uskutočníme samotnú kompiláciu netypicky pomocou ./c
Výsledkom je binárka s názvom cloudish, ktorú
si umiestnime do /usr/sbin cp cloudish /usr/sbin/cloudish
3. Konfigurácia
Prvou úlohou je vytvorenie si vlastného ssl certifikátu pre
tvorbu vlastných anonymizačných infraštruktúr, napríklad
pomocou openssl req -new -x509 -nodes -days 386 -out mycloud.pem \
-keyout mycloud.pem
pre testovanie vám však postačí využiť štandardný
certifikát s názvom server.pem, ktorý je súčasťou
distribúcie. Vytvoríme si teda základný konfiguračný súbor pre
lokálny cloudish server debug=1
http_proxy_listen_port=5000
s_proxy_listen_port=5001
fork_retries=3
Pre diagnostiku si povolíme vypisovanie hlásení a
špecifikujeme priradenie portov. Prvý určuje port, na ktorom
budú prijímané http requesty, druhý určuje port pre SSL
komunikáciu s okolitými cloudish servermi. V prípade, že bude
požiadavka nesplnená, budú vykonané 2 opätovné pokusy. allow_local_gets=0
cloudish_proxies=cloudisha:15001,cloudishb:25001
V prípade, že chceme zachovať svoju anonymitu, zakážeme
uspokojovanie http požiadaviek, čo spôsobí nútené uspokojenie
okolitými cloudish servermi z definovaného zoznamu. initial_redirect_level=1
server_certificate=server.pem
server_certificate_password=password
Pre uspokojenie jednotlivých požiadaviek bude v našom
prípade dostatočné odovzdanie ľubovoľnému z nasledujúcich
cloudish serverov, v prípade rozsiahlejších štruktúr je možné
vyžadovať posunutie požiadavky viac ako jeden krát pri
zabezpečení príslušným certifikátom. deny_access_to=192.168.0.0/255.255.0.0,10.0.0.0/255.0.0.0
http_access_list=192.168.10.192/255.255.255.192,\
127.0.0.1/255.255.255.255
s_access_list=cloudisha,cloudishb
Finálne špecifikujeme prístupové práva pre zakázanie
prístupu cloudish serveru k lokálnemu intranetu a
špecifikujeme hosty, ktoré môžu http požiadavky posielať na
uspokojenie, ako aj cloudish servery, ktoré sú oprávnené
umiestniť svoje požiadavky.
Tým by sme mali uskutočnenú konfiguráciu lokálneho cloudish
servera alebo cloudish forwardera. Jednotlivé cloudish servery
v infraštruktúre však musia mať povolenú možnosť prístupu k
žiadaným http dokumentom, čo umožníme nasledovne allow_local_gets=1
use_local_proxy=1
local_proxies=mojlokalnyproxy:3128
Povolíme lokálne uspokojovanie požiadaviek, pre
zabezpečenie vyššej efektívnosti môžeme použiť lokálny
proxyserver. Toto nastavenie by malo byť na každom člene
skupiny cloudish serverov, aby bolo možné požadované http
requesty realizovať, na rozdiel od lokálnych cloudish
serverov, ktoré majú vstupovať v úlohe lokálnej brány k
infraštruktúre, jednotlivé implementácie však závisia na
rozsahu a šírke plošného nasadenia.
Podľa týchto informácií si pripravíme konfiguračné súbory
pre jednotlivé dielčie hosty, nezabudneme pritom správne určiť
na každom z hostov parametre claudish_proxies a
s_access_list, aby výsledná infraštruktúra bola
logicky funkčná.
4. Použitie a implementácia
Samotné spustenie realizujeme execom danej binárky. V tom
prípade bude bežať na popredí a na STDERR budú vypisované
všetky informácie o prevádzkových parametroch a o behu a
spracovávaní jednotlivých requestov. debug: 1
http_proxy_listen_port: 5000
s_proxy_listen_port: 5001
fork_retries: 3
allow_local_gets: 0
use_local_proxy: 1
local_proxies:
192.168.0.10:3128
cloudish_proxies:
111.111.111.1:15001
111.111.222.1:25001
initial_redirect_level: 1
max_n_connect_retries: 3
server_certificate: localcloud.pem
server_certificate_password: password
incoming_s_request(): Connection from 111.111.111.101:41092
do_incoming_s_request(): redirect-level=1
ccess_list::verify_host(): copied 2 entries
access_list::verify_host(): trying 194.228.3.226
do_http_request(): connecting plain-text to lokalproxy:3128 \
for a GET-request
Po doladení použijeme parameter -d, ktorý
spôsobí spustenie v daemon móde, v prípade špecifikácie
alternatívneho konfiguračného súboru ako implicitného
použijeme parameter -f. Automatické zavedenie pri
inicializácii systému realizujeme modifikáciou inicializačného
skriptu /etc/rc.d/rc.local napríklad
nasledovne /usr/sbin/cloudish -f /etc/cloudish.1.conf -d
5. Záver
Cloudish je veľmi zaujímavý projekt, ktorý má predpoklady
pre rozšírenie sa vo forme verejných anonymizačných sietí,
čomu svedčí aj plánované verejné nasadenie. Aj keď v
súčasnosti neponúka možnosti cieleného toku dát a koordinácie
jednotlivých tokov, je vhodným prostriedkom pre tvorbu malých
privátnych anonymizačných infraštruktúr, zabezpečujúcich
distribúciu http požiadaviek na jednotlivé "koncové" hosty
prostredníctvom zabezpečených kanálov, takže je prakticky
nemožné nielen lokalizovať host vysielajúci požiadavku, ale
ani z logových súborov servera pri vhodnej infraštruktúre
zrekonštruovať priebeh session samotnej. Projekt je neustále v
štádiu vývoja a zdokonaľovania, takže čoskoro sa iste dočkáme
novej rozšírenej verzie.
| 
Reklama
Kontaktujte redakci 