Статья Минимальная анонимность часть первая. Подготовка основной ОС.

Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 160
3 407
Приветствую Друзей и Уважаемых Жителей Форума.

По немногочисленным просьбам из ЛС решил описать небольшой способ по анонимности.
Мануал будет разделён на несколько частей и больше написан для новичков,т.к. опытные ребята вряд ли почерпнут для себя что-то новое.

Сразу скажу,что он отличается от курса Paranoid нашего форума и касается вопроса минимальной анонимности в сети.
Это сделано специально,чтобы решения не пересекались и не были похожими.

Курс Paranoid гибок и подстраиваем под современные реалии.Он крут на самом деле,и его стоит изучать и практиковать.
Не претендую на высшие баллы,но моменты некоторые готов обговорить с вами.

Я поделюсь как можно выходить в сеть и каким образом ,чтобы быть защищённым в это самое время.
Это ничего общего не имеет с обходом систем антифрода,так что критика здравая приветствуется,но без этого всего,лишнего,как говорится.
Дополнениям буду рад также и вашим собственным наблюдениям с замечаниями.

Условия,с которыми будем работать следующие:
1) Стационарный компьютер или ноут с ОС Windows 7 или 8 64-х разрядной версии.
2) Установленная гостевая ОС Linux на Virtual Box,которая настроена с типом соединения NAT.
3) Соединение кабельное от провайдера с интерфейсом eth0 соответственно (под роутеры также схема подойдёт).
4) Провайдер жёстко контролирует абонентов и фильтрует их по Mac-адресам и не позволяет нам соединение в виде моста.
Я рассмотрю в качестве гостевой Kali Linux,но при этом,может быть установлен какой угодно дистрибутив Linux.

Итак,приступим к доработке основной ОС Windows.
Кстати,самые лучшие ОС Windows на мой взгляд-это 7 -я и 8 -я версии,а не 10-ка.
А Linux ,на будущее , стоит настроить как тут : Как настроить Kali Linux в плане безопасности и анонимности
Я обойду этот момент.

На папке Администратора должен быть установлен пароль,но работать мы будем конечно же не под ним,а под обычным пользователем.
Заходим в центр управления сетями и общим доступом-дополнительные параметры общего доступа.
Ставим галку на отключение сетевого обнаружения,отключаем общий доступ к общим папкам и файлам,принтерам и т.п.

Затем,никаких удалённых помощников,поэтому идём в настройку удалённого доступа и отрубаем там его.
Не лишним будет и забежать в свойства интернета и перевести бегунки во вкладках безопасность и конфиденциальность на отметки выше среднего и средний уровни соответственно.
помощник.JPG
Не забудьте снять галки как здесь в свойствах в обеих вкладках сети и доступа.
свойства.JPG
свойства2.JPG
Отключать ли индексацию данных,файл подкачки, режим гибернации-вопрос часто спорный,можно обойтись и без этого,да и система будет работать без критических сбоев.
Обязательно надо иметь при себе утилиты для чистки системы,такие как CCleaner,Wipe или другие им подобным.

Далее,отключаем следующие службы:Messenger,RemoteRegistry,Alerter,Shedule,SSDPSRV,mnmsrvc,Remote Desktop Help Session Manager,Telnet.
Не стану изобретать велосипед ,брал когда-то этот материал
Всё,с доработкой понятно,но имейте в виду,что теперь некоторые программы могут тормозить,лагать и т.д.
Если те проги,о которых буду говорить позже,станут вести себя некорректно- перезагружайте комп, т.к это самое верное решение при аналогичных инцидентах.

В блокнотик себе бумажный пишем настоящие данные Mac-адресов и т.д.на память,т.к. если проги дадут сбой,то надо будет вручную восстановить данные.
Многие конечно не переживают даже по этому поводу, но если установлена лицензионка,то всё же советую настоящие данные записать.
И к тому же,при обычном режиме работы,вы точно будете знать,что данные чистые и никто вас по ним искать не станет.

Теперь,нам надо скачать такие программы, как Softethervpnсlient,Tmacv6 и TS Unban.
Где вы будете их качать,каким образом-не моё дело и не забивайте мне этим голову пожалуйста.
Вместо TS Unban можно поискать другие программы,которые ,самое главное,меняют ID железа.
К тому же, её сейчас сложно найти и работает она только с 64-х разрядной версией Windows.
Установку сами также проведёте,не маленькие,особенно Softethervpn Client.

Пожалуй,это самое сложное,но в интернете много мануалов по установке этого японского чуда.
Статический IP и многие другие задачи для этого софта не проблема.
Это единственный серьёзный софт,известный мне,который всё завернёт в трафик vpn,будь то TCP, или UDP.
Даже скайп и сам чёрт будет ходить через vpn, а именно: всё то,что выходит в интернет с вашего компьютера.

Есть там и сервер,но нам надо устанавливать не его,а именно клиент.
Вопросы характера:а вот если у вас основная ОС Linux-это всё есть в инете,Softethervpn также ставится (сложно правда ) и на Linux.
Мы будем подсовывать фальшивые данные с самого начала для выхода в интернет.

Шаг первый:с помощью TS Unban изменим ID железа.
Было так:
ID1.JPG
Меняем этот параметр (проги все не выключать,свернув в фоновом режиме для статуса кво после завершения работы)
ID2.JPG
А теперь вот так. ID Железа ,надо менять обязательно.
ID3.JPG
Какой здесь вариант промежуточный может быть?
Есть один,который стоит обговорить,но не в коем случае,не использовать его дома.
Об этом надо знать просто и забыть.

Вариант этот чёрный абсолютно и коварный.Хорош для ноутов, когда вы там подъехали на машине,подключились к бесплатному инету..
Вот ваш провайдер фильтрует по mac-адресам абонентов,раздаёт IP-адреса и не терпит чужаков в своей сети.
Мосты исключены,подмена MAC исключена практически для кабельного соединения без неудобных последствий.
У кого роутер, всё намного проще,но если инет действительно кабельный,то сложности с этим опишу далее в этом примере.

А кто сказал,что нельзя воспользоваться компами ,к которым нет доступа в сети провайдера?
Я имею в виду те компы,которые выключены.А они как раз-то нам и нужны.
А что для этого надо? Верно-сканер,который может расшарить подсеть провайдера.
Зная диапазон,мы можем установить свой,чтобы не сканировать всё.
scan.JPG
И выбираем компьютер,который выключен,копируем его IP и Mac-адрес
IP ставим ,переведя галку на "использовать следующий IP-адрес" в дополнительных свойствах протокола IPv4
svoistva.JPG
А MAC,отключив данный основной сетевой адаптер ,вставляем здесь же, во вкладке "настроить" и затем идём в "дополнительно" и ищем такой параметр.
свойства3.JPG
Переводим галку в значение вместо установленного "отсутствует" и вставляем Mac без двоеточий и пробелов.
Теперь,включаем наш сетевой адаптер и можем видеть изменения как IP,так и Mac-адреса.
Разновидностью этого способа есть только копирование Mac-дреса,а IP может измениться при этом автоматически на тот,к которому Mac-адресу он был привязан.

Сразу скажу что,при возврате на круги свои данных при кабельном соединении,у провайдера может забиться канал ,а у вас исчезнуть интернет навечно практически.
Приходится звонить в службу поддержки и побыть актёром ,что мол пришли друзья со своим ноутом,а вот теперь нет инета.
Либо,сказка о том,что немного вышел из строя ваш компьютер,а вы позаимствовали другой на время у знакомых.
Что знакомые вам подсказали (у них была якобы такая же проблема) и им просто выполнили сброс на шлюзе.
(Девушки там не понимают в чём дело и надо им подсказать сразу решение о сбросе шлюза чтобы съэкономить их же время).
Дело-то секундное ,на самом деле.
Нотации о том,что в следующий раз,вы обязательно позвоните когда придут друзья,их ноут зарегистрируют,внесут в базу данных и не будет таких проблем,уж потерпите.

С другой стороны,этот способ есть не что иное,как уголовно наказуемая кража чужого интернета-это для тех,кто не понял,чем при этом рискуете по факту.
Пара таких фокусов с домашнего компа превращает вас в потенциального подозреваемого и врага вашего поставщика интернета.
А с поставщиком надо дружить,не позволяя себе сканирований и прочих нехороших выходок,это если с точки зрения,неписаного кодекса чести.
Потому и настаиваю его не использовать когда вы дома и дело касается подсети вашего поставщика услуг.
Плюс здесь только один,но весьма конечно весомый-в дверь,в случае форс-мажора,постучат к тому,чьими данными вы воспользовались.

Шаг второй: меняем Mac-адреса.
Нам пригодится утилита TMACv6,либо иная,которая умеет изменять Mac.
Она видит все адаптеры,в том числе и принадлежащих виртуальным машинам,а также адаптер для Softethervpn.
tmac.JPG
Если вы работаете с VMware,то меняем mac-адреса для неё,а если это VBox,то генерируем новый мак до запуска гостевой ОС в её настройках.
VB.JPG
Здесь мы изменим Mac адаптера для VPN-Client от Softethervpnclient и на этом всё.
Менять MAC адаптера для основной ОС мы не будем, потому что поставщик услуг нам этого не позволит сделать нормально.

Он конечно измениться,но при возврате дефолтного значения ,скорее всего ,пропадёт интернет-соединение и будет такая же история со звонком в службу техподдержки.
Кому поставщик услуг позволяет это делать-вам повезло.

К сожалению,утилита TMACv6 не отличается стабильной работой и часто может дать сбой при изменении,или возврате значений.
Как и говорил ранее,не надо ничего трогать в таком случае,а просто закрыть всё и перезагрузиться .
Для этого мы и записали все данные в письменный блокнот.

В моём случае ,данная утилита не возвращает обратно значение mac адаптера Softethervpnclient кнопкой Restore Original.
Поэтому,возвращать приходится вручную-вбить в поле change mac address значение,нажать Random Mac address и он встанет на место.
При этом вверху,в колонке changed ,параметр Yes поменяется на No ,как и должно быть при возврате.

Шаг третий:подключаемся к VPN.
Для этого мы запускаем Softethervpnclient.
Если всё вы установили корректно,то нас ожидает вот такое окно
vpn.JPG
Затем надо нажать vpn gate и выбрать тот адрес,к которому хотим подконнектиться.
Адреса преимущественно данный софт предоставляет азиатские,но могут быть и другие.
О каждом есть сведения о продолжительности действия,скорости соединения и стране,ну и количество уже соединившихся клиентов на данном адресе.
Кнопкой Refresh list можно обновить список адресов.
vpn2.JPG
Хорошим тоном и качественным vpn-адресом при этом считается тот,который выдаёт в сведениях о соединении вот такую картину.
vpn3.JPG
В реальности,соединение конечно же есть и если запустить браузер,то можно будет видеть иностранный ютуб и т.д.
Но это не принципиально в данном случае,т.к.такое качество редко будет вам встречаться.
Наиболее успешно подбираются адреса c использованием UDP-протокола, что не уменьшает,как ни странно,надёжность.

Самое неприятное что может произойти-это разрыв VPN-соединения, но спасает то,что рабочая часть у нас всё-таки начинается с гостевой ОС.
Ещё одна особенность данного софта в том,что если не произошло соединения в течении 15-20 секунд,или прога начинает делать повторную попытку.
То время не стоит тратить, это бесполезно и необходимо пытаться подключиться к другому адресу.

Обратный процесс отключения стоит начинать при завершении работы с гостевой ОС и виртуальной машиной.
Затем,отключаем соединение в Softethervpn и завершаем работу с этим софтом.
Далее,меняем на дефолтные значения в TMACv6 адреса и также выходим из интерфейса утилиты и в конце возвращаем ID железа с помощью соотв.программы.

В следующей части мы начнём работать с гостевой ОС Linux на виртуальной машине непосредственно,а пока на этом всё.
Всех благодарю за внимание и до новой встречи.
 
Sdr

Sdr

Happy New Year
20.01.2016
78
56
То, что я искал давно и однажды спрашивал "как добиться большей анонимности". Спасибо, очень познавательно.
 
  • Нравится
Реакции: Vertigo
9

9a0c659e3

New member
27.01.2019
2
3
Windows - г***о , как было так и осталось . Лучше установить как основную oc - kali linux . Если по простому надо как минимум пропускать трафик через тор , еще лучше создать цепочку (впн(в идеале поднятий лично) - днс крипт - тор - сокс или ssh ) . И наконец зашифровать систему нахрен трукриптом \ веракриптом.
 
M

MrLaike

New member
13.04.2018
2
4
Windows - г***о , как было так и осталось . Лучше установить как основную oc - kali linux . Если по простому надо как минимум пропускать трафик через тор , еще лучше создать цепочку (впн(в идеале поднятий лично) - днс крипт - тор - сокс или ssh ) . И наконец зашифровать систему нахрен трукриптом \ веракриптом.
Нет г***осистемы...есть г***оюзеры. В правильных руках любая система хороша.
 
Sdr

Sdr

Happy New Year
20.01.2016
78
56
Лучше установить как основную oc - kali linux
Вы серьезно? Там же куча софта половину которого, никогда не будите запускать. Для пентеста как правило есть отдельная физическая машина или виртуалка. У меня раньше на харде была сборка дебиан и семерка. А после статей Глюк, на тему арча, перебрался на арч.
Вот сейчас на основной машине, арч с репами блека и семерка.
 
V

Valkiria

критика здравая приветствуется,но без этого всего,лишнего,как говорится.
Статья оставила послевкусие в моей светловолосой голове.
А ещё провоцирует читателя на обсуждение.
В моём посте ниже :
  • чуточку дополнений,
  • чуточку критики
  • чуточку недоумения.

Обо всём по-порядку.
В заголовке статьи написана фраза: "Настройка основной ОС". Не буду цепляться за это название, тем более что я сама люблю дать своим статьям провоцирующе-привлекательный окрас ))
Но всё равно, не могу не промолчать.


Начну с ДОПОЛНЕНИЙ.
1. Безопасная настройка Linux.
В статье при упоминании настройки Linux ты ссылаешься на эту статью. Не могу с тобою согласиться. В этой статье описана настройка одной конкретной операционки - Кали, но не Линукс в общем.
Если речь идёт о Linux, то зачем вообще устанавливать этот Network Manager ? Mac -адрес без Network Manager меняется с помощью программы macchanger.
Упомянутая статья основана только и только на настройку Kali, о чём свидетельствует использование Gnome в роли оконного менеджера. Но ведь далеко не все пользователи используют эту графическую оболочку. Более того, я уверена в том, что более-менее опытный линуксоид предпочитает свободный полёт: использование других оконных менеджеров. Использование network-manager-openvpn-gnome в этом случае - не разумно.
И самое главное. Почему-то линуксоиды пренебрегают использованием брандмауэра. Вы меня хоть убейте, но использованием брандмаура в Linux не менее важно, чем в Windows. Но об этом - ни слова, нигде.
2. Безопасная настройка Windows.
Настройка Windows с точки зрения безопасности - тема для нескольких статей. Она включает целый ряд мероприятий, которые обсуждены на форуме сполна.
Но и на этом настройка Windows не заканчивается. В настройке любой системы присутствует момент индивидуальности. Я имею ввиду, что нигде невозможно прочитать об остановке сервисов, устанавливаемых вместе с драйверами Nvidia. В частности, у меня в системе устанавливается аж пять абсолютно ненужных с точки зрения безопасности служб

Минимальная анонимность часть первая. Подготовка основной ОС.

Это далеко не всё.
Adobe, Офисный пакет и прочие программные продукты не отстают.

Минимальная анонимность часть первая. Подготовка основной ОС.


Все их также можно отключать.


Подошла очередь КРИТИКИ.

Ты утверждаешь, что Softethervpnсlient - Это единственный серьёзный софт,известный мне,который всё завернёт в трафик vpn,будь то TCP, или UDP. Подобное утверждение не в первый раз встречается мне, но на чём оно основано?
Растолкую, в какой момент у меня зародились сомнения в истинности данного утверждения.
Не секрет, что разработчики софта предоставляют для бесплатного использования ряд бесплатных серверов по всему миру.
При подключении любого из них пользователю предоставляется выбор, какой из протоколов подключить.

Минимальная анонимность часть первая. Подготовка основной ОС.


Таким образом, при использовании TCP протокола, не гарантируется прохождение UDP запросов (пакетов).
Но, господа, такая картина ничем не отличается от использования классического OpenVPN . Ведь при подключении к любому из серверов OpenVPN пользователю также предоставляется выбор Tun или Tap адаптера, каждый из которых обслуживает соответствующий протокол TCP или UDP.
Вот посмортри, что творится на практике.
В данный момент, я пишу эти строки, мой трафик проходит через два VPN.
Один OpenVPN клиент подключен на роутере и имеет адрес Дубны (Россия) Протокол - UDP
Второй клиент Softethervpnсlient - в операционной системе и имеет адрес Кореи (тот который на скриншоте выше). Протокол - TCP (тот который на скриншоте выше).

Утечка DNS запроса - налицо.

Минимальная анонимность часть первая. Подготовка основной ОС.


На скриншоте хорошо видно утечку DNS. Как известно, такие запросы проходят по UDP протоколу. То есть UDP трафик прошёл мимо Softethervpnсlient .

На фоне этого сравнения преимущества упомянутой программы не очевидны и даже сомнительны.
Кроме голословного утверждения имеются более убедительные пруфы ?

В конце - обещанное недоумение.

Описанный тобою способ подмены mac-адреса на соседский заслуживает внимания.
Но дело в том, что я пыталась проделать этот фокус до написания статьи... и ничего не получилось на этапе сканирования.
Я пыталась сканировать подсеть провайдера, на открытые порты и ещё по каким-то критериям. Ничего не сканируется. Возможно, мне не повезло ))
Мои опыты должны были только удовлетворить моё любопытство и не были нацелены на успех.
Любопытство было удовлетворено отрицательным результатом.
Сканирование прекращено.
Теперь, после прочтения статьи я буду настойчивее ))
 
Последнее редактирование модератором:
A

am29f010b

Извиняюсь, что встрял в вашу дискуссию, дополню немного, утечка dns проверяется (подробнее), например так

А Фингерпринт
 
  • Нравится
Реакции: Valkiria и Vertigo
V

Valkiria

Нет никаких правил при проверке - ИМХО :):):)
Этот тест также указал на утечку ДНС.

Минимальная анонимность часть первая. Подготовка основной ОС.

А вот whoer.net указал на эту утечку с первого раза и без всяких расширенных тестов.

Минимальная анонимность часть первая. Подготовка основной ОС.


Не имеет значения способ проверки или сервис, которым мы пользуемся.
Результат один - Softethervpnсlient ничем не отличается от классического Open VPN.
Softethervpnсlient пропускает tcp & udp запросы не лучше классического Open VPN.
 
  • Нравится
Реакции: Vertigo
A

am29f010b

А утечка у Вас Public Joint Stock Company "Vimpel-Communications" (это похоже на мобильный Билайн?) речь про мобилку?
с 3G DNS так просто не настраивается на телефоне. У вас Рут? (просто на Скрине Win10, но...)
 
  • Нравится
Реакции: Valkiria и Vertigo
V

Valkiria

Моя система - Windows 10.
У меня не было цели изменить отпечаток браузера. Я его и не меняла.
В статье этот вопрос не поднимался. поэтому и обсуждать цифровой отпечаток браузера в данной теме бессмысленно.
Я подключена к Сети через мобильный оператор связи, не Билайн.

Выше я описала своё подключение и способ тестирования.
Я сижу за двойным VPN.
Первый клиент подключен на роутере по протоколу OpenVPN.
Второй - в операционной системе при помощи программы Softethervpnсlient .
Тесты указывают на утечку DNS моего "роутерного" OpenVPN, не моего оператора.

Роутерный openvpn клиент указан на скринах. Днс моего провайдера скрыт.
Но это ничего не меняет.
Ведь под сомнение поставлено утверждение о том, что Softethervpnсlient - Это единственный серьёзный софт,известный мне,который всё завернёт в трафик vpn,будь то TCP, или UDP.
 
  • Нравится
Реакции: Vertigo
A

am29f010b

Я сообщения не для Вас оставил, а для тех, кто темой анонимности заинтересуется и зайдет, поэтому Вашу проблему не изучал.

ps/утечки dns встречал только на мобилках (логично мобильный оператор вот и предположил, что в инет через мобилку выходите).
DNS wifi например, можно прописать, хоть в самом роутере, хоть в мобилке, хоть в resolv.conf хоть где и все нормально.
 
  • Нравится
Реакции: Valkiria
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 160
3 407
Ура,наконец-то ,пришла жара и здоровая дискуссия.
@Valkiria , дык как так-то с DNS утебя получилось? ))
Даже при худшем раскладе,там должен засветиться DNS любой другой страны,не то что твоего города.
Ты как в интернет выходишь,даже интересно ?
Меня чуть инфаркт не тюкнул,думал,всё,софт и правда подвёл.
Похоже на правду ? Это с этого самого Softether прямо с Windows -браузера.
checkdns.JPG
Смотри, мне наверное следовало бы добавить ,что он бесплатный, когда говорил о его серьёзности.
Хорошо,что из бесплатного можно получить в качестве альтернативы аналогичной,с таким же функционалом?
Мануальчик там у него
Он же на самом деле из нескольких частей состоит,есть ещё и сервер.

Можно пользоваться автономно.
У него есть ещё и свой сервер DHCP : установил такой на комп,организовал виртуалки,и будут у них статические адреса 192.168.X.X
А не какие-то там 10.0.2.15 Это же мечта поэта)).А если это полноценные компы..
Организации когда настраивают безопасность у себя и сервера,экономят кучу денег на настройке и покупке VPN
И пока вроде ни одна организация не жаловалась (хотя всё может быть).
Вот примерно как-то

С мобильным трафиком у меня пробелы,ничего толкового тебе не подскажу,а гуглить мы все умеем.
Тут я пока пас,да и голова не совсем свежа.Итак,хотел как лучше,а такое чувство ,будто написал всё в стиле :"Брежнев читает о поднятой целине".
Но надо,мы все здесь занимаемся по зову души.
Когда-то я хотел читать именно такие статьи,несмотря на впечатление об эхе,что где-то уже это проходили.
Если есть мобильный трафик-то в софте не помню,чтобы там что-то об этом говорилось.

Со сканированием подсети провайдера...может там софт какой поставили,я больше не желаю такие трюки вытворять).
Дело не только в портах,а в специфических расшаривающих сетку сканерах. и в сегменте сети.
 
Последнее редактирование:
  • Нравится
Реакции: solgood и Valkiria
Deminig

Deminig

Happy New Year
18.01.2019
38
3
Пробовал обычный VPN, который на Опере - так он этот dnsleaktest тест проходит. Пишет как всегда:

Hello 77.111.247.77
from Europe

Правда всегда один и тот же IP, хотя у меня реальный - динамический.
 
  • Нравится
Реакции: Vertigo
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 160
3 407
Пробовал обычный VPN, который на Опере
Использование такого анонимайзера в самом конце цепи неплохая идея,каковым он и является на самом деле.
Но никак не иначе-мало того ,гребёт инфу тоннами ,собирая данные о пользователях (сами в этом говорят открыто),да ещё претендует на звание vpn условно.
Это сетевой уровень всё же,а не системный.
Провайдерам не хочется возиться с такими вещами (ну изменили IP и ладно,обошли блокировки какие-то там,у первых тоже формального повода нет для штрафа,да и клиентов терять нет смысла).
На самом деле это выглядит так:абонент такой-то,проживающий по адресу такому-то, сменил наличники на двери,хотя дверь та же самая.
 
  • Нравится
Реакции: ghostphisher и Valkiria
Мы в соцсетях: