Whonix

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 18:59, 14 января 2018.
Whonix
Whonix Logo.png
логотип Whonix
Разработчик Whonix Development Team[1][2][3]
Линейка ОС Linux
Состояние разработки Работает и развивается
Исходный код открытый
Дата первого релиза 29 February 2012 года; 7 years ago (2012-02-29)
Платформы Совместимые с Intel x86-PC
Ядро (тип) Debian [4]
Лицензия GNU GPL v3
Официальный веб-сайт whonix.org

Whonix – дистрибутив Linux на основе Debian, ранее известный как TorBOX. Предназначен для обеспечения конфиденциальности, безопасности и анонимности в интернете средствами VirtualBox и Tor. Операционная система состоит из двух виртуальных машин, "Workstation" и Tor "Gateway". Его особенностью является то, что ни вредоносные программы, ни компрометация учетной записи суперпользователя не могут примести к утечкам IP-адреса и DNS. Все программное обеспечение, идущее в комплекте с системой предварительно настроено с учетом требований безопасности.[Источник 1] Идея Whonix получила высокую оценку от MakeUseOf.

Принцип работы

Система Whonix состоит из двух виртуальных машин, соединенных через изолированную сеть. Первая, называемая Whonix-Gateway, работает исключительно через Tor[5] и выступает в качестве шлюза во всемирную сеть. Вторая, под названием Whonix-Workstation находится в полностью изолированной сети. Таким образом, все сетевые соединения возможны только через Tor.[6] Подобная реализация возможна как за счет виртуализации, так и физической изоляции.

Whonix1.png

Whonix-Gateway" отвечает за запуск Tor, и имеет дав виртуальных сетевых интерфейса. Один из них связан с внешним Интернетом через NAT на хосте VM и используется для связи Tor. Другой подключен к виртуальной локальной сети, которая полностью работает внутри хоста. "Whonix-Workstation" запускает пользовательские приложения. Он соединен внутренней виртуальной локальной сети и может непосредственно взаимодействовать только с "Whonix-Gateway", который пропускает весь входящий трафик через Tor. "Whonix-Workstation" может "видеть" только IP-адреса внутренней сети. Поэтому пользовательские приложения не знают "реального" IP-адреса пользователя, и они не имеют доступа к любой информации о "железе". Веб-браузером предустановленным в "Whonix-Workstation" является модифицированная версия Mozilla Firefox с предусмотренным проектом Tor в качестве части своего пакета браузера Tor. Этот браузер был изменен, чтобы уменьшить количество специфичной информации о системе утекающей на веб-серверы.

Возможности

  • Настройка разрешения DNS через DNSCrypt и DNSSEC при помощи Tor;
  • Туннелирование UDP через Tor;
  • Тонкая работа через прокси-серверы и VPN;
  • Возможность доступа через Tor к анонимным сетям: I2P, JonDonym, RetroShare, Freenet и Mixmaster (;
  • Анонимизация VoIP при помощи Mumble;
  • Чаты через TorChat и XChat.

Особенности

Примечательной особенностью Whonix является разделение дистрибутива на два отдельно устанавливаемых компонента – Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Выход в сеть из окружения Whonix-Workstation производиться только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе. Обновления распространяются через Tor с помощью менеджера пакетов APT-GET Debian. При запуске, каждая виртуальная машина запускает проверку, чтобы убедиться, что программное обеспечение в актуальном состоянии, и что дата и время установлены правильно. В отличие от Tails, в Whonix не является "amnesic" (стирается оперативная память и не сохраняется состояние после перезагрузки); "Whonix-Gateway" и "Whonix-Worstation" сохраняют свое состояние после перезагрузки. Не будучи "amnesic" повышается безопасность на Whonix-Gateway, позволяя системе Tor делать"точки-зашиты" для входа в сети Tor, снижая способность врагов нанести пользователям ловушку путем запуска вредоносных реле. С другой стороны, не "amnesic" Workstation могла позволить злоумышленникам, особенно операторам веб-сервисов, вводить состояние и связать сеансы пользователя друг с другом, несмотря на Tor браузер; для некоторых пользователей это может стать серьезным риском нарушения безопасности. Возможно заставить "Whonix-Workstation" быть частично или полностью "amnesic", вручную сбрасывать его старые состояния после использования, хотя разработчик не предполагает этого. Кроме того, можно запустить более одной Workstation с одним Gateway. Взлом Whonix-Workstation позволяет атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускай Whonix-Workstation на том же компьютере, что и Whonix-Gateway. В Whonix-Workstation по умолчанию предоставляются пользовательское окружение KDE. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что дает возможность обеспечить анонимный выход для уже находящихся в обиходе рабочих станций. В "продвинутой" конфигурации используются два физически отдельных компьютера с "Whonix-Gateway", работающего на реальном "железе" одного из компьютеров и "Whonix-Workstation", работающего в виртуальной машине на второго компьютере. К другим особенностям системы следует отнести:

  1. Поддержка встроенным мессенджером Pidgin протокола Jabber.
  2. Анонимная версия почтового клиента от Мозилы, с интерфейсом, адаптированным для работы с Tor.
  3. Наличие SCP, обеспечивающей анонимную транспортировку данных к серверу.
  4. Возможности администрирования серверов, исключающие контроль со стороны.
  5. Встроенные веб-серверы: Apache, ngnix, IRC.[Источник 2]

Механизмы анонимности

  • Весь траффик любых приложений идёт через сеть Tor;
  • Для защиты от профилирования траффика ОС Whonix реализует концепцию изоляции потоков. Предустановленные в Whonix приложения настроены на использование *Отдельного Socks-порта, а так как каждый Socks-порт использует отдельную цепочку узлов в сети Tor, то профилирование невозможно;
  • Обеспечивается безопасный хостинг сервисов «Tor Hidden services». Даже, если злоумышленник взломает web-сервер, то он не сможет украсть закрытый ключ «Hidden»-сервиса, так как ключ хранится на Whonix-шлюзе;
  • Whonix защищен от DNS-утечек, так как в своей архитектуре использует принцип изолированного прокси. Все DNS-запросы перенаправляются на DnsPort Tor’а;
  • Whonix поддерживает «obfuscated bridges», рассмотренные ранее;
  • Применяется технология «Protocol-Leak-Protection and Fingerprinting-Protection». Это снижает риск идентификации клиента через создание цифрового отпечатка браузера или системы путем использования наиболее часто применяемых значений, например, имя пользователя – «user», временная зона – UTC и т.д.;
  • Есть возможность туннелировать другие анонимные сети: Freenet, I2P, JAP, Retroshare через Tor, или работать с каждой такой сетью напрямую.
  • Важно отметить, что в Whonix протестированы, документированы и, главное, работают все схемы комбинирования VPN/SSH/Proxy с Tor.
  • ОС Whonix – это полностью открытый проект, использующий свободное ПО.[Источник 3]

Установка и настройка

Qubes, KVM и VirtualBox могут виртуализировать рабочее окружение; VMware, vSphere и Qemu - к сожалению, нет. Простейший способ установки двух образов дисков виртуальных машин, доступных в формате файлов OVA, связан с использованием VirtualBox. Для этого нужно всего лишь импортировать образы дисков, после чего настроить шлюз для доступа в сеть Tor на первом этапе и рабочую станцию на втором.

Импорт образов дисков виртуальных машин Whonix в VirtualBox.

После установки рабочего окружения будет запущен мастер установки, который позволит адаптировать виртуальные машины к вашим потребностям, предоставив возможность изменения таких параметров, как количество центральных процессоров или объем оперативной памяти, доступный виртуальной машине. После окончания процесса настройки Whonix запустит мастер, позволяющий установить соединение с сетью Tor. Также вы можете активировать механизм автоматического обновления Whonix.

В процессе установки Whonix устанавливает соединение с сетью Tor для гарантии анонимного серфинга в Интернет.

В процессе настройки вы также можете принять решение о том, какой репозиторий пакетов программного обеспечения использовать. Если вы планируете использовать Whonix на постоянной основе, лучше выбрать репозиторий Whonix Stable Repository. Альтернативным вариантом является репозиторий Whonix Testers Repository или Whonix Developers Repository. После установки значений всех параметров конфигурации соединение с сетью Tor будет установлено автоматически. При необходимости Whonix загрузит обновления в фоновом режиме. Для получения доступа к новейшим версиям программного обеспечения в первую очередь рекомендуется обновить списки содержимого репозиториев. В Whonix для этой цели могут использоваться следующие команды: apt-get update apt-get upgrade Для использования Whonix должен функционировать ранее созданный шлюз; вы можете свернуть окно терминала без каких-либо опасений, ведь вам больше не придется что-либо настраивать. Нажатие на ярлык WhonixCheck на рабочем столе позволяет убедиться в том, что система корректно функционирует, шлюз обновлен и соединен с сетью Tor. Если несколько рабочих станций соединено с шлюзом Whonix, мониторинг трафика может осуществляться с помощью приложения, вызываемого путем нажатия на ярлык Arm-Tor Controller на рабочем столе. После запуска приложение выведет статистическую информацию, относящуюся к переданным и загруженным на текущий момент данным.

Благодаря наличию шлюза Whonix-Gateway вы можете осуществлять мониторинг использования сети Tor рабочей станцией Whonix-Workstation.

Во Whonix интегрирован межсетевой экран, который может быть настроен с помощью приложения, запускаемого посредством ярлыка Global Firewall Settings на рабочем столе. Для доступа к настройкам межсетевого экрана придется ввести пароль - по умолчанию в качестве пароля используется строка changeme, причем после изменения настроек вам придется применить их, воспользовавшись ярлыком Reload Firewall на рабочем столе.

Работа с Whonix

После запуска шлюза все остальные действия будут осуществляться на стороне рабочей станции Whonix-Workstation, которая импортируется в качестве виртуальной машины в VirtualBox по аналогии со шлюзом. Для комфортной работы вам наверняка придется предоставить рабочей станции большее количество ядер центрального процессора и больший объем виртуальной памяти. По умолчанию для входа в систему должны использоваться имя пользователя user и пароль changeme, с которым мы уже сталкивались ранее. Браузер Tor автоматически загружается и устанавливается в систему сразу же после использования соответствующего ярлыка.

При запуске браузера Tor приложение автоматически загружается и устанавливается в систему.

После запуска браузера вы увидите иконку успешного соединения с сетью Tor в правой части его верхней панели. Также несложно заметить, что по умолчанию установлено расширение "No Script", не позволяющее веб-браузеру исполнять сценарии с Интернет-страниц без явного разрешения пользователя. В дополнение к виртуальной машине рабочей станции, шлюз Whonix-Gateway может предоставлять доступ к ресурсам сети Интернет любому компьютеру или сторонней виртуальной машине. Для этого шлюз имеет два сетевых адаптера. Один из адаптеров используется для взаимодействия с сетью Интернет, а другой - для безопасного взаимодействия с подключенными рабочими станциями. По этому сетевому интерфейсу множество виртуальных или физических машин может соединяться с сетью Интернет при посредничестве шлюза Whonix-Gateway без каких-либо проблем.[Источник 4]

Установка и настройка Whonix Workstation и Gateway на виртуальной машине


Источники

  1. Whonix. Дата обновления: 29.08.2017. URL: https://ru.wikipedia.org/wiki/Whonix (дата обращения: 22.10.2017)
  2. Whonix-безопасная работа в сети. Дата обновления: 04.04.2016. URL: http://linuxgid.ru/whonix-bezopasnaya-rabota-v-seti/ (дата обращения: 22.10.2017)
  3. Методы анонимности в сети. Часть 4. Tor&VPN. Whonix. Дата обновления: 30.11.2013. URL:https://habrahabr.ru/post/204266/ (дата обращения: 22.10.2017)
  4. Закамуфлированная операционная система Whonix. Дата обновления: 13.04.2017. URL:http://rus-linux.net/MyLDP/distr/whonix-linux.html (дата обращения: 22.10.2017)

Ссылки

  1. Контакты
  2. Разработчики
  3. О разработчиках!
  4. Based on Debian
  5. Anonymity online through Tor
  6. Security by Isolation