web-dev-qa-db-ja.com

Torの欠点は何ですか?

私は最近Torを使い始めたばかりで、どのようなセキュリティ上の問題が利点に付随するのか正確にはわかりません。

(日常の通常のWebブラウジングの使用、非表示のサービスへのアクセス、および独自のサービスの実行の両方で)何を心配すべきですか?

-この質問の背景。具体的にそれを促したもの-

今後数週間以内に、個人/専門家向けの大まかなWebサイトを公開する予定です。十分に保護されていると同時に、リモートで管理できるようにしたいと考えています。

私は実際にWebサーバーを強化する予定です(そして、強力なSSHパスワードを使用し、できるだけ少ない特権でアカウントにログインするなど)。しかし、Torを介して排他的にSSH管理を行うことが、誤ったレベルのリダイレクトに役立つかどうかはわかりません。 、またはTorネットワークを監視している人々からのおそらく望ましくない注意に私を開くでしょう。

編集:「トールは匿名性のためだけである」と述べた人は正しいです。私はその最後の言葉を言い換える必要があると思います:私が読んだことから、Torを通じてのみSSHを利用できるようにした場合、すべての要求をSSHポートに転送するようにルーターを構成する必要はないようです。その場合は、ポートにアクセスできる人が少なくなることを意味します。これは、ポートを認識している人数が少なくなるためです。また、サーバーログの不規則性を確認しやすくなります。それは、多層防御とメンテナンスを他の何よりも簡単にする目的のためのものです。ただし、どのようなデメリットがあるのか​​わからないので、この質問を明確にします。

webservertor
10
root

  1. パフォーマンスは最低

    数年前よりは良いですが、それでも素晴らしいとは言えません。

  2. 低レイテンシのアノニマイザーはトラフィック分析を行う傾向があります。

    特に、誰かがあなたのトラフィックとターゲットのトラフィックを観察できる場合、彼らはそれを相関させることができます。

    匿名リメーラーは、遅延を長くすることでこの問題を回避しますが、Webの閲覧などの対話型アプリケーションには使用できません。

  3. Exitノードはトラフィックをプレーンで表示します

    Torの上で安全なプロトコルを使用しない場合、出口ノードはパスワードなどを盗聴できます。SSLまたはSSHを使用すると問題ありませんが、証明書/フィンガープリントを検証してくださいです。

    出口ノードがなく、MitM攻撃はドメインのフィンガープリントによって阻止されるため、これは非表示サービスの使用には適用されません。ただし、正しいドメインにアクセスしていることに注意してください。これらのドメインを覚えたり確認したりするのはかなり困難です。

興味深いバリエーションの1つは、Torを介してVPNに接続することです。 VPNを信頼しているが、VPNアクセスを匿名で購入する方法を理解する必要がある場合、これは3)に役立ちます。

11
CodesInChaos

SSHは、すべてのキーストロークがサーバーへの往復を意味するため、レイテンシに非常に敏感です。高遅延リンクを介してSSHを実行することは、高レベルのフラストレーションのレシピです。 SSHの数分後、200ミリ秒を超えるレイテンシが耐えられないことがすでにわかっています。Torを使用すると、さらに多くのことが得られます。その点だけでは、Torを1日に数回検討することを後悔します。

セキュリティ上の利点については、「ミスダイレクション」と「それを意識する人は少ない」という表現を使用しました。それは obcursityによるセキュリティ であり、これらの部分ではあまり一般的ではありません。このような方法では、全体的なセキュリティはそれほど高くありません(さらに悪いことに、定量化可能なセキュリティはありません)。彼らは知識がなく、やる気のないアマチュア攻撃者を阻止します。しかし、これらの小さな稚魚の攻撃者は、とにかく大きな脅威ではありませんでした。本当の危険は、ターゲットに対して少し調査を行い、たとえば、この非常にセキュリティを見つける努力をする強力で有能な攻撃者にあります。Torユーザーへのアクセスの制限について、簡単に言えば、SEの投稿。いずれにせよ、有能な攻撃者は、自分の痕跡を隠すためだけにTorを使用します。したがって、SSHアクセスをTorユーザーに制限することはしない場合がありますが、まったく逆です:TorからのSSHアクセスをブロックします。

ログファイルを小さく保つためだけに「ミスダイレクション」が必要な場合は、SSHサーバーを標準の22とは異なるポートに設定します。これがセキュリティ、しかし、それは純粋に自動化された方法で領域を拡張しようとするボットネットからの毎日の何千もの接続試行を回避します。したがって、より小さなログファイルを保持し、それに応じて、上記のログファイルで魚のようなビジネスを見つける可能性を高めます。

セキュリティのために、SSH鍵ベースの認証および/または非常にランダムな適切なパスワードを使用してください。

9
Thomas Pornin

私があなたを正しく理解している場合、あなたの目的はTorを使用して自分とWebサーバー間の通信チャネルのセキュリティを強化することですか?

Torの主な目的は匿名性です。出口ノードと宛先の間の通信チャネルは保護されません。 SSHの適切な使用( パスフレーズを使用 )で十分です。

このシナリオでTorを使用する唯一の理由は、特定のサーバーを管理しているという事実を隠す必要がある場合です。あなたの説明に基づいて、これは考慮事項ではないので、SSHを使用してください。

6
scuzzy-delta

他の選択肢を検討しましたか?インターネットベースのVPNが好きですか?他のサイトが独自の管理下にある場合、エンドポイントフィルタリングデバイスを構成することで、簡単にそれを行うことができます。

デフォルトのVPNセットアップでは、TORよりも高い保証が提供されます。

リモート管理者を探しているなら、帯域幅が重要だと思います。 TORは可変遅延を提供しますが、VPNの場合は測定された固定遅延であるため、パフォーマンスが向上します。

1
Saladin