Whonix + Kali. Краткая инструкция

[Blxck.]

Приветствую тебя, читатель.

Помимо Tails существует ещё одна система — Whonix — это дистрибутив Linux, основанный на Debian. Название Whonix известно нам с 2015 года, ранее этот проект назывался TorBOX. И, как по мне, это название более полно отражает саму суть этой операционной системы. А суть её в том, что она состоит из двух операционных систем. При этом одна из них это шлюз (Gateway). B её функция маршрутизировать трафик через сеть Tor. А вторая — это рабочая станция (Workstation). Она полностью изолирована и может обращаться к сети только через шлюз. Плюс такой комбинации в том, что чтобы ты не делал на Workstation, какие бы ты утилиты, в том числе вредоносные, не запускал, ты не сможешь засветить свой реальный IP, просто потому что Workstation банально его не знает. Также из полезностей, можно выделить, что для каждого работающего приложения в Whonix создаётся отдельная цепочка из узлов сети Tor.

При обсуждении Whonix, её, в вопросах анонимности и безопасности очень часто сравнивают с Tailsж. Я считаю такое сравнение немного не корректным, сразу по нескольким причинам:

• Tails более мобильна т.е. оптимизирована для использования на сменных носителях. Whonix в большинстве случаев используют на виртуальной машине;
• По умолчанию Tails забывает все изменения после перезагрузки. Whonix — нет, хотя и там и там это можно изменить, но мы говорим про настройки из коробки.

Т.е. изначальное целевое назначение этих операционных систем разное. А потому нефиг их сравнивать, у каждой есть свои плюсы и минусы.

Но если быть до конца откровенным Whonix, именно как операционная система, мне совсем не нравиться. Но при этом глупо отрицать, что идея с пропусканием трафика через шлюз и изоляцией рабочей операционной системы очень неплоха и открывает интересные возможности. Поэтому мы, оправдывая название этой статьи сначала ознакомимся с установкой и настройкой Whonix. А потом скрестим всё это дело с Windows и Kali Linux и несмотря на весь этот маразматично-фанатичный винегрет получим достойный уровень анонимности и безопасности. При этом замечу, что Windows и Kali я взял исключительно для примера. И на их месте могут быть абсолютно любые операционные системы.

Шаг 1. Установка Whonix.​

Скачиваем Whonix, как и любой дистрибутив, с официального сайта. Нам предложат четыре варианта для Windows, Linux, OS X и Qubes. Выбираешь нужную тебе операционную систему (особо параноидальные могут выбирать Qubes) и версию графической оболочкой XFCE или вообще без оболочки. После чего появится ссылка на скачивание и инструкция по установке (которая, кстати довольно простая). Там же будет ссылка на скачивание VirtualBox, если у тебя вдруг его нет.

После окончания скачивания, в VirtualBox нажимаешь «Импортировать» и добавляешь скачанный файл с разрешением *.ova. И после нажатия кнопки «Далее» выставляешь настройки операционной системы. Здесь, кстати, особо можно не заморачиваться, стоит только оперативной памяти добавить и надавить кнопку «Импорт».

После окончания импорта в VirtualBox добавятся две системы — Whonix Gateway и Whonix Workstation.

Как правило они устанавливаются уже с оптимальными настройками, поэтому можно сразу запускать. Вначале запускаем Gateway, затем Workstation.

При первом запуске, в обоих системах перед, нами появиться окно в котором выбираем «Understood» и жмём «Next». Во втором появившемся окне повторяем аналогично. Появится надпись «Whonix Setup is completed», после чего можем жать «Finish».

На Gateway появиться окно «Anon Connection Wizard» выбираем «Connect» и жмём «Next» а потом «Finish.»

Теперь нужно подождать пока всё настроиться и можно работать. Система может ругнуться, что она не обновлена — это не страшно, всё равно обновления нужно будет чекнуть вручную.

Шаг 2. Настройка Whonix.​

Теперь пришло время настроить всё это дело для нормальной работы. И начать нужно с обновлений. В обоих окнах открываем терминалы и пишем:

sudo apt-get update
sudo apt-get dist-upgrade -y
стандартный пароль: changeme

Ждём пока обе системы обновятся, это может занять порядочно времени. А после окончания нужно проверить всё ли у нас в порядке, для этого в терминале вводим: whonixcheck

При этом, после выполнения ни в одном из пунктов не должно быть надписи «Warning». Если есть — повторяем с обновлением, если её нет значит всё хорошо и можем идти дальше.

Самое время поменять пароль от root и от user. Это тоже можно сделать на обоих системах. Пишем в терминале:

sudo passwd root
Вводим дэфолтный пароль рута, а потом два раза новый, тоже самое повторяем и с учёткой user.

Шаг 3. Русский язык в Whonix.​

Кому нужен русский язык, можно обновить локалки:

sudo dpkg-reconfigure locales
в появившемся окне отмечаем пробелом все позиции где есть <RU> , табом переключаемся на ОК, жмём и перезагружаем систему.

Также можно добавить русскую раскладку клавиатуры. Для этого идем Настройки->Клавиатура, там выбираем вкладку «Раскладка». Убираем галку с «Использовать стандартные системные параметры», выбираем комбинацию клавиш для изменения раскладки, жмём «добавить» и выбираем русский язык (ну или какой нужен).

Теперь обновим Tor Browser, для этого вводим в терминале:

update-torbrowser
Если есть желание можем ускорить скорость загрузки виртуалок, Для начала уменьшим таймаут GRUB, для этого нужно отредактировать файл /etc/default/grub :

sudo nano /etc/default/grub

там ищем параметр GRUB_TIMEOUT, по-умолчанию будет стоять 5, меняем на 0. И после этого нужно переконфигурировать GRUB:

sudo grub-mkconfig -o /boot/grub/grub.cfg
Сохраняем Ctrl+S и выходим Ctrl+X.

При запуске Whonix, существует 10 секундная задержка, чтобы её убрать нужно отредактировать файл /etc/rads.d/30_default.conf:

sudo nano /etc/rads.d/30_default.conf
Ищем строчку rads_wait_seconds=10 и меняем значение на поменьше (например 2), также сохраняем и выходим.

В принципе, если ты планируешь использовать именно Whonix, дальнейшая настройка очень ситуативна и зависит от твоих потребностей. И сводится к установке и настройке соответствующего софта, коего в это ОС практически нет, поэтому каждому предоставлена возможность ставить то что ему хочется. Поэтому, в связи с индивидуальностью данного вопроса, останавливаться на нём я не вижу смыслы. И мы переходим ко второй части нашей истории. В которой, для начала, вместо Whonix Workstation мы будем использовать Kali Linux и пустим трафик из неё через Whonix Gateway.

Шаг 4. Whonix + Kali Linux.​

Для начала скачаем образ уже установленной Kali Linux для Virtual Box c официального сайта (если вдруг у тебя она не установлена). И импортируем её в Virtual Box. Теперь запустим и обновим её:

sudo apt-get update
sudo apt-get dist-upgrade -y

После этого можем направить трафик из Kali Linux через Whonix Gateway. Для этого сначала запускаем Gateway, оставляем его открытым и возвращаемся в окно VirtualBox. Здесь выбираем Kali и нажимаем «Настроить». В появившемся окне настроек выбираем пункт «Сеть» и меняем тип подключения на «Внутрення сеть», а имя выбираем «Whonix». Нажимаем «Ok» и запускаем Kali. Сразу после запуска, интернета у нас не будет, потому что требуются дополнительные настройки.

Для начала отключим наш сетевой адаптер:

ip link set eth0 down
Следующим шагом нужно отредактировать /etc/resolv.conf, пишем:

nano /etc/resolv.conf
удаляем тот адрес который там вписан и вместо него прописываем:

nameserver 10.152.152.10

Теперь отредактируем файл /etc/network/interfaces, пишем в терминале:

nano /etc/network/interfaces
и в конец этого файла дописываем:

auto eth0
iface eth0 inet static
address 10.152.152.11
netmask 255.255.192.0
gateway 10.152.152.10
сохраняем и можем запустить наш сетевой адаптер:

ip link set eth0 up
чтобы убедиться что трафик действительно идет через Tor идем на whoer.net:

Как видишь мы получили полностью изолированную операционную систему, весь трафик которой идет через сеть Tor.

Шаг 5. VPN + Whonix + Kali Linux + VPN.​

И на этом вреде бы можно было бы остановиться, но мы пойдём дальше. А именно добавим в нашу конфигурацию еще и VPN и даже не один, а целых два. Начнём с самого простого: включим VPN на хост-машине. Т.е. трафик сначала будет идти через vpn, а потом через Tor на Gateway, это даст бонус в том, что наш провайдер перестанет видеть, что мы используем сеть Tor. В некоторых ситуациях это может быть очень и очень не лишним.

А чтобы ещё больше заанонимится мы настроим vpn ещё и на Kali. Я покажу, как это сделать на примере vpn-провайдера HideMyAss. Хотя принцип настройки похож у всех провайдеров. Да и на сайтах они обычно пишут инструкцию как что настраивать.

Для начала установим необходимые утилиты:

sudo apt-get install openvpn curl dialog fping

Хотя почти всё из перечисленного в Kali Linux уже установлено, но лучше перепроверить. Теперь нам понадобится конфиг для OpenVPN, его можно скачать на сайте vpn-провайдера. Скачав и распаковав скрипт, его нужно запустить:

cd Desktop/hma-linux/
bash hma-vpn.sh -p tcp London

Проверяем на https://whoer.net/:

И убеждаемся, что теперь он не видит, что мы используем Tor, а видит белый IP нашего vpn.

Вывод.​

В качестве выводов можно сказать, что используя возможности предоставленные нам Whonix мы достигли очень высокого уровня анонимности. Такого уровня более чем достаточно в 90% случаев (если не больше). Не менее серьёзный получился уровень безопасности в сети, благодаря изоляции рабочей операционной системы. При этом мы скрыли факт использования сети Tor от провайдера и от посещаемых нами ресурсов. Также благодаря использованию второго vpn мы обезопасили себя от деанонимизации в случае контроля выходной ноды Tor. И при этом всём получили в распоряжение мощный функционал Kali Linux, взамен скудного и требующего допиливания Whonix.

---

Спасибо всем, кто прочёл эту статью. А тем, кто применил её спасибо ещё больше!
Если я где-то ошибся или Вы знаете какие-то интересные моменты которые я не упомянул - пишите комментарии.

И, если вдруг кто-то хочет отблагодарить меня монеткой, оставляю на всеобщее обозрение место, где ей будут рады:

BTC - bc1qlchn9j7ya3hdfz29sfqaapjch7c3c5ws4c2ase

 

[Дядюшка Ау-у]

А Kali разве можно сделать под анонимность?

 

[Blxck.]

А Kali разве можно сделать под анонимность?

Доброе утро. Вообще, Kali - ОС для пентестинга, то есть для тестирование на проникновение и безопасность, иначе анализ системы на наличие уязвимостей. Но её вполне возможно настроить под анонимность. Я писал мануал для новичков в этой сфере. Не заставлять же людей сразу ставить Whonix GT+ Qubes и шифровать все файлы VeraCrypt'ом.

Не буду расписывать всё, но объясню тезисами:

1. Записываем Kali на зашифрованную файловую систему с помощью LVM.
2. Отключить swap.
3. Сделать, чтобы при каждом подключении к сети MAC-адрес менялся на рандомный, чтобы это сделать нужно содержимое /etc/NetworkManager/NetworkManager.conf поменять на:

[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random

4. Настроить ssh.
5. Сделать пароль самоуничтожения зашифрованного диска.
6. Удаляем ненужный софт, включаем получение обновлений по https.


Ну и дальше уже стандартные процедуры.

 

[Дядюшка Ау-у]

Доброе утро. Вообще, Kali - ОС для пентестинга, то есть для тестирование на проникновение и безопасность, иначе анализ системы на наличие уязвимостей. Но её вполне возможно настроить под анонимность. Я писал мануал для новичков в этой сфере. Не заставлять же людей сразу ставить Whonix GT+ Qubes и шифровать все файлы VeraCrypt'ом.

Не буду расписывать всё, но объясню тезисами:

1. Записываем Kali на зашифрованную файловую систему с помощью LVM.
2. Отключить swap.
3. Сделать, чтобы при каждом подключении к сети MAC-адрес менялся на рандомный, чтобы это сделать нужно содержимое /etc/NetworkManager/NetworkManager.conf поменять на:

[main]
plugins=ifupdown,keyfile

[ifupdown]
managed=false

[connection]
wifi.cloned-mac-address=random

[connection]
ethernet.cloned-mac-address=random

4. Настроить ssh.
5. Сделать пароль самоуничтожения зашифрованного диска.
6. Удаляем ненужный софт, включаем получение обновлений по https.


Ну и дальше уже стандартные процедуры.

а, даже так, не знал, спасибо большое за ваши труды!

 

[Deimos]

Любой дистрибутив можно настроить под анонимность. Только в Tails всё с корокби работает, в чем преимущество Whonix-а я так и не понял...

 

[xnoslkd]

как настроить связку vpn-whonix(tor)-vpn на машине с kali ос + kvm + whonix?
сам впн на хосте с кали настроил(wifi), потом запускаю kvm и whonix gateway , но шлюз не хочет работать через впн kali хоста (если отключить впн то всё норм и подключается к тор).
никто не объясняет этот момент подробно, гуглил везде уже, просто пишут мол включите впн на основной машине и запускайте gateway - а он не пускает vpn хоста

 

[Shiva]

как настроить связку vpn-whonix(tor)-vpn на машине с kali ос + kvm + whonix?
сам впн на хосте с кали настроил(wifi), потом запускаю kvm и whonix gateway , но шлюз не хочет работать через впн kali хоста (если отключить впн то всё норм и подключается к тор).
никто не объясняет этот момент подробно, гуглил везде уже, просто пишут мол включите впн на основной машине и запускайте gateway - а он не пускает vpn хоста

Может ваш впн не пускает в тор. Нужны тесты что бы выяснить

 

[BigBro17]

Этот гайд я видел на ютубе)

 

[Deimos]

Может ваш впн не пускает в тор. Нужны тесты что бы выяснить

Может и такое быть, мне помогла перенастройка/смена впн

 

[Deimos]

Этот гайд я видел на ютубе)

На Ютубе много всего интересного есть на самом деле)

 

[xnoslkd]

короче разобрался, там что то с мостом торовским было не в порядке или с впн сервером. сейчас заработало. тормозит просто безбожно (даже несмотря что впн в 1000 км или меньше)...и это просто связка vpn-tor ) теперь нужно второй впн попытаться прикрутить в воркстейшне и настроить как то ufw или iptables

 

[Shiva]

теперь нужно второй впн

Практичнее ssh