Separando Apache y MySQL sobre Tor para seguridad, rendimiento y confiabilidad

Question

Separando Apache y MySQL sobre Tor para seguridad, rendimiento y confiabilidad

#1 de pacifist (2 votos)

1

Estoy tratando de configurar un servicio web oculto a través de la red Tor, y estaba pensando en hacer una configuración donde mi servidor Apache y mi servidor de base de datos estén ubicados en redes diferentes.

Sé que esto introducirá una gran cantidad de latencia, especialmente porque ningún servidor sabrá dónde está el otro (Tor se ejecutará en ambos), de modo que en caso de que uno de ellos esté comprometido, el otro no.

¿Me gustaría saber si sería razonable ejecutar un servicio oculto configurado como servidor Apache que se conecta a un servicio oculto independiente que actúa como una base de datos, y el usuario final se conecta al servidor Apache?

Además, ¿la latencia sería lo suficientemente baja como para que esto sea factible, o sería imposible de usar y se agotaría el tiempo de espera todo el tiempo, debido a la latencia de la red? ¿Cuál sería una configuración de servidor ideal, en términos de recursos? ¿Necesitaría el servidor apache más RAM / CPU, y el servidor DB más E / S y cosas así?

network apache tor mysql

pregunta user36603 03.01.2014 - 01:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas network apache tor mysql

¿Cómo obtienen su información los servicios de ubicación del teléfono? ¿Por qué no se implementan esquemas de detección de intrusos basados en anomalías en Snort?

score 2 · Answer 1

... No creo que esto funcione.

La latencia y la confiabilidad paralizarán su sitio.
Es poco probable que el rendimiento y la confiabilidad estén cerca de ser aceptables debido a la naturaleza de los TOR y cualquier solicitud que involucre a la base de datos que ahora incluya al menos el doble de los saltos para atender una solicitud del cliente, con un nivel elevado de pérdida.

La seguridad también será peor, creo; querrá ejecutar TOR en ambos servidores para asegurarse de que otras personas no estén controlando sus nodos de entrada / salida. Los requisitos para esto serán dóciles en ram / cpu pero los requisitos de ancho de banda aumentarán, especialmente si está tratando de ocultarse de alguien que controla las redes, tendría que ser una puerta de enlace para una gran cantidad de otro tráfico si está tratando de ocultarse. .

No creo que entienda el beneficio de seguridad de tratar de ocultar los servidores entre sí de esta manera. Si comprometen uno, sabrán cómo comunicarse con el otro para los servicios en cuestión. Lo único que se esconde es que el atacante que compromete una máquina tendrá más dificultades para encontrar otros servicios (no clave) expuestos para la otra. maquina, tal vez Sin embargo, además, tiene que exponer los servicios en cierta medida a través de los TOR (que se espera que estén asegurados en cierta medida) que normalmente no tendría que exponer externamente.