NOTA PREVIA: Se asume que el lector cuenta con conocimientos sobre programación (especialmente sobre Java) para comprender esta entrada.
I2P no solamente permite a sus usuarios utilizar aplicaciones ya existentes sobre la capa de aplicación, permite además, que cualquiera pueda escribir aplicaciones utilizando la API de Java disponible para tal fin, se trata de una API que se encuentra en constante desarrollo y evolución, en cada nueva versión surgen nuevas clases e interfaces que resultan bastante llamativas, sin embargo siempre siguen la misma jerarquía de clases principales y la misma estructura que se utiliza para realizar las tareas comunes de conexiones y establecimiento de comunicación entre usuarios.
Mes: diciembre 2011
NOTA PRELIMINAR: Para comprender correctamente esta entrada se asume que el lector tiene conocimientos sobre programación en Python y Java, además se recomienda utilizar plataformas basadas en UNIX con el programa dig instalado. El conocimiento sobre Python es requerido para comprender los scripts que se indican más adelante, así como también es necesario tener conocimientos sobre Java para comprender las rutinas que se utilizan para llevar a cabo el ataque contra el anonimato de aplicaciones y servidores web en I2P.
Ahora que se ha comprendido correctamente el funcionamiento de I2P y el significado de ficheros y directorios almacenados en una instancia, es posible utilizar este conocimiento para intentar descifrar la ubicación real de un servicio EEPSITE determinado.
Actualmente, ninguna de las soluciones que se han desarrollado proveen de un anonimato a prueba de fallos y completamente fiable al 100% esto es algo que se ha demostrado en innumerables ocasiones en soluciones tan utilizadas y difundidas como es el caso de TOR, la cual debido a su funcionamiento y estructura ha sufrido de múltiples ataques por parte de gobiernos y entidades privadas cuya finalidad ha sido censurar y/o “bloquear” a los usuarios que utilizan dicha red. En el caso de I2P ocurre lo mismo, aunque como ya se ha indicado anteriormente, la arquitectura de I2P es diferente de la arquitectura de TOR en el sentido de que I2P no tiene uno o varios puntos de acceso centralizados como TOR, sino que en su lugar se trata de una red completamente descentralizada donde cada usuario es en si mismo, un punto de acceso para otros usuarios que utilizan I2P para realizar conexiones a otros puntos de la red de forma segura. Lo que desde luego, soluciona algunos problemas, pero trae otros.
Anteriormente se ha mencionado el uso de OnionCat y como era posible acceder a Hidden Services TOR utilizando esta herramienta de forma segura y brindando magnificas facilidades a la hora de transmitir cualquier tipo de paquete IP de forma transparente en la capa de transporte soportado por redes como TOR o I2P. Como se ha mencionado anteriormente OnionCat es una red VPN point-to-multipoint entre servicios existentes en las capas superiores (transporte, sesión, aplicación) como cualquier VPN se encarga de facilitar las cosas a la capa de transporte, es decir, que esta normalmente se encuentra instanciada desde la capa de enlace y facilita la comunicación entre enlace y transporte, para que posteriormente los paquetes IP viajen a las demás capas de forma correcta. Para mayor información sobre el funcionamiento de OnionCat ver la entrada anterior de este Blog que habla sobre este tema en: http://thehackerway.com/2011/11/14/preservando-el-anonimato-y-extendiendo-su-uso-%E2%80%93-utilizando-onioncat-para-simplificar-el-acceso-a-hidden-services-%E2%80%93-parte-xvi/
Hasta este punto se ha hablado de una forma extensa sobre la arquitectura del I2P y la capa de aplicación resaltando los principales clientes y plugins que pueden ser instalados en una instancia I2P, se ha hablado sobre los detalles funcionales de I2P y como los mensajes son transferidos entre emisores y receptores, no obstante no se ha profundizado sobre los protocolos y las distintas capas que soportan todo esto para que la comunicación anónima entre dos entidades sea posible, la pila de protocolos que se soportan en I2P están agrupados por capas complejas que extienden de forma significativa el modelo de referencia estándar OSI para comunicaciones en entornos de red. En realidad esta es una de las razones por las cuales I2P es también considerado un proyecto con un alto nivel académico y técnico que para muchos resulta interesante y sumamente practico. Para explicar a grandes rasgos la arquitectura de red de I2P y con el objetivo de que sea fácil de comprender para el lector (y a la vez con un buen nivel de contenido técnico), se comenzará por indicar cada uno de los elementos de la pila de protocolos de I2P desde su capa más alta (aplicación) hasta las capas más bajas (transporte).
En I2P existen módulos adicionales que se pueden instalar en una instancia I2P en ejecución, los cuales permiten extender las funcionalidades que vienen incluidas en el sistema. Uno de los principales enfoques de estos Plugins son la seguridad de los mismos, dado que podría perfectamente ser un vector de ataque valido contra usuarios que los utilicen, por esta razón el equipo de desarrollo de este proyecto, antes de hacer publico cualquier plugin, primero realiza una comprobación sobre el código y obliga a que cualquier desarrollador firme digitalmente sus desarrollos antes de subirlos al repositorio de plugins de I2P.
EEPSITES EN I2P
Una de las características que más llaman la atención en I2P es la capacidad de publicar diferentes tipos de servicios de forma anónima en la red de I2P, de tal forma que estos puedan ser consultados por cualquier cliente que se encuentre navegando en la red de I2P. Estos servicios publicados son equivalentes a los Hidden Services que se exponen en TOR, sin embargo, los Servicios que se pueden exponer en I2P son mucho más rápidos y de fácil acceso en comparación con los Hidden Services en TOR sin sacrificar características tan importantes como la seguridad y desde luego el anonimato. Como se ha explicado anteriormente, cada instancia de I2P viene con un sitio web configurado por defecto (cada sitio web es llamado en el mundo de I2P como un eepsite), este eepsite se ejecuta en un servidor web Jetty que permitirá ejecutar aplicaciones web basadas en Java, soportando tecnologías tales como Servlets y JSP, la ubicación por defecto de dicho eepsite esta determinada por el mecanismo de instalación de I2P, si se ha instalado en modo “PORTABLE” la ruta de dicho eepsite se encuentra el directorio especificado como portable, en el caso contrario la ubicación será ~/.i2p/eepsite.
Utilizando I2PTunnel
En la entrada anterior ya se han mencionado las características que soporta esta herramienta y lo importante que es para I2P. Para utilizarla, es necesario iniciar la instancia de I2P con el comando
|
./i2prouter start |
Y desde el navegador web dirigirse a http://127.0.0.1:7657/i2ptunnel/ o desde la interfaz de administración principal ubicada en http://127.0.0.1:7657/ ir a la opción “I2P Internals → I2PTunnel”. En la interfaz de I2PTunnel, aparecerán 3 secciones distintas, la primera enseña los mensajes de estatus, la segunda Túneles I2P de Servidor y la tercera Túneles de cliente, cada sección contiene botones que permiten administrar el estado de los servicios (iniciar, detener, reiniciar). En la instalación por defecto esta interfaz contiene las siguientes opciones:
Una vez que se ha instalado correctamente I2P, la herramienta principal para administrar todas las conexiones, túneles, aplicaciones, proxies, servicios, etc. Es la interfaz administrativa conocida como “I2P Router Console” esta consola de administración es una interfaz web que puede ser accedida desde cualquier navegador web, normalmente se inicia en el puerto “7657” y desde allí se cuenta con un menú bastante completo con todas las opciones disponibles en I2P, las cuales son:
