Tor
Note : ce qui suit est tiré du site officiel de tor, et de ce site : http://blog.pastoutafait.org/billets/installer-serveur-tor-ubuntu
Tor, mais qu'est-ce ?
Tor utilise le routage en oignon, qui fait rebondir le trafic entre de multiples nœuds réseaux.
Lors de l'initialisation d'un échange de données par un client A, un circuit parmi les nœuds connus est construit par ce client pour atteindre le destinataire B. Le premier nœud de ce circuit sait que le client A utilise Tor, mais ignore la destination. Le dernier nœud du circuit sait que quelqu'un envoie des données à B, mais il ignore l'origine de ces données. Chacun des nœuds du circuit a uniquement connaissance du nœud qui le précède et le suit, rendant ainsi l'identification du parcours des requêtes et donc l'origine de celle-ci difficilement détectable.
Chaque nœud du réseau dispose d'une clé publique, et ces clés sont utilisées pour chiffrer les données à transmettre une fois la phase de construction du circuit de nœuds achevée. Les données sont ainsi encapsulées sous plusieurs couches de cryptages, d'où le nom de routage en oignon. Chaque nœud déchiffrera une couche lors du transit des données, ces nœuds de transits sont donc incapables de lire les données, mais uniquement d'enlever une couche de cryptage.
Les circuits de nœuds changent régulièrement, en moyenne un circuit fonctionnel n'est pas utilisé plus de 10 minutes, interdisant ainsi la possibilité d'anticiper le trafic. Tor est donc une excellente solution pour préserver l'anonymat, et résiste de plus assez bien à l'analyse du trafic si celle-ci ne peut travailler sur les deux bouts du circuits.
Ce principe de nœud, et en particulier de nœud de sortie permet de contourner les politiques de filtrage du réseau employées par les FAI ou les gouvernements. Si le nœud de sortie n'est pas filtré, le client à l'origine de la requête aura accès aux données visées, même s'il est situé dans un lieu normalement filtré.
Configurer un serveur tor
Afin d'accélérer l'utilisation de tor, vous pouvez vous même devenir un relais. De plus, cela peut améliorer votre confidentialité.
Tout est expliqué comme il faut ici :
Installation de tor :
# aptitude install tor
Je vais par la suite vous expliquer les quelques différences pour debian.
La configuration de Polipo
Comme expliqué sur le site de tor, il est utile de configurer polipo. Il est fourni un fichier de configuration ici :
Vous n'avez plus qu'à copier ce fichier dans /etc/pollipo/config
wget -O- https://svn.torproject.org/svn/torbrowser/trunk/build-scripts/config/polipo.conf > /etc/polipo/config
Utiliser tor
Rien de bien compliqué. Si vous utilisez iceweasel, il suffit d'installer l'extension torbutton. Sinon, pour tout autre application, installez le paquet torsocks
Ensuite, il vous suffira de lancer l'application en question avec la commande :
- usewithtor votre_navigateur
Configuration du serveur relai
Tout plein de choses intéressantes sont ici :
On ne peux pas parler de tor sans expliquer les gros problèmes qu'il crée :
- votre IP risque d'apparaitre dans les logs d'un serveur affecté (c'est pas drôle de savoir que son PC à contribué à une attaque d'un serveur gouvernemental
- le serveur d'entrée/sortie voit en clair vos données (sauf à utiliser https)
Cependant, nous allons ici configurer tor pour qu'il ne soit qu'un relai, ainsi, vous ne risquez pas ce qui est cité ci-dessus.
Vous devez avoir au moins ceci dans votre fichier /etc/tor/torrc :
SocksPort 9050
SocksListenAddress 127.0.0.1
DataDirectory /var/lib/tor
Nickname peudo-de_votre_serveur
Address votre_adresse_ip_fixe
ContactInfo votre_nom votre_@adresse.mail
ORPort 9001
BandwidthRate 20 KB (Bande passante allouée au minimum)
ExitPolicy reject *:* (Pour ne pas être nœud de sortie)
Remplacez les sections comme approprié. Pour Nickname, vous pouvez mettre ce que vous voulez :) .
Dans la section Address, soit vous mettez votre adresse ip fixe, sinon, le nom de domaine que vous utilisez, par exemple :
Address monserveurtor.dyndns.net
Pour vérifier que tout marche, après avoir redémarré tor :
- /etc/init.d/tor restart
Vous devez voir dans les fichiers log de tor :
Self-testing indicates your ORPort is reachable from the outside. Excellent. Cela signifie que cela fonctionne.
Note à propos de dyndns
L'inscription à dyndns est gratuite : http://www.dyndns.com/
Par la suite, vous pouvez créer un nom de domaine du nom souhaité, et le spécifier dans la section Adress vu plus haut.
Si votre ip est dynamique, vous pouvez vous assurer que cela sera pris en compte sur dyndns en installant le paquet ddclient . Vous verrez, lors de son installation, tout vous sera expliqué (login de dyndns, mot de passe, et le reste est à accepter).
Note à propos du parefeu et routeur
Selon la configuration plus haut, il faudra que les ports 9050 et 9001 soient ouverts. Pensez à faire une redirection dans votre routeur si nécéssaire.