Tor : Installer un relai ou noeud

Dans un précédent article, nous avons vu comment installer Tor sur un PC en Windows.
Cela consiste à installer le navigateur TOR afin de pouvoir se connecter au réseau Tor.
Ainsi on peut surfer de manière anonyme en changeant notamment d’adresse IP.
En effet tor est un réseau de nœud en couche par oignon qui permet de changer de chemin et ainsi brouiller le pistage.

Cet article explique comme fonctionne le réseau tor de manière générale.
Cela permet de bien comprendre comment il fonctionne.
A partir de là, on peut mettre en place un noeud Tor.
Ici nous allons donc installer un serveur Tor qui va servir aux navigateurs TOR pour se connecter et passer par son réseau.
Il s’agit surtout de théorie afin de bien comprendre tous les tenants et aboutissant.
Enfin vous trouvez quelques configurations pour Linux.

Ainsi il faut donc avoir quelques connaissances systèmes.
Si vous ne pouvez pas mais souhaitez aider la communauté Tor alors lire la fin de cet article.

Introduction

Beaucoup de spécifications sont à connaître si vous souhaitez mettre en place un noeud Tor.
En effet, la configuration de la machine et réseaux est importante.
De plus plusieurs phases se succèdent après la mise en place de votre noeud tor.

Dans un premier temps, il faut savoir qu’un relai peut avoir plusieurs rôles.
Voici les différents rôles qui existent.
Le but est de rendre le réseau sécurisé et ainsi éviter de pouvoir écouter les utilisateurs.

Le réseau Tor

Avant de se lancer, il faut savoir qu’il existe différents rôles pour des noeuds.
Cela dépend de votre équipement mais aussi des aspects juridiques.

Lisez bien car il y a certains implications juridiques à connaître.

En général dans un circuit Tor, on utilise 3 sauts.

  • On entre par un garde
  • puis on passe à un noeud de relai
  • enfin on sort par le noeud de sortie. Ce dernier se connecte ensuite au service internet souhaité.

Chacun de ces noeuds ont des comportements différents et nécessitent plus au moins de bande de passante.
Le choix du gardien et noeud de sortie est important.
En effet si un attaquant contrôle les deux, il peut alors voir le trafic de la victime.

Schéma de fonctionnement du réseau tor

Les gardes

Un garde est le premier relais de la chaîne de 3 relais constituant un circuit Tor.
Un relais du milieu n’est ni une garde ni une sortie, mais sert de deuxième saut entre les deux. Pour devenir gardien, un relais doit être stable et rapide (au moins 2 Mo/s), sinon il restera un relais du milieu.

Les gardes et les relais intermédiaires ne reçoivent généralement pas de plaintes pour abus. Tous les relais seront listés dans la liste publique des relais Tor.
Ils peuvent donc être bloqués par certains services qui ne comprennent pas le fonctionnement de Tor ou qui veulent délibérément censurer les utilisateurs de Tor.
Si vous exécutez un relais depuis votre domicile et que vous avez une adresse IP statique alors vous pouvez envisager de créer un pont.
Si vous avez une adresse IP dynamique ou plusieurs adresses IP statiques, ce n’est pas un problème.

Un relais Tor sans issue nécessite un minimum de maintenance et l’utilisation de la bande passante.

Pont

Les ponts sont utiles pour les utilisateurs de Tor soumis à des régimes oppressifs ou pour ceux qui souhaitent une couche de sécurité supplémentaire.
Plusieurs pays, dont la Chine et l’Iran, ont trouvé des moyens de détecter et de bloquer les connexions aux ponts de Tor.

Les ponts sont relativement faciles à exploiter, les nœuds Tor à faible bande passante et à faible risque de bande passante, mais ils ont un impact important sur les utilisateurs. Un pont n’est pas susceptible de recevoir des plaintes pour abus.
Comme les ponts ne sont pas répertoriés dans le consensus public, il est peu probable qu’ils soient bloqués par des services populaires.
Les ponts sont une excellente option

  • Si vous ne pouvez utiliser qu’un nœud Tor à partir de votre réseau domestique,
  • Si vous avez une seule adresse IP statique et si vous ne disposez pas d’une bande passante trop importante.

Nous vous recommandons de lui attribuer au moins 1 Mbit/s.

Relais de sortie

Le relais de sortie est le dernier relais d’un circuit Tor, celui qui envoie le trafic à destination.
Les services auxquels les clients Tor se connectent (site Web, service de chat, fournisseur de messagerie, etc.) verront l’adresse IP du relais de sortie au lieu de leur adresse IP réelle de l’utilisateur Tor.

Les relais de sortie ont la plus grande exposition légale et la plus grande responsabilité de tous les relais. Par exemple, si un utilisateur télécharge du matériel protégé par le droit d’auteur tout en utilisant votre relais de sortie, vous pouvez recevoir une notification DMCA.

Cela peut aller plus loin en cas d’utilisation frauduleuse.
Vous pouvez être amené à être convoqué par les autorités.
C’est pour cela qu’il faut bien spécifié vos informations de contact.
Réfléchissez donc avant de créer un relai de sortie ou passez par des associations.

En résumé

En résumé selon votre bande passante et configuration, votre noeud peut avoir un rôle différent.
Les noeud peut stable auront un rôle de noeud du milieu.
Les plus stables et sûrs seront en Guard.
Enfin ces derniers peuvent être mis en noeud de sorties si la configuration faites par l’administrateur le permet.

Enfin pensez que ce dernier est le plus exposé en terme juridique.

Installer Tor sur Linux

Déjà il faut une machine connecté directement sur internet.
Je n’ai pas testé avec du NAT et forward de ports.

Dans cet article nous utilisons une Debian.
Un package existe et donc il suffit d’utiliser apt :

apt-get install tor
Installer Tor sur une debian avec apt-get

Au niveau des fichiers, nous avons :

  • Le fichier de configuration : /etc/tor/torrc
  • Les journaux : /var/log/tor/log

Le fichier torrc

Le fichier configuration propose beaucoup d’options.

Configurer le fichier torrc de Tor

Il faut activer l’option ORPort.
Par défaut il propose 9001 qui est le port par défaut de TOR.
On peut faire tourner TOR sur le port 443 par exemple qui est général moins filtré.
Ensuite vous indiquer un nom et adresse de contact à votre noeud TOR.

Configurer le fichier torrc de Tor

Enfin on configure les règles de sorties, si besoin.
Si vous ne touchez à rien votre nœud ne sera jamais pris comme nœud de sorties.
En effet par défaut, aucune configuration de sortie n’est active.
Si vous activez des ports de sorties alors il pourra devenir un noeud de sortie.
Pensez que ce sont les machines les plus exposés.

Configurer le fichier torrc de Tor

Enfin on relance tor comme tout daemon classique :

/etc/init.d/tor restart

Le port de contrôle

Ce dernier permet de contrôler votre noeud Tor à l’aide d’un mot de passe.
Ainsi vous pouvez par exemple forcer le changement de circuit.

tor --hash-password 'mot de passe que vous voulez mettre'

Cela retourne quelque chose comme :

16:F8E47990DF24239060840701046F12218E4E12AA7C4DF475A0067E2903

On place ce dernier dans le fichier de /etc/tor/torrc avec le paramètre HashedControlPassword

ControlPort 9051
HashedControlPassword 16:F8E47990DF24239060840701046F12218E4E12AA7C4DF475A0067E2903

puis on relance tor :

/etc/init.d/tor reload

Enfin pour demander un nouveau circuit et donc noeud de sortie :

(echo authenticate '"le mot de passe"'; echo signal newnym; echo quit) | nc localhost 9051
Demander nouvelle IP Tor via le port de contrôle

Ici on s’appuie sur netcat, donc il faut installer le package.
Ainsi sur une Debian avec apt :

apt-get install netcat

Enfin notez que l’on peut aussi demander un nouveau circuit avec la commande kill.
On demande alors à relire la configuration :

kill -HUP tor

ou encore :

/etc/init.d/tor reload

Activer le socks

Enfin Tor peut aussi ouvrir un socks.
Cela permet d’utiliser la machine à travers ce dernier.
La commande torsocks permet aussi de l’utiliser en ligne de commandes.

TorSocks pour se connecter à tor via le socks

Les différentes phases d’un noeud

Lorsque vous installez Tor, plusieurs phases s’opèrent avec une monté en puissance.
Il faut attendre 68 jours pour que votre noeud atteigne la pleine puissance.

Ainsi au départ, vous n’aurez que très peu de connexion.
En effet dans la première phase qui dure 3 jours, il s’agit surtout de tester la bande passante du relai.

Ci-dessous le journal Tor lors d’un premier démarrage.
Ce dernier indique qu’une phase de test de la bande passante s’effectue.

Logs d'un noeud tor au premier démarrage.

La semaine d’après, les tests continuent.
On compare votre relai à d’autres afin de lui donner un poids selon la vitesse, stabilité, etc.
Cela détermine aussi son possible rôle. Par exemple, s’il est assez stable, il pourra devenir un gardien.

Pendant ces deux dernières phases, le comportement du relai face aux autres lui attribue un poids.
Plus ce poids est élevé, plus le relai sera utilisé.

Puis la phase du 8e jour à 68 jours, l’annuaire attribut les drapeaux au relai.
Si ce dernier est en capacité de devenir un gardien alors on lui attribue le drapeau.
Au bout de quelques jours, on arrive à 5000 connexions.

Tor et connexions établies

Voila le statut du relai Tor au bout de 13 jours.
On voit qu’il gagne des drapeaux : Fast, HSDir, Guard, VSDir, etc.

Le statut d'un relai Tor

Enfin un exemple de journal Tor qui va avec :

Jun 29 06:15:01.000 [notice] Tor 0.2.9.16 (git-9ef571339967c1e5) opening new log file.
Jun 29 09:08:42.000 [notice] Heartbeat: Tor's uptime is 11 days 17:59  hours, with 7622 circuits open. I've sent 3443.82 GB and received  3432.60 GB.
Jun 29 09:08:42.000 [notice] Circuit handshake stats since last time: 9520/9520 TAP, 216358/216358 NTor.
Jun 29 09:08:42.000 [notice] Since startup, we have initiated 0 v1  connections, 0 v2 connections, 2 v3 connections, and 264007 v4  connections; and received 26 v1 connections, 1993 v2 connections, 1164  v3 connections, and 435347 v4 connections.
Jun 29 09:08:42.000 [notice] DoS mitigation since startup: 21241  circuits rejected, 7 marked addresses. 0 connections closed. 1151 single  hop clients refused. 

Le nombre de connexions reste stable à environ 5000.

Tor et connexions établies

Ici le noeud commence par être un noeud du milieu puis passe en gardien quand il gagne le Flag.
Cela vient du fait que le noeud Tor est assez stable avec une bonne connexion.

Les différences phases d'un noeud tor : Guard, noeud du mileu, exit

Par la suite, votre noeud doit se faire connaitre dans tout le réseau.
En effet, les clients ne gardent les adresses des relais et guard pendant 4 à 8 semaines.
D’où les 68 jours.

L’annuaire Tor

Tor propose un site de monitoring : Tors Metrics.
Ce dernier permet d’obtenir des informations générales sur le réseau Tor.
Ainsi on trouve des informations sur la bande passante générale.
Mais aussi le nombre d’utilisateurs, de noeuds, etc.

Et puis Tor possède un annuaire qui stocke aussi les informations sur les noeuds et relais.
On peut consulter ce dernier depuis le menu Relay Search.

Par exemple ci-dessous, on ressort tous les relais français.
Les noms, adresses IP et les ports s’affichent.
De plus les drapeaux sur ces derniers sont aussi donnés.

L'annuaire tor et la liste des noeuds et relais

Les drapeaux

Voici les drapeaux les plus courants :

  • Exit : il s’agit d’un noeud de sortie
  • Fast : Le relai a une passande assez importante pour être utilisé dans des circuits rapides.
  • Guard : le noeud peut agir comme Gardien. Pour l’être le noeud doit être considéré comme stable.
  • Fast : la bande passante est assez rapide pour être un noeud
  • Running : il est en cours de fonctionnement. L’icône verte indique aussi.
  • HSDir et V2Dir : Un noeud prend en charge le protocole de répertoire v2. Ainsi il stocke l’annuaire Tor. Cela fonctionne que s’il dispose d’un port de répertoire ouvert et exécute une version du protocole de répertoire prenant en charge les fonctionnalités dont les clients ont besoin.
  • Valid : Le relai est validé.

Les drapeaux additionnels :

  • IPV6 : le noeud accepte l’IPV6.
  • IPV6 exit : noeud de sortir pour l’IPV6

Ainsi ci-dessous, un exemple d’un nœud malekal.
Ce dernier possède plusieurs Flags.
Des informations sur la bande passante et de contact s’affichent aussi.
Comme le montre l’alerte, le nœud est encore en phase de validation.

Visualiser les informations d'un relai Tor

Enfin plus bas le poids du relai est aussi indiqué.
On trouve aussi des informations de dates.

Visualiser les informations d'un relai Tor

Les graphiques

Enfin plus bas dans la page on trouve des graphiques.
Par exemple ici les probabilités des rôles ainsi que le poids.

Les rôles du relai TOR

Ou encore sur les débits du relai.

Relai TOR et débits

Aider Tor

Comme vous pouvez le voir, installer un relai Tor demande des connaissances.
Même si l’on peut faire tourner un nœud chez soi, il faut en général un serveur ce qui demande aussi des moyens.

Vous utilisez Tor et souhaitez aider ?
Cela reste possible.

Vous pouvez par exemple faire une donation à des associations comme nos-oignons.
Ces derniers ont plusieurs nœuds de sortie en France avec des frais de fonctionnement importants.

Participez à l'association nos oignons
image_pdfimage_print
(Visité 380 fois, 1 visites ce jour)