Différences

Ci-dessous, les différences entre deux révisions de la page.

--- sl:garantir_l_anonymat_des_connexions [2009/08/26 04:16]
tmp3
+++ — (Version actuelle)
@@ Ligne 1: / Ligne 1: @@
-Si l'on part sur l'administration d'un serveur.
-C'est aux utilisateur-trice-s de garantir leur propre anonymat (le plus possible a l'extrêmité du canal). Nous ne sommes pas des auxiliaires de police, mais la loi nous impose de stocker les IP de connexion. Dans ce contexte, on pourrait configurer le firewall de sorte a ne laisser passer que les ip provenant d'un noeud tor, c'est a dire que l'anonymat reste dans les mains de l'utilisateur-ice, mais que nous ne la mettons pas en danger si ca n'est pas fait.
-Ca parait assez restrictif, surtout en pensant au fait qu'une connexion effectuée à travers TOR ralenti considérablement le débit. Ce n'est peut-être pas si gênant que ça pour la consultation sur un webmail, mais dans le cas d'un téléchargement de pièce jointe ça peut devenir vraiment handicapant...
-===== Recuperer a liste des IP sortantes de tor =====
-Quelques liens pour lister les ip des noeuds sortants de tor
-  * http://project.torstatus.kgprog.com/trac/
-  * http://torstatus.kgprog.com/ip_list_exit.php/Tor_ip_list_EXIT.csv
-  * http://exitlist.torproject.org/exitAddresses
-  * https://www.torproject.org/tordnsel/
-  * http://check.torproject.org/cgi-bin/TorBulkExitList.py ?
-  * script Python pour extraire le répertoire Tor https://git.torproject.org/checkout/tor/master/contrib/exitlist
-Attention, il semble que certains noeuds tor n'utilisent pas la meme ip en entree qu'en sortie, donc certaines listes ne sont pas valables. Laquelle choisir? Experimentalement (essai rapide pour voir), Tor_ip_list_EXIT.csv marche bien.
-  wget https://torstatus.kgprog.com/ip_list_exit.php/Tor_ip_list_EXIT.csv --certificate=XXXX
-ou XXX est le nom du fichier qui contient le certificat.
-===== Iptables/netfilter (firewall) =====
-L'idee est d'utiliser le [[http://www.snowman.net/projects/ipt_recent/|module "ipt_recent" d'iptables]].
-==== Faire fonctionner correctement le module ipt_recent (pour permettre plus de 100 entrees) ====
-Dans un fichier quelconque du repertoire /etc/modprobe.d/ ecrire la ligne
-  options ipt_recent ip_list_tot=10000
-==== Regles iptables a ajouter ====
-Pour bloquer les adresses non-tor sur le port 443 (https) :
-  iptables -A INPUT -p tcp --dport 443 -m recent ! --rcheck --name tor -j DROP
-La meme avec tous les ports dont on aura probablement besoin (au moins https,imaps,pop3s) :
-  iptables -A INPUT -p tcp -m multiport --dports 443,993,995 -m recent ! --rcheck --name tor -j DROP
-==== Ajouter et mettre a jour les ip des noeuds tor a la liste ====
-  for i in $(cat Tor_ip_list_EXIT.csv) ; do echo $i > /proc/net/ipt_recent/tor ; done
-Pour ce qui est de la mise a jour de la liste, on peut vider la liste avec
-  echo clear > /proc/net/ipt_recent/tor
-Du coup ca peut valoir le coup d'avoir 2 listes tor1 et tor2 a mettre a jour alternativement de sorte a ce qu'il n'y ait pas de probleme lors de la mise a jour de l'une d'entre elles (liste vide donc aucune connexion possible).
-===== Web lecture/ecriture =====
-On pourrait mettre un wiki sur le port 443 (https) qui serait modifiable et accessible que par les personnes utilisant tor (donc pas de pb de stockage d'ip) et une copie statique de ce wiki sur le port 80 (http) qui serait accessible par tout le monde. Verifier qu'il n'est pas necessaire de loguer la seule lecture d'une pag web.
-===== SSH =====
-De meme, on pourrait filtrer le port 22 (ssh), mais laisser aussi ecouter ssh sur un port non standard qui ne serait pas filtre en cas de probleme avec la liste des noeuds de sortie tor.

Alternatives34

Outils pour utilisateurs

Outils du site

Différences

Outils de la page