Alternatives34

Ceci est une ancienne révision du document !

Table des matières

Recuperer a liste des IP sortantes de tor
Iptables (firewall)
- Faire fonctionner correctement le module ipt_recent (pour permettre plus de 100 entrees)
- Regles iptables a ajouter
Web lecture/ecriture
SSH

Si l'on part sur l'administration d'un serveur.

C'est aux utilisateur-trice-s de garantir leur propre anonymat (le plus possible a l'extrêmité du canal). Nous ne sommes pas des auxiliaires de police, mais la loi nous impose de stocker les IP de connexion. Dans ce contexte, on pourrait configurer le firewall de sorte a ne laisser passer que les ip provenant d'un noeud tor, c'est a dire que l'anonymat reste dans les mains de l'utilisateur-ice, mais que nous ne la mettons pas en danger si ca n'est pas fait.

Ca parait assez restrictif, surtout en pensant au fait qu'une connexion effectuée à travers TOR ralenti considérablement le débit. Ce n'est peut-être pas si gênant que ça pour la consultation sur un webmail, mais dans le cas d'un téléchargement de pièce jointe ça peut devenir vraiment handicapant…

Recuperer a liste des IP sortantes de tor

Quelques liens pour lister les ip des noeuds sortants de tor

http://project.torstatus.kgprog.com/trac/
http://torstatus.kgprog.com/ip_list_exit.php/Tor_ip_list_EXIT.csv
http://exitlist.torproject.org/exitAddresses
https://www.torproject.org/tordnsel/
http://check.torproject.org/cgi-bin/TorBulkExitList.py ?
script Python pour extraire le répertoire Tor https://git.torproject.org/checkout/tor/master/contrib/exitlist

Attention, il semble que certains serveurs n'utilisent pas la meme ip en entree qu'en sortie, donc certaines listes ne sont pas valables. Laquelle choisir? Experimentalement (essai rapide pour voir), Tor_ip_list_EXIT.csv marche bien.

wget https://torstatus.kgprog.com/ip_list_exit.php/Tor_ip_list_EXIT.csv --certificate=XXXX

ou XXX est le nom du fichier qui contient le certificat.

Iptables (firewall)

Faire fonctionner correctement le module ipt_recent (pour permettre plus de 100 entrees)

Dans un fichier quelconque du repertoire /etc/modprobe.d/ ecrire la ligne

options ipt_recent ip_list_tot=10000

Regles iptables a ajouter

Pour bloquer les adresses non-tor sur le port 443 (https) :

iptables -A INPUT -p tcp --dport 443 -m recent ! --rcheck --name tor -j DROP

La meme avec tous les ports dont on aura probablement besoin (au moins https,imaps,pop3s) :

iptables -A INPUT -p tcp -m multiport --dports 443,993,995 -m recent ! --rcheck --name tor -j DROP

Web lecture/ecriture

On pourrait mettre un wiki sur le port 443 (https) qui serait modifiable et accessible que par les personnes utilisant tor (donc pas de pb de stockage d'ip) et une copie statique de ce wiki sur le port 80 (http) qui serait accessible par tout le monde. Verifier qu'il n'est pas necessaire de loguer la seule lecture d'une pag web.

SSH

De meme, on pourrait filtrer le port 22 (ssh), mais laisser aussi ecouter ssh sur un port non standard qui ne serait pas filtre en cas de probleme avec la liste des noeuds de sortie tor.