Configuration d’un relais Tor (Guard/Middle Node)

Configuration d’un relais Tor (Guard/Middle Node)

Les relais sont des serveurs ayant été configurés pour faire partie du réseau de Tor. Ils sont aussi appelés « routeurs » ou « nœuds ». Pour abréger, Ils acheminent (émission-réception) du trafic sur le réseau tor. Le principal intérêt de faire tourner un relai Tor c’est bien évidemment de rendre le réseau Tor dans son ensemble plus rapide, plus robuste contre les attaques, plus stable en cas de pannes.

I. Pourquoi configurer un relais Tor ?

Tor est l’un des outils d’anonymat les plus populaires et l’un des réseaux les plus développés. Rien ne serait possible sans l’appui des milliers de bénévoles qui partagent un peu de leur bande passante afin de contribuer tous ensemble au bon fonctionnement de ce réseau.

C’est pour ça qu’à travers cet article j’espère à la fois toucher des particuliers, mais avant tout des entreprises, organisations et associations sensibles à la liberté d’accéder et de s’exprimer sur internet sans restriction pour quiconque.

Au vu du contexte international de ces derniers temps, il ne fait aucun doute que de plus en plus de pays restreignent l’accès à tout ou partie d’internet.

II. Les types de relais tor

Pour rappel Il y a trois types de relais que vous pouvez faire tourner afin d’aider le réseau Tor :

  • Entré (Entry Guard)
  • Milieu (Middle)
  • Sortie (Exit)

<schema relais tor>

Pour rappel, cet article, présente uniquement la configuration d’un noeud tor Middle. Attention, n’est pas relais « Guard » qui veut. Vous êtes élu « Guard » uniquement si votre relais est âgé de plus de huit jours, dispose d’une bonne connectivité et respecte d’autres critères que vous pouvez retrouver ici :

Source : https://blog.torproject.org/lifecycle-of-a-new-relay/

Généralement un relais devient Guard entre 8 et 68 jours. Toutefois, vous ne serez pas « Guard » à plein temps, vous alternerez entre Middle et Guard en fonction de l’état du réseau.

III. Est-ce légal ?

Tor est légal en France. À ce jour (fin 2022), il n’y a rien qui vous interdit d’utiliser le réseau en oignon si ce que vous faites avec est autorisé par la loi. Cependant, en raison de l’exposition légale qui accompagne l’exécution d’un relais de sortie (comme l’exit node est en bou de chaine, c’est cette adresse IP qui sera enregistrée dans les logs des différents sites/serveurs.), les personnes/organisations qui mettent place un noeud de sortie peuvent faire face à des plaintes si du trafic malveillant sort à travers celui-ci.

C’est pour cette raison que vous ne devez pas exécuter un relais de sortie Tor depuis votre domicile (Sinon vous risquez très fortement d’entendre « toc, toc, toc Police » à 6H du matin chez vous).

Presque l’intégralité des relais tor de sortie sont affiliés à une institution, comme une université, une bibliothèque, un « hackerspace », une association senssiblent au traitement des données personnelles et à la confidentialité. Une institution peut non seulement fournir une plus grande bande passante pour la sortie, mais est surtout mieux placée pour traiter les plaintes d’abus ou les rares enquêtes d’application de la loi.

Sources :

IV. Installation

Assurez-vous que la liste de vos repositorys est à jour avant d’installer le paquet tor :

apt update
apt install tor

Modifier le fichier de configuration suivant, en insérant à la fin les lignes suivantes :

A. Configuration

Nickname    myTorRelay  
ContactInfo USERNAME@e-mail
ORPort      443 
ExitRelay   0
SocksPort   0

Attention, les informations ci-dessous seront publiques. Je vous conseille (très) vivement de ne pas inscrire des informations qui pourrait se rattacher à vous.

Les 5 directives ci-dessous représentent la configuration minimale pour un relay Guard/Middle Tor. Si-vous souhaitez allouer uniquement une partie de votre bande passante et de votre quota internet à votre relai, ajoutez les 4 directives suivantes. (Je vous le conseille vivement aussi, car un relay tor peut vite générer s’il n’est pas bridé entre 50go et + par jour)

AccountingStart day 0:00 # reset à minuit * les jours du quota 
AccountingMax 5 GBytes # 5go par jours 
RelayBandwidthRate 1000 KBytes # débit moyen 1mo 
RelayBandwidthBurst 2000 KBytes # débit max en cas de pique : 2mo 

Pour plus d’informations :

Configuration finale de mon côté :

B. Assurez-vous que le relay est accessible depuis l’exterieur

Dans mon cas, il faut que je crée une règle de redirection de port dans ma box/routeur afin que mon serveur puisse être accessible depuis l’externe. J’ouvre donc le port 443 (TCP) externe que je redirige vers le port 443 (TCP) de l’IP 192.168.1.19 qui n’est qu’autre que mon serveur. :

C. Redémarrez le service

Redémarrez le daemon tor pour que vos modifications de configuration prennent effet :

systemctl restart tor@default

Afin de vérifier si votre relay est bien configuré correctement, je vous invite à consulter les logs de celui-ci avec l’une des commandes suivantes :

journalctl -e -u tor@default

Une fois que vous avez la confirmation que votre relais est bien atteignable depuis l’extérieur (cf la fin des logs), vous pouvez vous en assurer en vérifiant si le réseau Tor peut accéder à votre serveur est accessible depuis le réseau tor :

Environ 3 heures après le démarrage de votre relais, les informations concernant celui-ci devraient apparaître dans la recherche des relais sur le portail Metrics. Vous pouvez rechercher votre relais à l’aide de son nom, de son IP, ou bien encore de son empreinte numérique.

Données statistique basique
Données statistiques avancés sur pleusieurs jours (2/2)

V. Surveiller votre relay en temps réel

Un petit tool très sympathique a été développé par la communauté open source : Nyx. Celui-ci vous permettra d’avoir des statistiques sur le trafic en temps réel de votre relais Tor. Pour l’installer :

apt install nyx

Vous pouvez surveiller votre processus tor avec l’utilisation de la bande passante, la quantité de trafic, les logs.

Vous pouvez exécuter cette commande aussi en tant que « root ». Mais cela n’est pas recommandé pour des questions de sécurité.

sudo -u debian-tor nyx

J’espère qu’à travers cet article je vous aurai un peu sensibilisé sur le fait que nous ne sommes clairement pas tous égaux en ce qui concerne l’accès non censuré à Internet, surtout dans les pays ou le régime politique en place est autocratique.

Alors non, utiliser le navigateur Tor n’est pas forcément utile pour vous en fonction de votre positionnement géographique, mais pour d’autres la réponse est oui.

Vive l’internet non censuré et accessible par tous !

++

Geoffrey Sauvageot-Berland

Ingénieur diplômé par l’état en Informatique et Cybersécurité. Généraliste, à l'origine administrateur systèmes et réseaux, j’occupe actuellement un poste d’auditeur en sécurité offensive. J’apprécie également la programmation/automatisation. Fondateur du blog : "Le Guide du SecOps", anciennement "Le Guide du SysOps"

Related Posts

Stratégies d’offuscation/contournement de pare-feu et IDS

Stratégies d’offuscation/contournement de pare-feu et IDS

CVE-2022-1388 (CVSS 9.8) : Vulnérabilité critique qui impact le firewall F5 BIG-IP

CVE-2022-1388 (CVSS 9.8) : Vulnérabilité critique qui impact le firewall F5 BIG-IP

Encapsuler tout votre trafic dans le réseau Tor – TorghostNG

Encapsuler tout votre trafic dans le réseau Tor – TorghostNG

Publier un site web sur le réseau Tor (hidden-service)

Publier un site web sur le réseau Tor (hidden-service)

No Comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.