Aus dem Alltag eines Sysadmin: Tor

The Onion Router (Tor, [1]) arbeitet als Socks-4-Proxy und wirbelt eingehende Verbindungen durch ein Netz verteilter, voneinander unabhängiger Server. So verwischt sich ähnliche wie bei JAP [2] die Spur der Datenpakete. Vor allem wird die Ex-Freundin nicht anhand der IP-Adresse herausfinden, wer die dummen Kommentare über ihre Zahnspange in ihr Blog geschrieben hat, denn dort kommt nur die IP des letzten Servers in der Onion-Routing-Kette an.

Tor hole ich mir von [3], wo es fertig geschnürte Päckchen für eine Reihe von Linux-Distributionen, BSD-Derivate, Mac OS und Windows gibt, und entscheide mich fürs Selbstkompilieren des aktuellen Tarball - das geht schnell. Auf meinem System muss ich die OpenSSL- und Libevent-Bibliotheken nachinstallieren, danach genügt »./configure && make && make install«. Da ich keine Vorliebe für das Zielverzeichnis angemeldet hatte, platzieren sich die Binaries in »/usr/local/bin« und eine Muster-Konfigurationsdatei in »/usr/local/etc/tor/«.

Es empfiehlt sich, einen eigenen Tor-User anzulegen, statt ihn mit Root-Rechten laufen zu lassen. Tor kennt einen Client- und einen Server-Modus. Der Client-Modus bietet sich an, wenn der eigene Rechner eine private, nicht routbare IP-Adresse hat, etwa 10.x.x.x, und für Internetverbindungen ein NAT-Gateway nutzen muss. Auch Rechner mit Modems sind im Client-Modus gut aufgehoben.

Der Ablauf ist recht einfach: Nach dem Start wartet Tor am Port 9050 auf eingehende Socks-4-Verbindungen. Wenn ich jetzt meinen Browser anweise diesen Port anzusteuern, läuft die Verbindung über das Onion-Routing-Netz. Die Dokumentation weist richtigerweise darauf hin, dass fürs Surfen die Kombination mit Privoxy eine gute Idee ist. Details dazu gibt es unter [4].

Socke mit Knoten

Wer mit einer öffentlich IP-Adresse und ausreichend Bandbreite gesegnet ist, sollte Tor im Server-Modus betreiben. Der Unterschied ist, dass der Rechner so selbst zu einem Knoten im Onion-Routing-Netz werden kann. Je mehr Knoten das Netz hat, umso besser und performanter arbeitet es. Aus Sicht meiner versocksten Anwendungen ändert sich nichts - der Server ist dort nach wie vor als Socks-4-Proxy eingetragen.

Ein paar Kleinigkeiten wollen beim Serverbetrieb trotzdem beachtet sein. So soll die Systemuhr so genau wie möglich gehen, was regelmäßiges Abgleichen mit einem Zeitserver am besten sicherstellt. In der gut dokumentierten Konfigurationsdatei »torrc« muss ich zudem zumindest den Spitznamen (Nickname) der Server eintragen und einstellen, auf welchem Port er Verbindungen entgegennehmen soll. Weitere sinnvolle Einstellungen sind möglich, beispielsweise Bandbreiten-Limits oder Netze, aus denen eingehende Verbindungen unerwünscht sind.

Auch lohnt der Blick in die »exit policy«. Dahinter verbirgt sich Tors Mechanismus, Verbindungen zu bestimmten Zielports zu unterbinden. Das Programm versendet danach per Default keine E-Mail, selbst wenn der Mailclient mit Socks-Proxies umgehen kann. So verhindere ich, dass sich mein Tor als Spamschleuder aufschwingt. Ich wünsche schöne Versteckspiele mit Tor. Doch wehe, ich finde dumme, anonyme Kommentare zu meinem Übergewicht in meinem Blog! (jk)

Der Autor
Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ (demilitarisierte Zone). In seiner Freizeit lernt er Japanisch, um endlich die Bedienungsanleitung seiner Mikrowelle lesen zu können.