Tor hidden service

A Tor hálózat egy önkéntesek által üzemeltetett szerver csoport, mely lehetővé teszi az embereknek, hogy javítsanak a magánszférájukon és a biztonságukon az interneten. A Tor felhasználók közvetlen kapcsolat helyett egy sor virtuális átjárón keresztül kapcsolódnak, titkosított csatornán.

A Tor hidden service lehetővé teszi, hogy a felhasználók weboldalt üzemeltessenek vagy más szolgáltatást nyújtsanak anélkül, hogy felfednék oldaluk valódi címét. A Tor találkozási pontok segítségével tudnak más Tor felhasználók csatlakozni a szolgáltatáshoz anélkül, hogy tudnák pl az IPjét.
Ezek a szolgáltatások a .onion TLD alatt érhetők el. A .onion az IETF által elismert speciális használatú TLD.

Tor hidden service beállítása

Először is fel kell telepíteni a Tort. Debian Linux alatt az

# apt-get install tor

parancssal lehet ezt megtenni.
Telepítéskor létrejön a /etc/tor/torrc fájl, ebben található a hidden service szekció. Ott kell megadni a könyvtárat ahol a Tor tárolni fogja a gép nevét és a titkos klucsot, ill, a virtuális portot és a szolgáltatás valódi IPjét és portját, például:

HiddenServiceDir /mnt/data/www/gyengus.hu/tor/
HiddenServicePort 80 127.0.0.1:8888

Jelen esetben az oldalamról van szó ami az előző cikkemben említett Docker konténerben fut és a 8888-as porton figyel.
Ügyelni kell arra, hogy a megadott könyvtár a debian-tor nevű felhasználóé legyen (Debian Linux esetében). A tartalmára vigyázni kell, ha meg akarjuk tartani a címet, különben a Tor új címet és kulcsot fog generálni, ha nem találja a fájlokat. Érdemes tehát biztonsági másolatot készíteni a fájlokról.
A hostname tartalma valahogy így fog kinézni:

kd6ga5y5ni3d2e4l.onion

A private_key tartalma, pedig ilyesmi lesz:

—–BEGIN RSA PRIVATE KEY—–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—–END RSA PRIVATE KEY—–

A fenti cím természetesen nincs használatban.

Egyedi cím generálása

Bár a címek generálása automatikusan történik a szolgáltatás publikus kulcsából, különböző programok segítségével lehet egyedi címet generálni. Ezek a programok valójában csak próbálkoznak, elkezdik sorra generálni a címeket amíg ki nem jön az amit induláskor megkaptak. Például a Shallot is ilyen. Ha jól emlékszem, kb 2 óra futás és 6 090 889 547 próbálkozás után dobta ki nekem ezt a címet: gyengusg3fgvxdfq.onion

Hozzáférés korlátozás

Bizonyos esetekben szükséges lehet korlátozni a hozzáférést, például, különböző admin felületek, Webmin, IP kamerák és hasonlók esetén. Ehhez a szerveren lévő torrc fájlba a következő sort kell megadni a hidden service beállításai után:

HiddenServiceAuthorizeClient stealth kliens_neve

Majd a Tor újraindítása után a szolgáltatáshoz tartozó hostname nevű fájlban a szolgáltatás címe után megtalálható lesz a klienshez tartozó “authentication cookie”, például:

ezegycim.onion 0123456789012345678901 # client: kliens_neve

Természetesen lehet különbözőt generáltatni minden engedélyezett kliensnek, úgy könnyebb visszavonni a hozzáférést.
A továbbiakban be kell állítani a klienst is, ugyanis az authentication cookie nélküli kliensek nem fognak tudni csatlakozni a szolgáltatáshoz. Ehhez a kliensen lévő torrc fájlba be kell szúrni ezt az egy sort:

HidServAuth ezegycim.onion 0123456789012345678901

Összefoglalás

A Tor hidden service előnyei:

  • biztonságos kapcsolat
  • nincs szükség publikus IPre és nyitott portra
  • ingyen van
  • könnyen szabályozható a hozzáférés
  • nem kell domaint regisztrálni

hátrányai:

  • nehezen megjegyezhető automatikusan generált címek
  • nem választható a TLD
  • kizárólag a Tor hálózatból érhető el

Most már valahogy így néz ki az előző cikkben mutatott ábra:

Az oldalam elérhető a gyengusg3fgvxdfq.onion címen is.

Kategória: IT Címke: