A Tor hálózat egy önkéntesek által üzemeltetett szerver csoport, mely lehetővé teszi az embereknek, hogy javítsanak a magánszférájukon és a biztonságukon az interneten. A Tor felhasználók közvetlen kapcsolat helyett egy sor virtuális átjárón keresztül kapcsolódnak, titkosított csatornán.
A Tor hidden service lehetővé teszi, hogy a felhasználók weboldalt üzemeltessenek vagy más szolgáltatást nyújtsanak anélkül, hogy felfednék oldaluk valódi címét. A Tor találkozási pontok segítségével tudnak más Tor felhasználók csatlakozni a szolgáltatáshoz anélkül, hogy tudnák pl az IPjét.
Ezek a szolgáltatások a .onion TLD alatt érhetők el. A .onion az IETF által elismert speciális használatú TLD.
Tor hidden service beállítása
Először is fel kell telepíteni a Tort. Debian Linux alatt az
# apt-get install tor
parancssal lehet ezt megtenni.
Telepítéskor létrejön a /etc/tor/torrc fájl, ebben található a hidden service szekció. Ott kell megadni a könyvtárat ahol a Tor tárolni fogja a gép nevét és a titkos klucsot, ill, a virtuális portot és a szolgáltatás valódi IPjét és portját, például:
HiddenServiceDir /mnt/data/www/gyengus.hu/tor/
HiddenServicePort 80 127.0.0.1:8888
Jelen esetben az oldalamról van szó ami az előző cikkemben említett Docker konténerben fut és a 8888-as porton figyel.
Ügyelni kell arra, hogy a megadott könyvtár a debian-tor nevű felhasználóé legyen (Debian Linux esetében). A tartalmára vigyázni kell, ha meg akarjuk tartani a címet, különben a Tor új címet és kulcsot fog generálni, ha nem találja a fájlokat. Érdemes tehát biztonsági másolatot készíteni a fájlokról.
A hostname tartalma valahogy így fog kinézni:
kd6ga5y5ni3d2e4l.onion
A private_key tartalma, pedig ilyesmi lesz:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
A fenti cím természetesen nincs használatban.
Egyedi cím generálása
Bár a címek generálása automatikusan történik a szolgáltatás publikus kulcsából, különböző programok segítségével lehet egyedi címet generálni. Ezek a programok valójában csak próbálkoznak, elkezdik sorra generálni a címeket amíg ki nem jön az amit induláskor megkaptak. Például a Shallot is ilyen. Ha jól emlékszem, kb 2 óra futás és 6 090 889 547 próbálkozás után dobta ki nekem ezt a címet: gyengusg3fgvxdfq.onion
Hozzáférés korlátozás
Bizonyos esetekben szükséges lehet korlátozni a hozzáférést, például, különböző admin felületek, Webmin, IP kamerák és hasonlók esetén. Ehhez a szerveren lévő torrc fájlba a következő sort kell megadni a hidden service beállításai után:
HiddenServiceAuthorizeClient stealth kliens_neve
Majd a Tor újraindítása után a szolgáltatáshoz tartozó hostname nevű fájlban a szolgáltatás címe után megtalálható lesz a klienshez tartozó "authentication cookie", például:
ezegycim.onion 0123456789012345678901 # client: kliens_neve
Természetesen lehet különbözőt generáltatni minden engedélyezett kliensnek, úgy könnyebb visszavonni a hozzáférést.
A továbbiakban be kell állítani a klienst is, ugyanis az authentication cookie nélküli kliensek nem fognak tudni csatlakozni a szolgáltatáshoz. Ehhez a kliensen lévő torrc fájlba be kell szúrni ezt az egy sort:
HidServAuth ezegycim.onion 0123456789012345678901
Összefoglalás
A Tor hidden service előnyei:
- biztonságos kapcsolat
- nincs szükség publikus IPre és nyitott portra
- ingyen van
- könnyen szabályozható a hozzáférés
- nem kell domaint regisztrálni
hátrányai:
- nehezen megjegyezhető automatikusan generált címek
- nem választható a TLD
- kizárólag a Tor hálózatból érhető el
Most már valahogy így néz ki az előző cikkben mutatott ábra:
Az oldalam elérhető a gyengusg3fgvxdfq.onion címen is.