« Anonymat avec Tor, Privoxy et Torbutton » : différence entre les versions
Ligne 26 : | Ligne 26 : | ||
Par défaut, Tor lance un proxy supportant Socks4a et Socks5 sur le port 9050. Il faut donc ajouter la ligne suivante dans le fichier de configuration : <code> forward-socks4a / localhost:9050 . </code>. | Par défaut, Tor lance un proxy supportant Socks4a et Socks5 sur le port 9050. Il faut donc ajouter la ligne suivante dans le fichier de configuration : <code> forward-socks4a / localhost:9050 . </code>. | ||
Pour ne pas que Privoxy logue les données de navigation, diésez les lignes suivantes comme suit : <code># logfile logfile </code>, <code># jarfile jarfile </code> et <code> #debug 1 # | Pour ne pas que Privoxy logue les données de navigation, diésez les lignes suivantes comme suit : <code># logfile logfile </code>, <code># jarfile jarfile </code> et <code> #debug 1 # ... </code>. | ||
Pour limiter l'accès à Privoxy aux machines sur votre réseau local, ajoutez les lignes <code> permit-access localhost </code> et <code> permit-access 192.168.0.0/24 </code> (les IP des machines des réseaux locaux sont fréquemment sous cette forme, à modifier si ce n'est pas le cas). | Pour limiter l'accès à Privoxy aux machines sur votre réseau local, ajoutez les lignes <code> permit-access localhost </code> et <code> permit-access 192.168.0.0/24 </code> (les IP des machines des réseaux locaux sont fréquemment sous cette forme, à modifier si ce n'est pas le cas). |
Version du 27 novembre 2010 à 02:50
Anonymat avec Tor, Privoxy et Torbutton
Par Jiel
Introduction
Cette documentation explique comment surfer sur Internet de manière anonyme. Pour ceux qui se demanderaient en quoi cela peut-être utile, notons que ca l'est particulièrement pour les journalistes et les gens résidant dans des pays où l'internet est censuré, comme la Chine ou l'Iran.
The Onion Router (en français, "le routage en oignon"), abrégé Tor, est un réseau décentralisé de routeurs organisés en couches, dont le rôle est de transmettre de manière anonyme des paquets TCP.
Privoxy est un serveur mandataire (proxy) pour le protocole HTTP, doté de capacités de filtrage de protection de la vie privée. On va l'utiliser en combinaison avec Tor.
Torbutton est une extension pour activer Tor dans Mozilla Firefox. Proxy Switchy! est son équivalent pour Chromium et Chrome.
Il est important de savoir que Tor ralentit très nettement vos opérations sur le réseau. C'est donc un outil plutôt destiné à être utilisé ponctuellement. D'autre part, Tor gère l'anonymat, mais pas la sécurité ! Pour la sécurité, pensez à utiliser TLS et à chiffrer vos données.
Installation
Installez les paquets privoxy
et tor
suivant la méthode habituelle de votre distribution.
Configuration de privoxy
Pour faire fonctionner privoxy, il faut d'abord le configurer. Ouvrons donc le fichier /etc/privoxy/config
.
Par défaut, Tor lance un proxy supportant Socks4a et Socks5 sur le port 9050. Il faut donc ajouter la ligne suivante dans le fichier de configuration : forward-socks4a / localhost:9050 .
.
Pour ne pas que Privoxy logue les données de navigation, diésez les lignes suivantes comme suit : # logfile logfile
, # jarfile jarfile
et #debug 1 # ...
.
Pour limiter l'accès à Privoxy aux machines sur votre réseau local, ajoutez les lignes permit-access localhost
et permit-access 192.168.0.0/24
(les IP des machines des réseaux locaux sont fréquemment sous cette forme, à modifier si ce n'est pas le cas).
Sauvegardez vos modifications dans le fichier de configuration et c'est bon !
Lancez maintenant les services privoxy
et tor
, Pour cela, faites (en root ou en précédant les commandes de sudo
) :
cd /etc/init.d
./tor start
./privoxy start
Firefox : Torbutton
Pour pouvoir activer et désactiver la navigation anonyme dans Mozilla Firefox, il faut installer l'extension Torbutton (https://addons.mozilla.org/firefox/2275/). Pour cela, regardez la documentation Plugins et extensions pour Firefox.
Une fois l'extension installée, il est nécessaire de configurer les paramètres de connexion de Mozilla Firefox pour qu'il passe par le proxy. Pour cela, allez dans Edition > Préférence > Réseau > Paramètres ; cochez « Configuration manuelle du proxy » et renseignez les paramètres suivants :
Proxy HTTP : localhost
Port : 8118
Proxy SSL : localhost
Port : 8118
Hôte SOCKS : localhost
Port : 9050
et cochez SOCKS v5
Pas de proxy pour : localhost, 127.0.0.1
En effet, Privoxy utilise par défaut le port TCP 8118 sur l'interface localhost, et Tor écoute par défaut sur le port TCP 9050 et sur l'interface localhost.
Suite à l'installation de l'extension, une petite icône est apparu en bas à droite de Mozilla Firefox. Il suffit de cliquer dessus pour activer/désactiver Tor.
Pour que Torbutton fonctionne, il faut que les services privoxy
et tor
soient lancés.
Chromium : Proxy Switchy!
Il existe également une extension pour les navigateurs Google Chrome et Chromium qui permet d'utiliser Tor : Proxy Switchy! (https://chrome.google.com/extensions/detail/caehdcpeofiiigpdhbabniblemipncjj).
Une fois installée, allez dans le menu de l'extension dans Options > Proxy Profils. Dans « Profile Name », renseignez Tor
; puis cliquez sur « Manual configuration » et cochez la case « Use the same proxy server for all protocols » et renseignez les paramètres suivants :
HTTP Proxy : localhost
Port : 8118
.
Pour l'utiliser, cliquez avec le bouton droit sur l'icône de l'extension et sélectionnez Tor.
Anonymiser n'importe quelle application TCP
D'une manière générale, si votre application à anonymiser possède un menu où l'on peut configurer un proxy, il suffit d'indiquer l'adresse de Privoxy (hôte 127.0.0.1 et port 8118), comme pour l'exemple de Torbutton. Si l'application supporte les proxys SOCKS, on peut indiquer simplement l'adresse de Tor (hôte 127.0.0.1 et port 9050).
Tor fournit également une petit outil à utiliser en ligne de commande, appelé torify
et qui s'utilise comme suit, par exemple pour le client de messagerie KMail : torify kmail &
. Dans cet exemple, toutes les données de KMail passeront par Tor jusqu'à la fermeture du client de fermeture. Attention, Tor ne fonctionne qu'avec les applications utilisant le protocole TCP.
Serveur Tor
Cette étape n'est pas obligatoire pour l'anonymat, mais permet de développer le réseau Tor en vie d'obtenir plus d'anonymat et de rapidité.
Il s'agit ici de créer un noeud Tor qui va s'interconnecter au réseau. Il existe deux types de noeuds : les noeuds relai (sans sortie vers internet, qui permettent de transmettre les paquets pour brouiller les pistes) et les noeuds de sortie.
La configuration se fait dans le fichier /etc/tor/torrc
. Il est nécessaire de modifier les paramètres suivants :
SocksPort 9050
SocksListenAddress 127.0.0.1
DataDirectory /var/lib/tor
Nickname NOM_DU_SERVEUR
Address ADRESSE_IP
ContactInfo VOTRE_COURRIEL
ORPort 9001
BandwidthRate BANDE_PASSANTE KB
ExitPolicy POLITIQUE
Dans cet exemple :
- NOM_DU_SERVEUR désigne le nom de votre serveur ;
- ADRESSE_IP désigne l'adresse IP fixe de votre serveur ;
- VOTRE_COURRIEL une adresse de courrier électronique pour joindre l'administrateur du serveur ;
- BANDE PASSANTE désigne la valeur en Ko/s de bande passante allouée à votre serveur, 20 Ko/s au minimum ;
- POLITIQUE désigne les types de communication autorisés, comme pour un pare-feu :
ExitPolicy reject *:*
signifiera que vous serez simplement un noeud Tor relai, mais pas une noeud de sortie ; à l'inverseExitPolicy reject *:25
suivi deExitPolicy accept *:*
signifiera que vous serez un noeud de sortie mais pas pour le protocole SMTP.
Par exemple :
SocksPort 9050
SocksListenAddress 127.0.0.1
DataDirectory /var/lib/tor
Nickname monserveurtor
Address 123.456.789.123
ContactInfo tor@lea-linux.org
ORPort 9001
BandwidthRate 40 KB
ExitPolicy reject *:25
ExitPolicy reject *:119
ExitPolicy reject *:135-139
ExitPolicy accept *:*
Le répertoire référencé dans la variable DataDirectory
doit appartenir à l'utilisateur torouter et le groupe torouter. Pour cela, faites (en root ou en précédant la commande de sudo
) : chown torouter.torouter /var/lib/tor
.
Redémarrez tor : /etc/init.d/tor restart
. C'est bon, votre serveur est actif !
Tor utilise le port TCP 9001. Il faut donc ouvrir ce port dans le firewall de Linux, Netfilter, pour que votre noeud puisse communiquer avec l'extérieur.
Attention, certains sites (Wikipedia par exemple) ou serveurs IRC bloquent les requêtes venant de serveurs Tor (la liste des serveurs est publique). En crééant un noeud de sortie sur une IP, vous risquez donc de ne plus accéder à ces sites ou serveurs en utilisant cette IP.
Liens
- Site officiel : http://www.torproject.org
- Pour vérifier que vous utilisez bien TOR : https://check.torproject.org/
- Des infos pour utiliser Tor avec divers appli (anglais) : http://www.hermann-uwe.de/blog/howto-anonymous-communication-with-tor-some-hints-and-some-pitfalls
- Une documentation détaillée orientée Ubuntu : http://blog.pastoutafait.org/billets/anonymat-avec-tor-et-privoxy-sous-ubuntu
@ Retour à la rubrique Réseau et sécurité
Copyright
© 2010 Jiel Beaumadier
Vous avez l'autorisation de copier, distribuer et/ou modifier ce document suivant les termes de la GNU Free Documentation License, Version 1.2 ou n'importe quelle version ultérieure publiée par la Free Software Foundation; sans section invariante, sans page de garde, sans entête et sans page finale. |