TOR Exit-Node - Seiten sperren

[debianix]

Hi!

Ich beitreibe seit längerem ein TOR-Relay (kein Exit-Node!) mit dem kleinen Raspberry > funktioniert super !

Für den Betrieb einer Exit-Node konnte ich mich noch nicht durchringen, die rechtliche Seite ist mir noch zu unklar...

Ist es denn möglich, als Exit-Node bestimmt Seiten bzw Inhalte zu blockieren? Dann könnte man illegale Inhalte (Gewalt, Pornographie, etc) schon von vornherein unterbinden... zumindest ansatzweise.

Ein Filter wäre hier echt super... ich habe so etwas bisher nur für Ports gesehen... also könnte man z.B. Standard-Ports für Torrent etc sperren um illegale Donwloads zu unterbinden... aber gibt es auch einen Filter für Inhalte?

[fitheach]

Wenn ich das Tor-Prinzip richtig verstanden habe, dann muss es für den Mann in der Mitte unmöglich sein, die Inhalte zu filtern.

[debianix]

Ja das stimmt - ist als relay auch egal > allerdings interessiert es mich als Exit-Node schon... denn dann taucht am Ende ja meine eigene IP auf.

[uname]

Sperrlisten waren noch nie vollständig. Ein paar Millionen Domains findest du z.B. unter http://www.squidguard.org/blacklists.html

[Alternativende]

Naja wenn du in Togo bist würde ich es machen, aber hier in diesem Land AUF KEINEN FALL!

[debianix]

Naja wenn du in Togo bist würde ich es machen, aber hier in diesem Land AUF KEINEN FALL!

Was meinst du? Eine Exit-Node?

Würde die Exit-Node auch nur nach Absprache beim ISP machen > also via vServer. Zu Hause funktioniert das TOR-Relay (kein Exit-Node) mit dem Raspberry perfekt...

[wanne]

Man kann IPs erlaben:

Code: Alles auswählen

ExitPolicy accept 176.9.147.233:*

Oder sperren:

Code: Alles auswählen

ExitPolicy reject 64.4.11.37:*

* steht für beliebige Ports.
Wenn man z.B. nur den tracker von debian erlauben will:

Code: Alles auswählen

ExitPolicy accept 130.239.18.146:6969

Die erste regel mathed: z.B. erlaubt das den debian tracker aber sonst keinen zugriff auf Port 6969

Code: Alles auswählen

ExitPolicy accept 130.239.18.146:6969
ExitPolicy reject *:6969

Aber wenn du porn rausschmeist bleibt nciht mehr viel übrig was legal über Tor aufgerufen wird.

Es kursieren natürlich diverse filterlisten. Musst du mal nach kinderschutz gucken aber das meiste ist schön DRM verdngelt. So filter Nazis halten im Normalfall nicht so viel von ofenen standards und so.

[debianix]

Hey wanne vielen Dank für die Info!

OK ich denke dann lasse ich es vorerst mal bei einem TOR-Relay über den Raspi.

Klar würde ich porn etc sperren! Mit TOR möchte ich einen Beitrag gegen Zensur leisten aber keine illegalen Machenschaften unterstützen.

Vermutlich ist es dann sinnvoller ich baue/installiere lieber noch ein paar Relays bei Bekannten etc... und lasse die Exit-Node bei den "Großen" wie http://www.ccc.de/de/anonymizer

[fitheach]

pOrn ist mittlerweile illegal?

[debianix]

pOrn ist mittlerweile illegal?

hehe nicht jede Art

Aber torrent ist prinzipiell auch nicht illegal... aber unterbinden (also die Ports) würde ich als Exit-Node schon... wäre wohl ein Bad Exit

[rendegast]

Als Beitrag zur Sicherheit könnten unverschlüsselte Inhalte gesperrt werden.

Auf der tor-Seite steht, daß bis jetzt noch keine Aktionen gegen tor-Betreiber vorgenommen wurden.

Has anyone ever been sued or prosecuted for running Tor?
No, we aren’t aware of anyone being sued or prosecuted in the United States for running a Tor relay. Further, we believe that running a Tor relay — including an exit relay that allows people to anonymously send and receive traffic — is lawful under U.S. law.

Woanders habe ich das für Deutschland gelesen.
Heutzutage obsolet? (verschiedene Meldungen zu Durchsuchung und Konfiszierung)

https://tor.ccc.de/eff/tor-legal-faq.html.en :

Should I run an exit relay from my home?

No. If law enforcement becomes interested in traffic from your exit relay, it's possible that officers will seize your computer. For that reason, it's best not to run your exit relay in your home or using your home Internet connection.

Instead, consider running your exit relay in a commercial facility that is supportive of Tor. Have a separate IP address for your exit relay, and don't route your own traffic through it.

Of course, you should avoid keeping any sensitive or personal information on the computer hosting your exit relay, and you never should use that machine for any illegal purpose.

Toller Tip, da wird das Problem auf die Firmenhardware abgewälzt.
Und wenn die Typen erstmal im Serverraum sind,
nehmen die nicht alles mit statt nur dem angezeigten kleinen Tor-Server?
(Auch um den Leuten erstmal richtig Probleme zu bereiten - völlig legal, zur Abschreckung)

-> eher einen vhost dafür mieten. Ausgaben dafür als eine Art Spende ansehen.
(Zur netiquette zählt wohl, den Betreiber davon in Kenntnis zu setzen resp. nachzufragen.)

[debianix]

-> eher einen vhost dafür mieten. Ausgaben dafür als eine Art Spende ansehen.
(Zur netiquette zählt wohl, den Betreiber davon in Kenntnis zu setzen resp. nachzufragen.)

sehe ich genauso - Gibt schon vServer für 6 Euro im Monat:
http://www.ovh.de/virtual_server/vps-classic.xml

http://www.gulli.com/news/5125-tor-prov ... 2008-08-20

hehe... aber wohl kein Exit-Node bei dem oben genannten Anbieter
http://forum.ovh.de/showthread.php?t=5966

[rendegast]

http://forum.ovh.de/showthread.php?t=5966, scheinbar aus deren AGB ->
http://www.ovh.de/support/agb/
http://www.ovh.de/support/agb/Anlage_VPS_2013.pdf "Virtuelle Server (VPS)"

Unabhängig davon ist der Betrieb von öffentlich zugänglichen Proxy-Diensten und öffentlich
zugänglichen Exit-Nodes auf Servern der OVH ausdrücklich verboten und nicht
genehmigungsfähig.

[wanne]

Als Beitrag zur Sicherheit könnten unverschlüsselte Inhalte gesperrt werden.

Es gibt gerade in dem Bereich viele Möglichkeiten, warum verschlüsslung nicht nötig ist. (Warum etwas verschlüsseln, wenn man es sowieso in's Internet stellt.

Should I run an exit relay from my home?

No. If law enforcement becomes interested in traffic from your exit relay, it's possible that officers will seize your computer. For that reason, it's best not to run your exit relay in your home or using your home Internet connection.

Roger Dingledine hat am 26c3 noch empfohlen nodes von zu hause aus zu betreiben, um den eigenen Traffic besser zu verhüllen. (Wobei dazu eigentlich auch ein midle node reicht, solange man wirklich alles über TOR leitet.)

Toller Tip, da wird das Problem auf die Firmenhardware abgewälzt.
Und wenn die Typen erstmal im Serverraum sind,
nehmen die nicht alles mit statt nur dem angezeigten kleinen Tor-Server?
(Auch um den Leuten erstmal richtig Probleme zu bereiten - völlig legal, zur Abschreckung)

Naja komerzielle haben ganz andere Möglcihkeiten rechtlich dagegen vorzugehen. Viele Gesetze gelten nur wenn ein finanzieller Schaden entsteht. Und der ist für den hoster, der seine 5 nines verliert wesentlich einfacher nachzuwesien als für den Privatmann. Auch deswegen wird die Polizei da wesentlich vorsichtiger sein.

[debianix]

Danke für eure Beiträge und Infos!

Bei diesem Hoster http://www.hetzner.de habe ich per Mail angefragt, und er hat prinzipiell NICHTS dagegen, sobald aber entsprechende Abuse über den Server kommen ist schluss, das ist meiner Meinung nach aber auch OK.

Mal schaun, also ich werde bei hetzner mal zuerst ein TOR-Relay laufen lassen.

[Cae]

Cool. Hoffen wir mal, dass die User an deinem Node vernuenftig sind und TOR nicht missbraeuchlich verwenden.

Gruss Cae

[debianix]

Cool. Hoffen wir mal, dass die User an deinem Node vernuenftig sind und TOR nicht missbraeuchlich verwenden.

Gruss Cae

Da stimme ich dir zu, deshalb auch ein Relay und keine Exit-Node.

Für alle (Linux Neulinge) die zu Hause ein TOR-Relay oder "reine" Bridge laufen lassen wollen, hier eine kleine Anleitung zum Installieren von TOR auf dem Raspberry Pi - von dem hat doch jeder mindestens einen rumliegen . Ohne Server Absicherung, rein TOR und ARM:

http://www.321linux.com/2014/02/13/tor- ... ren-howto/

Gruß

[wanne]

Hab bei Hetzner auch ein Node laufen aber nur harmlose dienste offen. (SVN, GIT, NTP...) kein Web.

[debianix]

Hab bei Hetzner auch ein Node laufen aber nur harmlose dienste offen. (SVN, GIT, NTP...) kein Web.

Unglaublich wie schnell der Server online war > um 5.00Uhr in der früh bestellt und eine knappe Stunde später lief TOR inkl. Absicherung via rkhunter, chkrootkit, fail2ban.

thx hetzner

[r4pt0r]

Am sinnvollsten ist es IMHO immer mehrere instanzen/nodes laufen zu lassen, insbesondere wenn einer/mehrere davon exit-nodes sind macht das sciherlich sinn, um den Traffic zu verschleiern.

Habe an meinem Heimserver 5 tor-instanzen als relay laufen, die ich per squid + privoxy auch für meinen eigenen traffic benutze.

Habe auch schon mit dem Gedanken gespielt auf 2 meiner VPS ebenfalls mehrere TOR-instanzen laufen zu lassen (+ evtl exit nodes) und diese zusätzlich per VPN mit meinem homeserver zu verbinden, sodass ich auch die dort laufenden instanzen per squid von zuhause aus nutzen kann - dann fließt mein eigener traffic nämlich von mehreren tor-instanzen UND verschiedenen maschinen ins tor-netz.

[wanne]

Am sinnvollsten ist es IMHO immer mehrere instanzen/nodes laufen zu lassen, insbesondere wenn einer/mehrere davon exit-nodes sind macht das sciherlich sinn, um den Traffic zu verschleiern.

Nein, das ist eher nicht sinnvoll.
Tor baut automatisch mehrere sogenannte "circuits" auf. => Tor verteilt den Traffic schon auf um die 30 verschiedene Wege. Wenn du aktiver bist werden es mehr. Du kannst da bestimmt auch in der torrc rumstellen wieveile das sein sollen.
Da TCP von der Absenderadresse abhängig ist un neuere TCP-Implementierungen kein vernünftiges handling dafür haben, das ein paket mehrere überholen kann ist das allerdings nicht sinnvoll, da jede Verbindung sowieso immer den gleichen Exit-Node nutzen muss.
Dementgeng kann es von Vorteil sein, wenn mehrer Anwendungen die gleiche Verbindung nutzen:
Der aktuell vorgestellte Angriff beruht darauf, das man ein Muster im Traffic sucht (In dem Zeitabstand wurden soundso große Pakete verschickt) und dann sucht ob auf irgend eine Seite im Gleichen muster Zugegriffen wird. Nutzten jetzt mehrer Anwendungen die gleiche Instanz ist das Muster am Eingang durch die 2. Anwendung verunreinigt. Wenn du genug instanzen aufbaust wird aber irgend wann jede ihre eigene Tor-Instanz nutzen und der Effekt ist dahin.

Die VPN-Variante würde die Tor-Kette von 3 auf 4 Hops vergrößern, wobei der erste zu 50% immer der gleiche ist. Die Länge von 3 Hops scheint aber ausreichend zu sein.
Auch das Würde eine Traffic-Relation Angriff vermutlich eher begünstigen: Das Zielt ja immer darauf ab, den Verkehr am eingangsknoten und am Endknoten zu beobachten. Bei dir währe der Eingangsknoten zu 50% immer der Home-Server. Der lässt sich wesentlich einfacher überwachen als die zig Eingangsknoten, die du sonst nutzt.

[r4pt0r]

Hm, klingt plausibel...
Werde mich wohl im hinblick auf Traffic-Relation nochmal intensiver mit dem ganzen beschäftigen müssen. Ursprünglich war diese Konfiguration (läuft seit ca 2 Jahren) primär zur verbesserung der Geschwindigkeit gedacht, da der squid die anfragen gleichmäßig (round-robin) auf die 5 tor-instanzen verteilt, und somit im idealfall beim anklicken von 5 Links, jede anfrage über einen komplett anderen circuit und exit-node geleitet wird, somit also völlig unzusammenhängende Anfragen beim Server ankommen. Es müssten dann also mehr exit-nodes überwacht werden, um einen Zusammenhang mit meinem Traffic herzustellen. Oder beißt sich da die Katze irgendwo selbst in den Schwanz?

[wanne]

So dumm klingt das gar nicht. Was man am Anfang verliert bekommt man am Ende wieder...

[Trollkirsche]

Klar würde ich porn etc sperren! Mit TOR möchte ich einen Beitrag gegen Zensur leisten aber keine illegalen Machenschaften unterstützen.

Du hast das Prinzip der Meinungsfreiheit nicht verstanden. Wenn du irgendwelchen Content, egal welchen, sperrst, bist du kein Stück besser als Regierungen die das tun.

[fitheach]

Du hast das Prinzip der Meinungsfreiheit nicht verstanden. Wenn du irgendwelchen Content, egal welchen, sperrst, bist du kein Stück besser als Regierungen die das tun.

Also ich verstehe das Prinzip so: Meinungsfreiheit ist ein Grundrecht. Und dieses konkurriert mit anderen Grundrechten und dann muss man die Schutzgüter abwägen.

Z.B. Es gibt das Grundrecht auf Religionsfreiheit, jeder darf seine Religion frei ausüben. Jetzt sagt die eine Religion, stell dich einmal pro Tag auf einen hohen Turm und schrei. Andere fühlen sich beeinträchtigt, aber na ja, einmal pro Tag sollte das ok sein.

Andere Menschen verstümmeln die Genitalien von Kindern aus religiösen Gründen. Das verletzt aber das Grundrecht der körperlichen Unversehrtheit. Bei Jungs ist das landläufig noch ok, (finde ich nicht) bei Mädchen mittlerweile in Dt. verpönt.

Ähnlich ist es für mich bei der Meinungsfreiheit. Wenn infos nur zur Unterhaltung dienen (gore, child porn etc.) dann sehe ich stellenweise schon nicht einmal die Meinungsfreiheit verletzt. Selbst wenn es Meinung ist, tritt diese hinter die Persönlichkeitsrechte der Betroffenen zurück.