петак, 19 априла, 2024
Хардвер

Биглбон Блек Рев Ц (5. део) – Биглбон Блек као Тор егзит

NZT

Водич од првог дана (5. део)

Аутор: Ненад Марјановић

Да бисмо боље разумели конфигурацију Тор сервера, треба посебно обратити пажњу на конфигурациони фајл /etc/tor/torrc. Вредности у подешавањима варирају од ресурса којима располажемо. Уколико желимо да се бавимо администрацијом излазног (енг. Exit) нода, за то је потребна брза интернет конекција и, наравно, више расположиве радне меморије (енг. RAMRandom Access Memory).

Биглбон Блек рев. Ц (БББ – енг. BeagleBone Black Rev C) располаже са 512MB RAM-а, што нам ипак оставља одређене могућности при параметрирању нашег првог излазног нода. Све што треба да урадимо је да ограничимо излазну политику на одређене портове. У прошлом броју ЛиБРЕ! часописа показали смо конфигурисање трансфер сервера.

ExitPolicy reject *.*

Ово у преводу значи да наш сервер служи искључиво за трансфер ка излазном серверу. У редакцији смо почели да тестирамо одређена подешавања и, након вишемесечног тестирања, дошли смо до закључка да је могуће подржати сервисе као што су SSH, IRC, IRC(s), FTP, SMTP(s), IMAP(s), POP3(s), XMPP, GIT и OpenPHP HKP без проблема на већ постојећем трансфер ноду. Да бисмо додали ова правила, потребно је изменити torrc фајл, односно пре уноса ExitPolicy reject *.* треба уписати следећа правила.

ExitPolicy accept *:22        # ssh
ExitPolicy accept *:465       # smtps (SMTP over SSL)
ExitPolicy accept *:993       # imaps (IMAP over SSL)
ExitPolicy accept *:994       # ircs (IRC over SSL)
ExitPolicy accept *:995       # pop3s (POP3 over SSL)
ExitPolicy accept *:5222      # xmpp
ExitPolicy accept *:6660-6669 # IRC
ExitPolicy accept *:6697      # IRC SSL
ExitPolicy accept *:9418      # git
ExitPolicy accept *:11371     # OpenPGP hkp (http keyserver protocol)
ExitPolicy reject *:*

Преведено – прихвати комуникацију за наведене сервисе, остале одбиј.

Као што можете приметити, нигде нисмо подржали портове 443 и 80, али њих и не препоручујемо на овако малим уређајима. Чак и ако сте у ситуацији да поседујете адекватну брзину интернет конекције, подржите комуникацију на порту 443, али не и порту 80, ипак, ово су опције којима морамо посветити дужи период тестирања. И, уколико не желите да ваш сервер буде коришћен за малициозни мejл маркетинг (енг. SPAM), не отварајте порт 25.

Више доступних излазних правила можете наћи на овој локацији: https://trac.torproject.org/projects/tor/wiki/doc/ReducedExitPolicy. Како располажемо са више могучности при подешавању сервера, када смо у прилици можемо тестирати нове портове и лимит БББ Рев Ц уређаја, са друге стране ипак не треба претеривати са бројем излазних портова због могућих законских перипетија услед саобраћаја који пролази кроз излазни сервер.

Тор заставе

По правилима Тор заједнице, сваки сервер добија заставице (енг. Flags) на основу функција које обавља.

  • Stable
  • Fast
  • HSDir
  • Exit
  • Valid
  • Running

су само неке од заставица, али најбитније су Fast (брз), Valid (валидан) и Running (у функцији). Exit (излаз) заставица је резервисана за сервере са довољним ресурсима. Међутим, ако ваш сервер не добије ову заставицу, а ви сте омогућили порт 443, то не значи да нисте учесник излазног саобраћаја, већ само да наш БББ није довољно дуго у мрежи или нисте дали довољно ресурса излазном серверу.

Након неколико сати активности статус нашег сервера можемо проверити на следећим адресама:

  1. https://globe.torproject.org
  2. https://atlas.torproject.org

У поље претраге унесите надимак сервера и добићете информације о Тор серверу над којим вршите администрацију.

Сигурност Тор сервера

Бити администратор сервера односи се на бригу о сигурности уређаја који је доступан јавности. Подешавања се односе пре свега на SSH конекцију и заштитни зид (енг. Firewall). Златна правила су следећа:

  1. не користити стандардни порт за конекцију на сервер (увек подесити вредност изнад 20000);
  2. додајте новог корисника на сервер и искључите логовање за рут (енг. root) корисника;
  3. креирајте SSH кључ за конекцију на сервер, зато што коришћење лозинки није препоручљиво због могућих бруталних напада на рут налог корисника.

***

У наредном броју настављамо са писањем о подешавању излазног Тор сервера са акцентом на заштиту сервера и корисника те прављење копије серверских конфигурационих фајлова, као и о напреднијој политици заштите SSH сервера употребом технике геолокализације администратора сервера.