[How-To] Privoxy + Tor + Squid

[trixel]

première partie venant de http://www.deerfieldtech.com/content/view/2/16/

The recommended way to run tor is to use it in combination with privoxy. The benefit of this combination is that not only do you get a degree of anonymity when browsing the web on the tor network, you can enjoy an ad free experience as well with privoxy.

1. Download the privoxy RPM from ftp://ftp.muug.mb.ca/mirror/fedoralegacy/fedora/1/updates/i386/privoxy-3.0.3-1.i386.rpm . As of this writing privoxy 3.0.6 is the latest stable version, but we'll use the stable 3.0.3 RPM for Fedora Core 1.
2. Download the latest tor Red Hat RPM from http://tor.eff.org/download-unix.html.en . Currently tor is at version 0.1.2.17.
3. Download the libevent RPM from the Dag repository. Tor 0.1.1.26 requires libevent 1.2, so look for libevent-1.2-1.el4.rf.i386.rpm. http://dag.wieers.com/packages/libevent/
4. Put all of the RPMs into an empty directory, cd into the directory and run

Code: Tout sélectionner

yum localinstall *.rpm

5. This howto assumes you will NOT be running a tor server; that is, configuring your server to be a middleman or exit node on the tor network. If you don't know what this means, don't worry. Some of the following instructions were taken from here: http://tor.eff.org/docs/tor-doc-unix.html.en.

Privoxy keeps a log file of everything passed through it. In order to stop this you will need to comment out the following two lines by inserting a # before the line. In section 1.5 comment out the line

logfile logfile

and in section 1.6 comment out the line

jarfile jarfile

6. The instructions on the Tor page assume that we're installing tor on the same machine we use for web browsing. In our case, we're installing it on our SME server for use by the whole network. So we need to modify the listen address. Find section 4.1 in the privoxy config file and change the listen-address line to, assuming your server's internal IP is 192.168.1.1, this:

listen-address 127.0.0.1:8118

Then scroll down to section 5.2 and add the line

forward-socks4a / localhost:9050 .

at the bottom of the section. Don't forget to add the dot at the end.

Save /etc/privoxy/config .

7. Now we need to make some changes to SME so that tor and privoxy run automatically at startup. From the command line:

Code: Tout sélectionner

config set privoxy service status enabled
      config set tor service status enabled

then

Code: Tout sélectionner

ln -s /etc/rc.d/init.d/e-smith-service /etc/rc7.d/S84privoxy
      ln -s /etc/rc.d/init.d/e-smith-service /etc/rc7.d/S90tor

8. Then we reboot the server like this:

Code: Tout sélectionner

signal-event post-upgrade; signal-event reboot

Ensuite pour que Squid renvoie automatiquement vers Privoxy, ce que le site ne dit pas :

Code: Tout sélectionner

db configuration set SquidParent 127.0.0.1
db configuration set SquidParentPort 8118
signal-event proxy-update



Comme ça c'est transparent pour les utilisateurs

Attention Tor peut beaucoup ralentir la navigation, si vous ne voulez plus l'utilisez commenter la ligne dans privoxy concernant les socks4, et arretez le service TOR, Privoxy continuera de fonctionner et suel bonheur toutes ces pubs en moins

Pour configurer plus en avant Privoxy, allez à l'url : http://config.privoy.org

[ccnet]

Pour des raisons évidentes de sécurité l'utilisation de Tor est à proscrire formellement.
http://www.secuobs.com/news/20112007-to ... ml#contenu qui n'est qu'un exemple.

[tomtom]

Pour des raisons évidentes de sécurité l'utilisation de Tor est à proscrire formellement.

L'utilisation d'Internet est à proscrire en fait....

t.

[ccnet]

Merci de ne pas déformer mes propos. Internet pose de gros problèmes de sécurité comme tout le monde le sait. Tor pose des problèmes supplémentaires et ajoute des risques importants. Et cela de façon grave puisqu'il permet en particulier de laisser croire à un utilisateur qu'il est en ssl alors qu'il ne l'est pas.
En matière de sécurité il y a une hiérarchie des risques. L'utilisation de TOR augmente les risques de façon importante. Là où la sécurité est critique (réseau homologué secret défense par exemple) l'utilisation d'internet est proscrite en effet. Rangez vos sarcasmes et considérez que l'appréciation du risque n'est pas binaire mais qu'il existe une hiérarchie.

[tomtom]

L'utilisation de n'omporte quoi sans le comprendre est à proscrire.
Utiliser une tonseuse à gazon (c) pieds nus est à proscrire.

Tor est un très bon système pour qui veut se rendre anonyme. Il doit en comprendre le fonctionnment et au minimum lire les mises en garde de sécurité.

Si j'envoie une lettre anonyme en prenant toutes les précautions nécessaires pour que l'on en sache pas d'où elle a été postée, je mets des gants pour les empreintes, et dans la lettre je mets mon nom et mon adresse, je ne peux pas m'en prendre au vendeur de gants ou à la poste si quelqu'un m'identifie.

Merci de ne pas colporter des bruits et autres inepties.

Vous semblez etre un adepte de l'analyse de risques, donc analysez plutot effectivement les risques liés à l'utilisation de TOR (et surtout son utilité) au lieu d'utiliser des sentences à l'emporte-pièce.

t.

[ccnet]

Et ça se sont des bruits et des inepties, des sentences à l'emporte pièce ?
http://www.hsc-news.com/archives/2009/000056.html : "Stripping SSL To Defeat HTTPS In Practice"

Ce sont des faits.

[tomtom]

C'est completement à l'emporte-pièce.

1- ca n'a rien à voir avec TOR. Cette attaque (connue de longue date, au passage) repose sur la crédulité de l'utilisateur et n'implique pas TOR, même si bien sur TOR peut faciliter des mises en place de MIM. N'utilisez plus jamais ssl dans ce cas !

2-

Tor anonymise l'origine de votre trafic et chiffre tout à l'intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le réseau Tor et sa destination finale. Si vous envoyez des informations sensibles, vous devriez employer autant de précautions que lorsque vous êtes sur l'internet normal — utilisez HTTPS ou un chiffrement final similaire et des mécanismes d'autentification.
Tandis que Tor bloque les attaquants sur votre réseau local en masquant votre destination, il ouvre de nouveaux risques : des nœuds malicieux ou mal configurés peuvent vous renvoyer des mauvaises pages, ou même vous envoyer des appliquettes Java déguisées en domaines dans lesquels vous avez confiance.


Faites preuve d'intelligence et étudiez beaucoup. Comprenez ce que Tor apporte et ce qu'il ne peut pas. Cette liste de points n'est pas exhaustive et nous avons besoin de votre aide pour identifier et documenter tous ces défauts.

Amalgames, pas d'analyse, je réitère mon propos : les phrases du genre : "l'utilisation de Tor est à proscrire formellement" sont l'exemple typique de la non-analyse de risque...
Une phrase censée serait "l'utilisation de TOR necessite une bonne compréhension des risques induits et une analyse des menaces, et ne doit donc ainsi pas être effectuée sans analyse de sécurité adaptée".

Par exemple...

t.

[ccnet]

A partir du moment où vous confiez votre trafic à des tiers inconnus, que ceci peuvent le collecter, je maintiens que Tor est à proscrire formellement en matière de sécurité. Utiliser un système qui rend plus simple l'attaque MIN (entre autres) est quand même un risque majeur.
La page de mise en garde que vous citez me semble claire sur ce point. C'est un bien grand risque pour l'anonymat.

[tomtom]

Pas plus que de confier votre information à wanadoo....
A n'importe quel point d'accès wifi....
Au réseau de votre entreprise.....

Vous-etes vous posé la question de l'utilité d'un réseau tel que TOR ?
Ceux qui l'utilisent le savent en général.
Même si apparemment certains se sont fait "voler" des données dans un contexte restant à determiner, c'est uniquement par une extremement mauvaise utilisation du système, qui reste incompréhensible de la part de telles organisations, comme cela a été souligné à l'époque de cette affaire.

Cela n'enlève rien au besoin que peuvent avoir de tels organismes de rendre anonymes certaines de leurs communications....

t.

[ccnet]

Pas plus que de confier votre information à wanadoo....

Partiellement d'accord et c'est bien pour cela que les liaisons spécialisées et les vpn existent. Ne pas confondre anonymat de l'utilisateur et confidentialité des données.

[/quote]A n'importe quel point d'accès wifi.... [/quote]
Entièrement d'accord.

Au réseau de votre entreprise.....

Pas d'accord.

Vous-etes vous posé la question de l'utilité d'un réseau tel que TOR ?
Ceux qui l'utilisent le savent en général.
Même si apparemment certains se sont fait "voler" des données dans un contexte restant à determiner, c'est uniquement par une extremement mauvaise utilisation du système, qui reste incompréhensible de la part de telles organisations, comme cela a été souligné à l'époque de cette affaire.

L'époque de cette affaire c'est le mois dernier. On rappellera par ailleurs à propos de SSL et des certificats qu'ils en existent une flopée qui sont autosignés, d'autres signés avec MD5. Qu'il y a environ deux mois une équipe a présenté de faux certificat mais reconnu valide car une collision MD5 a pu être réalisée.[/quote]

Cela n'enlève rien au besoin que peuvent avoir de tels organismes de rendre anonymes certaines de leurs communications....

t.

Nous sommes bien d'accord que anonymat et confidentialité des données sont deux problématiques bien différentes, du moins je l'espère ...
Quels organismes ?

Gagner l'anonymat (encore que dans la mesure où les tiers sont opaques ...si la confidentialité tombe que reste t il de l'anonymat ...) en risquant de perdre la confidentialité et l'intégrité, vous me permettrez de ne pas être totalement convaincu. La structure opaque d'un réseau Tor est en elle même une source d'insécurité. Nous savons depuis longtemps que l'opacité d'un système est contraire à un objectif de sécurité. Les nœuds pouvant apparaître et disparaître du jour au lendemain sans contrôle possible. C'est quand même le rêve pour capturer des données à tout va ...

Chacun fera ce qui lui semble bon selon ses objectifs et ses appréciations.

Comme je vous soupçonne (c'est du second degré) d'être fort chatouilleux sur la préservation de la vie privée sur internet, sachez que sur le plan des principes je suis assez proche de cette sensibilité. Les moteurs de recherches, les réseaux sociaux, les éditeurs, etc, etc ... ne sont pas les gentils organisateurs du net que l'on voudrait nous faire croire peut être. Il y a de nombreux problèmes graves, le dernier rapport de la CNIL est édifiant. Cela dit en aparté de la discussion qui nous occupe.

[trixel]

je pensais pas créé un troll pareil.

Mais enfin, je n'utilise déjà plus TOR (trop de ralentissement), du moins je ne l'active qu'en cas de nécessité via la config proxy de mon navigateur
par contre privoxy reste interessant

[tomtom]

Les articles sur l'insécurité de TOR datent de 2007.... !

La "blagounette" sur le redirect https/http avec un MIM présenté à la blackhat s'appuyait en effet sur TOR pour le MIM, mais pas forcement.

La confidentialité est très loin d'être toujours suffisante, et je ne parle pas que de la protection de la vie privée qui à vrai dire est presque secondaire pour moi (même si à titre personnel je suis d'accord).

Relire le premier article que vous avez suggéré vous-même ce matin, et les nombreux qui ont circulé à l'époque (celui-là par exemple....

Il est très possible que de nombreux utilisateurs de TOR (ou réseaux similaires) ne soient que des guignolos qui veulent aller sur des sites porno de manière "anonyme" et qu'ils se fassent du coup piquer leurs données, je dirais tant-pis pour eux.
De là à en conclure que "Pour des raisons évidentes de sécurité l'utilisation de Tor est à proscrire formellement. ", non !
t.

[stratusien]

Bonjour

J'ai lu le topic et j'ai installer les applications avec succès comme indiqué dans le post. Tout a bien marché. Le problème est venu quand j'ai voulu tout désinstaller :

Quand j'active le proxy à nouveau de ma SME rien ne fonctionne (plus accès internet) et quand je désactive le proxy Internet est OK.

Quelle manip puis je faire pour que cela refonctionne comme avant ?

Est-ce que cela peut venir des lignes suivantes :

db configuration set SquidParent 127.0.0.1
db configuration set SquidParentPort 8118
signal-event proxy-update

Si oui comment puis je modifié cela ?

J'ai désinstallé squid et l'ai réinstallé tout en reconfigurant le réseau avec l'admin et putty mais rien n'y fait ?

Autre question : comme j'ai deux sme (1 en passerelle et serveur Web et 1 en serveur uniquement qui me sert de serveur de fichier pour le réseau local) est ce que je peux mettre le proxy sur la seconde plutôt que sur la passerelle et n'utiliser que celle qui me sert de passerelle comme pare-feu et serveur Web ?

Merci d'éclairer ma lanterne...