Freitag 13. April 2018: Tor als kostenloses, öffentliches "VPN"

Tor ist nicht nur etwas für investigative Journalisten, Whistleblower, auf Privatsphäre achtende Webnutzer oder böse Jungs. Man kann es auch als leicht einzurichtendes, öffentliches "VPN" nutzen um durch einen NAT-Router hindurch auf eigene Dienste zuzugreifen.

Dieser Vortrag soll anhand einer Live-Demonstration auf einem Raspberry Pi zeigen, wie man einen Webserver und SSH-Zugriff per Tor konfiguriert und darauf zugreift.

Welcher Linuxer oder Raspberry-Pi-Besitzer kennt das nicht: Man hat zuhause einen kleinen, selbst-administrierten Server stehen, den man gerne auch von unterwegs oder für Freunde erreichbar haben will. Aber zuhause gibt's nur eine IPv4-Adresse — die des Routers.

Will man solch einen Server oder Raspberry Pi trotzdem vom Internet aus erreichbar machen, muss man einiges konfigurieren: Der Rechner braucht eine feste IP innerhalb des Heimnetzes, es braucht eine Port-Weiterleitung vom NAT-Router auf diesen Rechner und falls mal die vom ISP zugewiesene IP-Adresse ändert (Stichwort "Zwangstrennung"), muss den Rechner bei einem Anbieter für dynamisches DNS anmelden und einen Cron-Job einrichten, der sich regelmäßig dort meldet und gegebenenfalls die IP-Adresse des DNS-Eintrags aktualisiert.

Wenn man Pech hat, dann geht nicht einmal das, weil immer mehr ISPs aufgrund von Adressknappheit sogenanntes "Carrier-Grade NAT" einsetzen, d.h. selbst der heimische NAT-Router hat keine öffentliche IPv4-Adresse sondern sitzt selbst nochmals hinter einem oder mehreren weiteren NAT-Routern beim ISP. Und dort bekommt man keine Port-Weiterleitungen.

Will man das Problem mit einem klassischen VPN umgehen, so braucht man mindestens noch einen zweiten normal erreichbaren Server im Internet oder man mietet sich ein VPN-Zugang bei einem der zahlreichen Anbieter.

Es geht aber auch günstiger und einfacher, ohne DynDNS und ohne Router-Konfigurieren. Das weltweite und für jedermann kostenlos verfügbare Anonymisierungsnetzwerk Tor ermöglicht u.a. auch das Einrichten von sogenannten versteckten Diensten (engl. "Hidden Services"). Einen solchen "Hidden Service" kann man leicht einrichten und dann von überall her über das Tor-Netzwerk auf seine Daten zugreifen.

Um nicht zu verraten, wo ein Rechner wirklich steht (was nicht selten der Grund für einen Hidden Service ist), braucht es allerdings nochmals eine ganze Ladung mehr Einstellungen. Darauf geht der Vortrag bewusst nicht ein, da der Fokus des Vortrages auf Erreichbarkeit und nicht auf Anonymität liegt.

Die Folien zum Vortrag gibt's unter https://noone.org/talks/tor/ (Tut auch ohne HTTPS, aber die Folien brauchen JavaScript, zumindest wenn man keine Lust hat, den Quelltext im Markdown-Format zu lesen. :-)