De week in 295 woorden

Het Tor-netwerk helpen, zonder iemand dwars te zitten

De week in 367 woorden
15 augustus 2014
Als online anonimiteit belangrijk voor je is, is de kans groot dat je wel eens Tor gebruikt. En wie wel eens Tor gebruikt, weet dat het soms net iets trager is dan het normale internet. Dat is niet gek, want je verkeer neemt opeens niet meer de kortste weg, maar wordt doelbewust omgeleid over meerdere door vrijwilligers beheerde routers (“nodes”). Als meer vrijwilligers meer nodes toevoegen, wordt de capaciteit op het netwerk groter. En zo moeilijk is dat niet: voor wie technisch een beetje onderlegd is, is het draaien van een Tor-node geen rocket science.

Dit artikel gaat er vanuit dat je over enige technische kennis beschikt en dat je bekend met de basisbegrippen van Tor. Zeg maar: je hebt wel eens een webserver geïnstalleerd en je kent het verschil tussen een entry-guard- en een exit-node.

Het draaien van een node kan zonder dat je daar veel tijd of energie aan kwijt bent. Alleen als je een exit-node draait, loop je het risico op klachten van anderen bij je provider over het verkeer dat via jouw node het internet opgaat. Maar met een slimme configuratie kun je die overlast beperken. Met de vijf tips hieronder krijg je, ook als jouw node veel verkeer verstouwt, nauwelijks klachten.

1. Als het even kan: informeer je provider. Als je weet dat je provider geen problemen heeft met een exit-node, weet je ook dat je niet opeens je verbinding kwijt zult zijn. Als je provider weet dat jij een exit-node draait, kunnen ze rekening houden met de beantwoording van eventuele klachten (of die klachten doorsturen). Sommige providers hebben net iets meer moeite met exit-nodes in hun netwerk dan anderen.

2. Zorg ervoor dat je Tor- en eigen verkeer gescheiden is. Het verkeer dat via jouw Tor-node het internet op gaat moet gescheiden zijn van je eigen verkeer. Op die manier weet je zeker of een bepaalde aanval van je eigen server afkomt of slechts via jouw server is verzonden. Daar komt bij dat sommige netwerkbeheerders er voor kiezen om alle verkeer vanaf Tor-nodes te blokkeren. Als je dus thuis op je ADSL-verbinding een Tor-node draait, loop je het risico dat je bepaalde sites niet meer kunt bezoeken. Dat geldt ook als je slechts een guard- of middle-node draait.

3. Maak op alle mogelijke manieren helder dat het IP-adres van een exit-node is. Neem de term “tor-exit” op in de hostname die gekoppeld is aan je IP-adres. Vraag je provider om in de beschrijving van de registratie van het IP-adres op te nemen dat het om een Tor-node gaat. En pas de configuratie van je exit-node zodanig aan dat wie het IP-adres met een browser bezoekt meteen een uitleg over de exit-node te zien krijgt. Als meteen helder is dat het verkeer via jouw exit-node het internet op kwam, heeft het sturen van een klacht over dat verkeer ook geen zin. Ook opsporingsdiensten gaan anders te werk als ze weten dat het verkeer via een Tor-node kwam.

4. Wees kritisch over de soorten verkeer die je via je node toestaat. Als beheerder van een exit-node kun je zelf bepalen welke soorten verkeer via je node verzonden mag worden. Alles toestaan is niet persé behulpzaam: veel torrent-verkeer vertraagt het netwerk. Wie alles toestaat zal ook snel merken dat Bittorrent-verkeer veel klachten genereert. Als je slim bent gebruik je de “Reduced Exit Policy”. Daarmee blokkeer je verkeer dat tot stompzinnige DMCA-notices kan leiden, maar laat je tegelijkertijd het gebruik van de meeste en belangrijkste andere soorten verkeer ongemoeid.

5. Als je een klacht krijgt: don’t panic, maar reageer snel. Met een slimme configuratie zul je maar zelden klachten krijgen over het verkeer dat via jouw exit-node het internet op gaat. Op de paar klachten die je wel ontvangt moet je snel en netjes reageren. In mijn ervaring: als je uitlegt wat voor soort verkeer het is en waar het netwerk voor gebruikt wordt, is er meestal geen vuiltje aan de lucht. Zelf gebruik ik een standaard antwoord dat eigenlijk altijd volstaat.

Met deze tips is het risico op klachten over je node bijzonder klein. Uitsluiten kun je het nooit. Het kan altijd zijn dat de politie je om een nadere uitleg komt vragen. Op de juridische risico’s ga ik binnenkort in een ander blog nog eens in. Mocht je hierover al vragen hebben, stel ze in de comments of op de internationale mailinglist tor-relays.

 

Lees ook onze andere blogpost over TOR, over juridische risico’s: Juridische risico’s van het draaien van een Tor-node.

  1. peter

    ik draai al 5+ jaar een (minuscule) exit-node thuis, eerst over adsl van xs4all, nu over kabel via ziggo. nog nooit ook maar 1 melding gehad.

    het probleem van gescheiden verkeer is wel herkenbaar, maar aangezien ik maar 1 ip-adres heb, heb ik dat opgelost door al mijn eigen verkeer via een (commerciele) vpn te laten lopen. alle unencrypted verkeer vanaf mijn ip is verkeer uit de exit-node.

    nog een tip : je kunt via http://atlas.torproject.org je eigen node zoeken en kijken of alles naar behoren werkt

  2. Roeland

    Goed initiatief. Echter ik kan me voorstellen dat niet iedereen zich even comfortabel voelt om een exit node te gaan draaien. Al is het maar omdat veel mensen niet zo eenvoudig een appart IP adres kunnen regelen voor hun Tor exit node.

    Maar dan kan je nog altijd een gewone Tor relay draaien. Dit helpt het netwerk ook en is minder riskant.

    Verder raad ik aan om [1] te lezen zodat je weet wat te verwachten als je een nieuwe relay maakt.

    [1] https://blog.torproject.org/blog/lifecycle-of-a-new-relay

    • Rejo Zenger

      Nee, niet iedereen kan even gemakkelijk een extra IP-adres krijgen. Het artikel was dan ook bedoeld voor gebruikers die al wat technisch onderlegt zijn en bijvoorbeeld een VPS’je ergens kunnen afnemen en beheren. Daar is het draaien van een Tor-node, op een IP-adres dat je niet voor andere doeleinden gebruikt, natuurlijk wel goed mogelijk.

      Thuis een Tor-node draaien op je ADSL-verbinding zonder een extra IP-adres is gewoon minder handig, ook als het geen exit-node is. Je verbinding wordt namelijk bij bepaalde sites anders behandeld (Tweakers en Apple zijn twee bekende voorbeelden).

  3. Tim2

    Ben benieuwd naar de juridische risico’s. Dit was ik overigens ook bij het lezen van het artikel over open wifi. Ik wil eigenlijk best graag m’n wifi open zetten voor derden als ik zelf altijd voorrang krijgt, als ik maar nooit gezeur krijg of met de opta ineens als aanbieder van openbare netwerken wordt gezien. weten jullie hier meer over?

    zie uit naar juridisch artikel omtrent tor exit nodes.

    • Rejo Zenger

      Het is heel onwaarschijnlijk dat je last krijgt van de ACM (de Autoriteit Consument en Markt, de instantie waarin het vroegere OPTA is opgenomen). Over beide onderwerpen, het aanbieden van open draadloze netwerken en het draaien van Tor-nodes, gaan we binnenkort nog meer schrijven.

  4. Johan

    DMCA klachten? Wat heb ik daar in Nederland mee te maken? Dit is gewoon een samenvatting van <a href="https://blog.torproject.org/blog/tips-running-exit-node-minimal-harassment"het Engelstalige artikel op de Tor website. Tot nu toe merk ik alleen dat ik op tweakers.net niet kan reageren omdat ik een exit node draai. Da’s dan jammer voor die politiek-correcte zeurders daar.

    • Rejo Zenger

      Daar hoef je je niet zoveel van aan te trekken, maar je provider denkt daar misschien anders over. Mijn punt was dan ook: ook als je met de Reduced Exit Policy een exit-node draait is je bijdrage aan het Tor-netwerk zeer welkom en heb je het aantal klachten tot een verwaarloosbaar aantal beperkt.

      En inderdaad, als je een node draait (ongeacht of dat een exit-node is of niet) zul je, als je via het zelfde IP-adres je gewone verkeer routeert een paar dingen niet kunnen. Tweakers maakt reageren een stukje lastiger, de fora van Apple zijn niet te bereiken en Google werpt soms een iets hogere drempel op.

  5. JN

    Ik ben redelijk technisch, maar wist niet wat een exit node was (of wat voor node dan ook).

    Als je op de volgende website kijkt, kun je zelfs met mijn niveau een belangrijke bijdrage leveren. Eenmaal installeren, gratis, op de apparatuur van Amazon (middels een gratis proefabonnement) en je bent klaar.

    https://cloud.torproject.org/

    • Jep

      Begrijp ik goed dat u Amazon gebruikt om hen een Tor node te laten draaien, op hun kosten dus?
      Zonder dat uw eigen bandbreedte eraan te pas komt?

      Het klinkt me als (door hen) onbedoeld gebruik.

  6. Joost

    Als je dus thuis op je ADSL-verbinding een Tor-node draait, loop je het risico dat je bepaalde sites niet meer kunt bezoeken. Dat geldt ook als je slechts een guard- of middle-node draait.

    Hier heb ik zelf met m’n guard/middle nooit problemen mee gehad. Er zijn voor zover ik weet maar weinig services die ook non-exits op een blacklist hebben staan.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.