Tor – The Onion Router

Tor Guide Index

1 Einführung
1.1 Was ist Tor ?
1.2 Wer hat Tor entwickelt ?
1.3 Wie kann man auf Tor zugreifen ?
1.4 Wie funktioniert Tor ?
1.5 Ist Tor legal ?
1.6 Was ist das Darknet ?

2. Versteckte Dienste (Hidden Services
2.1 Wie installiert man Whonix ?
2.2 Wie richte ich versteckte Dienste ein ?
2.3 Wie richte ich einen einfachen HTTP-Server ein ?
2.4 Wie installiere ich Nginx und PHP ?
2.5 Wie generiert man einen eigenen Namen ?

3 Beliebte .onion-Seiten
3.1 Site-Verzeichnisse
3.2 Dienstleistungen und Software
3.3 Nachrichten und Veröffentlichungen
3.4 Foren und Gemeinschaften

1. Einführung
1.1 Was ist Tor ?

Tor (The Onion Router) ist eine Open-Source-Software, die den Internetverkehr durch ein weltweites Netz von fast einer Million Relais leitet, um den Standort des Benutzers zu verbergen und ihn vor Überwachung oder Verkehrsanalyse zu schützen. Tor erschwert die Rückverfolgung von Internetaktivitäten: Website-Besuche, Online-Postings, Sofortnachrichten und andere Kommunikationsformen.

1.2 Wer hat Tor entwickelt ?

Die Idee des Onion-Routings wurde 1995 im U.S. Naval Research Lab von David Goldschlag, Mike Reed und Paul Syverson entwickelt, um einen Weg zu finden, Internetverbindungen herzustellen, die nicht verraten, wer mit wem spricht. Der Grund dafür war, die Online-Kommunikation der US-Geheimdienste zu schützen.

Anfang der 2000er Jahre begannen Roger Dingledine (MIT-Absolvent) und Paul Syverson mit der Arbeit an dem Zwiebel-Routing-Projekt, das im Naval Research Lab entwickelt wurde. Um ihre Arbeit von anderen Bemühungen zu unterscheiden, nannten sie das Projekt Tor (The Onion Routing).

Tor wurde im Oktober 2002 offiziell in Betrieb genommen und sein Quellcode wurde unter einer freien und offenen Softwarelizenz veröffentlicht. Im Dezember 2006 gründeten die Informatiker Roger Dingledine, Nick Mathewson und fünf weitere Personen die gemeinnützige Forschungs- und Bildungsorganisation The Tor Project, die für die Wartung der Software verantwortlich ist.

Tor wird von der US-Regierung, vielen Nichtregierungsorganisationen, privaten Stiftungen, Forschungseinrichtungen, privaten Unternehmen und über 20.000 persönlichen Spenden von Menschen aus der ganzen Welt unterstützt.

1.3 Wie kann man auf Tor zugreifen ?

Der einfachste Weg, auf Tor zuzugreifen, ist die Installation des Tor-Browsers. Es ist ein modifizierter Mozilla Firefox Browser mit vielen Verbesserungen für den Datenschutz. Er ist für Windows, Linux, OS X und Android verfügbar.

Tor-Browser herunterladen

1.4 Wie funktioniert Tor ?

Dein Datenverkehr durchläuft mindestens 3 verschiedene Server, bevor er an das Ziel weitergeleitet wird. Da jeder der 3 Knotenpunkte eine eigene Verschlüsselungsebene hat, kann niemand, der deine Verbindung beobachtet, lesen, was du ins Tor-Netzwerk sendest.

Die Knotenpunkte werden genannt:

Guard node
Er kennt deine IP-Adresse, weiß aber nicht, wohin du dich verbindest.

Middle node
Eine Zwischenschicht zwischen dem Wächterknoten und dem Ausgangsknoten.

Exit Node
Kennt das Ziel, weiß aber nicht, wer du bist.

1.5 Ist Tor legal ?

In den meisten Ländern ist es legal, Tor zu benutzen. In einigen Ländern wird das Internet jedoch zensiert und der einzige Weg, um auf Tor zuzugreifen, ist, eine Brücke zu benutzen. In diesem Fall wähle “Tor wird in meinem Land zensiert” im Verbindungsassistenten, nachdem du den Tor-Browser gestartet hast. Du kannst die Brücke auch in den Einstellungen einrichten.

1.6 Was ist das Darknet ?

Das Darknet ist ein Teil des Internets, auf den man nur mit Tor zugreifen kann. Ihre Domainnamen enden mit .onion. Die meisten Darknet-Seiten sind legal und werden von Aktivisten, Journalisten und Nachrichtenorganisationen genutzt. Viele versteckte Dienste enthalten jedoch illegale Inhalte. Es gibt mehrere Märkte, auf denen man Drogen, Waffen, gefälschtes Geld, geklonte Karten, gehackte Konten usw. kaufen kann.

2. Versteckte Dienste
2.1 Wie installiert man Whonix ?

Whonix besteht aus zwei oder mehr virtuellen Maschinen: einem Gateway und mindestens einer Workstation. Diese Architektur stellt sicher, dass der gesamte Datenverkehr durch das Tor-Netzwerk läuft, die Arbeitsstation aber keine Kenntnis davon hat. Es verhindert eine Deanonymisierung, falls eine Software Sicherheitslücken enthält und deine Workstation kompromittiert wird.

2.1.1 VirtualBox installieren

Lade VirtualBox von virtualbox.org herunter.

2.1.2 Whonix herunterladen

Befolgen Sie alle Schritte auf der Whonix-Download-Seite.

Wenn Sie ein Anfänger sind, sollten Sie die Version mit der XFCE-Desktop-Umgebung herunterladen. Später können Sie in den CLI-Modus wechseln, indem Sie den RAM-Speicher in den Einstellungen der virtuellen Maschine auf weniger als 512 MB reduzieren. Nachdem Sie Whonix heruntergeladen haben, doppelklicken Sie auf die Datei, um virtuelle Festplatten zu importieren und virtuelle Maschinen mit den empfohlenen Einstellungen zu erstellen. Befolgen Sie alle Schritte auf der folgenden Website:

2.1.3 Passwörter ändern

Das Standardpasswort für Benutzer und Root-Benutzer lautet changeme. Die erste Maßnahme, die Sie auf dem Gateway und der Workstation durchführen sollten, ist die Änderung des Passworts für beide Benutzer. Verwenden Sie unterschiedliche Passwörter und halten Sie diese geheim. Um das Passwort für den Root-Benutzer zu ändern, öffnen Sie das Terminal und geben Sie ein:

sudo passwd root

Ändern Sie entsprechend das Kennwort für den Benutzer user:

sudo passwd user

Ändern Sie NICHT Ihre Zeitzone. Sie ist standardmäßig auf UTC eingestellt, um Zeitzonenlecks zu vermeiden.

2.1.4 Whonix aktualisieren

Der nächste Schritt nach der Installation besteht darin, sowohl Whonix Workstation als auch Whonix Gateway zu aktualisieren. Sie benötigen mindestens 1050 MB RAM, um Updates zu installieren. Andernfalls kann der Prozess der Kompilierung von VirtualBox Guest Additions für immer hängen bleiben. Öffnen Sie das Terminal und geben Sie ein:

sudo upgrade-nonroot

 

2.2 Wie setzt man versteckte Dienste ?

Geben Sie im Whonix-Gateway den folgenden Befehl ein:

sudo mousepad /usr/local/etc/torrc.d/50_user.conf

Fügen Sie dann die folgenden Zeilen hinzu:

HiddenServiceDir /var/lib/tor/hidden_service/
VersteckterDienstPort 80 10.152.152.11:80
HiddenServiceVersion 3

Wenn Sie mehrere versteckte Dienste hosten wollen, fügen Sie einfach weitere Zeilen mit unterschiedlichen Portnummern hinzu:

HiddenServiceDir /var/lib/tor/hidden_service/
VersteckterDienstPort 80 10.152.152.11:80
HiddenServiceVersion 3

HiddenServiceVerzeichnis /var/lib/tor/another_service/
VersteckterDienstAnschluss 80 10.152.152.11:81
VersteckteDienstVersion 3

Nun starte Tor neu:

sudo service tor@default reload

Um den Tor-Status zu überprüfen, gib ein:

sudo service tor@default status

Um die .onion Hostnamen abzurufen, gib ein:

sudo cat /var/lib/tor/hidden_service/hostname
sudo cat /var/lib/tor/another_service/hostname

2.3 Wie richtet man einen einfachen HTTP-Server ein? 

Installieren Sie auf der Whonix-Workstation einen Webserver. Wenn Sie nur statische Inhalte bereitstellen wollen, verwenden Sie einen einfachen Server micro-httpd, der nur 200 Zeilen Code enthält.

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install –no-install-recommends micro-httpd

Der Server lauscht auf Port 80 und stellt Dateien aus /var/lib/www bereit. Um Port und Dateiverzeichnis zu ändern oder mehrere Instanzen zu starten, müssen Sie die Dateien /etc/inetd.conf und /etc/services bearbeiten und dann inetd neu starten. Geben Sie man micro_httpd ein.

2.4 Wie installiere ich den Nginx-HTTP-Server ?

Wenn Sie jedoch mehrere versteckte Dienste oder dynamische Inhalte mit PHP bereitstellen müssen, sollten Sie stattdessen nginx oder Apache installieren. nginx ist vorzuziehen.

Wenn Sie zuvor micro-httpd installiert haben, deinstallieren Sie es zuerst:

sudo apt-get remove micro-httpd

Installieren Sie dann nginx und PHP

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install –no-install-recommends nginx
sudo apt-get install –no-install-recommends php-fpm

Hauptkonfigurationsdatei bearbeiten

sudo mousepad /etc/nginx/nginx.conf

Fügen Sie die folgende Konfiguration ein

benutzer www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;

Ereignisse {
worker_connections 768;
}

http {
sendfile an;
tcp_nopush ein;
tcp_nodelay ein;
keepalive_timeout 65;
types_hash_max_size 2048;
server_tokens aus;

include /etc/nginx/mime.types;
default_type application/octet-stream;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Verzicht auf SSLv3, ref: POODLE
ssl_prefer_server_ciphers ein;

access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;

gzip ein;

include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;

Server {
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return 444;
}
add_header X-Frame-Options “SAMEORIGIN”;
}
}

 

 

Erstellen Sie nun eine Konfigurationsdatei für jeden versteckten Dienst. Wenn Sie /etc/nginx ls, werden Sie 2 Verzeichnisse sites-available und sites-enabled sehen. Dies ist beabsichtigt. Der erste Ordner enthält Konfigurationsdateien für jede gehostete Website. Der zweite Ordner enthält Symlinks zu diesen Konfigurationsdateien, aber nur für die Websites, die veröffentlicht werden müssen. Um eine Website zu deaktivieren, löschen Sie einfach einen Symlink von sites-enabled.

In diesem Lernprogramm werden Sie Konfigurationsdateien für 2 versteckte Dienste erstellen. Wenn bereits eine Standardkonfigurationsdatei im Ordner sites-available existiert, können Sie diese umbenennen und bearbeiten. Andernfalls erstellen Sie eine neue Datei und starten den Editor:

rm /etc/nginx/sites-available/*
berühren Sie /etc/nginx/sites-available/service1
mousepad /etc/nginx/sites-available/service1

Fügen Sie den folgenden Inhalt ein

server {
listen 80;
listen [::]:80;

server_name _;

root /var/www/service1;
index index.html index.htm index.php;

Standort / {
try_files $uri $uri/ =404;
}

location ~ [^/]\.php(/|$) {
fastcgi_split_path_info ^(.+?\.php)(/.*)$;
if (!-f $document_root$fastcgi_script_name) {
return 404;
}

fastcgi_pass unix:/var/run/php/php7.3-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

# Einbindung der fastcgi_param-Einstellung
include fastcgi_params;
}
}

Wenn Sie einen anderen Port als 80 verwenden, müssen Sie ihn in den Zeilen 2 und 3 ändern. Sie können auch das Stammverzeichnis Ihrer Website in Zeile 7 ändern. Als Letztes müssen Sie den PHP .sock-Dateinamen sicherstellen. Geben Sie den folgenden Befehl ein, und wenn der Dateiname anders lautet als im obigen Beispiel, ändern Sie ihn in der fastcgi_pass-Direktive.

sudo ls /var/run/php/

Erstellen Sie nun einen Symlink in das Verzeichnis sites-enabled.

sudo ln -s /etc/nginx/sites-available/service1 /etc/nginx/sites-enabled/service1

Erstellen Sie das Verzeichnis /var/www/service1 mit einer leeren index.php-Datei.

sudo mkdir /var/www/service1
sudo touch /var/www/service1/index.php

Wiederholen Sie diesen Schritt für die nächsten versteckten Dienste, aber denken Sie daran, die Portnummer und das Stammverzeichnis zu ändern. Wenn Sie PHP nicht benötigen und nur statische Inhalte bereitstellen wollen, können Sie den letzten Abschnitt aus der Konfigurationsdatei entfernen. Eventuell müssen Sie auch die Datei /etc/php/7.3/fpm/php.ini bearbeiten (ändern Sie die PHP-Version im Pfad auf die Version, die Sie verwenden).

Um die Konfiguration anzuwenden, starten Sie nginx neu.

sudo systemctl neu starten nginx

Deine versteckten Dienste sind immer noch nicht vom Tor-Netzwerk aus erreichbar. Du musst die Ports öffnen, die du für die versteckten Dienste verwendest, indem du die Whonix-Firewall in Whonix-Workstation bearbeitest

sudoedit /usr/local/etc/whonix_firewall.d/50_user.conf

Fügen Sie die folgenden Zeilen hinzu, um die Ports 80 und 81 zu öffnen.

EXTERNAL_OPEN_PORTS+=” 80 ”
EXTERNAL_OPEN_PORTS+=” 81 ”

Speichern Sie die Datei und schließen Sie den Editor. Starten Sie die Firewall neu, um die Änderungen zu übernehmen:

sudo whonix_firewall

2.5 Wie erzeugt man einen benutzerdefinierten .onion-Namen ?

Sie können ein benutzerdefiniertes Wort an den Anfang des .onion-Hostnamens stellen. Dies wird Vanity-.onion-Adresse genannt. Sie benötigen ein Tool, das dies generiert. Für v3 .onion-Dienste ist das empfohlene Programm mkp224o. Sie müssen den Quellcode herunterladen und ihn manuell kompilieren.

cd ~
sudo apt-get install gcc libsodium-dev make autoconf
wget https://github.com/cathugger/mkp224o/archive/master.zip
entpacken Sie master.zip
cd mkp224o-master
./autogen.sh
./Konfigurieren
make

Wenn mkp224o erfolgreich kompiliert, ist es bereit, Adressen zu erzeugen. Die Zeit, die benötigt wird, um eine Adresse zu finden, hängt von der Länge des benutzerdefinierten Präfixes ab. Die folgende Tabelle zeigt die ungefähre Berechnungszeit in Abhängigkeit von der Präfixlänge.

Präfixlänge Berechnungsgröße
1-3 >1 Sekunde
4 1-10 Sekunden
5 10-30 Sekunden
6 einige Minuten
7 15-30 Minuten
8 einige Stunden
9+ Tage bis Jahre

Um eine Adresse mit dem Präfix custom zu erzeugen, geben Sie ein

./mkp224o -n 1 benutzerdefiniert

Kopiere dann den Inhalt des neu generierten Ordners in das versteckte Dienstverzeichnis von Whonix-Gateway und starte Tor neu.

sudo cp ~/Ordner_name/* /var/lib/tor/hidden_service/
sudo systemctl neu starten tor
sudo systemctl status tor
sudo cat /var/lib/tor/hidden_service/hostname

Öffne den Tor-Browser auf deinem Host-Rechner und versuche, deine Webseite zu besuchen.

3. Beliebte .onion-Seiten
3.1 Verzeichnisse der Seiten

Das versteckte Wiki
Darknet Startseite
MegaLinks
TorNode
DarkDir

3.2 Dienste und Software

Tails – amnestisches Betriebssystem
SecureDrop – Dokumentenablage für Journalisten
The Qubes OS – sicheres Betriebssystem
ProtonMail – verschlüsselte Mails
Onion.Live – Online-Überprüfungsdienst

3.3 Nachrichten und Veröffentlichungen

ProPublica
Dark Web Journal
Flashlight 2.0
The Onion Web
New York Times

3.4 Foren und Gemeinschaften

Facebook .onion Dienst
Versteckte Antworten – Q&A Forum
Ramble – alternatives Twitter
Die freie Gemeinschaft