Bewährte Praktiken für den Hosting Onion Service

Lesedauer 8 Minuten

Übersicht Hosting Guide Onion Service

1. Wie Sie diese Anleitung verwenden.
2. Onion Services installieren und konfigurieren
   a. Stelle sicher, dass deine Tor-Software aktualisiert ist
   b. Viele Dinge können zu Onion-Diensten gemacht werden
   c. Betreibe keinen Relay zur gleichen Zeit
   d. Überwache die Verfügbarkeit deiner Onion-Dienste
   e. Mehrere Ports für einen Onion-Dienst
   f. SSL/TLS ist nicht notwendig
   g. Onion-Dienste und Rails 4
3. Onion Dienste können gefunden werden
   a. Den echten Server ausspähen
   b. OnionScan
   c. Onion-Dienste müssen nicht versteckt werden
   d. Machen Sie Ihre Onion-Dienste leicht zu finden
   e. Bitten Sie Ihren bevorzugten Online-Dienst, einen Onion-Dienst anzubieten!
   f. Verschieben von Onion-Diensten
4. Schützen Sie Ihre Dienste
   a. Schützen Sie Ihre privaten Schlüssel
   b. Sichern Sie Ihre privaten Schlüssel
   c. Seien Sie vorsichtig mit Umgehungen des lokalen Hosts
   d. Sie können die Nutzung von Onion-Diensten von einer Authentifizierung abhängig machen.
   e. Schützen Sie Ihre Onion-Dienste vor fortgeschrittenen Angriffen

Wie Sie diese Onion Hosting Anleitung verwenden

Hier finden Sie Informationen über den Betrieb von Onion Services, die auf unseren Erfahrungen mit dem Betrieb von Onion Services und hilfreichen Tipps von Leuten wie Ihnen basieren. Wenn du einen hilfreichen Tipp hast oder diese Anleitung in eine andere Sprache übersetzen kannst, dann hilf uns bitte.

“Onion Services” waren vorher als “Tor Hidden Services” bekannt, wurden aber umbenannt, da “Hidden Service” nicht genau beschreibt, was möglich ist. Diese Anleitung verwendet den neuen Namen.

Onion-Dienste installieren und konfigurieren
Für Informationen zur Konfiguration der Onion-Dienste, lies bitte die Anleitung des Tor-Projekts

Stelle sicher, dass deine Tor-Software auf dem neuesten Stand ist

Es reicht nicht aus, Tor zu installieren und den Zwiebel-Dienst zu konfigurieren und ihn dann zu vergessen. Du musst ihn auf dem neuesten Stand halten, damit kritische Sicherheitslücken behoben werden. Jede Software hat Fehler, und Tor ist da keine Ausnahme. Stelle sicher, dass du deine Software auf dem neuesten Stand hältst.

Viele Dinge können zu Onion-Diensten gemacht werden

Du kannst eine Menge Dinge über Onion-Dienste machen, nicht nur eine Webseite zur Verfügung stellen! Du kannst auch IMAP oder SMTP anbieten, oder Mails zwischen MTAs zustellen, neben vielen anderen Möglichkeiten. Verbreiten Sie die Zwiebeln weit und breit! Aber Vorsicht: Wenn der Dienst aus irgendeinem Grund DNS-Anfragen stellt (z. B. um herauszufinden, wo sich der SMTP-Server befindet, an den die E-Mail gesendet werden soll), dann gehen Informationen verloren. Eine Möglichkeit, dies zu umgehen, ist, den Rechner, auf dem dein Dienst läuft, so zu konfigurieren, dass er immer durch Tor geht.

Betreibe keinen Relay zur gleichen Zeit

Betreibe nicht einen Server und einen Onion-Dienst auf der gleichen Instanz. Ein Relay und ein Onion-Dienst auf der gleichen IP und/oder Maschine zu haben, hilft bei der Korrelation des Traffics und dem Fingerprinting. Tor ist jedoch schlau genug, sich selbst nicht als Knoten für die Verbindung zu wählen, also ist es keine Katastrophe, aber idealerweise willst du es vermeiden.

Überwache die Verfügbarkeit deiner Onion-Dienste

Obwohl sich die Stabilität der Onion-Dienste stark verbessert hat, können sie immer noch aus verschiedenen Gründen ausfallen. Richten Sie eine Überwachung ein, um sich regelmäßig mit Ihren Onion-Diensten zu verbinden und sicherzustellen, dass sie noch funktionieren.

Mehrere Ports für einen Onion-Dienst

Sie müssen nicht für jeden Dienst, den Sie zur Verfügung stellen wollen, einen anderen Onion-Dienst erstellen, sondern fügen beispielsweise einfach weitere HiddenServicePort-Zeilen hinzu:

Wenn du mehrere Zwiebel-Dienste mit demselben Tor-Client betreiben willst, füge einfach eine weitere HiddenServiceDir-Zeile in die Konfigurationsdatei ein.

SSL/TLS ist nicht notwendig
Du brauchst nicht wirklich SSL/TLS in einer Zwiebeladresse (d.h. https), da es ein komplett verschlüsselter Tunnel + PFS (perfect forward secrecy) ist, aber es schadet nicht, zusätzliche Schichten in der Zwiebel zu haben!

Obwohl es stimmt, dass zusätzliche Schichten gut sind, sollten Sie sich darüber im Klaren sein, dass eine Umleitung zu SSL/TLS normalerweise bedeutet, dass das Zertifikat nicht validiert wird (weil der Hostname *.onion lautet und nicht das Zertifikat, das Sie für Ihren öffentlichen Dienst haben). Wenn Sie ein .onion-Zertifikat bekommen können, funktioniert das!

Wenn Ihr Onion-Dienst TLS verwendet, stellen Sie sicher, dass er kein Zertifikat für eine externe Website sendet.

Onion-Dienste und Rails 4

Damit eine .onion-Website mit Rails zusammenarbeiten kann und auch ohne .onion über HTTPS funktioniert, müssen Sie ein paar Standardeinstellungen ändern.

Das erste, was geändert werden muss, ist die Option config.force_ssl = true nicht zu verwenden. Diese Option ist die Standardeinstellung für Rails-Anwendungen in der Produktion. Diese Einstellung erzwingt sichere Cookies und erzwingt HSTS. Ändern Sie my_rails_app/config/environments/production.rb zu sein:

config.force_ssl = false

Sobald wir force_ssl = false gesetzt haben, wollen wir die Fähigkeit, sichere Cookies und HSTS bei der Verwendung von normalem HTTPS zu erzwingen, wieder hinzufügen. Dazu stellen wir sicher, dass der Webserver die HSTS-Header für den virtuellen HTTPS-Host setzt, und wir fügen das secureheaders-Gem hinzu, um sichere Cookies zu erzwingen. Der secureheaders-Gem setzt das Secure-Cookie-Flag nur für HTTPS-Verbindungen, im Gegensatz zum Rails-Flag force_ssl. Dies ermöglicht es, sichere Cookies für die reguläre HTTPS-Site und unsichere Cookies für die .onion-Site zu verwenden, was wir wollen.

Installiere das secureheaders gem für deine Anwendung, in my_rails_app/Gemfile:

gem 'secure_headers', '~> 3.5'

(ersetzen Sie 3.5 mit der aktuellen Version von secureheaders)

Füge eine secureheaders Konfiguration hinzu, in config/initializers/secureheaders.rb:

    SecureHeaders::Configuration.default do |config|
      config.cookies = {
        secure: true,
        httponly: true,
        samesite: {
          strict: true
        }
      }
    end

HINWEIS: Wenn Sie Apache oder Nginx in diesem Setup konfigurieren, setzen Sie die Umgebungsvariable X_FORWARDED_PROTO nicht auf https für den Port 80 des virtuellen Zwiebelhosts. Sie sollten sie auf den virtuellen Nicht-Onion-Hosts mit Port :443 setzen.

Onion-Dienste können gefunden werden
Wenn Sie nicht sehr vorsichtig sind und Ihren Server davon abhalten, identifizierende Informationen über Sie, Ihren Computer oder Ihren Standort preiszugeben, dann wird der Onion-Dienst nicht mehr versteckt sein!

Den echten Server verraten
Ein häufiger Fehler sind Serversignaturen. So lässt sich beispielsweise leicht feststellen, ob es sich bei einem Webserver um thttpd oder Apache handelt, oder man erfährt etwas über sein Betriebssystem, weil das Banner die Version des laufenden Dienstes und des Betriebssystems angibt.

Ein anderer Weg, wie deine Onion-Adresse herauskommt, ist über den Referrer-Header in Browsern, wenn ein Kunde eine Website eines versteckten Dienstes aufruft und dann auf einen Link zu einem Clearnet/Versteckten Dienst klickt. Der Tor-Browser hat sich um viele dieser kleinen Lecks gekümmert, also ermutige deine Benutzer, einen aktuellen Tor-Browser zu benutzen, anstatt ihren eigenen Browser mit Tor zu benutzen.

Wenn der Server, auf dem der Zwiebel-Dienst läuft, auch für das Clearnetz zugänglich ist, stellen Sie sicher, dass Sie bei einer Verbindung zum Clearnetz-Dienst oder zum Zwiebel-Dienst nicht den anderen Dienst im Host-Header angeben und eine Antwort erhalten können. Sie sollten sicherstellen, dass der Onion-Dienst nur auf der internen IP-Adresse lauscht und Ihr externer Dienst nur auf der externen IP-Adresse lauscht. Der einfachste Weg, um sicherzustellen, dass es hier keine Fehler gibt, ist, Ihren Dienst auf einem Rechner laufen zu lassen, der keine externe IP-Adresse hat.

Vergewissern Sie sich, dass die Zeit auf Ihrem Server korrekt ist und automatisch durch NTP korrigiert wird, damit Zeitverschiebungen nicht zur Identifizierung Ihres Servers beitragen.

Vergewissern Sie sich, dass Sie nicht versehentlich Informationen preisgeben, z. B. können Sie mit PHP den wirklichen Namen/die wirkliche Adresse des Servers preisgeben, wenn Sie phpinfo() oder $_SERVER durchsickern lassen, oder Fehlermeldungen preisgeben!

Prüfen Sie, wie Sie sich gegen Server Side Request Forgery (SSRF) schützen können. Dieser Angriff funktioniert, indem der Server dazu gebracht wird, eine externe Verbindung herzustellen (DNS-Abfrage usw.), wodurch der tatsächliche Standort Ihres Rechners aufgedeckt werden kann. Strenge Egress-Firewalls sind eine Möglichkeit, dieses Problem zu entschärfen.

Je länger ein Onion-Dienst online ist, desto größer ist das Risiko, dass sein Standort entdeckt wird. Die bekanntesten Angriffe bestehen in der Erstellung eines Profils der Verfügbarkeit des Onion-Dienstes und dem Abgleich von induzierten Verkehrsmustern.

Derzeit gibt es im Protokoll Möglichkeiten, wie ein böser Relay Ihre Onion-Adresse in Erfahrung bringen kann, selbst wenn Sie niemandem davon erzählen. Verfolge die Diskussion zu diesem Thema, wenn du auf dem Laufenden bleiben willst, wie das Tor-Projekt an der Behebung dieser Probleme arbeitet.

OnionScan

Verwenden Sie das Tool [OnionScan→onionscan.org], um HTTP-Onion-Dienste auf undichte Stellen zu überprüfen. Es sucht nach IP-Adressen, EXIF-Metadaten in Bildern und Dingen wie aktiviertem mod_status, die die echte IP-Adresse des Servers verraten können.

Onion-Dienste müssen nicht versteckt werden
Sie können einen Onion-Dienst für einen Dienst anbieten, den Sie öffentlich auf einem Server anbieten, der nicht versteckt werden soll. Onion-Dienste sind nützlich, um die Nutzer vor passiver Netzüberwachung zu schützen, denn sie verhindern, dass Schnüffler erfahren, von wo und wohin sich die Nutzer verbinden.

Machen Sie Ihre Onion-Dienste leicht zu finden
Wenn Sie Onion-Dienste anbieten, machen Sie sie Ihren Nutzern bekannt, indem Sie ihre Existenz, ihre Onion-Hostnamen und die von ihnen bereitgestellten Ports auf eine Weise bekannt machen, die ihre Legitimität bestätigt (Sie könnten z. B. die Liste der Onion-Adressen digital signieren, wie es Riseup tut, oder sie in DNS txt-Einträge aufnehmen).

Bitten Sie Ihren bevorzugten Online-Dienst, einen Onion-Dienst anzubieten!
Setzen Sie sich für mehr Onion-Dienste ein, indem Sie diejenigen, die die von Ihnen genutzten Dienste anbieten, bitten, sie verfügbar zu machen. Sie sind einfach einzurichten und zu warten, und es gibt keinen Grund, sie nicht anzubieten!

Onion-Dienste verschieben
Du kannst Onion-Dienste zwischen Systemen verschieben. Kopiere einfach das Verzeichnis /var/lib/tor/<hidden_service> auf das neue System und stelle sicher, dass die torrc auf dem neuen System die gleiche Konfiguration hat wie auf dem alten. Stellen Sie sicher, dass Sie den alten Dienst deaktivieren und beenden, bevor Sie den neuen starten. Das Onion-Dienst-Verzeichnis enthält lediglich den Hostnamen des Onion-Dienstes und den privaten Schlüssel.

Schützen Sie Ihre privaten Schlüssel
Halten Sie den privaten Schlüssel des Onion-Dienstes privat! Dieser Schlüssel sollte nicht öffentlich zugänglich sein, er sollte nicht weitergegeben werden und er sollte die richtigen Berechtigungen haben, damit er von niemandem auf deinem System gelesen werden kann, außer vom Tor-Prozess.

Sichere deine privaten Schlüssel
Wenn du planst, deinen Dienst für eine lange Zeit verfügbar zu halten, solltest du eine Sicherungskopie der Datei private_key an einem sicheren Ort anlegen.

Sei vorsichtig mit Localhost-Bypässen!
Sie sollten sehr sorgfältig darauf achten, dass Sie nicht versehentlich Dinge auf Ihrem Server preisgeben, die auf den lokalen Rechner beschränkt sind. Wenn Sie z.B. /server-status in apache bereitstellen (von mod_status, das standardmäßig in Debians apache aktiviert ist), um den Zustand Ihres apache-Webservers zu überwachen, wird dies typischerweise so eingeschränkt, dass nur der Zugriff von 127.0.0.1 erlaubt ist, oder Sie haben .htaccess-Regeln, die nur localhost erlauben, usw.

Es gibt mehrere Möglichkeiten, wie Sie dieses Problem lösen können:

Anderer Rechner: Ziehen Sie in Erwägung, den Onion-Dienst auf einem anderen Rechner (real oder virtuell) laufen zu lassen als den eigentlichen Dienst. Dies hat den Vorteil, dass Sie den Dienst vom Onion-Dienst isolieren können (eine Kompromittierung des einen gefährdet nicht den anderen) und hilft bei der Isolierung potenzieller Informationslecks

Isolation: Ähnlich wie oben, kannst du auch Tor und den Dienst isolieren, so dass er in einem anderen Netzwerk-Namensraum läuft als der Dienst. Tails benutzt einen Tor-or-fail-Paketfilter.

public ip: Konfiguriere den Zwiebel-Dienst so, dass er sich mit der öffentlichen IP-Adresse des Dienstes verbindet, anstatt mit localhost/127.0.0.1. Das sollte Tor davon abhalten, 127.0.0.1 als Quelladresse zu wählen und verhindert die meisten Fehlkonfigurationen. Zum Beispiel so:

HiddenServiceDir /var/lib/tor/hidden/ftp/
HiddenServicePort 80 192.168.1.1:81

Hinweis: Dies macht Ihren Server und vhost potenziell für eine externe Entität erreichbar. Es gibt eine wachsende Zahl von Versuchen, den wahren Standort von Websites hinter cloudflare zu entdecken, die schlecht konfiguriert sind, weil sie ihren wahren httpd immer noch auf einer öffentlichen IP-Adresse offenlegen. Es werden regelmäßig masscan und zmap verwendet, um den gesamten ipv4-Adressraum zu scannen und zu versuchen, sich mit einem öffentlich zugänglichen httpd zu verbinden und “hochwertige” Onion-Adressen vom httpd anzufordern, um zu sehen, ob sie einen Host-Header senden und die Website dazu bringen, ihre untersuchten vhosts-Inhalte zu liefern.

Die Bindung an einen Port, der sich vom “wahren” Port unterscheidet, ist eine Quelle für ein mögliches Leck im Apache. Wenn es ein Verzeichnis gibt, z.B. foo.onion/css/, dann wird eine Anfrage an foo.onion/css den Apache veranlassen, eine 301-Weiterleitung zu senden, aber wenn er sie ausgibt, wird er den Port angeben, von dem er denkt, dass der Dienst ihn abhört. Anstatt eine 301 an foo.onion/css/ zu senden, würde er eine 301 an foo.onion:81/css/ senden, was sowohl die Website beschädigt als auch den Port verrät, auf dem der httpd wirklich läuft.

• Unix-Socket: Ziehe in Erwägung, Unix-Socket-Unterstützung anstelle eines TCP-Sockets zu verwenden (erfordert Tor 0.26 oder höher) – wenn du dies tust, wird der Onion-Dienst auf demselben Server laufen wie der Dienst selbst. Mit einem Socket-Ansatz solltest du in der Lage sein, mit privateetwork=yes in systemd unit zu laufen, was dir eine wirklich großartige Isolation ermöglicht, zum Beispiel:

  HiddenServicePort 80 unix:/etc/lighttpd/unix.sock

  Aber dann muss der Dienst selbst Unix-Sockets unterstützen, andernfalls müssen Sie eine socat-Umleitung von tcp <→ unix einrichten (nginx, twisted, lighttpd unterstützen dies alle).

Überprüfen Sie Ihr System sorgfältig auf Konfigurationen, die localhost/127.0.0.1 zulassen, aber alles andere verbieten, und konfigurieren Sie diese so, dass das Problem umgangen wird (z.B. lassen Sie /server-status auf einer anderen IP-Adresse arbeiten; lassen Sie den Webserver auf einem anderen Port für /server-status lauschen; lassen Sie ihn durch ein Passwort schützen, usw.).

Sie können die Nutzung von Zwiebel-Diensten von einer Authentifizierung abhängig machen.

Wenn Sie HiddenServiceAuthorizeClient setzen (siehe Manpage), dann ist der Dienst nur für autorisierte Clients verfügbar. Das bedeutet, dass du den Dienst nicht einmal angreifen kannst, es sei denn, du knackst Tor (oder hast den Autorisierungsschlüssel).

Schütze deine Onion-Dienste vor fortgeschrittenen Angriffen
Wenn du einen hochsicheren Onion-Dienst betreibst, der von hochentwickelten Angreifern angegriffen wird, solltest du das Addon Vanguards installieren, das verschiedene fortgeschrittene Angriffe abwehrt. Bitte lies den Blogbeitrag des Tor-Projekts, wie du dieses Tool installierst und benutzt.

Zusätzlich kannst du auch Sandbox 1 in deiner torrc aktivieren, um das eingebaute Sandboxing zu aktivieren.

Download Link: Vanguards Onion Service Addon