"Nos oignons" fournit 500 Mbits/s en plus pour le réseau Tor

Posté par . Édité par M5oul et Benoît Sibaud. Modéré par tankey. Licence CC by-sa
53
8
fév.
2015
Internet

Un an après les premiers nœuds ouverts par Nos oignons, nous avons lancé un nouveau nœud, hébergé chez l'association toulousaine Tetaneutral.

Ce nouveau relai, opérationnel depuis le samedi 15 novembre 2014, va progressivement monter en charge jusqu'à atteindre sa capacité théorique de 500 Mbits/s.

Nous l'avons nommé Marylou en référence au personnage du roman l'oiseau d'Amérique de Walter Tevis. Marylou rejoint donc les trois autres nœuds mis en place par Nos oignons.

Pour limiter l'encombrement et la consommation électrique, nous avons mis en œuvre Marylou sur un boîtier Intel NUC I5-4520, 8 Go de RAM DDR3 so-dimm, et un SSD Crucial M500 de 120 Go.

Merci à toutes celles et tous ceux qui ont permis de rendre possible sa mise en œuvre.

Grâce aux cotisations des membres et aux nombreux dons reçus, l'association a maintenant assez de trésorerie pour assurer ses services pendant six mois.

Nous voulons déployer des nœuds de sortie supplémentaires et chaque nouveau don compte. Participez pour aider au développement de Tor en France et défendre les libertés des communications électroniques !

  • # i2p

    Posté par (page perso) . Évalué à 1.

    Perso j'ai mit as dispo 1000MBits/s pour i2p via mon dédié mais sans que ce soit un noeux de sortie. Car i2p fait tout type de service (http, pop3, smtp, irc, udp, tcp, …) et pas seulement le http comme le fait Tor.

    Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

    • [^] # Re: i2p

      Posté par (page perso) . Évalué à 2.

      I2P n'est pas un réseau fermé, sans accès vers Internet ?

      Opera le fait depuis 10 ans.

    • [^] # Re: i2p

      Posté par . Évalué à 10.

      Tor n'est pas limité au protocole http ! Voir: https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO où l'on voit que de nombreux programmes et protocoles peuvent circuler via Tor.

      • [^] # Re: i2p

        Posté par (page perso) . Évalué à 1.

        Est-ce comme ça qu'est construit Tails, en torrifiant tous les protocoles ?

        « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

        • [^] # Re: i2p

          Posté par . Évalué à 3.

          Oui, c'est l'idée derrière Tails, tout est torrifié ;)
          Il faut spécifiquement l'application "Navigateur non-securisé" pour faire du http sans passer par Tor.

      • [^] # Re: i2p

        Posté par . Évalué à -10.

        Tor ne supporte pas les VPN : donc déjà ça fouette,
        Tor a des failles,
        Tor a certains nœuds de sortie et d'entrée qui sont compromis, si par malheur vous passez par un nœuds NSA friendly … bye bye l’anonymisation ! (entry, middle, exit node)

        I2P semble bien plus robuste.

        • [^] # Re: i2p

          Posté par . Évalué à 1.

          • [^] # Re: i2p

            Posté par (page perso) . Évalué à 10.

            Tor ne supporte pas les VPN : donc déjà ça fouette,

            Tu peux très bien faire passer tout ce que tu veux par Tor, tant que c'est en TCP, y compris ton VPN si tu en as envie.
            Surtout qu'utiliser un VPN derrière Tor fait souvent plus de mal que de bien.

            Tor a des failles,

            C'est un peu le principe d'un logiciel en fait. C'est plutôt positif que Tor soit scruté et audité par plein de monde,
            qui remonte des failles, plutôt que d'avoir un logiciel dont tout le monde se fiche, troué de partout, mais sans failles publiques.

            Tor a certains nœuds de sortie et d'entrée qui sont compromis, si par malheur vous passez par un nœuds NSA friendly … bye bye l’anonymisation ! (entry, middle, exit node)

            Pas du tout, c'est le principe de Tor. Par exemple, si ton exit-node est "compromis", il peut espionner le trafic sortant, mais c'est tout, tu restes anonyme.

            I2P semble bien plus robuste.

            Pourquoi ?
            Parce qu'il n'a pas été audité ? Ou parce que personne ne tente de l'attaquer ?
            Moi aussi je peux troller sur i2p ;)

            Exemple ici :
            https://www.torproject.org/docs/faq.html.en#AttacksOnOnionRouting

            Chouette, il y a un threat model, et les faiblesses sont documentées. Où est le soucis ?

            • [^] # Re: i2p

              Posté par . Évalué à 1. Dernière modification le 10/02/15 à 23:55.

              Tor a certains nœuds de sortie et d'entrée qui sont compromis, si par malheur vous passez par un nœuds NSA friendly … bye bye l’anonymisation ! (entry, middle, exit node)

              Pas du tout, c'est le principe de Tor. Par exemple, si ton exit-node est "compromis", il peut espionner le trafic sortant, mais c'est tout, tu restes anonyme.

              En supposant que l'entry-node et l'exit-node sont "compromis" par la même entité, celle-ci peut détecter que je suis la même personne, et donc lever mon anonymat (même si le contenu du trafic peut rester secret, s'il est en https). Est ce que je me trompe ?

              bépo powered

              • [^] # Re: i2p

                Posté par (page perso) . Évalué à 2.

                En supposant que l'entry-node et l'exit-node sont "compromis" par la même entité, celle-ci peut détecter que je suis la même personne

                Ta machine est également un nœud qui fait transiter des données. Donc le nœud d'entrée compromis est en fait un autre nœud intermédiaire et ne va voir que du trafic qui vient d'on ne sait pas où.
                Mais une analyse statistique permet très probablement de lever le doute, surtout si tu es derrière une ligne à débit asymétrique.

                • [^] # Re: i2p

                  Posté par (page perso) . Évalué à 2. Dernière modification le 17/02/15 à 14:44.

                  Non, le client Tor est (relativement) facilement discernable d'un nœud du réseau, vu que la liste des nœuds est publique.
                  (Il faut aussi gérer le cas des bridges, mais ce n'est pas trop dur)

                  Pour une discussion détaillée, il y a un article de Roger Dingledine datant de 2013. Depuis, les clients Tor sont passés à un seul entry guard avec une grande durée de vie, pour réduire les chances de succès de l'attaquant.

  • # Responsabilité des connexions sortantes

    Posté par (page perso) . Évalué à 10.

    Je me suis toujours demander quelle était la responsabilité d'une personne mettant à disposition un nœud de sortie.

    Si une personne passe par un de vos nœuds de sortie pour aller sur des sites illicites : quel est votre implication aux yeux de la loi ?

    • [^] # Re: Responsabilité des connexions sortantes

      Posté par . Évalué à 10.

      Le lien donné dans l'article fournit peut-être une réponse à ta question : https://nos-oignons.net/%C3%80_propos/index.fr.html

      Et c'est légal tout ça ?

      Un relai Tor est un simple transporteur d'information (mere conduit) au sens de l'article 12 de la directive européenne 2000/31/CE du 8 juin 2000 : nous ne sommes pas à l'origine des transmissions, nous ne sélectionnons pas les destinataires des transmissions, nous ne sélectionnons pas et ne modifions pas les informations faisant l'objet des transmissions. Nous ne sommes donc pas responsables des informations que nous relayons.

      Cet article a été transcrit en droit français par l'article L32-3-3 du Code des Postes et Communication Électroniques.

      • [^] # Re: Responsabilité des connexions sortantes

        Posté par (page perso) . Évalué à 5.

        Ça répond même très bien à ma question… En gros, on est assimilé à un routeur opérateur.

        Merci!

      • [^] # Re: Responsabilité des connexions sortantes

        Posté par (page perso) . Évalué à 5. Dernière modification le 09/02/15 à 20:01.

        nous ne sommes pas à l'origine des transmissions, nous ne sélectionnons pas les destinataires des transmissions, nous ne sélectionnons pas et ne modifions pas les informations faisant l'objet des transmissions

        Ce qui est transmis n'est pas modifié, mais tout n'est pas transmissible. « Currently, the policy allows approximately 65 ports. » cf https://trac.torproject.org/projects/tor/wiki/doc/ReducedExitPolicy

        • [^] # Re: Responsabilité des connexions sortantes

          Posté par (page perso) . Évalué à 1.

          Justement, le filtre ne se passe que sur des couples l'IP et le port de destination (dans le cas de la politique appliquée par Nos oignons, port uniquement (sauf pour les bogons type IP RFC1918)).
          Il n'y a pas de filtrage de l'information elle-même.

      • [^] # Re: Responsabilité des connexions sortantes

        Posté par (page perso) . Évalué à 3.

        Dans ce cas, pourquoi tous les nœuds européens ne font pas également nœuds de sortie ?

        • [^] # Re: Responsabilité des connexions sortantes

          Posté par (page perso) . Évalué à 4.

          Au delà de la loi, nombre d'hébergeurs interdisent l'utilisation de leurs resources pour certains usages dont les noeuds de sortie même si ça n'est pas forcément spécifié tel quel.

          Par exemple, chez Gandi il y a une obligation de préserver la réputation de l'adresse IP. Sans filtrer énormément, ça va être compliqué de faire un noeud de sortie.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Exit node chez Gandi

            Posté par (page perso) . Évalué à 3.

            Il y a des exit nodes chez Gandi (en particulier ekumen de Nos oignons).
            Le problème qui nous a poussé à leur demander de nous financer un nœud, c'est qu'ils facturent maintenant la bande passante; ça a asphyxié beaucoup de nœuds Tor anciennement hébergés chez Gandi.

      • [^] # Re: Responsabilité des connexions sortantes

        Posté par (page perso) . Évalué à 8. Dernière modification le 09/02/15 à 20:40.

        Mais tu caches volontairement l'éméteur, donc tu sors de ce champs pour en prendre la responsabilité (exactement comme un fournisseur de VPN et même simplement un FAI doit pouvoir dire quel client est la à tel moment sur telle IP).

        Et c'est simple à démontrer par l'absurde : si tu es comme un routeur qui route seulement, pourquoi donc ceux qui ont de l'argent à perdre (parce que bon, quelques personnes qui n'ont pas de patrimoine et qui s'amusent à faire ça, OK, mais j'attend de voir des gens avec du patrimoine qui va le faire) ne font pas plus de Tor à la place d'avoir peur de son impact judiciaire? Genre Mozilla, d'ailleurs, pour rester dans le sujet, qui ne fait pas de noeuds de sortie.

        • [^] # Re: Responsabilité des connexions sortantes

          Posté par . Évalué à 5.

          Ben il y a déjà le fait que Mozilla n'est pas basée en France, s'ils mettent leurs serveurs aux USA vers là où ils sont, ils peuvent essayer de faire appliquer la loi française, mais ça risque de ne pas marcher.

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # Titre ?

    Posté par . Évalué à 3.

    Il n'y aurait pas une faute dans le titre ?
    Nos oignons fournissent

    • [^] # Non

      Posté par . Évalué à 10.

      L'association s'appelant "Nos oignons", il faut lire : "L'association "Nos oignons" fournit 500 Mbits/s en plus pour le réseau Tor".

  • # QoS ? Protection ?

    Posté par . Évalué à 5.

    Hello,

    Petite question anodine et très naïve par rapport à cette info :

    Ce nouveau relai, opérationnel depuis le samedi 15 novembre 2014, va progressivement monter en charge jusqu'à atteindre sa capacité théorique de 500 Mbits/s

    De ce que j'avais cru comprendre (mais je peux m'être trompé, me vautrer comme une loutre ou les besoins avoir changé), il n'est pas bon d'avoir des noeuds tor à trop grande capacité "comparé aux autres noeuds", non ?

    Cela fait peut-être passer plus de trafic dédié à un service par le même noeud ou rend le réseau plus tolérent aux pannes / attaques MITM ? Honnêtement, je n'ai plus l'argument exact en tête, et à nouveau il a peut-être changé depuis quelques années.

    Y-a-t'il une raison rationnelle à l'augmentation progressive ? Autre que pur test technique de montée en charge ?

    Et du coup, si ce n'était que technique et que oui, il vallait mieux se caller sur les autres, pourquoi mettre en valeur ce débit théorique, qui d'un autre côté viendrait au détriment de la qualité de service Tor ?

    • [^] # Re: QoS ? Protection ?

      Posté par (page perso) . Évalué à 3. Dernière modification le 17/02/15 à 14:59.

      Il n'est pas bon d'avoir des noeuds tor à trop grande capacité "comparé aux autres noeuds", non ?

      Il est bon d'avoir plus de nœuds à grande capacité. 500 Mbit/s ne nous positionne définitivement pas en tête des nœuds les plus véloces.
      De plus, les utilisations gourmandes en bande passante (streaming, visioconférence, …) sont des plus en plus courantes, et la bande passante des nœuds qui sont dans le circuit sélectionné (en particulier, le nœud de sortie) est un facteur crucial.

      […] passer plus de trafic dédié à un service par le même noeud […]

      Tor n'associe pas des services à des nœuds (sauf dans le cas des hidden services, mais c'est encore une autre histoire).
      Ce serait trop facile de chercher à faire associer un exit node (sous mon contrôle) à linuxfr.org, puis lancer une attaque ciblée, par exemple sslstrip ?

      Y-a-t'il une raison rationnelle à l'augmentation progressive ? Autre que pur test technique de montée en charge ?

      « L'augmentation progressive » fait partie du cycle de vie d'un nœud : quand il est lancé, le réseau ne lui confie que peu/pas de données à transporter. Puis certains nœuds vont faire des tests pour mesurer la bande passante effective, et comparer avec celle annoncée par le nœud, etc …
      C'est expliqué en détails (et en anglais) par Roger Dingledine.

      Sinon, je n'ai pas du tout compris ce que tu veux dire par « la qualité de service Tor ».

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.