Tor : sortie chelou et une heure de bidouille

Jug33keries, websurveillance
Facebooktwitterlinkedinmailby feather

Aujourd’hui, on va apprendre que ça peut servir de mater les connexions sortantes de son firewall.

J’ai changé d’OS il y a quelques temps en Upgradant mon Ubuntu pour passer à la LTS 12.04 et je dois dire que j’en suis très contente. Je prépare d’ailleurs une série de billets sur le sujet.

J’essaie, entre autres bonnes pratiques, d’avoir un œil sur les connexions entrantes/sortantes du firewall.

Ce soir là donc, au rayon des sorties, une connexion SSH vers un serveur où se trouve mon screen avec IRSSI, de l’IMAP pour les mails sur Thunderbird, des fenêtres et onglets ouverts sur Firefox et… une connexion sortant vers une IP Tor sur le port 443, m’indique la machine.

Capture d’écran 2013-05-03 à 11.14.47

Or, Tor n’est pas (encore) installé sur la machine. C’est là que les interrogations commencent.

Je lance un Whois de l’adresse IP en question, on me répond qu’il s’agit d’un nœud de sortie Tor.

Hmm hmm… (clique sur l’illustration pour l’agrandir)

Capture du 2013-05-03 07_41_32

Je me souviens.. J’avais essayé de l’installer mais, rencontrant un problème, visiblement assez courant, « exit code 127 » j’avais lancé la commande dans un terminal, comme indiqué dans ce tuto (ouais, des fois, j’aime tester des trucs fous…).

 ./start-tor-browser –debug

Et cela ne fonctionnait toujours pas.

Après m’être gratté la tête, j’avais repris ma configuration de machine, fichu le dossier Tor à la poubelle en attendant de m’y remettre une autre fois. Les jours ont passé jusqu’à ce que cette sortie apparaisse dans mon firewall.

Ne sachant pas d’où cela venait (et si le débug avait fonctionné ? et si oui pourquoi l’interface graphique ne veut pas s’afficher ?) et par mesure de sécurité, j’ai décidé de bloquer l’IP en question histoire de ne plus avoir de connexion sortante vers cette adresse.

Capture du 2013-05-02 19_23_23

A ce stade, je suis arrivée au bout de ma (toute) petite science et j’ai donc pingué les copains. Merci au passage à Vigdis et Kaiyou qui ont pris le relais. Après une petite explication de la situation et les captures d’écran pastées ici, le diagnostic est simple, Tor is running.

Sauf que je n’ai pas installé Tor et que pour qu’il mouline, d’habitude, il faut le mettre en route. Vigdis me conseille une commande :

dpkg -l |grep Tor

Effectivement, une liste de services Tor apparaît. Le machin est bien en train de tourner en arrière plan mais sans que je ne l’ai demandé. J’ai donc décidé de virer l’IP des connexions à bloquer et surtout de désinstaller le tout et refaire une install toute propre où je pourrai configurer un relais via clicodrome… Pour gérer tout ça en ligne de commande, on va encore attendre un peu.

Au final, j’ai passé plus d’une heure sur cette histoire, j’ai pas mal cherché et bidouillé toute seule, appris plein de trucs… level up. Suite au prochain épisode. En attendant…

sudo apt-get autoremove tor

  • Les liens qui vont bien

Le site de Tor
Pourquoi il faut s’y mettre. Il était une fois un clicodrome

This post has already been read 1411 times!

twitterlinkedinby feather

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *