Mozilla-Projekt startet Tor-Relays

28.01.2015

Das Mozilla-Projekt setzt seine Ankündigung in die Tat um und startet Relay-Nodes im Tor-Netzwerk.

Wie im Zuge des Polaris-Projekts angekündigt, hat die Mozilla-Initiative Relay-Knoten zum Tor-Netzwerk beigesteuert, das anonymisierten Internet-Zugang bietet. Dafür setzt sie ausgemusterte Rechner in einem redundanten Setup ein. Es handelt sich um zwei Juniper-Switches EX4200 und drei HP-Server mit je 48 GByte RAM, zwei Xeon-Prozessoren und zwei GBit-Ethernet-Karten. Ans Internet angebunden sind die Tor-Relays über zwei 10-GBit-Leitungen. Dank des redundanten Setups arbeitet das Relay weiter, wenn ein Knoten ausfällt, bietet aber dann nur noch 50 Prozent der Kapazität.

In dem Blog-Beitrag, der das neue Relay ankündigt, erläutert ein Administrator die grundlegenden Überlegungen, Einschränkungen und die dahinter liegende Software-Infrastruktur. So ist es aus Sicherheitsgründen im Rahmen des Tor-Projekts gar nicht erlaubt, dass sich mehr als zwei Tor-Knoten eine IP-Adresse teilen. Andernfalls könnten Angreifer eine Vielzahl von Fake Nodes starten, um die Anonymisierung auszuhebeln. Außerdem dauere es bis zu zwei Monate, bis ein neu gestartetes Relay seine volle Bandbreite ausschöpfen könne. Man wolle deshalb die Auslastung genau beobachten und sei schon gespannt, ob auch der Mozilla Tor Node diesem Muster folge.

Zum Konfigurationsmanagement verwenden die Mozilla-Admins das Ansible-Tool, für das es bereits ein "ansible-tor"-Profil gibt, auf das sie zurückgreifen konnten. Ihre eigene Ansible-Konfiguration stellen sie auf Github zur Verfügung. Fürs Monitoring und die Visualisierung des Ressourcenverbrauchs setzen die Mozilla-Admins auf das Observium-Paket.

Die Mozilla-Administratoren haben eine Reihe von Maßnahmen ergriffen, um ihr Tor-Relay abzusichern. Neben strikten Firewall-Regeln und der Basis-Härtung durch das Abschalten überflüssiger Services ist dies ein gesonderter Schutz der Management-Interfaces durch Paketfilter.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Mozilla und Tor-Projekt werden Partner

Die neu gegründete Polaris-Initiative will sich künftig der Privatsphäre im Internet widmen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019