IP forwarding needed?

[schiermi]

Why is it needed to enable IP forwarding? This allows all non-TCP connections to bypass TOR and exposes the real IP.

[netzwelt]

As far as I know the iptables configured for the tor router would not work without ip_forward.

What non-TCP connections are you talking about? Could you please specify?
http and https both use tcp.

If you would like to propose a modification feel free to do so.

[balu-]

UDP-"Connections" as one possibility.
You are right that http and https both use tcp but there are a lot of other protocols out there and most people dont even know which protocols are used by the software on their computer.
So I think one should not simply forward traffic and thereby bypass TOR.
The users are not aware of this possibilty and think he/she is savely using TOR while connected to SPONionPi.

[netzwelt]

Hi Balu,

I know what you meant by "non-TCP" connections in general - I am just asking you to specify what service you would like to use, so we could have a look on it and the way the traffic is handled - and if it is handled correctly.

So far the SPONionPi is mainly used for browsing via tor. We tested ssh as well - and both services work. ftp should work as well.

[balu-]

Hi netzwelt,

Why does any concret Service matter?
My point is not any concret Service,
my point is you communicate to your readers that if they use the sponionpi their traffic is routed through tor,
and thats in fact not completly true.
I cloud now mention services that use udp, (like openvpn, sip, etc.) and therefor are not routed via tor, but this doesn't get us any further.

My point is that this forwarding of traffic should not happen, because it exposes the real ip and sends unencrypted traffic.

If you just need some service to reproduce the problem just use netcat and send some udp packets or any other service that uses udp.

(Further to simplify it says at https://www.torproject.org/about/overview that "Tor only works for TCP streams and can be used by any application with SOCKS support." so basicly udp connections can not work through tor and if they do through sponionpi they are not going through tor.)

[balu-]

Nochmal in deutsch um jede Unklarheit auszuräumen:
Ihre Skripte haben in meinen Augen eine massive Lücke, sie leiten UDP-Traffik im Klartext und nicht anonymisiert weiter vom "Sponionpi" wlan in das zweite wlan weiter.
Ich fordere sie dringen auf das Problem zu beheben oder zumindest in dem Spiegelonline Artikel entsprechend darauf hin zu weisen.
Alles andere halte ich gerade in der aktuellen Situation für extrem fahrlässig, vorallem in dem Kontext das sich der Artikel an Technisch weniger bewanderte Nutzer wendet!

[netzwelt]

Lieber balu,

da Sie ihre letzte Frage auch in Ihrem letzten Post gleich selbst beantwortet haben, bin ich davon ausgegangen, dass sich damit ihr Kommentar erledigt hat.

--- Why does any concret Service matter?
Ich wollte Ihnen helfen vielleicht ein Lösung zu finden oder eine Alternative, die Sie nutzen können.
Da sie aber keinen Service nennen, den Sie nutzen wollen, sondern generelle Kritik am Tor-Netzwerk äußern, ist das wohl nicht möglich.

--->My point is that this forwarding of traffic should not happen, because it exposes the real ip and sends unencrypted --->>traffic.
Wenn Sie eine andere Methode zur Nutzung des Tor-Netzwerkes oder einen funktionierenden workaround vorschlagen wollen, so können Sie dies gerne tun.

--->(Further to simplify it says at https://www.torproject.org/about/overview that "Tor only works for TCP streams and --->can >be used by any application with SOCKS support." so basicly udp connections can not work through tor and if --->they do >through sponionpi they are not going through tor.)
Eben hiermit haben Sie Ihre Anfrage selbst beantwortet. Da der SPONionPi das Tor-Netzwerk nutzt, ist er selbstverständlich auch an dessen Rahmenbedingungen gebunden.

--->Ihre Skripte haben in meinen Augen eine massive Lücke, sie leiten UDP-Traffik im Klartext und nicht anonymisiert --->weiter vom "Sponionpi" wlan in das zweite wlan weiter.
Das ist keine Lücke des Skripts, sondern offenbar eine Eigenschaft des Tor-Netzwerkes. Bitte richten Sie ihren Verbesserungsvorschlag daher an die Programmierer und Betreiber des Tor-Netzwerkes.

--->Ich fordere sie dringen auf das Problem zu beheben oder zumindest in dem Spiegelonline Artikel entsprechend --->darauf hin zu weisen.
Bitte lesen Sie nochmals aufmerksam und genau den zum SPONionPi zugehörigen Artikel durch ( http://www.spiegel.de/netzwelt/gadgets/raspberry-pi-tor-router-onion-pi-anonymisiert-surfen-im-web-a-907567.html ). Wir weisen darauf hin, dass auch Tor nicht in allen Fällen für Anonymität im Internet sorgen kann: "Und selbstverständlich wird man auch mit verschleierter IP-Adresse erkennbar, sobald man sich etwa in einen persönlichen E-Mail- oder Chat-Account einloggt. Der Tor-Zugang allein verschlüsselt auch weder E-Mails noch andere Internetkommunikation. "

Beste Grüße
Peter Gotzner

[balu-]

Sehr geehrter Herr Gotzner,

Sie haben mich leider missverstanden.
Es geht mir nicht darum ein anderes Tool zu Nutzen, es geht mir auch nicht darum das Tor Netzwerk zu ändern.
Mein Punkt ist, das UDP Traffic eben nicht durch dieses Netzwerk geleitet werden kann.
Nehmen wir das einfach mal als gegeben an.

Auch das von Ihnen erwähnte Zitat bezüglich Accounts geht an meinem Anliegen vorbei.
Es ist klar dass das Einloggen die Verschleierung quasi aufhebt.

Ich versuche nochmal mein Anliegen so deutlich wie möglich Klarzustellen:
In ihrem Artikel [1] führen sie an, dass da Tor bundle den Nachteil habe nur bei der Nutzung von Webbrowsern die IP-Adresse zu verschleiern ( "Doch das Bundle hat diverse Nachteile - etwa dass es nur beim Webbrowsen die IP-Adresse verschleiert, aber nicht bei der Nutzung anderer Webdienste." ).
Weiter heißt es "…[d]iese Variante leitet den Internetverkehr aller Geräte im Haus durch das sogenannte Tor-Netzwerk und verschleiert dadurch die Herkunft der Daten.". Für die Adafruit-Software an sich kann ich zu dieser Aussage keine Stellung nehmen, zu Ihrer Sponionpi version jedoch ist sie schlichtweg falsch.
Ihr Sponionpi Setup leitet wie in dieser Issue bereits mehrfach erwähnt nur TCP - Traffic über das Tor Netz, nicht jedoch UDP-Traffic oder Traffic anderer Protokolle.
Letztgenannter Traffic wird durch Ihren Sponionpi einfach offen unverschlüsselt und unanonymisert ins Internet weitergeleigtet.
Dies sollte nach meinem Verständis nicht passieren,
nach meinem Empfinden sollten über den Sponionpi nur Verbindungen zu stande kommen, die über das Tor-netzwerk geleitet werden können.
Lieber sollte eine Verbindung nicht zu stande kommen, als das sie unverschlüsselt oder unanoymisiert ausgeführt wird, den ein technisch unversierter Nutzer kann im Zweifel nicht zwischen UDP und TCP Connections unterscheiden, und geht einfach davon aus solange die Geräte im Sponionpi-Wlan sind ist alles Anonymisiert und verschlüsselt.

Bitte verstehen Sie mich nicht falsch, ich halte das Anliegen die Verbreitung und Vereinfachung von Verschlüsselungs- und Anonymisierungs-Werkzeugen für ein gutes und wichtiges Anliegen, und schätze Ihre diesbezüglichen Bemühungen.
Umso mehr bedrückt es mich das irgendwo in Deutschland ggf. ein Max Musterman einen Sponionpi betreibt, sich daher sicher und anonym fühlt, es aber nicht ist.

[1] http://www.spiegel.de/netzwelt/gadgets/raspberry-pi-tor-router-onion-pi-anonymisiert-surfen-im-web-a-907567.html

[netzwelt]

Lieber Balu,

--->Auch das von Ihnen erwähnte Zitat bezüglich Accounts geht an meinem Anliegen vorbei.
--->Es ist klar dass das Einloggen die Verschleierung quasi aufhebt.

Bitte lesen Sie sich den Artikel oder meinen letzten Kommentar nochmals genau durch. Es geht in dem Text nicht nur allein um den Aspekt des Einloggens und den Login-Vorgang an sich und mögliche Cookies etc.. Es ist beispielhaft Chatten als generelles Sicherheitsrisiko genannt. Das deckt Ihr Anliegen der udp-Ports ab. Bitte bedenken Sie, dass auch IM uU Ports nutzen die nicht über Tor geschützt sind.

--->Für die Adafruit-Software an sich kann ich zu dieser Aussage keine Stellung nehmen
Ich glaube Sie verwechseln da etwas. Welche Adafruit-Software meinen Sie? Meinen Sie Tor? Das ist kein adafruit-Produkt. Adafruit hat lediglich eine modifiziert hostapd datei beigesteuert. Alle anderen Software-Produkte sind frei verfügbare Programme aus verschiedenen Quellen.

--->"…[d]iese Variante leitet den Internetverkehr aller Geräte im Haus durch das sogenannte Tor-Netzwerk und --->verschleiert dadurch die Herkunft der Daten." ... rer Sponionpi version jedoch ist sie schlichtweg falsch.
Bitte lesen Sie meinen vorherigen Kommentar nochmals durch. Der Satz zur Verschleierung trifft mit den von uns beispielhaft gemachten Einschränkungen (siehe zB Chatten) zu.
Sie wiederholen sich. Bitte lesen Sie daher nochmals sorgfältig Artikel und Kommentare und versuchen sie nachzuvollziehen.

--->die Geräte im Sponionpi-Wlan sind ist alles Anonymisiert und verschlüsselt.
Wir haben nie von einer Verschlüsselung gesprochen. Bitte lesen Sie den Artikel oder zumindest den letzten Absatz meines Kommentars nochmal durch. Es wird deutlich darauf hingewiesen.

-->nach meinem Empfinden sollten über den Sponionpi nur Verbindungen zu stande kommen, die über das
-->Tor-netzwerk geleitet werden können.

Da dies ein Open-Source Projekt ist, sind Sie natürlich herzlich eingeladen Funktionen, die Sie sich wünschen oder selbst für sinnvoll erachten zu programmieren und dann zur Aufnahme in das Projekt vorzuschlagen.

Beste Grüße
Peter Gotzner

[zundg]

Ich hab mich auch nur über diese Konfiguration gewundert, und wurde vom Autor des Artikels mit meiner Kritik hierher verwiesen.

Die zitierte Quelle adafruit begeht den gleichen Fehler, daher hab ich die auch mal angemailt. Wer Leuten Sicherheit geben will, sollte das sehr ernst nehmen.

Die Lösung ist eben auch so simpel - einfach den Teil rausnehmen der forwarding aktiviert. Das das Torseitig auch ohne geht kann man ganz einfach zeigen. Einfach im Betrieb "echo 0 > /proc/sys/net/ipv4/ip_forward" eintippen (als root) und weiterhin über tor browsen.

Am deutlichsten finde ich wird das ganze Problem wenn man einen ping abschickt.

Man kann aber durch das fehlende masquerading auch davon ausgehen dass in vielen fällen die ausgehenden Pakete dann noch von der fritzbox oder ähnlichem gedroppt werden, aber das ist halt Glückssache.