La guía de Tor Relay
La red Tor depende de personas voluntarias que donan ancho de banda. Cuantas más personas ejecuten relays, la red Tor será más rápida.
Esta guía incluye las mejores prácticas que son esenciales para el correcto funcionamiento de los relays de Tor. Incluimos pasos técnicos, consideraciones legales e información sobre como ejecutar relays con otros. Está organizado en tres partes:
- Parte uno: Decidir ejecutar un relay
- Parte dos: Configuración técnica
- Parte tres: Información legal, información social y más recursos
Si desea ir directamente a la configuración de un relay, lea la parte dos solamente.
Utilizamos "tor" (en minúscula) cuando hablamos específicamente sobre el programa tor (el demonio), en todos los demás casos utilizamos "Tor"
Al ejecutar un Tor relay puedes ayudar a crear la red Tor:
- más rápido ( y por consiguiente más utilizable)
- más robusto contra ataques
- más estable en caso de fallos o interrupciones eléctricas
- más seguro para sus usuarios (espiar a mayor cantidad de relays es más difícil que espiar a unos pocos)
Todos los nodos son importantes, pero tienen diferentes requerimientos técnicos e implicaciones legales. Entender los diferentes tipos de nodos es el primer paso para aprender cuál es el adecuado para usted.
Un guardián es el primer relay en la cadena de 3 relays construyendo un circuito Tor. Un relay medio no es un guardián ni una salida, pero actúan como un segundo salto entre los dos. Para convertirse en un guardián, un relay tiene que ser estable y rápido (al menos 2MByte/s) de lo contrario va a permanecer como un relay medio.
Los relays guardianes y medios usualmente no reciben quejas o reportes de abuso. Todos los relays van a estar listados en las listas públicas de relays de Tor, por lo que pueden ser bloqueados por ciertos servicios que no entienden cómo funcionan las redes Tor o por quienes de manera deliberada quieren censurar a las personas usuarias de Tor. Si usted está ejecutando un relay desde su casa y tiene una IP estática, podría considerar ejecutar un puente para que el tráfico ajeno a Tor no sea bloqueado al ser detectado que viene de Tor. Si usted tiene una dirección IP dinámica o varias direcciones IP estáticas, entonces no tendrá mayores inconvenientes.
Un Tor relay "sin salida" requiere esfuerzos mínimos de mantenimiento y el uso de ancho de banda puede ser altamente personalizable en la configuración tor (esto será cubierto con mayor detalle más adelante en esta guía). La llamada "política de salida" de un relay, decide si el relay va a permitir si las clientes salgan o no. Un relay sin salida no permite una salida en su política de salida.
El relay de salida es el relay final en un circuito Tor, es el que envía el tráfico a su destino. Los servicios a los que las clientes Tor se están conectando (sitio web, servicio de chat, proveedor de correos, etc) van a ver la dirección IP del relay de salida en lugar de la dirección IP real del usuario Tor.
Los relays de salida tienen la mayor exposición legal y responsabilidad de todos los relays. Por ejemplo, si una persona usuaria descarga material protegido por "copyright" mientras utiliza un relay de salida, usted como operadora podría recibir una notificación DMCA. Cualquier queja o reporte de abusos sobre el relay de salida van a llegarle directamente a usted (por medio de su proveedor, dependiendo de los registros de WHOIS). Generalmente, la mayoría de las quejas pueden ser manejadas de manera bastante simple por medio de plantillas de correos, que discutiremos más adelante en la sección de consideraciones legales.
Debido a la exposición legal que viene con la ejecución de un relay de salida, **usted no debe ejecutar un Tor relay de salida desde su casa**. Las operadoras ideales para relays de salida se encuentran afiliadas a alguna institución, como una universidad, una biblioteca, un jaquerespeis o una organización relacionada con privacidad. Una institución no solo puede proporcionar un mejor ancho de banda para el relay de salida, sino que estaría mejor posicionada para manejar las quejas de abuso o cualquier eventual investigación judicial.
Si usted está considerando ejecutar un relay de salida, por favor lea la sección de consideraciones legales para operadoras de relays de salida.
El diseño de la red Tor establece que las direcciones IP de los relays de Tor sean públicas. Sin embargo, una de las maneras en las que Tor puede ser bloqueado por gobiernos o proveedores de servicio (ISP) es metiendo en listas negras las direcciones IP de estos nodos Tor públicos. Los puentes Tor son nodos en la red que no están listados en el directorio público de Tor, lo que hace más difícil que los gobiernos e ISPs los puedan bloquear.
Los puentes son muy útiles para usuarias Tor bajo regímenes opresivos o para personas que quieren una capa extra de seguridad porque les preocupa que alguien reconozca que se están conectando a una IP perteneciente a una red Tor pública. Varios países, incluyendo China e Irán, han encontrado maneras de detectar y bloquear puentes Tor. Esta situación puede ser mitigada utilizando "Pluggable transports" (https://www.torproject.org/docs/pluggable-transports.html.en), un tipo especial de puente, que agrega una capa adicional de ofuscación.
Los puentes son nodos Tor relativamente sencillos, de bajo riesgo y baja utilización de ancho de banda, pero tienen un alto impacto en las usuarias. Es poco probable que un puente reciba quejas de abuso, y como no están listados en los registros públicos, es bastante poco probable que sean bloqueados por los servicios populares. Los puentes son una gran opción si usted solo puede correr un nodo Tor desde la red de su casa, tiene solo una dirección IP estática y no tiene gran cantidad de ancho de banda para donar -- recomendamos que le provea a su puente al menos 1Mbit/sec.
Los requerimientos para los relays de Tor dependen del tipo de relay y el ancho de banda que proporcionen.
- Un relay sin salida debe poder manejar al menos 7000 conexiones concurrentes. Esto puede ser demasiado para enrutadores de nivel de consumidor (caseros). No habrán problemas si usted ejecuta un relay de Tor desde un servidor (virtual o dedicado) en un centro de datos. Si corre un relay detrás de un enrutador de nivel de usuario desde su casa va a tener que intentar y verificar si su enrutador casero puede manejar esa carga o si va a fallar. Los relays de salida rápidos (>=100 MBit/s) usualmente necesitan manejar mucha mayor cantidad de conexiones concurrentes (>100k).
- Se recomienda que un relay tenga al menos 16 MBit/s (Mbps) de ancho de banda de subida y 16 MBit/s (Mbps) de ancho de banda de bajada disponible para Tor. Entre más ancho de banda, mejor. Los requerimientos mínimos para un relay son 10 MBit/s (Mbps). Si usted tene menos de 10 MBit/s (Mbps) pero tiene al menos 1 MBit/s le recomendamos que ejecute un puente con soporte obfs4. Si usted no conoce su ancho de banda puede utilizar http://beta.speedtest.net para medirlo.
- Tráfico mensual de salida**
- Se recomienda que un relay de Tor pueda utilizar como mínimo 100 GBytes de tráfico de salida (y la misma cantidad de tráfico de entrada) por mes. Nota: Esto es solo apróximadamente 1 día de tráfico en una conexión de 10MBit/s (Mbps). Más (>2 TB/mes) es mejor y recomendado.
Cada relay necesita una dirección IPv4 pública - ya sea directamente desde el host (esto es preferido) o por medio de NAT y "port forwarding".
No es requerido que la dirección IPv4 sea estática pero las direcciones estáticas son preferidas. Su dirección IPv4 debe permanecer sin ser cambiada durante al menos 3 horas (si cambia de manera regular, más frecuentemente que eso, entonces no tiene mucho sentido utilizarla para ejecutar un relay o un puente, ya que toma tiempo distribuir la nueva lista de direcciones de los relays a los clientes - lo que sucede solamente una vez cada hora).
Adicionalmente la conectividad IPv6 es una gran opción y recomendada, pero no es un requerimiento. No debe haber ningún problema al cumplir con estos requerimientos (todos los servidores disponibles de manera comercial vienen al menos con una dirección IPv4).
Nota: Solo se pueden ejecutar dos relays de Tor por dirección IPv4 pública. Si usted quiere correr más de dos relays entonces va a necesitar más direcciones IPv4.
- Un relay sin salida de <40MBit/s debe tener al menos 512 MB de RAM disponibles.
- Un relay sin salida más rápido que 40MBit/s debe tener al menos 1 GB de RAM.
- En un relay de salida recomendamos al menos 1.5 GB de RAM por cada instancia tor.
Tor no necesita mucho espacio de almacenamiento. Un relay de Tor típico necesita menos de 200 MB para datos relacionados con Tor.
- Cualquier CPU moderno será adecuado.
- Se recomienda utilizar CPUs con soporte AES-NI (esto mejorará el desempeño y va a permitir aproximadamente ~400-450 Mbps en cada dirección en una sola instancia de tor sobre CPUs modernos). Si el archivo `/proc/cpuinfo` contiene la palabra `aes` entonces su CPU tiene soporte para AES-NI.
- Tor no tiene ningún requerimiento de tiempo de actividad determinado pero si su relay no está corriendo por al menos unas 2 horas al día, su utilidad será limitada. Idealmente el relay corre en un servidor que se ejecuta 24/7. Reinicios del sistema y del demonio de tor son aceptables.
Si tiene acceso a Internet con una conexión de alta velocidad (>=100MBit/s en ambas direcciones) y una computadora física, esta es la mejor opción para ejecutar un relay. Tener total control sobre el hardware y la conexión brinda un entorno seguro y más controlable (si se hace de forma correcta). Puede alojar su propio hardware físico en la casa (NO ejecute un relay Tor de salida en su casa) o en un centro de datos. Algunas veces esto se conoce como instalar un relay en "bare metal".
Si no tiene su propio equipo físico, puede correr un relay en un servidor dedicado rentado o en un servidor virtual físico (VPS). Esto puede costarle un aproximado de entre $3.00/mes y hasta varios miles de dólares al mes, dependiendo de su proveedor, la configuración del hardware y la utilización de ancho de banda. Debe seguir los términos de servicio de su proveedor VPS o se arriesgará a que le deshabiliten la cuenta. Para más información sobre proveedores de servicio de hospedaje y sus políticas sobre permitir relays de Tor, por favor vea la lista mantenida por la comunidad Tor: https://trac.torproject.org/projects/tor/wiki/doc/GoodBadISPs
- ¿Cuánta cantidad de tráfico mensual se incluye? ( ¿se mide la cantidad de ancho de banda? )
- ¿Ofrece la proveedora de hospedaje conectividad IPv6? (esto es algo recomendado pero no es requerido)
- ¿Qué tipo de virtualización / hipervisor (si alguno) utiliza la proveedora?
- ¿La proveedora de hospedaje empieza a acelerar el ancho de banda después de cierta cantidad de tráfico?
- ¿Qué tan bien conectado se encuentra el sistema autónomo de la proveedora de hospedaje? Para responder esta pregunta puede utilizar el "rank AS" de los sistemas autónomos, si quiere comparar: http://as-rank.caida.org/ (un valor menor es mejor)
- ¿Permite la proveedora de hospedaje la ejecución de relays de salida de Tor? (pregúnteles de manera directa antes de instalar un relay de salida allí)
- ¿Permite la proveedora de hospedaje registros personalizados de WHOIS para sus direcciones IP? Esto ayuda a reducir la cantidad de abusos enviados a la proveedora de hospedaje en lugar de a usted.
- ¿La proveedora de hospedaje permite que usted configure entradas personalizadas de DNS inverso? (registros DNS PTR). Esta es una de las cosas que probablemente necesitará pedir a la proveedora de hospedaje en la solicitud de pre-venta.
Cuando elija a su proveedora de hospedaje, considere la diversidad de la red a nivel de sistemas autónomos (SA) y de país. Una red más diversa es más resistente a ataques y a fallos. Algunas veces no tenemos claro cuál SA estamos comprando en caso de las revendedoras de servicio. Para asegurarse, es mejor preguntar a la proveedora de hospedaje sobre el número de SA antes de ordenar un servidor.
Es mejor evitar proveedoras de hospedaje donde ya hayan muchos relays de Tor alojados, pero es mejor agregar uno más que simplemente no correr un relay. Trate de evitar los siguientes empresas:
- OVH SAS (AS16276)
- Online S.a.s. (AS12876)
- Hetzner Online GmbH (AS24940)
- DigitalOcean, LLC (AS14061)
Para averiguar cuál proveedora de hospedaje y cuáles países ya están siendo utilizados por muchas operadoras (o sea, que deben ser evitadas) puede utilizar el sistema de búsqueda de relays:
- Descripción general del nivel de sistemas autónomos (SA)
* https://metrics.torproject.org/rs.html#aggregate/as
- Descripción general a nivel de país
* https://metrics.torproject.org/rs.html#aggregate/cc
- Recomendamos que cada persona utilice el sistema operativo con el que está más familiarizada.** Tenga en consideración que ya que la mayoría de los relays corren sobre Debian y queremos evitar una monocultura, sistemas basados en *BSD son muy necesarios.
La siguiente tabla muestra la distribución actual de sistemas operativos utilizados en la red de Tor, para darle una idea sobre la gran cantidad de relays no basados en Linux que deberíamos tener:
La configuración del sistema operativo está fuera del alcance de esta guía, pero los siguientes puntos son cruciales para un relay de Tor, no obstante queremos mencionarlos aquí.
Los ajustes de hora y su configuración son esenciales para los relays de Tor. Es recomendado utilizar el protocolo de tiempo de red (network time protocol/NTP) para sincronizar la hora y asegurarse que la zona horaria esta correctamente configurada.
Una de las cosas más importantes para mantener su relay seguro, es instalar las actualizaciones de seguridad de manera oportuna e idealmente de manera automática para que no olvide aplicarlas. Esta es la colección de pasos para habilitar la actualización de software automática para diferentes sistemas operativos:
- Distribuciones basadas en RPM (RHEL, CentOS, Fedora, openSUSE)
- Debian/Ubuntu
- FreeBSD/HardenedBSD
Esta sección cubre la instalación y configuración de los programas requeridos para ejecutar un relay de Tor para varios sistemas operativos, Estos pasos son definidos para la última versión del sistema operativo, en Ubuntu para el último lanzamiento LTS.
Nota: para algunos sistemas operativos, hay versiones alpha de los paquetes habilitados (versiones de Tor con nuevas características que aún no se consideran estables). Estos solo son recomendados para personas entusiasmadas en probar y reportar errores en las características o lanzamientos novedosos. Si está buscando ejecutar un relay con un mínimo esfuerzo, le recomendamos que se mantenga en los lanzamientos estables.
En esta guía describimos cómo configurar un nuevo relay sin salida. Al seguir leyendo, puede cambiarlo para convertirlo en un relay de salida.
Preguntas que usted debe aclarar antes de la configuración de Tor:
- ¿Desea ejecutar un relay de Tor de salida o sin salida (guardián/medio)?
- Si usted desea ejecutar un relay de salida: ¿cuáles puertos quiere permitir en la política de salida? (más puertos usualmente significan potencialmente más quejas de abuso)
- ¿Qué puerto externo TCP quiere usar para las conexiones Tor entrantes? (Configuración "ORPort", recomendamos el puerto 443 si no es usado por otro proceso en su servidor. Se recomienda ORPort 443 porque a menudo es uno de los pocos puertos abiertos en las redes WIFI públicas. El puerto 9001 es otro ORPort comúnmente utilizado).
- ¿Cuál dirección de correo electrónico puede usar en la información de contacto de su relay(s)? Nota: Esta información se hará pública.
- ¿Cuánto ancho de banda / tráfico mensual desea habilitar para el tráfico de Tor?
- ¿El servidor tiene una dirección IPv6?
Los comandos de instalación se muestran en bloques de código y deben ejecutarse con los privilegios de **root**.
Si está utilizando un corta fuegos (firewall), abra un agujero en su corta fuegos para que las conexiones entrantes puedan acceder a los puertos que usted va a utilizar para su relay (ORPort, más el DirPort si se encuentra habilitado). También, asegúrese que va a habilitar todas las conexiones salientes para que su relay pueda acceder a los otros relays, clientes y destinos de Tor. Puede encontrar el número de puerto TCP específico para ORPort en los ejemplos de archivos de configuración que se encuentran a continuación (en las secciones específicas del Sistema Operativo).
Tor no escala bien en máquinas multi-core. Si corre un relay de Tor en un servidor con una enlace saliente (uplink) de internet rápido (>200 MBit/s) podría considerar ejecutar múltiples instancias de Tor en un mismo servidor con múltiples cores. Nota: Solo puede ejecutar dos instancias de tor por dirección IPv4 pública.
Si planea ejecutar más de un relay, o si quiere ejecutar un relay de alta capacidad (múltiples instancias de Tor por servidor) o si desea utilizar características de seguridad fuertes como llaves maestras fuera de línea (offline master keys) sin realizar pasos manuales de manera adicional, podría querer utilizar un gestor de configuraciones para mejor capacidad de mantenimiento.
Existen múltiples soluciones de administración de configuraciones para sistemas operativos basados en Unix (Ansible, Puppet, Salt, ...).
El siguiente rol de Ansible se ha desarrollado específicamente para operadores de relay de Tor y es compatible con múltiples sistemas operativos:
El siguiente script de bash para Debian y Ubuntu no es un gestor de configuraciones pero puede ayudarle a automatizar los pasos para instalar una sola instancia de relay de Tor. Esto significa que puede ejecutarse en un servidor que es solamente utilizado para Tor.
1. Habilite el repositorio de EPEL
Para instalar el paquete `tor` sobre CentOS/RHEL, primero necesita instalar el repositorio EPEL
2. Instale el paquete `tor` y verifique la llave de firmado de EPEL
Cuando instale el primer paquete desde el repositorio de EPEL se le va a pedir que verifique la llave de firmado GPG de EPEL. Por favor asegúrese que la llave coincide con la que se encuentra disponible en el sitio web del proyecto Fedora: https://getfedora.org/keys/
3. Ponga el archivo de configuración de tor `/etc/tor/torrc` en su ubicación:
4. Habilitar e iniciar su relay de Tor:
1. Habilitar el repositorio del paquete de Torproject
Esto puede considerarse opcional en Debian, aunque no en Ubuntu. No utilice los paquetes en el universo de Ubuntu. Obtenga las fuentes de los repositorios para agregarlos en su archivo /etc/apt/sources.list ejecutando el configurador que está por acá. También asegúrese de importar las llaves GPG. Esto le ayudará a asegurarse que está ejecutando la última versión estable de tor.
2. Instalar el paquete `tor`
3. Ponga el archivo de configuración `/etc/tor/torrc` en su lugar:
4. Reinicie el demonio tor para aplicar los cambios en la configuración:
1. Instale el paquete `tor`:
1. Ponga el archivo de configuración de tor `/etc/tor/torrc` en su ubicación:
1. Inicie el demonio tor y asegúrese que inicie en el arranque del sistema:
1. Instale el paquete `tor`:
o para versiones alfa:
2. Ponga el archivo de configuración `/usr/local/etc/tor/torrc` en su lugar.
1. Inicie el demonio tor y asegúrese que inicie en el arranque del sistema:
1. Asegúrese de que la opción `random_id` se encuentra habilitada:
Opcional:
Para obtener las actualizaciones de paquetes más rápidamente es mejor reemplazar "quarterly" con "latest" en el archivo `/etc/pkg/FreeBSD.conf`.
1. Instale el paquete `tor`:
- o** para versiones alfa
2. Ponga el archivo de configuración `/usr/local/etc/tor/torrc` en su lugar.
3. Inicie el demonio tor y asegúrese que inicia automáticamente durante el arranque del sistema:
1. Instale el paquete `tor`:
2. Ponga el archivo de configuración `/etc/tor/torrc` en su lugar:
3. Inicie el demonio tor y asegúrese que inicia automáticamente durante el arranque del sistema:
Si su archivo log (syslog) contiene la siguiente entrada después de iniciar el demonio de tor, entonces su relay debe estar arriba y ejecutándose de manera esperada:
Aproximadamente 3 horas después de iniciar su relay, debe aparecer en el buscador de Relays (https://metrics.torproject.org/rs.html). Usted puede buscar su relay utilizando el alias o la dirección IP.
Si usted tiene problemas durante la instalación/configuración de su relay, puede hacer preguntas en las listas de correo públicas de tor-relays:
Este es un gran recurso para preguntar (y responder) preguntas y en general conocer a otros operadores de relays. ¡Asegúrese de revisar los archivos históricos de las listas!.Tor no limita el uso de ancho de banda de manera predeterminada, pero soporta varias maneras de restringir el uso de ancho de banda y la cantidad de tráfico. Esto puede ser útil si se quiere asegurar de que el relay Tor no exceda cierto ancho de banda o tráfico total por día/semana/mes. Las siguientes opciones de configuración torrc pueden usarse para restringir el ancho de banda y el tráfico:
Tener un relay rápido por algún tiempo durante el mes es mejor que tener un relay lento durante el mes entero.
También vea la entrada de ancho de banda en el FAQ: https://www.torproject.org/docs/faq.html.en#BandwidthShaping
Incentivamos a todas las personas a habilitar IPv6 en sus relays. Esto es especialmente valioso en los relays guardián y de salida.
Antes de habilitar su demonio de tor para usar IPv6 además de IPv4, asegúrese de que la conectividad IPv6 funcione desde y hacia su servidor.
Desde su servidor trate de hacer ping a cualquier servidor IPv6:
Si eso funcionó bien, haga que su relay de Tor sea accesible a través de IPv6 agregando una línea ORPort adicional a su configuración (ejemplo para ORPort 9001):
La ubicación de esa línea en el archivo de configuración no importa, simplemente puede agregarla después de las primeras líneas de ORPort en su archivo torrc.
- Nota:** Tiene que especificar explícitamente su dirección IPv6 entre corchetes, no puede decirle a tor que se vincule a ninguna IPv6 (como lo hace para IPv4). Si tiene una dirección IPv6 global, debería encontrarla con el resultado del siguiente comando:
Si usted es un relay de salida con conectividad IPv6, diga a su demonio tor que permita salir a través de IPv6 para que los clientes puedan llegar a los destinos IPv6:
Nota: Tor requiere conectividad IPv4, no puede ejecutar un relay de Tor solo sobre IPv6.
Puede encontrar información adicional relacionada con IPv6 en IPv6RelayHowto.
Para evitar poner en riesgo a las clientes de Tor al operar múltiples relays, **debe** establecer un valor apropiado a MyFamily y tener una **InformaciónDeContacto** en su archivo de configuración torrc. La configuración `MyFamily` es simplemente decirle a las y los clientes de Tor qué relays Tor están controlados por una sola entidad/operadora/organización, por lo tanto estos no los usan en múltiples posiciones en un solo circuito.
Si ejecuta dos relays y tienen los fingerprints AAAAAAAAAA y BBBBBBBB, debe agregar la siguiente configuración para establecer MyFamily:
a ambos relays. Para encontrar la huella (fingerprint) de sus relays, puede buscarlo en los archivos de registro (log files) cuando tor inicia o buscar el archivo llamado "fingerprint" en el directorio de tor (DataDirectory).
En lugar de hacerlo manual, para operaciones grandes recomendamos automatizar la configuración de MyFamily por medio de la solución de gestor de configuración. El manejo manual de MyFamily para grandes grupos de relays tiende a errores y puede poner el cliente Tor en riesgo.
Se recomienda que instale el relay de salida en servidores dedicados a ese propósito. No se recomienda instalar relays de salida de Tor en servidores que son utilizados para otros servicios. No mezcle su tráfico con el tráfico del relay de salida.
Antes de modificar su relay para que se convierta en un relay de salida, asegúrese de configurar un registro de DNS reverso (PTR) para que todo mundo sepa que su relay es ahora un relay de salida de tor. Algo como "tor-salida" en su nombre es un buen comienzo.
Si su proveedora lo ofrece, asegúrese de que su registro WHOIS contenga indicaciones claras de que es utilizado para un relay de salida de Tor
Para hacer aún más obvio que se está lidiando ahora con un relay de salida de Tor, usted debe proveer una notificación de relay de salida de Tor en una página HTML. Tor puede hacer eso por usted si el DirPort está configurado sobre el puerto TCP/80, puede hacer uso de la característica de tor llamada DirPortFrontPage para desplegar un archivo HTML sobre ese puerto. Este archivo va a ser mostrado de manera directa en su navegador cuando se utiliza la dirección IP del relay de salida de Tor.
Le ofrecemos un archivo HTML con un ejemplo de notificación de un Tor de salida, pero usted puede adjustarlo a sus necesidades: https://gitweb.torproject.org/tor.git/plain/contrib/operator-tools/tor-exit-notice.html
Aquí hay algunos consejos para ejecutar un relay de salida confiable: https://blog.torproject.org/tips-running-exit-node
A diferencia de otros tipos de relays, los relays de salida también realizan resolución de DNS para los clientes Tor. La resolución de DNS en los relays de salida es crucial para las clientes de Tor. Se recomienda utilizar un "resolver" de DNS recursivo de manera local (o sea, en el mismo servidor o en el mismo segmento de la red local (LAN)).
Hay varias opciones para el software del servidor DNS. Unbound se ha convertido en un software bastante particular. En cada caso el software debe poder instalarse utilizando el gestor de paquetes del sistema operativo para asegurarse que puede ser actualizado junto al resto del sistema.
La resolución de DNS puede tener un impacto significativo en el rendimiento que proporciona su realy de salida. Un rendimiento de deficiente de DNS resultará en menos tráfico en su relay de salida. Es una mala práctica utilizar resoluciones de DNS de grandes corporaciones como Google ya que reciben muchas solicitudes DNS de salidas o a organizaciones que realizan un filtrado de solicitudes de DNS.
Defina su política de salida. La política de salida define qué puertos de destino desea reenviar. Esto tiene un impacto en la cantidad de correos electrónicos de abuso que recibirá (menos puertos significa menos correos electrónicos de abuso, pero un relay de salida que permite solo unos pocos puertos también es menos útil). Si desea ser un relay de salida útil, debe **permitir al menos los puertos de destino 80 y 443.**
Como un nuevo relay de salida - especialmente si usted es una nueva cliente en su proveedora de servicios de Internet, es bueno comenzar con una política de salida reducida (para reducir la cantidad de correos electrónicos de abuso) y abrirlo más a medida que tenga más experiencia. La política de salida reducida se puede encontrar en la siguiente página: https://trac.torproject.org/projects/tor/wiki/doc/ReducedExitPolicy
Para convertirse en un relay de salida, cambie `ExitRelay` de 0 a 1 en su archivo de configuración torrc y reinicie el demonio tor.
Lleva cierto tiempo para que el tráfico del relay aumente, esto es especialmente cierto para los relays guardianes, pero en menor medida también para los relays de salida. Para conocer este proceso, lea sobre el ciclo de vida de un nuevo relay: https://blog.torproject.org/lifecycle-new-relay.
Después de la instalación inicial y el inicio del demonio tor, es buena idea hacer una copia de las claves de identidad a largo plazo ( long-term key) de su relay. Se encuentran en la subcarpeta "keys" de DataDirectory (simplemente haga una copia de la carpeta completa y guárdela en una ubicación segura). Como los realys tienen un tiempo de expansión (ramp-up time), tiene sentido hacer una copia de seguridad de la clave de identidad para poder restablecer la reputación de su relay después de una falla en el disco - o en otro caso, tendría que pasar por la fase de expansión nuevamente.
Ubicaciones predeterminadas para el directorio de llaves/claves:
- Debian/Ubuntu: /var/lib/tor/keys
- FreeBSD/HardenedBSD: /var/db/tor/keys
Esta es una de lista correo de muy bajo tráfico y usted podrá obtener información sobre nuevas versiones de tor e información importante sobre actualizaciones de seguridad.
Una vez que configure su realy probablemente este se ejecutará sin mucho trabajo desde su lado. Si algo sale mal, es bueno obtener una notificación automáticamente. Recomendamos que utilice uno de los servicios gratuitos que le permiten verificar los ORPorts de su relay para alcanzarlos y enviarle un correo electrónico en caso de que no se puedan acceder por cualquier razón.
UptimeRobot es uno de estos servicios con que puede monitorear puertos arbitrarios TCP. Con este servicio puede comprobar la configuración cada 5 minutos y mandar correos en caso de que un proceso de tor muera o sea inalcanzable. Este comprueba solo al oyente pero no habla el protocolo de Tor.
Una buena manera de monitorear un relay para chequear el estado del sistema es mirar sus gráficos de ancho de banda.
Para garantizar que su relay es saludable y no sea desbordado tiene sentido contar con un sistema básico de monitoreo para vigilar las siguientes métricas:
- Ancho de banda
- Conexiones TCP establecidas
- Memoria
- Swap
- CPU
Existen muchas herramientas para monitorear este tipo de datos. Munin es una de ellas y es relativamente fácil de configurar.
Nota: NO haga público su gráfico de munin (o cualquier otro detalle menor monitoreado) esto podría ayudar a las atacantes a desanonizar a las personas usuarias de Tor.
Esta sección lista algunas herramientas que podría necesitar tener a mano como una operadora de relay de Tor.
Nyx: Nyx es una herramienta de Tor Project (anteriormente arm) esta le permite ver datos en tiempo real del relay.
vnstat: vnstat es una herramientas de la linea de comandos que muestra la cantidad de datos que pasan por su conexión de red. También puede usarla para generar imágenes PNG para mostrar gŕaficos del tráfico.
Documentación de vnstat y salida del demo:
Las operadoras de relays de salida deberían conocer los riesgos potenciales relacionados con la ejecución del relay. Para la mayoría de operadoras en la mayoría de países, los relay de entrada (guardianes y medios) y puente (bridge) tienen muy bajos riesgos. Los relays de salida son los que presentan algunas preocupaciones legales. Pero en la mayoría de las casos las operadoras podrán manejar estos asuntos legales al tener una carta de respuesta al abuso, ejecutar el relay de salida desde un lugar que no sea su hogar y leer algunos de los recursos legales que las personas abogadas de Tor han juntado.
Las preguntas frecuentes de la EFF Tor Legal (https://www.torproject.org/eff/tor-legal-faq.html.en) responden a muchas preguntas comunes sobre la operación de un relay y la ley. También nos gusta la wiki de Noisebridge para recursos legales adicionales: https://www.noisebridge.net/wiki/Noisebridge_Tor/FBI. En general es una buena idea consultar con una abogada antes de decidir operar un relay de salida, especialmente si vive en un lugar donde las operadoras de relays de salida han sido hostigadas, o si es la único operadora de relay de salida en su región. Póngase en contacto con una organización local de derechos digitales para ver si tienen recomendaciones sobre asistencia legal, y si no está segura de qué organizaciones están trabajando en su región, escriba a la EFF y vea si pueden ayudarle a conectarse: https://www.eff.org/about/contact.
Ver también las pautas de salida de Tor: https://trac.torproject.org/projects/tor/wiki/doc/TorExitGuidelines
Las operadoras pueden armar sus propias plantillas de respuestas a las quejas de abuso, una de las muchas plantillas que Tor ha creado es https://trac.torproject.org/projects/tor/wiki/doc/TorAbuseTemplates.
Es importante responder a las quejas por abuso de manera oportuna (en las próximas 24 horas). Si la provedora (ISP) se molesta por la cantidad de abuso, puede reducir la cantidad de puertos en la política de salida. Por favor documente la experiencia con nuevas provedoras en la siguiente wiki: https://trac.torproject.org/projects/tor/wiki/doc/GoodBadISPs
Otros documentos que nos gustan:
- una carta que Boing Boing usaba para responder a una citación federal a los Estados Unidos sobre su relay de salida: https://boingboing.net/2015/08/04/what-happened-when-the-fbi-sub.html
- plantillas de respuesta de abuso de Coldhak, una organización en Canadá que ejecuta múltiples relays: https://github.com/coldhakca/abuse-templates/blob/master/dmca.template, https://github.com/coldhakca/abuse-templates/blob/master/generic.template
¡Ejecutar relays con otras personas es más divertido! Puede trabajar con su departamento de la universidad, su empleadora, una institución, o una organización como Torservers.net para ejecutar un relay.
Torservers es una red global e independiente de organizaciones que ayudan a la red Tor ejecutando relays Tor con gran ancho de banda. Convertirse en una socia de Torservers es una buena forma de involucrarse más con la comunidad de relays de Tor, y pueden ayudarle a conectarse con operadoras de relays dedicadas de todo el mundo en solidaridad y apoyo. Para iniciar como socia de Torservers, lo más importante es tener un grupo de personas (como sugerencia de 3 a 5 para comenzar) interesadas en ayudar con las diversas actividades requeridas para ejecutar los relays. Debería existir una confianza entre las personas del grupo, y deberían comprometerse a ejecutar relays a largo plazo. Si no conocen a alguna persona interesada en ejecutar relays, un lugar para conocer gente es su jaquerespeis local: https://wiki.hackerspaces.org/Hackerspaces.
Una vez que esté en un grupo de personas de confianza, dependiendo de su región, a menudo se aconseja crear algún tipo de corporación sin fines de lucro. Esto es útil para tener una cuenta bancaria, propiedades compartidas, solicitudes de subvención, etc. En muchos países el operar como corporación en lugar de individuos también pueden obtener ciertas protecciones legales.
Los próximos pasos son descubrir el hardware, tránsito y el alojamiento del servidor. Dependiendo de su ubicación y conexiones dentro de la comunidad técnica del área, el último paso puede ser el mas difícil. Las pequeñas ISPs (provedoras de Internet) locales muchas veces tienen ancho de banda adicional, y pueden estar interesadas en apoyar a su grupo con algo de ancho de banda o espacio en un rack. Es extremadamente importante mantener buenas relaciones con estas ISPs.
Muchos departamentos de ciencias de la computación, bibliotecas universitarias, estudiantes y facultades individuales ejecutan relays desde las redes universitarias. Entre estas universidades tenemos al Instituto Tecnológico de Massachusetts (MIT CSAIL), la Universidad de Boston, la Universidad de Waterloo, la Universidad de Washington, la Universidad de Northeastern, la Universidad de Karlstad, Universitaet Stuttgart y la Universidad Friedrich-Alexander de Erlangen-Nuremberg. Para aprender más sobre cómo obtener soporte para un relay en la red de su universidad, revise los recursos disponibles en el sitio web de la EEF: https://www.eff.org/torchallenge/tor-on-campus.html.
Si usted trabaja en una empresa u organización que es amigable con Tor, ese es otro lugar ideal para implementar un relay. Algunas de las compañías que corren relays son: Brass Horn Communications, Quintex Alliance Consulting, y OmuraVPN. Algunas de las organizaciones que corren relays de Tor son: Digital Courage, Access Now, Derechos Digitales, y Lebanon Libraries en New Hampshire.
¡Felicidades, usted es oficialmente una operadora de relay de Tor!. ¿Y ahora qué?
Puede revisar el tráfico y otras estadísticas para su relay en el buscador de Relays: https://metrics.torproject.org/rs.html (su relay va a aparecer en el buscar de Relays aproximadamente 3 horas después de haber sido iniciado).
- También puede encontrar más información sobre la ejecución de un relay en el FAQ de Tor: https://www.torproject.org/docs/faq.html.en#HowDoIDecide.
- Y, lo más importante, asegúrese de enviar un correo electrónico a [email protected] y reclame su botín: https://www.torproject.org/getinvolved/tshirt.html. Es nuestra forma de decir gracias por defender la privacidad y la libertad de expresión en línea.
Por favor cree un tiquete "trac" y elija el componente: Comunidad/Relay.
Si usted prefiere no crear una cuenta, puede utilizar los siguientes credenciales para reportar un problema de manera anónima:
- usuario: cypherpunks
- contraseña: writecode