Tor à travers un proxy - vulgarisation

, par  Genma , popularité : 4%

Le texte est une vulgarisation de ce qui se passe quand on utilise Tor à travers un proxy. Pour simplifier, il n’y a qu’un paquet TCP qui est échangé à chaque fois. Si vous voulez une explication plus approfondie et plus proche de la vérité, je vous invite à consulter la documentation de Tor. Ou en guise d’introduction au fonctionnement de Tor, je vous renvoie vers ma présentation. Et d’une façon générale, à tous les articles taggués TOR

Cas d’une connexion classique derrière une box

De chez moi, je veux consulter le site ./ee. Je tape l’adresse dans la barre du navigateur.
Celui-ci, grâce au DNS sait que l’IP est W.X.Y.Z et il crée un paquet TCP qui contient "envoie moi la page index.html" qu’il envoie sur le réseau. La box reçoit le paquet, voir l’IP et fait office de routeur et l’envoie sur Internet. Ce paquet transite jusqu’au site qui l’ouvre et voit "envoie moi la page index.html".
Il répond alors en renvoyant un paquet contenant la page index.html, paquet qui va revenir jusqu’à mon PC, en passant par différents routeurs, ma box étant le dernier.

Cas d’une connexion derrière un proxy d’entreprise

Quand on passe par un proxy d’entreprise, le filtre le plus souvent est au niveau de l’adresse et des mots clefs liés aux pages. Le paquet TCP qui contient "envoie moi la page index.html" est envoyer sur le réseau. Le proxy le reçoit. Il le regarde. Il n’a pas la réponse (la page) dans son cache, l’adresse ./ee n’est pas bloquée (n’est pas sur une blackliste), il envoie un autre paquet en son nom pour demander la page index.html" au serveur du site genma.free.fr. Quand il le reçoit, il le stocke en cache, et le transfert à mon PC.

Utilisation de Tor à travers le proxy

Maintenant imaginons que le site genma.free.fr est bloqué par le proxy. J’utilise donc le TorBrowser Bundle. Le TorBrowser Bundle intègre un proxy tor en local qui est lui-même configué pour utiliser le proxy d’entreprise (voir à ce sujet mon billet Connexion à Tor via un proxy d’entreprise).

Le proxy Tor définit une route (les relais) en demandant à différents relais s’ils sont accessible et une fois la route définit, le proxy chiffre pour chaque relais le paquet TCP (les fameuses couches en oignon, voir la présentation), envoit ce paquet chiffré à destination du premier relais.

Le proxy voit un gros paquet pour une adresse IP qu’il ne filtre pas, il ne peut pas lire le contenu du paquet (un paquet normal, il y aura "site ./ee, envoit moi la page index.html"), là le paquet est "IP A:B:C:D (celle du relais), "ckdokdokfdsokosjvcnjhuefhnj". Il transfert au premier relais qui fait alors son travail (en faisant passer au deuxième relais etc.), le paquet circule donc via TOR.

Que voit donc le proxy ?

Un paquet avec du chiffrement pour une IP donnée. Quand je me connecte à ma banque en https, c’est un paquet chiffré pour l’IP du serveur de la banque. Si c’est le webmail, ça sera l’IP du serveur de mail. Comme le proxy ne peut pas connaitre toutes les IP de tous les relais TOR (aucun intérêt), il laisse passer un paquet qui va vers un relais TOR... C’est aussi simple que ça.

L’usage de permet donc d’outrepasser le filtrage effectué par le proxy.

Peut-on voir le trafic TOR ?

Oui, dans le paquet "IP A:B:C:D ckdokdokfdsokosjvcnjhuefhnj" la trame ckdokdokfdsokosjvcnjhuefhnj chiffrée à un aspect reconnaissable caractéristique de Tor. Avec du Deep Packet Inspection, DPI, on peut voir cette trame "ckdokdokfdsokosjvcnjhuefhnj". Il faut regarder au niveau trame, mais les machines (vendues par la France) qui sont sur les réseaux des dictatures le font très bien (cherche DPI...).

Pour palier à ça, Tor peut masquer la trame "ckdokdokfdsokosjvcnjhuefhnj" en une trame Skype par exemple. Dans ce cas, on croit à du flux Skype (Pour plus de détails, voir la page Tor : Pluggable Transports.

Solution pour le DPI : je fait sauter les paquets Skype, au cas où ce serait du Skype ou du TOR.

Peut-on bloquer Tor dans un proxy ?

Il est possible de bloquer Tor dans un proxy. Il suffit de blacklister toutes les ips des relais de Tor.
Sur ce sujet, je vous invite à lire Bloquer le réseau Tor sur son proxy Squid

Mais pour contrer ça, TOR a prévu des relais non listés publiquement. Car la Chine ou autre bloque déjà les IP des relais connus... Donc la solution que propose l’admin dans son billet marche pour les IP connues...

Après il faut qu’il ajoute une à une les IP... Et c’est un jeu de "chat et de la souris"...

En conclusion

Tor à travers un proxy marche assez bien (voir très bien) et permet d’outrepasser le filtrage du proxy. Et nepas oublier que le fait de faire ça et un contournement de la charte informatique que l’on a signé et il faut donc le faire en toute connaissance.

A lire également
 je vous renvoie vers ma présentation.
 Connexion à Tor via un proxy d’entreprise
 Les articles taggués TOR