Ginnegappen

De Hemlighetbox: Online privacy met polipo, privoxy en i2p

Mar 26, 2016 - 8 minuten om te lezen - privacy polipo privoxy i2p deepweb hemlighet tor

Online privacy wordt steeds belangrijker, en dus zijn er steeds meer mensen in geïnteresseerd. Maar waar begin je eigenlijk? Er zijn een aantal oplossingen te verzinnen. In dit artikel gaan wij een proxy server installeren op een raspberry pi. Dit is een klein kastje wat tussen jou en het kastje van je internet zit. Omdat elk beestje een naam moet hebben noemen we deze de Hemlighetbox, vrij vertaald uit het Zweeds betekend dat doos van geheimen.

De proxy server zal beschikken over een stuk software waarmee je advertenties kunt blokkeren, en waarmee je een gedeelte van het deepweb op kan gaan. Het deepweb is een schaduw laag over het bestaande internet heen. Misschien heb je er wel eens wat over gehoord in de media. De diverse media en instanties willen je doen geloven dat dit een netwerk is van en voor criminelen. Dit kunnen wij niet ontkennen, maar vergeet vooral niet dat deze technologie juist ontwikkelt is om anonimiteit te verhogen. Journalisten in oorlogsgebied en mensen onderdrukt door het regime in hun land kunnen zo veilig communiceren.

Wat heb je nodig?

Als je nog niks hebt van onderstaande hardware, kun je een complete starterkit kopen op de diverse webwinkels op het internet. Je moet dan rekenen op ongeveer 50 euro. Bij aanschaf gaan wij uit van de Raspberry Pi 3b met een geheugenkaart van 8gb.

De Raspberry Pi voorbereiden

We nemen aan dat je het apparaat al in elkaar hebt gezet omdat je niet kon wachten. We gaan dus gelijk door met de software. De Raspberry Pi komt zonder besturingssysteem, we gaan het aanbevolen systeem Raspbian installeren, dit is een versie van Linux gebaseerd op Debian. Om dit te kunnen doen heb je een zogeheten disk image nodig. Deze kun je downloaden op de site van raspberrypi.org. We kiezen voor de volledige versie van Debian Jessie.

Onze download is op moment van schrijven 2016-03-18-raspbian-jessie.zip vervang deze bestandsnaam in de commando’s hieronder met de versie die jij hebt gedownload. Het is belangrijk dat je dit archief bestand uitpakt. Dit kun je doen door op het bestand te dubbel klikken. Je krijgt dan naast het bestand 2016-03-18-raspbian-jessie.img te zien. Voor het gemak ga we er van uit dat je op een computer met Linux of Mac OS X werkt, en dat deze bestanden in de map Downloads van jouw gebruiker terecht zijn gekomen.

Om de geheugenkaart te kunnen voorzien van dit besturingssysteem open je een commando prompt. Meestal heet dit Terminal of iets wat daar op lijkt. Kun je deze niet vinden? Laat dan even een berichtje achter. We gaan nu uitzoeken waar je sdkaart zich bevindt op het systeem. Onder Linux kun je dit doen met gparted. Voor Mac OS X doe je dit als volgt.

diskutil list

Je ziet hier je geheugenkaart terug. Let goed op dat je de schijf noteerd. Dit ziet er uit als /dev/disk met daar achter een cijfer. Bij mij was dit /dev/disk5. Vervang in de volgende commando’s dit dan ook door de plek die jij hebt gevonden.

diskutil unmountDisk /dev/disk5

Om vervolgens de geheugenkaart te vullen met het besturingssysteem voer je op Linux of Mac OS X het volgende lijstje commando’s uit, en wacht je een kwartiertje totdat hij klaar is:

cd ~/Downloads
sudo dd bs=1m if=2016-03-18-raspbian-jessie.img of=/dev/disk5

De eerste keer opstarten

Als je nu de geheugenkaart in de Raspberry Pi steekt, en een toetsenbord en monitor aansluit dan zul je in een grafische omgeving terecht komen. Het eerste wat je hier gaat doen is het wachtwoord veranderen en de tijdzone goedzetten. Via het menu ga je naar de instellingen applicatie. Daar druk je op change password. Bij change/set timezone kies je voor Europe en Amsterdam. Ook is het handig om hier een hostnaam in te voeren zodat je makkelijk via het ssh commando verbinding kunt maken. Wij kiezen voor hemlighetbox.

Je kunt hier ook kiezen voor expand filesystem. Het is handig dit nu te doen om de volledige grootte van je geheugenkaart te benutten. Daarna zal hij het kastje herstarten. Dit duurt eenmalig langer dan de vorige keer.

Als je niet via een netwerkkabel bent verbonden kun je de interne of externe wifi adapter nu verbinden door rechtsboven op het netwerk icoontje te klikken.

Als je nu klaar bent, zijn alle vervolg stappen uit te voeren via de commandoprompt ofwel terminal. Als je liever verbind via ssh dan kun je dat nu vanaf je gewone pc doen.

ssh pi@hemlighetbox.local

Alles bijwerken

Het is handig om te kijken of je wel over de laatste versies beschikt, het kan namelijk zijn dat er inmiddels alweer updates zijn uitgebracht.

sudo -s
apt-get update
apt-get upgrade -y
apt-get dist-upgrade -y
apt-get install vim

I2P Installeren

We gaan nu do router voor het deepweb installeren.

vim /etc/apt/sources.list.d/i2p.list

Druk op de toets i om te beginnen met het invoegen van nieuwe regels, en sluit af met de escape toets. Voeg de volgende regels toe:

deb http://deb.i2p2.no/ jessie main
deb-src http://deb.i2p2.no/ jessie main

Je slaat het bestand op door dan :x in te toetsen en daarna de enter toets in te drukken. Hierna voer je de volgende commando’s uit;

curl https://geti2p.net/_static/i2p-debian-repo.key.asc > i2p-debian-repo.key.asc
apt-key add i2p-debian-repo.key.asc
apt-get update
echo "i2p i2p/daemon boolean true" | debconf-set-selections
echo "i2p i2p/user string i2psvc" | debconf-set-selections
apt-get install i2p i2p-keyring

Om te zorgen dat je vanaf je hele netwerk en niet enkel het kastje zelf bij de configuratie interface kunt komen veranderen we een paar regels.

vim /var/lib/i2p/i2p-config/clients.config

Zoek deze regel op en zet er een # voor, dit schakelt hem uit. Vergeet niet op i te drukken om in insert modus te gaan.

clientApp.0.args=7657 ::1,127.0.0.1 ./webapps/

Je zet onder deze regel een nieuwe neer en slaat het bestand op (escape, :x enter).

clientApp.0.args=7657 0.0.0.0 ./webapps/

Je start de router als volgt:

i2prouter start

De voortgang van het integreren van je router, en het aanpassen van de bandbreedte instellingen kun je doen door een browser te openen naar de configuratie interface.

http://hemlighetbox.local:7657/config

Privoxy installeren

Het installeren van Privoxy zelf is echt enorm simpel. Je doet het als volgt:

apt-get install privoxy

Vervolgens bewerk je het configuratie bestand om lokale adressen (192.168.x.y) door te sturen naar hetzelfde netwerk, en om .i2p adressen naar de i2p router door te sturen.

Ik ga er vanuit dat je inmiddels snapt hoe je een bestand moet bewerken dus voeg je boven aan het bestand /etc/privoxy/config de volgende regels toe:

forward 192.168.*.*/ .
forward .i2p 127.0.0.1:4444
forward-socks5t .onion 127.0.0.1:9050 .
listen-address 0.0.0.0

Daarna voer je de volgende regel uit:

service privoxy force-reload

Privoxy stuurt nu deze gegevens door. Het is raadzaam om op het internet te zoeken hoe je Privoxy verder kunt instellen, zodat je nog meer reclame en prive gegevens kunt filteren. De Privoxy web interface kun je benaderen door in je adresbalk p.p te openen.

Polipo installeren

Ook al zo makkelijk te installeren, Polipo. We gaan Polipo gebruiken om een kleine disk cache op de proxy bij te houden. Dit is makkelijk, want dan hoef je minder lang op diverse scripts te wachten. Als je echt 100% veilig wilt beschouwen is een disk cache niet het meest verstandig. Maar aangezien je hem in eigen beheer hebt vinden wij dit een goede trade-off voor snelheid. Wil je polipo niet gebruiken, dan haal je uit de vorige stap de regel forward 192.168../ . weg.

apt-get install polipo

In het bestand /etc/polipo/config voeg je de volgende regels toe:

proxyAddress = "0.0.0.0"
allowedClients = 127.0.0.1, 192.168.1.0/24
disableIndexing = true
disableServersList = true
censoredHeaders = from, accept-language, x-pad
censorReferer = maybe

En dit laat je volgen door een reload;

service polipo force-reload

De web interface kun je bereiken op poort 8123.

Tor installeren

Als je .onion adressen via Tor wilt bezoeken dan installeer je Tor. Bij het configureren van Privoxy hebben we de forward regel al ingesteld.

apt-get install tor

Dat is in principe alles al. Je zou nu moeten zijn verbonden met het Tor netwerk.

De firewall configureren

Om toegang toe te staan en het systeem wat veiliger te maken installeren we een makkelijk beheerbare firewall waarin we al het inkomende verkeer afsluiten behalve voor de Polipo proxy server en het I2P netwerk. Daarna schakelen we inloggen via het root account over ssh uit.

apt-get install ufw
ufw enable
ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
ufw allow 8118
ufw allow 6668
ufw allow 4444
ufw allow 4445
ufw allow 7657
ufw allow 7659
ufw allow 7660
sed -i.backup -e 's/^\(PermitRootLogin\).*/\1 no/' /etc/ssh/sshd_config

Je webbrowser configureren

Om vrij te kunnen browsen met minder advertenties en om .i2p domeinen te kunnen raadplegen, moet je nu je browser configureren. Hoe je dat doet verschilt per browser. Meestal zit dit verstopt onder geavanceerde instellingen onder een kopje netwerk. Het gaat dan om een http proxy.

Stel deze in met het ipadres van je kastje, op poort 8118. Weet je nog niet welk ip-adres je toegewezen hebt gekregen? Je zult het adres vinden met het ping commando.

ping hemlighetbox.local

Je bent klaar

Gefeliciteerd, je bent nu een klein beetje veiliger en daarnaast in staat om het deepweb te doorzoeken. Om goed te integreren met het I2P netwerk laat je het kastje dag en nacht aan staan. Wees veilig, browse anoniem en geef nooit informatie over je identiteit prijs op schimmige plekken.

Browse veilig
Clearnet+SSL (veilig): ginnegappen.nl
I2P (veilig+anoniem): ginnegappen.i2p
Tor (veilig+anoniem): gip4dgspcgy6einymq3mnnbvhjcynkcxh55bflcjetlypgqh7kgf2aid.onion
IPFS (p2p gedistribueerd): /ipns/ginnegappen.nl

Omdat het kan
Gopher: ginnegappen.nl:1070

Publiek internet

Je bezoekt deze site via het publieke internet. Om je verbinding extra te beveiligen is deze website ook beschikbaar via anonieme netwerken.

Wil je I2P of Tor installeren om een nog veiligere verbinding te gebruiken?

Veilige I2P verbinding

Je bezoekt deze site via het I2P netwerk, maar let op in sommige artikelen zijn links geplaatst naar het clearnet of tor netwerk.

Veilige Onion verbinding

Je bezoekt deze site via het Tor netwerk, maar let op in sommige artikelen zijn links geplaatst naar het clearnet of i2p netwerk.

Alle originele inhoud op deze pagina is gepubliceerd in het publieke domein tenzij anders vermeld. Het staat je dus vrij om te citeren, kopiëren en refereren.

Mastodon