Trouer un Fortigate ou un WatchGuard avec Tor et Privoxy

Ce que j’aime chez certains administrateurs système et réseau, c’est leur assurance définitive. Il y a de cela quelques semaines, alors que je donnais un cours « sécurité informatique », j’ai montré très simplement comment passer le pare-feu Fortigate qui semblait « infranchissable », bloquant l’accès à de très nombreux domaines. J’ai renouvelé l’expérience la semaine suivante sur un WatchGuard avec succès.

J’ai donc installé tor et privoxy, présents dans les dépôts d’une distribution Linux Fedora Server 29. Tor ne peut pas être directement utilisé à partir de Firefox. Il faut passer par le proxy privoxy pour pouvoir l’utiliser.

Configuration de tor et privoxy

Concernant la configuration de tor, je n’ai rien modifié aux fichiers de configuration /etc/tor/torrc et /etc/tor/torsockets.conf.

En revanche, j’ai apporté quelques modifications au fichier de configuration de privoxy /etc/privoxy/config pour le coupler à tor et augmenter les performances d’affichage des pages dans le navigateur, ralenti du fait de l’utilisation de tor :

hostname localhost
#L'ip de mon serveur Linux est, dans l'exemple, l'adresse 192.168.1.202
listen-address 192.168.1.202:8118
toggle 0 #N'apporte aucune modification aux entêtes envoyés par le navigateur
permit-access 192.168.1.0/24
forward-socks5t / 127.0.0.1:9050 .
keep-alive-timeout 900
default-server-timeout 900
socket-timeout 900
enable-compression 1
compression-level 9

Lancement des services Tor et Privoxy

Vous devez activer et démarrer les services Tor et Privoxy :

systemctl enable tor privoxy
systemctl start tor privoxy

Pensez également à ouvrir le port Tcp/8118 ou à couper le pare-feu. Attention, également à SELinux !

Configuration du proxy dans Firefox

Dans les options de Firefox, allez dans Général > Paramètres Réseau > Paramètres.

Firefox > Options >Général > Paramètres Réseau > Paramètres

Dans les paramètres de connexion, n’oubliez surtout pas de cocher tout en bas Utiliser un DNS distant lorsque SOCKS v5 est actif, faute de quoi vous risqueriez d’être bloqué par le firewall du fait de vos requêtes DNS.

Firefox > Options > Général > Paramètres Réseau > Paramètres de connexion > Utiliser un DNS distant lorsque SOCKS v5 est actif

Vérification de l’utilisation de Tor

Je vous ai fait un script PHP vous permettant de connaître l’IP publique associée à votre connexion. Pour ce test, je passe par une machine du MIT hébergée dans la ville de Boston aux Etats-Unis, au lieu d’utiliser l’IP publique fournie par mon FAI.

DBIP - IP Address Geolocation

Précaution d’emploi

Je ne vous recommande pas d’utiliser Tor pour vous connecter à vos comptes personnels. Tor doit être réservé à des usages, où les identifiants utilisés sont sans importance.

Tracking  / Fortigate Privoxy Tor WatchGuard