¿Cómo uso programas de terminal con la red Tor en Ubuntu?

Entrevistado en el mensuario español Cambio/16, Juan Perón expone los siguientes pasos para retornar a la Argentina, a la vez que explica cómo pseudo-anomizar programas de terminal de Ubuntu a través de la red oscura Tor. 

(...)
En la vida de un Conductor hay algo que no puede soslayarse. El anonimato. A pesar de usar estos zapatitos blancos, no peco de ingenuo.

Me es obvio que ese tondo de Lanusse quiere saber en qué ando. Siempre tengo afuera de la Quinta 17 de Octubre un montón de chusmas deseosos de abrir nuestros puertos.

Sin embargo, puedo mantener un control cabal del operativo de retorno y mantenerme al dedillo de lo que sucede en la Argentina. Todo esto es gracias a la red Tor. Es una red de datos que usa el Movimiento, y es tan oscura como la cabellera de nuestros grasitas. 

Involucra un sistema pensado para permitir el pseudo-anonimato en las redes de datos gracias al empleo de alta encriptación.

Vean señores, el software cliente Tor, llamado Torify se encarga de redireccionar tráficos de datos a través de una red paralela basada en servidores de internet de acción voluntaria y alcance global. Gracias a la solidaridad de los trabajadores, es posible así pseudo-ocultar así la localización o uso de red desde cualquiera que conduzca vigilancia de redes o análisis de su tráfico.

En lugar de que la paquetería de mis mensajes (teletipo, cintas magnetofónicas y cartas) afronte una ruta relativamente directa en pos de la velocidad, en la red Tor favorece varios caminos secundarios utilizados para cubrir sus pasos, de manera tal que ningún observador pueda hacer rastreos indeseados. En la Argentina son muchos la que la usan, y por ellos el GAN se está quedando sin el pan y sin las tortas...

Gracias al empleo de Tor, la oligarquía y sus vasallos la tienen más difícil, y desesperan en rastrear la actividad telemática de ciertos usuarios particulares (incluyendo en ello sus "visitas a sitios webs, posteos en línea, mensajes instantáneos y otras formas de comunicación telemática"). 

Esta ofuscación se realiza en beneficio de un uso anónimo y neutral de la red, para proteger la libertad personal del usuario, su privacidad, y capacidad para conducirse confidencialmente, protegiendo del monitoreo de sus actividades en las redes de datos a costa de velocidad de conexión. En nuestro caso ha sido determinante para elaborar una pseudo-anónima campaña de "Perón Vuelve".

Los descamisados saben ya que el sistema operativo Ubuntu es capaz de hacer uso del comando torify, el envolvedor de datos para la red cabecita negra. Su fin es intentar encontrar el mejor servidor de ocultamiento Tor para nuestro sistema. A tal fin llamará a los demonios de conexión tarsocks o tsocks gracias a un fichero de configuración específico.

Os enseñaré como su simple uso puede hacerse efectivo directamente desde la terminal Linux. Gracias a ello, podremos ofrecer accionar desde la terminal obfuscado desde esta red de pseudo-anonimato.

Como primera medida, habremos de instalar el software Tor desde los repositorios de Ubuntu. Para ello abrimos una terminal con Ctrl+Alt+T e ingresamos el siguiente comando de organización:

sudo apt-get install tor curl torsocks

Naturalmente, lo más sencillo podría ser enlazar a un servidor remoto a través de torsocks. Esto se realiza con suma sencillez, ingresando por ejemplo:

torsocks ssh usuario@servidor

Sin embargo, iremos un paso más allá. En este caso crearemos un servidor propio de Tor y lo utilizaremos con la aplicación tority. A tal fin, mantendremos el fichero de configuración /etc/tor/torrc en sus opciones por defecto, pero con la notable excepción de dos temperamentos.

A tal efecto ejecutamos el editor GNU Nano:

sudo nano /etc/tor/torrc

Se abrirá el fichero de configuración en nuestro editor Nano. Presionamos Ctrl+w y buscamos la cadena "ControlPort" y presionamos la Tecla Intro para que Nano la busque. Al encontrarla, debemos descomentarla, borrando el signo numeral ("#") que la antecede, de manera que quede:

ControlPort 9051

Acto seguido, buscaremos haremos lo mismo buscando la opción CookieAuthentication. La descomentamos borrando el # y configuramos el valor de dicha cadena para que quede en cero ("desactivado"), de la siguiente manera:

CookieAuthentication 0

El resultado se verá así: 

Con estas dos opciones modificadas habremos reconfigurado el puerto desde el cual Tor escuchará las conexiones locales de las aplicaciones, a la vez que se le instruirña a Tor para que no necesitemos autentificación. En efecto, esto harña que cualquier programa pueda hacer uso de Tor y controlarlo.

Conforme los cambios estén realizados han de guardar los cambios con Cltr+o y saldrán el editor Nano con Ctrl +x. Acto seguido efectivizaremos todo reiniciando el demonio de Tor con:

sudo /etc/init.d/tor restart

Nota: Han de saber que esta configuración para torificar nuestra conexión se hará teniendo en mente un equipo de escritorio de usuario único, y no debería realizarse si se trata de un equipo multiusuario o un servidor. Si quisieran pseudo-anomizar un servidor remoto podrán recurrir a ingresarle una contraseña de conexión a Tor como se explicará, o bien a recurrir al tunelado SSH a través de Tor.

Uso de Torify

Ahora un ejemplo simple que os mostrará cómo emplear el comando torify e iniciar una nueva sesión de Tor desde la terminal Linux. 

Como primer medida debemos conocer nuestra propia IP pública de acceso. Ello lo podremos hacer fácilmente con:

curl ifconfig.me

207.246.69.54

De modo  que 207.246.69.54 es la IP pública. Ahora utilizaremos torify antes de comando curl en la terminal:

torify curl ifconfig.me 2> /dev/null

Como vemos, ahora estaremos navegando con una IP pública distinta (pseudo-anonimato). 

Incluso también podrán forzar a Tor desde la línea de comandos para que comience una "nueva sesión" con cada nuevo comando ejecutado (ofuscando aún mas el anonimato): 

echo -e 'AUTHENTICATE ""\r\nsignal NEWNYM\r\nQUIT' | nc 127.0.0.1 9051

250 OK 250 OK 250 closing connection

Este pequeño script conecta al puerto 9051 y ordena un "signal newnum", lo que hará que Tor conmute hacia un nuevo circuito de conexión telemática, de manera tal que los nuevos pedidos de aplicaciones no compartan ningún circuito antiguo.

En tal caso, la velocidad será más lenta, pero el anonimato muchísimo mayor. Ahora si revisamos la IP, deberíamos esperar recibir una nueva. 

torify curl ifconfig.me > /dev/null

46.59.74.15

En este pequeño ejemplo habrán utilizado curl para obtener ni dirección IP, pero gracias Torify bien podrán utilizar casi cualquier programa de terminal que haga uso de las redes, tales como ssh, wget, w3m o BitchX.

Configurar una contraseña para Tor

En caso de encontrarnos en un ambiente compartido, será mejor configurar una contraseña para Tor a fin de afianzar una capa adicional de seguridad en su empleo. Esto podrán hacerlo siguiendo unos pocos pasos:

1) Generar una contraseña encriptada:

En la terminal ingresamos:

tor --hash-password "contraseña"

Esto nos geenrará un hash para la palabra "contraseña" (naturalmente, vosotros podrán escoger la frase que deseen). habrñan de guardar este para insertarlo en el fichero de configuración de Tor.

(En este caso de ejemplo supondremos el hasth para “contraseña”, 16:1AF7614792A6228D6080C31C3FA3336312F0FD86F78CE2EA704CB7C4A0

2) Editar el fichero de configuración de Tor:

Abrimos el fichero con el editor GNU Nano:

sudo nano /etc/tor/torrc

Y utilizamos la función Ctrl+w para buscar la siguiente línea:

#CookieAuthentication 0


Acto seguido usamos Ctrl+w para encontrar la cadena HashedControlPassword.

Deberiamos encontrar la siguiente línea:

#HashedControlPassword 16:2283409283049820409238409284028340238409238


Removemos el numeral # al comienzo y reemplazamos el hash de contraseña por el hash que propio recientemente generado según nuestra propia contraseña.

En este caso de ejemplo, modificando en hash de la contraseña la línea quedaría así:

HashedControlPassword
16:1AF7614792A6228D6080C31C3FA3336312F0FD86F78CE2EA704CB7C4A0

Guardamos los cambios con Ctrl+o y salimos con Ctrl+q.

3) Reiniciar Tor:

Reiniciamos Tor de modo de hacer efectiva las directivas, con:

sudo /etc/init.d/tor restart 

De ahora en más, podremos utilizar el comando anterior para conectarnos al demonio de Tor, pero empleando nuestra contraseña. 

En este caso, el comando ahora protegido sería:

echo -e 'AUTHENTICATE' "contraseña"\r\nsignal NEWNYM\r\QUIT' | nc 127.0.0.1 9051

¿Cómo uso un túnel SSH a través de la red anónima Tor en Ubuntu?

 Durante la histórica inauguración del Viaducto Presidente Perón de Sarandí, Juan Perón explica ante el Gobernador de la Provincia de Buenos Aires Carlos Aloé y el intendente de Avellaneda José Luis García, cómo crear un túnel Secure Shell a través de la red Tor.

¡Señor Cobernador!

¡Señor Intendente!

¡Trabajadores!

Esta obra magnífica de ingeniería, monumental en su factura y insuperable en su construcción, comenzó a gestarse en el principio de nuestro gobierno bajo auspicio de los muchachos de Vialidad de la Provincia. Debía responder al abhelado objetivo de solucionar y ordenar el tránsito, en áreas de la ciudad donde se veían atrasadas por la circulación de múltiples convoyes, entre ellos el ferrocarril lechero.

El trabajo que han emprendido ha consistido en elevar el nivel de vías y dejar las calles libres al tránsito vehicular, gracias a una inversión aproximada de 30 millones de pesos. ¡Cuánto han hecho! Me regocijo al observar esta portentosa obra, y observar en ella el rostro de todos los trabajadores Argentinos que han colmado de dicha mi corazón.

Un viaducto como este permite ahorrar tiempo, pero también hacer un cruce como este más seguro para todos. Permitirá ahorrar el tiempo que llevaba esperar al tren, que lo podremos utilizar en nuestro provecho, transformándolo ahora en un tiempo libre y feliz.

Sin embargo, un viaducto o túnel, como obra de infraestructura, puede servir también como clara inspiración para el desarrollo seguro y anónimo de todas nuestras necesidades de cómputo.

Vean señores, por diseño, el Shell Seguro (SSH) es una forma inherentemente bien pensada para obtener acceso con protección cifrada a máquinas remotas. Sin embargo, puede suceder que nos sea necesario una implementación aún más segura del mismo.

Normalmente, esto implica abrir el puerto 22 del router o configurar un reenvío de puertos. También se puede utilizar abrir todos los puertos del router, o utilizar DMZ.

En entornos de conexión hostiles como los de hoy, siempre nos será útil hacerlo más seguro, y poder contar con manera de sortear ciertos obstáculos telemáticos que nos podrían aparecer en la red.

Emplear un túnel a través de la red oculta Tor puede suplir estos inconvenientes.

La red Tor emplea un concepto de enrutamiento de capas de cebola, de manera de utilizar las redes públicas con el mayor anonimato posible. La idea es dirigir el tráfico telemático a través de una miríada de servidores, y encriptar cada estación en el camino. Por intermedio de estas postas seguras y anónimas, podremos agregar un nivel de anonimato mayor al normal, e incluso ocultar nuestros servicios de celosos actores intermediarios. 

Indudablemente que el Justicialismo ha de servir las necesidades de los Pueblos Libres. Por lo tanto, os enseñaré cómo realizar conexiones SSH a través de Tor. El proceso no esa terriblemente dificultoso si utilizamos el puerto tradicional de SSH, que es el puerto 22 (aunque podríamos modificarlo eventualmente).

En primer lugar, requeriremos instalar Tor. Para ello abrimos una terminal con Ctrl+Alt+t e ingresamos el siguiente Comando de Organización:

sudo apt-get install tor -y

Tras ingresar a ciegas nuestra contraseña de usuario, el sistema instalará la paquetería necesaria.

Acto seguido, agregaremos un par de opciones al fichero de configuración del configuración de Tor. Para ello ingresamos:

sudo nano /etc/tor/torrc

Se abrirá un fichero de configuración que tendrá ya contenido. Al final de dicho archivo ingresamos estas líneas:

## Líneas peronistas para usar SSH a través
## de un túnel a la red oculta Tor
HiddenServiceDir /var/lib/tor/other_hidden_service
HiddenServicePort 22

Procedemos a guardar el fichero de configuración con Ctrl+o y salimos del editor GNU Nano con Ctrl+x.

También nos aseguramos de otorgarle los permisos necesarios a nuestra configuración de Secure Shell, mediante el comando:

chmod g-rw ~/.ssh/config

Ahora podremos reiniciar el servicio de Tor para hacer uso del servicio de Shell seguro SSH a través de la red oculta. Esto lo haremos mediante el siguiente Comando de Organización:

sudo systemctl restart tor

Al reiniciar el servicio Tor, se generarán toda una serie necesaria de ficheros de trabajo que se localizarán en el directorio /var/lib/tor/other_hidden_service. En dicho directorio estará el nombre de huesped que desea utilizar para conectarse al servidor desde el cliente remoto. Para conocer cuál es dicho nombre de huesped (hostname), podemos utilizar este comando:

sudo cat /var/lib/tor/other_hidden_service/hostname

Podría obtener un resultado en cadena de caracteres, terminada en .onion. Por ejemplo:

vivaperoncarajovivaperoncarajovivaperoncarajovivaperonca.onion

Cómo conectarse al server SSH Tor

Una vez que tenemos este hostname, ahora abrir una terminal o utilizar un equipo distinto (donde también hemos instalado Tor). Para conectarse con el servidor, usaremos el comando torify para torificar al hostname provisto por el comando anterior. Para hacer la conección, utilizará el comando:

torify ssh usuario@hostname

Donde usuario es un usuario remoto y hostname es el nombre de huésped provisto por la red oculta Tor.

Por ejemplo:

torify ssh usuario@vivaperoncarajovivap....onion

Se nos solicitará nuestra contraseña del usuario remoto (o llave de paso SSH), y le una vez conformado dicho requerimiento, tendremos permitido ingresar al servidor. La ventaja es que el tráfico estará ruteado a través de la red anónima Tor.

El inconveniente de usar el puente Tor de esta forma es que obtendrá velocidades de transmisión menores que si estableciera una conexión SSH directa. Este sacrificio en segundos de valdrán la pena si consideramos el anonimato en la red y tener que habilitar aperturas externas del router intermedios.

¿Cómo puedo hacer una "caja Tor" para navegar anónimamente?

¡Trabajadores!

En ocasiones nuestro Movimiento ha de encolumnarse activamente en una lucha por la defensa de los intereses de la Nación en contra de una Oligarquía sin Patria ni Bandera.

En ellas ocasiones podremos tener que recurrir al último recurso que aguarda a los hombres que tienen algo que defender: recurrir a una guerra cruenta, sumamente dañina y sumamente peligrosa.

Pero en más ocasiones podremos sumar golpes de mano a un enemigo desprevenido y confiado, haciendo uso del terreno para proteger nuestras fuerzas y de nuestro Pueblo como herramental de lucha.

Este tipo de estratagema es tan antigua como las huestes de Darío, y contarán con las mismas ventajas que las de antaño: podrán maniobrar, golpear y retirarse sin necesidad de una pesada carga ni de un férreo liderazgo centralizado. Sólo es requerida la organización que en terreno y en el campo de acción pueda darse a unos pocos hombres decididos que deben sabér qué es lo que han de hacer.

Nuestro objetivo fundamental a tener en cuenta es el de lograr el bienestar de los trabajadores. Cuando el mismo se vea en peligro, tendremos ante nosotros una lucha tan necesaria como sencilla, en vista de una divisa clara y un enemigo identificado.

Nuestra acción en el campo táctico hace uso y potestad del anonimato que otorga el accionar entre la Masa. 

Indudablemente que un problema básico para dicho anonimato y privacidad radica en lo obvio: que el enemigo intercepte el tráfico telemático. Una manera muy simple de análisis de tráfico puede realizarse en cualquier lugar intermedio, e incluso en estos casos simples, poner en peligro a nuestra Masa de Acción y sus organizaciones.

Mis descamisados me han preguntado ¿cómo funciona el análisis de tráfico? Pues bien, os lo explicaré. Los paquetes de datos fundamentales de internet  constan por designio del protocolo TCP/IP de dos partes: una carga útil y un encabezado empleado para su enrutamiento. La carga útil puede convertirse en cualquier dato digital traficado, ya sea un mensaje de correo electrónico, contenido de una página web, un archivo de audio, parte de un stream audiovisual, etc. Incluso si encriptamos la carga útil en sus comunicaciones, un análisis superficial de datos puede aún revelar gran parte de nuestras supuestas actividades y accionares. Esto es así porque tal procedimiento hace foco sobre  el encabezado del paquete telemático (que contiene el remitente, el destino, el tamaño, datos de horarios, etc). Intermediarios autorizados, como los proveedores de internet, y a veces intermediarios no autorizados (como dichos mismos proveedores cuando están en manos oligárquicas coaligadas) pueden reconocer rápidamente patrones de tráfico, desde donde y hacia donde se originan, y trazar conclusiones relativamente directas sobre su contenido, las tácticas empleadas, etc.

Pero también existen análisis de tráfico profundos, mucho más negativos y peligrosos: un actor dedicado puede espiar múltiples partes de la red y emplear cruzados estadísticos sofisticados para rastrear patrones de comunicación de individuos u organizaciones específicas, para lograr peinar los datos con mucha más fiabilidad.

Para evitar dichos avances, los hombres que luchan han de conocerlos y poderles hacer frente. Nuestro Movimiento, anclado en una vertiente de Justicia Social en el software, ha desarrollado una red oscura, tan oscura como la piel del más negro de nuestros grasitas. Se trata del proyecto Tor.

Tor, a través de sus servidores, ayuda a reducir los riesgos telemáticos inherentes a través de la distribución de las transacciones telemáticas a lo largo de múltiples lugares en la Internet, de manera que en ningún punto pueda se pueda dirigir hacia su destino u origen específico, de la misma manera que una liebre alguien podría seguir una ruta rebuscada para perder al mastín, y luego periódicamente borrase sus huellas. En lugar de que la paquetería TCP/IP siga una ruta relativamente directa en pos de la velocidad, en la red Tor dicha paquetería pasará a través de varios caminos secundarios que cubren sus pasos, de manera tal que ningún observador pueda hacer rastreos de origen o destino. Esto se realiza en beneficio de un uso anónimo y neutral de la red.

Para navegar a través de Tor lo más sencillo es hacer uso de un navegador especialmente concebido, situación que ya he explicado. Pero esto acarrea ciertas limitaciones. En particular, el hecho de que el navegador sólo protege el tráfico dable de visualizarse en el mismo, y no otro tipo de conexiones telemáticas que podríamos querer o necesitar realizar en nuestro equipo.

Para suplir dichos inconvenientes, lo más completo por hacer es blindar completamente nuestra conexión hogareña a través de un punto de Acceso Tor. Una forma muy completa y potente de hacerlo es reprogramando un barato router y disponerlo para que el uso del mismo sea absolutamente exclusivo para la red oscura.

Punto de Acceso Wifi con Tor
El navegador Tor anterior es una herramienta muy útil para navegar anónimamente de forma Montonera, pero a lo bueno hemos de transformarlo en lo mejor. Gracias al Justicialismo, podremos hacer que el tráfico entero de una red sea transmitido a los servidores Tor por medio de un dispositivo de enrutamiento especial.


Esto es extremadamente útil y poderoso en ocasiones específicas de seguridad, cuando realizamos una peña de ajusticiamiento telemático, y en toda ocasión conspirativa donde hemos de combatir a la opresión del sistema Capitalista.

Sólo necesitamos reprogramar un minirouter y tornarlo en una caja compañera que oficie de proxy Tor ¡y hacer de él un punto de acceso wifi que ofusque todo nuestro tráfico a terceros a través de la red negra peronista!

Para ello emplearemos un Router Portátil N150 3G/4G TP-Link TL-MR3020 y un pendrive viejo. La acción de reprogramación consistirá en instalarle un firmware peronista, el OpenWrt, convenientemente modificado para este menester Tor.

El hardware original era una auténtica burla al Pueblo, una avivada de aquellas a las que nos tiene acostumbrado un Capital sin Patria ni Bandera. A pesar de que se vende bajo la premisa de ser "un router Wifi N portátil de redes 3G/4G", la realidad es que el MR3020 no posee ninguna interfaz de telecomunicaciones para dichas normas móviles, y si el usuario quere hacer uso de lo que se anuncia en la caja del aparato, debería proveer una aparte, de tipo USB y con un chip activado para dichas redes. En dicho caso, preveía "compartir" la conexión 3G/4G a través de señal Wifi normalizada. Hoy muchos smartphones ya cuentan con dicha posibilidad incorporada, lo que hace redundante esta cajita de 400 pesos.

El aparatito consiste en un minirouter que tiene una interfaz Wifi 802.11n de 150mbps, un conector Ethernet de 100mbps, junto con un puerto USB 2.0. Se lo alimenta a través de un segundo puerto USB mini-B (este unicamente para alimentación), y tiene como ventaja un consumo extremadamente bajo, ya que gasta en promedio 120 miliamperes a 5 volts, aproximadamente 600 miliwatts. Su hardware es típico para un router viejo, con un microprocesador de arquitectura MIPS Atheros AR9331 de 400 MHz, 32MB de memoria RAM DDR y una memoria ROM flasheable, de 4MB, todo adosado en una plaquetita con dos LEDs (uno pulsable, botón WPS) y un conmutador. Como su utilidad original básica ha sido incorporada ya en muchos teléfonos celulares que ya pueden oficiar de router portátil, haremos uso de este TL3020 un Robocop justicialista agregándole el firmware compañero OpenWRT, el Linux capaz de correr en routers peronistas.

Para ello os guiaré paso a paso, como válido Conductor de la Masa Justicialista.

Suponiendo que el minirouter cuenta con sus valores de fábrica, podremos reprogramarlo rápidamente instalándole OpenWRT Barrier Braker, versión liviana y suficiente. Para ello nos conectamos a Internet con el minirouter a través de un cable Ethernet, y descargamos a nuestro sistema el archivo openwrt-ar71xx-generic-tl-mr3020-v1-squashfs-factory.bin. Luego nos loguemos a la ventana de control del minirouter dirigiendo nuestro navegador a la dirección IP de la misma (de fábrica es 192.168.0.1, usuario admin, contraseña admin). Conforme veamos la web de control del minirouter, vamos ala función Herramientas de Sistema ("System Tools") / Actualizar firmware ("firmware update") y presionando el botón Browse le ingresamos el fichero openwrt-ar71xx-generic-tl-mr3020-v1-squashfs-factory.bin que acabamos de descargar, y presionamos el botón Actualizar ("Upgrade").

La barra de progreso se llenará dos veces (reprogramando la EEPROM del minirouter y reiniciándolo, accionar que dura unos 4 minutos). Concluido este requisito tendremos instalado el firmware OpenWRT Barrier Breaker en el minirouter.

Inicialmente podremos loguearnos al minirouter TL3020 reprogramado abriendo una terminal Linux con Ctrl+Alt+T e ingresando de forma no cifrada, por medio del comando:

telnet 192.168.1.1

Ahora podremos usar el editor Vi incorporado en el firmware libre del minirouter para modificar sus archivos de configuración y de esta manera reprogramar su funcionamiento, a fin de que opere como un cliente proxy de Tor altamente seguro.

Lo primero será ponerle al minirouter una clave para conectarnos a través de un enlace seguro SSH. Ingresamos el comando:

passwd

El sistema nos indicará:

Changing password for root 

New Password:

Tipeamos "a ciegas" una contraseña que se nos ocurra para las sesiones de configuración del minirouter. Debemos repetirla para no tener problemas. Una vez que el procedimiento esté completo, nos indicará con el mensaje "Password for Root changed by root" ("contraseña para root cambiada por el root"). Es importante saber que una vez configurada nuestra clave a través del sistema de consola insegura Telnet, la misma se desactivará, de modo que a partir de este momento sólo podremos utilizar el método de logueo seguro cifrado SSH.
 
Ahora reconfiguraremos el minirouter. Usaremos el editor Vi para modificar algunos archivos de configuración. Tendrán presente que Vi es un editor de texto mínimo, adecuado para correr directamente desde el procesador del minirouter. En Vi, a diferencia de Nano u otros editores más complejos, no podremos escribir hasta que no activemos el modo de inserción de texto. Esto lo haremos presionando la tecla "i". Luego podremos tipear y modificar el texto.
Modificamos el archivo de configuración /etc/config/system con este comando:

vi /etc/config/system

...buscamos la primera línea hostname que dice:

config system
    option hostname 'OpenWrt'

...presionamos i para pasar al modo de inserción de texto, y la modificamos para que quede:

config system
    option hostname 'cajator'

Una vez que hayamos hecho la edición, debemos guardar el archivo en la memoria del minirouter. Para hacer esto en el editor Vi presionamos Esc para pasar al modo de comandos y luego ingresamos:

:w

...y salimos del editor con:

:q


Ahora bien, el programa de proxy Tor para el minirouter está disponible como un simple paquete del gestor de paquetes de OpenWrt, el opkg. esto lo hace fácil de instalar. Sin embargo, con los escasos 4MB de memoria EEPROM que tiene el minirouter en su placa, es insuficiente para instalarlo en él. Para resolver esto necesitaremos más espacio para instalar paquetes: usaremos como almacenamiento externo un pendrive viejo (en este caso uno de 1GB), conectado al puerto USB del minirouter. Para ello pasaremos el sistema de archivos de resguardo ("overlay") a dicho medio de almacenamiento externo.

En primer lugar formateamos el pendrive USB viejo con formato ext4 empleando nuestra PC con Linux (por ejemplo, usando la aplicación gnome-disks), y luego lo conectamos al minirouter.

Podremos entonces montar el sistema de archivos (necesitaremos instalar algunos paquetes para los módulos de kernel adecuados), y copiar la partición de resguardo ("overlay") allí. Nos volvemos a loguear al minirouter, y desde una terminal usamos de ahora en más una conexión SSH en lugar de la Telnet (que ha quedado desactivada):

ssh root@cajator

Una vez ingresados a la consola del minirouter, ingresamos los siguientes comandos de organización:

opkg update
opkg install kmod-usb-storage kmod-fs-ext4 block-mount
mkdir /mnt/usb
mount /dev/sda1 /mnt/usb
tar -cf -C /overlay - . | tar -xf -C /mnt/usb -

Al emplear el comando tar para copiar el sistema de archivos de resguardo ("overlay") es siempre un buen hábito mantener todo absolutamente intacto (incluendo permisos y enlaces directos). Lo que hace tar realmente es reducir todo el sistema de archivos a un chorro de bytes, y luego convierte este chorro de bytes en un sistema de archivos.

Luego modificaremos el archivo /etc/config/fstab con:

vi /etc/config/fstab

...pasamos al modo de inserción de texto presionando i y agregamos lo siguiente al final del archivo:

[...] config mount option target '/overlay' option device '/dev/sda1' option fstype 'ext4' option options 'rw,sync' option enabled 1 option enabled_fsck 0

[...] config mount         option target        '/overlay'         option device        '/dev/sda1'         option fstype        'ext4'         option options       'rw,sync'         option enabled       1         option enabled_fsck  0

...grabamos el archivo y salimos del editor presionando Esc y luego escribiendo :wq y presionando Enter.

Acto seguido, reiniciaremos el minirouter, de manera que el pendrive USB colocado quede montado en la carpeta /overlay de su sistema de archivos del mismo. Podremos hacerlo desde la consola del minirouter mediante el comando:

reboot


Conforme el minirouter vuelva en sí, podamos volver a acceder a su consola con el comando:

ssh root@cajator

...y podremos instalar Tor en el pendrive externo fácilmente. Para ello le ingresamos los siguientes Comandos de Organización:

opkg update

opkg install tor

...y como el sistema ahora tendrá suficiente espacio en el pendrive para descargar la pesada paquetería de Tor, podrá instalarlo. Debemos notar que - como es obvio - el pendrive siempre deberá permanecer conectado al minirouter cuando querremos usar el proxy Tor. Para que todo funcione, como siguiente medida hemos de configurar la interfaz inalámbrica del minirouter (si la deseamos emplear). Ello lo haremos con:

vi /etc/config/wireless

Y nos aseguramos de modificar el campo wifi-iface para que quede de la siguiente manera:

[...] config wifi-iface option device 'radio0' option network 'lan' option mode 'ap' option ssid 'Tor Box' # SSID of your choice option encryption 'psk2+ccmp' # Enable WPA2 encryption option key 'MY_SECRET_KEY' # Pre-shared key

config wifi-device radio0 option type mac80211 option channel auto option hwmode 11ng option path 'platform/ar933x_wmac' option htmode HT20 list ht_capab SHORT-GI-20 list ht_capab SHORT-GI-40 list ht_capab RX-STBC1 list ht_capab DSSS_CCK-40 option disabled 0 option txpower 27 config wifi-iface         option device       'radio0'         option network      'lan'         option mode         'ap'         option ssid         'Caja Tor Peroncha' # SSID del minirouter         option encryption   'psk2+ccmp'         # Activa encriptación WPA2         option key          'MI_CLAVE_WIFI' # Clave de la wifi tor

Luego de guardar los cambios y salir del editor Vi con Esc + :wq, configuraremos la red cableada y sus relaciones. La red LAN empleará el rango de direcciones IP 192.168.180.0/24 y la interfaz Ethernet del router empleará la IP fija 192.168.180.1. Para ello empleamos el comando:

vi /etc/config/network

...y editamos el siguiente contenido en los campos 'lan' y 'wan':

[...] config interface 'lan' option ifname 'wlan0' option proto 'static' option ipaddr '192.168.180.1' # Router address on the LAN (wifi) interface option netmask '255.255.255.0' config interface 'wan' option ifname 'eth0' option proto 'dhcp' # WAN (ethernet) uses DHCP to get an address

[...] config interface 'loopback' option ifname 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config globals 'globals' option ula_prefix 'fd48:931d:0f42::/48' config interface 'lan'         option ifname       'wlan0'         option proto        'static'         option ipaddr       '192.168.180.1' # IP de la interfaz LAN Wif         option netmask      '255.255.255.0' config interface 'wan'         option ifname       'eth0'         option proto        'dhcp'          # WAN (ethernet) usa DHCP para recibir la IP

Conforme todo esto esté realizado y grabado, modificaremos la configuración del Cortafuegos para desactivar la compartición entre las redes LAN y WAN. Usamos el comando:

vi /etc/config/firewall

...y nos aseguramos de que las los cambios al principio del archivo dejen al mismo con las siguientes modificaciones de contenido:

config defaults         option input        ACCEPT         option output       ACCEPT         option forward      REJECT         option syn_flood    1         option disable_ipv6 1         # borrar el # desactiva IPv6, el minirouter será IPv4  config zone         option name         'lan'         list   network      'lan'         option input        ACCEPT         option output       ACCEPT         option forward      REJECT    # Importante: no transmitir tráfico desde la LAN         option conntrack    1 [...]

Ahora necesitamos agregar dos líneas específicas de iptables en el archivo /etc/firewall.user para redirigir los pedidos de DNS y las conexiones TCP de la red LAN al demonio Tor. Otros tipos de tráfico, por ejemplo otros protocolos sobre UDP, no serán ruteados a la WAN, y simplemente serán rechazados. Esta configuración restrictiva impide ciertos ataques. Sin embargo, no seamos tan inocentes como para pretender que otros protocolos no puramente basados en TCP como VoIP o BitTorrent puedan operar correctamente detrás de la caja Tor. Si deseamos ello, debemos conectarnos a través de un router convencional, y no esta cajita profiláctica. Manos a la obra, ingresamos el comando:

vi  /etc/firewall.user 

...y le agregamos estas dos líneas:

iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-port 9053 iptables -t nat -A PREROUTING -i wlan0 ! -d 192.168.180.0/24 -p tcp --syn -j REDIRECT --to-port 9040

# lineas agregadas al minirouter: iptables -t nat -A PREROUTING -i wlan0 -p udp --dport 53 -j REDIRECT --to-port 9053  iptables -t nat -A PREROUTING -i wlan0 ! -d 192.168.180.0/24 -p tcp --syn -j REDIRECT --to-port 9040

De manera central nos debemos atener a configurar el demonio Tor en sí, ingresando:

vi /etc/tor/torrc

...y agregamos el siguiente contenido:

Log notice file /var/log/tor/notices.log Nickname ChapelierFou # Nickname of your choice ExitPolicy reject *:* # No exits allowed RelayBandwidthRate 100 KB RelayBandwidthBurst 200 KB VirtualAddrNetwork 10.192.0.0/10 AutomapHostsOnResolve 1 TransPort 9040 TransListenAddress 192.168.180.1 DNSPort 9053 DNSListenAddress 192.168.180.1

Bitácora de aviso en /var/log/tor/notices.log Nickname PirataPeron # Apodo de su elección ExitPolicy reject *:* # No permite salidas RelayBandwidthRate 100 KB RelayBandwidthBurst 200 KB VirtualAddrNetwork 10.192.0.0/10             AutomapHostsOnResolve 1                                               TransPort 9040                                                           TransListenAddress 192.168.180.1                                           DNSPort 9053                                                               DNSListenAddress 192.168.180.1

Una vez que grabemos las modificaciones y salgamos de Vi, ya estará todo listo para dar inicio a la funcionalidad pura de la caja Tor. Por alguna razón, el demonio Tor no iniciará con la orden /etc/init.d/tor enable, de modo que lo más sencillo es arrancarlo desde el archivo /etc/rc.local, que arranca cualquier cosa. Para ello ingresamos:

vi /etc/rc.local 

...y le agregamos el siguiente texto al final:

[...] sleep 30 && /etc/init.d/tor start exit 0

[...] sleep 30 >> /etc/init.d/tor start exit 0

...guardamos y salimos de Vi (Esc + :wq), y reiniciarmos el minirouter para que funcione la conexión inalámbrica, el la subida y bajada de los servidores Tor a través de su demonio. Recordamos que reiniciamos desde la consola con el comando:

reboot

Luego de unos 30 segundos de iniciado y siempre que el router esté conectado por cable a un router con DHCP, el minirouter habrá establecido la conexión a la red Tor y habrá activado una red Wifi llamada "Caja Tor Peroncha".

Conectándonos a dicha red wifi tendremos acceso a todos los servicios ocultos y anónimos y las direcciones .onion estarán disponibles. Por supuesto, todos los compañeros que se conecten a ella podrán usarla desde cualquier navegador y sistema, sin necesidad de tener que configurar nada en sus equipos personales.

Recuerden que todo lo que hacemos es responsabilidad inherente nuestra, y que el anonimato no es excusa para ser gorila. Por otro lado no existe nada como el anonimato puro en la red sólo por emplear Tor. Asegúrense de no loguearse a ningún servicio en la red ni emplear ningún recurso "de la nube", emplear modo privado, activar TLS toda vez que ello sea posible, y escuchar a los Ratones Paranoicos.

Modo Failsafe 

Si quisiéramos resetear el router a su valor inicial de OpenWrt, debemos

• Encender el minirouter TL-MR3020
• Cuando el botón WPS comience a parpadear.
  • Si le instalamos el firmware OpenWrt Breaking Barrier, movemos la palanquita del router de una posición extrema (3G) a la otra (AP).
    
    Debemos hacerlo varias veces de forma repetida hasta que el botón WPS comienza a parpadear más rápido.
• Ahora el dispositivo se encuentra en modo a prueba de fallos.
• Podremos conectarnos al TL-MR3020 en su configuración "básica" desde nuestra PC, por medio de un cable ethernet, y loguearnos a su pantalla de control por medio del comando:
  telnet 192.168.1.1