Besuchen Sie uns auf der it-sa 2024!

Tor-Netzwerk

Was ist das Tor-Netzwerk?

Tor ist eine Netzwerklösung zur Anonymisierung von Verbindungsdaten im Internet. Der technologische Ansatz von Tor basiert auf dem sogenannten Onion-Routing, bei dem Verbindungen im Internet über verschiedene und variable Routen verschleiert werden.

Myra Services zum Thema: Flexibler Schutz vor einer Vielzahl von Bedrohungsszenarien mit der Myra Hyperscale WAF

Auf einen Blick

1. Tor: eine Definition
2. Wie funktioniert das Tor-Netzwerk?
3. Was sind Onion Services?
4. Was hat das Darknet mit Tor zu tun?
5. Welche Programme nutzen das Tor-Netzwerk?
6. Wie sicher ist das Tor-Netzwerk?
7. Wer nutzt das Tor-Netzwerk?
8. Tor-Netzwerk: Das müssen Sie wissen

Tor: eine Definition

Mit dem Tor-Netzwerk greifen Anwender anonymisiert auf Inhalte aus dem Internet zu. Die freie Technologie ist für TCP-Verbindungen konzipiert und erlaubt mitunter eine anonyme Nutzung von Webbrowsern, Instant Messaging, IRC, SSH, E-Mail oder P2P. Der Name „TOR“ wurde ursprünglich als Akronym für den Projektnamen „The Onion Routing“ verwendet, womit auch direkt auf die basierende Technologie verwiesen wurde. Mittlerweile ist die Schreibweise „Tor“ ohne Versalien gebräuchlicher und wird auch so von den Entwicklern verwendet. Konzept und Entwicklung der Technologie reichen bis in das Jahr 2000 zurück. In den Anfangsjahren wurde das Projekt maßgeblich von US-Behörden vorangetrieben und entwickelt, mitunter durch das United States Naval Research Laboratory mit Unterstützung des Office of Naval Research (ONR) und der Defense Advanced Research Projects Agency (DARPA). Auch die Electronic Frontier Foundation (EFF) beteiligte sich zeitweise an der Entwicklung von Tor. Seit 2006 ist die Non-Profit-Organisation The Tor Project, Inc für das Open-Source-Projekt verantwortlich.

Wie funktioniert das Tor-Netzwerk?

Die technologische Grundlage des Tor-Netzwerks bildet das Onion-Routing. Der Name leitet sich vom Aufbau des eingesetzten Verschlüsselungsschemas ab, das über vielerlei Schichten mehrmals abgesichert ist. Dabei wird der Verbindungsaufbau über verteilte Knoten geleitet, die als verschlüsselnde Proxyserver fungieren. Die gesendeten Datenpakete erhalten dadurch eine mehrschichtige Verschlüsselung entsprechend der Anzahl an Knoten, über welche die Route leitet. In der Regel umfasst eine Route drei Instanzen, da dies einen ausgewogenen Kompromiss zwischen Anonymität und Geschwindigkeit darstellt. Die Entschlüsselung von empfangenen Datenpaketen erfolgt nach demselben Muster.

Das Onion-Routing stellt sicher, dass nur der letzte Knoten auf der Route die Anfrage im Klartext erhält, diese aber keinem Nutzer zuordnen kann. Auch innerhalb der Knotenroute soll die Rückverfolgung des Nutzers so ausgeschlossen werden – vorausgesetzt, dass nicht alle genutzten Knoten einem einzigen Betreiber zuzuordnen sind. Da die Route immer individuell und variabel vergeben wird, ist ein solches Szenario allerdings sehr unwahrscheinlich, zumal alle zehn Minuten eine neue Route durch das Tor-Netzwerk definiert wird.

Funktionsweise des Onion-Routings

Prinzipiell umfasst der Aufruf von Webinhalten über das Tor-Netzwerk mindestens diese Stationen:

Tor-Client:

Über die Client-Software auf dem PC oder Mobilgerät sendet der Anwender eine Anfrage zu einem Webdienst (beispielsweise eine Suche auf google.com). Diese Anfrage wird vom Tor-Client verschlüsselt und an einen der vordefinierten Entry-Points weitergeleitet.

Entry-Point:

Der Einstiegspunkt ins Tor-Netzwerk, auch Entry Guard oder Guard genannt, erhält vom Tor-Client eine verschlüsselte Aufrufanfrage, die er an einen Nachbarknoten weiterleitet. Der Inhalt der Anfrage ist für den Guard nicht ersichtlich, er kennt nur den Ursprung (Tor-Client) und den nachfolgenden Tor-Node zur Weiterleitung der Anfrage. Im Gegensatz zu den übrigen Knoten innerhalb einer Verbindung werden Guards nicht dynamisch gewählt. Stattdessen bestimmt der Client eine kleine Menge (standardmäßig drei) vordefinierter Guards, die für sämtliche Sitzungen zum Einsatz kommen und erst nach zwei bis drei Monaten oder bei einem Ausfall neu gewählt werden. Bei diesen Einstiegspunkten handelt es sich um Server, die schon länger zuverlässig in Betrieb sind und hohe Übertragungslasten stemmen können. Dieses Prinzip soll die Stabilität und Sicherheit der Routen erhöhen, da mit fest definierten Einstiegsservern die Wahrscheinlichkeit sinkt, dass Tor-Nutzer eine gänzlich von einem Angreifer kontrollierte Route verwenden.

Tor-Node:

Der Tor-Knoten nimmt nun die eingegangene Anfrage auf und gibt sie an den Endknoten oder Exit-Point weiter. Auch die herkömmlichen Tor-Nodes haben keinen Zugriff auf den Klartext der Anfragen. Nur die Instanzen vor und nach dem Knoten werden kommuniziert.

Exit-Node:

Am sogenannten Endknoten erfolgt nun der eigentliche Aufruf des adressierten Webservers. Hier wird die Anfrage entschlüsselt und über eine DNS-Anfrage an den jeweiligen Zielserver weitergeleitet.

Ziel-Server:

Dem Zielserver sind nun die Anfrage sowie die IP-Adresse des Exit-Node bekannt. An Letztere gibt er die angefragten Webinhalte weiter. Die eigentliche Herkunft der Anfrage bleibt unterdessen unbekannt. Die Antwort des Servers folgt nun derselben Route, die zuvor über die Anfrage genommen wurde.

Sonderfall Tor-Bridges

Da die Liste aller Tor-Nodes öffentlich zugänglich ist, können autoritäre Regierungen diese Zugänge in das Anonymisierungsnetzwerk besonders einfach zensieren. Um dieses Problem zu umgehen, sind im Tor-Netzwerk auch unregistrierte Knoten enthalten, die sogenannten Bridges. Diese Relais müssen explizit vom Anwender beim Tor-Projekt angefragt und im Client hinterlegt werden. Der Traffic vom Client zur Bridge-Instanz kann zusätzlich durch Pluggable Transports verschleiert werden, um eine Enttarnung durch Deep Packet Inspection (DPI) vonseiten des Internetdienstanbieters zu umgehen.

Was sind Onion Services?

Unter Onion Services versteht man speziell für die Nutzung des Tor-Netzwerks vorgesehene Webinhalte. Diese Webdienste nutzen die Top Level Domain (TLD) .onion und werden nicht von Suchanbietern indexiert. Die genaue Adresse des Dienstes muss dem Anwender bekannt sein, um diese direkt anzusteuern. Im Gegensatz zu herkömmlichen Webseiten werden Onion Services über den Tor Browser komplett verschlüsselt aufgerufen. Die Klartext-Anfrage vom Exit Node mitsamt dabei anfallenden Metadaten zum Zielserver fällt hier weg. Damit ist die Identität der Anwender beim Surfen auf Onion Services besser geschützt als auf herkömmlichen Webseiten. Aus diesem Grund nutzen verschiedene Nachrichtenportale, Organisationen für Menschenrechte, Meinungs- und Pressefreiheit oder auch auf Datenschutz bedachte Dienstanbieter und E-Mail-Provider eigene Onion Services als Ergänzung zur herkömmlichen Webseite. Zu den bekanntesten Vertretern zählen etwa die New York Times, BBC News, The Intercept, ProtonMail, Mailbox.org oder DuckDuckGo. Nutzer des Tor Browsers werden automatisch auf einen Onion Service geleitet, wenn dieser von einer Webseite zur Verfügung gestellt wird.

Was hat das Darknet mit Tor zu tun?

Die besondere Sicherheit und Anonymität des Tor-Netzwerks lockt auch Cyberkriminelle, welche die Technologie für illegale Machenschaften missbrauchen. So werden im sogenannten Darknet etwa illegale Marktplätze betrieben, auf denen Schadsoftware, Drogen, Waffen und kriminelle Dienstleistungen gehandelt werden. Der Begriff Darknet spielt darauf an, dass diese Webseiten nicht über herkömmliche Suchmaschinen und normale Webbrowser erreichbar sind. Vielmehr müssen die Anwender eine spezielle Software einsetzen und die genaue Adresse kennen. Außerdem erfordern viele dieser Schattenportale eine Einladung durch Mitglieder, um überhaupt den Diensten beitreten zu können. Auf diese Weise versuchen Cyberkriminelle, eine Unterwanderung durch Fahndungsbehörden zu verhindern. Dennoch gelingt es Gesetzeshütern immer wieder, auch solch gut gesicherte Portale im Darknet auszuheben. Zuletzt wurde mit DarkMarket der weltweit größte illegale Marktplatz im Darknet durch deutsche Ermittler mit internationaler Unterstützung vom Netz genommen. Auf dem Portal sollen rund 500.000 Nutzer Geschäfte im Wert von über 140 Millionen Euro getätigt haben.

Überzeugen Sie sich von unseren maßgestalteten Security-as-a-Service-Lösungen für IT-Infrastrukturen und Webapplikationen.

Jetzt kostenlose Demo anfordern

Welche Programme nutzen das Tor-Netzwerk?

Um Webinhalte und die speziellen Onion Services über das Tor-Netzwerk abzurufen, sind spezielle Tor-Clients erforderlich. Diese stehen in unterschiedlichen Ausführungen für die gängigsten Betriebssysteme bereit.

Tor Browser:

Der bekannteste Client ist der vom Tor-Projekt selbst entwickelte Tor-Browser. Die Software basiert auf Mozilla Firefox in der stabilen ESR-Variante, erweitert um die Add-ons NoScript, HTTPS Everywhere sowie Tor-spezifische Kontroll- und Konfigurationselemente. Der Client ist für Windows, macOS, Linux und Android erhältlich.

Onion Browser:

Der mobile Browser für Apple iOS ist ebenfalls als Open Source konzipiert. Im Gegensatz zum Tor Browser nutzt die Software nicht Mozillas Gecko-Engine, sondern plattformbedingt WebKit.

Tails:

Das auf IT-Sicherheit, Datenschutz und Anonymität ausgelegte Live-Betriebssystem Tails leitet sämtlichen Internet-Traffic standardmäßig über das Tor-Netzwerk. Außerdem ist der Tor Browser in Tails als Standardpaket vorinstalliert.

OnionShare:

OnionShare ist ein Service zum anonymen und sicheren Datenaustausch über das Tor-Netzwerk. Die Software ist für die Betriebssysteme Windows, macOS und Linux erhältlich.

Hände die ein Handy halten und darauf tippen

Wie sicher ist das Tor-Netzwerk?

Das Tor-Netzwerk ist ein mächtiges Tool zur Verschleierung von Internetaktivitäten. Allerdings ist auch Tor nicht frei von Schwachstellen und Fehlern. So besteht beispielsweise stets die Gefahr, dass Angreifer eine Vielzahl von Knoten kontrollieren und überwachen. Sobald Entry-Point und Exit-Node einer Route unter der Kontrolle eines einzelnen Akteurs stehen, ist die Identität des Nutzers ermittelbar.

Sicherheitslücken im Tor Browser selbst sowie in den implementierten Add-ons NoScript und HTTPS Everywhere lassen sich auch niemals ausschließen. In der Vergangenheit haben Sicherheitsforscher über Bugs in den Erweiterungen schon erfolgreich Schadcode in den Tor-Browser geschleust.

Daneben kann die Anonymität im Tor-Netzwerk natürlich nur sichergestellt werden, wenn auch die Nutzer keine Spuren in Form von Cookies, zusätzlichen Add-ons oder der Nutzung von BitTorrent-Diensten hinterlassen, die ihre Identität preisgeben.

Wer nutzt das Tor-Netzwerk?

Das Tor-Netzwerk wurde primär dazu entwickelt, um schutzbedürftigen Personen im Netz ein geeignetes Werkzeug zur anonymen Kommunikation zur Verfügung zu stellen. Hierzu zählen etwa Anwender in totalitär und autoritär regierten Staaten, politisch verfolgte Minderheiten oder Journalisten, die ihre Quellen schützen wollen.

Allerdings wird Tor auch von Cyberkriminellen zur Verschleierung ihrer illegalen Aktivitäten missbraucht. Das ist mitunter ein Grund, weshalb das Netzwerk einen zweifelhaften Ruf bei diversen Behörden und Internetdienstanbietern genießt.

Tor-Netzwerk: Das müssen Sie wissen

Das Tor-Netzwerk ist eine Anonymisierungslösung, die Webverbindungen über verschlüsselte und zufällig verzweigte Routen und Server-Instanzen aufbaut. Selbst für die Betreiber der aufgerufenen Webdienste ist es damit nicht mehr ersichtlich, von wem und woher eine Anfrage stammt. Tor wurde in erster Linie für die Sicherheit von besonders schutzbedürftigen Nutzern entwickelt – allerdings missbrauchen auch Cyberkriminelle die Technologie, um ihre Machenschaften im Netz zu verschleiern. Für die Nutzung von Tor sind spezielle Clients erforderlich, die den Aufbau in das Netzwerk herstellen und die Routen verwalten.

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich

Responsible Disclosure Impressum Datenschutz Privatsphäre-Einstellungen AGB