Anonyme p2p-Netzwerke

Anonyme Peer-2-Peer Netze nutzen die Infrastruktur des WWW, um in einer darüber liegenden komplett verschlüsselten Transportschicht ein anonymes Kommunikationsnetz zu bilden. Der Datenverkehr wird mehrfach verschlüsselt über ständig wechselnde Teilnehmer des Netzes geleitet. Der eigene Rechner ist auch ständig an der Weiterleitung von Daten für andere Teilnehmer beteiligt. Das macht die Beobachtung durch Dritte nahezu unmöglich. Hauptverwendungszweck für anonyme Peer-2-Peer Netze ist unbestritten das abmahnsichere Tauschen von Dateien. Unbeobachtete Kommunikation zwischen den Teilnehmern (E-Mail, Chatten…) ist ebenfalls möglich. Außerdem kann man zensurresistent Webseiten publizieren. Da die Nutzung der Angebote mit technischen Hürden verbunden ist, erden sie deutlich weniger besucht als klassische Webseiten.

Invisible Internet Project (I2P)

I2P hat das Ziel, Anonymität sowohl für Konsumenten als auch für Anbieter von Angeboten zu bieten. Dieses Ziel läßt sich nur in einem geschlossenen Netz verwirklichen. Es wird die Infrastruktur des WWW genutzt, um in einer darüber liegenden, verschlüsselten Transportschicht ein anonymes Kommunikationsnetz zu bilden. Der Datenverkehr wird mehrfach verschlüsselt über ständig wechselnde Teilnehmer des Netzes geleitet. Der eigene I2P-Router ist auch ständig an der Weiterleitung von Daten für Andere beteiligt. Das macht die Beobachtung einzelner Teilnehmer durch Dritte nahezu unmöglich. Die innerhalb des Invisible Internet bereitgestellten Angebote sind nicht lokalisierbar. Wie im normalen Internet sind die meisten Angebote Server-basiert.

  • Webserver stellen die sogenannten eepsites bereit, die Webseiten mit der Toplevel Domain .i2p. Es gibt Suchmaschinen für die eepsites. Das Äquivalent für Google ist .
  • Als E-Mail Dienst hat sich SusiMail etabliert, ein zentraler Mailserver für I2P mit Gateway ins normale Internet. Eine neue Alternative ist das serverlose Projekt I2P-Bote.
  • Das Äquivalent zum Usenet ist Syndie. Es gibt öffentliche und private
  • Diskussionsforen, die auf Syndicationservern gehostet werden.
  • Es gibt zwei redundante Server für IRC.
  • Für das Filesharing ist mit I2Psnark eine Adaption von BitTorrent vorhanden. Der Tracker von Postman ist das Äquivalent zur PirateBay im normalen Netz.

Freenet

Freenet bietet Schutz gegen das umfangreichste Angriffsmodell. Freie Kommunikation unter den Bedingungen globaler Überwachung ist das Ziel des Projektes. Es stellt die höchsten Anforderungen an die Nutzer und erzielt die langsamsten Downloadraten. Im Unterschied zu I2P werden die Inhalte im Freenet redundant über alle Peers verteilt und verschlüsselt abgelegt. Es gibt keine Server für Webdienste, E-Mail usw. Der Zugriff auf die Inhalte erfolgt nicht über einfache URLs, sondern über komplexe Schlüssel, welche die Adressen der TOR Hidden Services als absolut harmlos erscheinen lassen. Einmal veröffentlichte Inhalte können im Freenet nicht mehr modifiziert werden, auch nicht vom Autor. Es ist jedoch möglich, aktualisierte Versionen zu veröffentlichen. Die Freenet Software stellt sicher, dass immer die aktuellste Version angezeigt wird. Neben Webseiten gibt es F-Mail und mit Frost ein Äquivalent zum Usenet. Das Tauschen von Dateien erfolgt direkt im Browser mit einer Oberfläche, die der Freenet-Konten bereitstellt. Unabhängig vom Open Freenet kann man mit vertrauenswürdigen Freunden ein eigenes Netz konfigurieren, welches sich vollständig der Beobachtung durch Dritte entzieht.

Das Invisible Internet Project (I2P) hat das Ziel, Anonymität sowohl für Konsumenten als auch für Anbieter von Angeboten zu bieten. Dieses Ziel lässt sich nur in einem geschlossenen Netz verwirklichen. Das Projekt bietet einen Java-basierten Client. Dieser Client verschlüsselt den gesamten Datenverkehr. Außerdem stellt er sicher, dass ständig neue Verbindungen zu anderen Rechnern des Netzwerkes aufgebaut werden. Neben der Möglichkeit, anonym zu surfen und Websites (sogenannte eepsites) anzubieten, sind weitere Anwendungen bereits fester Bestandteil von I2P. Es bietet anonyme E-Mail (Susimail, I2P-Bote), BitTorrent Downloads (I2Psnark), ein anonymes Usenet (Syndie) u.a.m.

Installation des I2P-Routers

Für die Nutzung des Invisible Internet Projects benötigt man den I2P-Router, der als Proxy für verschiedene Anwendungen (Webbrowser, E-Mail Client…) dient und die Weiterleitung der Daten vom und zum I2P-Netz übernimmt. Der I2P-Router ist eine Java-Applikation und steht unter www.i2p2.de zum Download bereit.

Windows: Als erstes ist ein Java-Runtime-Environment (JRE) zu installieren. Das Installationsprogramm für Java gibt auf der Webseite www.java.com1. Der Installer möchte unbedingt die Ask-Toolbar für alle Browser installieren. Das sollte man deaktivieren, braucht man nicht. WICHTIG: Der Installer aktiviert auch ein Java-Plugin für alle Browser. Dieses Plug-in ist ein Sicherheitsrisiko und muss im Java Control Panel unter Systemsteuerung Programme Java deaktiviert werden!

Anschließend kann der I2P-Router installiert werden. Die Datei i2pinstall-0.x.y.exe von der I2P Downloadseite http://www.i2p2.de/download.html enthält einen kompletten Installer, der nach dem Start alles Nötige einrichtet. Einfach starten und dem Assistenten folgen. Nach der Installation findet man im Startmenü die neue Gruppe I2P. Die beiden Punkte zum Starten von I2P unterscheiden sich nur gering. Im ersten Fall hat man keine störende Konsole auf dem Desktop. I2P router console öffnet den Webbrowser, um den Router zu konfigurieren oder abzuschalten mit der Adresse http://localhost:7657.

Stoppen lässt sich der Router in der Router-Konsole im Webbrowser unter http://localhost:7657 mit Klick auf den Link shutdown oder obiges Kommando mit der Option stop.
http://www.i2p2.de/download.html

Nach dem ersten Start braucht der I2P-Router einige Zeit, im sich im Invisible Internet zu orientieren. Zum Warmlaufen sollte man ihm 30min Zeit lassen. Wenn es danach noch immer nicht so richtig funktioniert, sind die Netzwerkeinstellungen zu prüfen. Die Startseite der Router-Console gibt einige Hinweise. Den I2P-Router kann man nicht kurz einmal starten, wenn man ihn nutzen möchte. Er sollte möglichst immer laufen, wenn der Rechner online ist. Damit lernt er die verfügbaren Peers und eepsites besser kennen und ist besser in das Netz eingebunden.

Konfiguration des I2P-Router

Standardmäßig ist der I2P-Router funktionsfähig vorkonfiguriert. Ein paar kleine Anpassungen können die Arbeit etwas verbessern.

Bandbreite anpassen

Der I2P-Router arbeitet am besten, wenn man die Bandbreite an den eigenen Internetanschluss anpasst. Nach dem Start kann man auf der Seite http://localhost:7657/config der Router Konsole die Werte anpassen.

Netzwerk Konfiguration

Auf der Seite http://localhost:7657/confignet der Router Konsole sind die Einstellungen für die Einbindung in das I2P-Netz zu konfigurieren. Dabei gibt es zwei Möglichkeiten:

1. Wenn der eigene Rechner nicht vom Internet erreichbar ist, dann sind folgende Optionen zu aktivieren, damit der I2P-Router korrekt arbeitet:

  • Versteckter Modus ist zu aktivieren.
  • Optional kann der Laptop Modus aktiviert werden. Dann ändert sich
  • Router-Identifikation bei Änderung der IP-Adresse.

2. Wenn der eigene I2P-Router vom Internet für andere Teilnehmer erreichbar ist, verbessert sich die Performance und Anonymität. In der Netzwerk Konfiguration des I2P-Routers sind dann folgende Optionen zu konfigurieren:

  • UPnP ist aus Sicherheitsgründen auf dem DSL-Router zu deaktivieren. Damit ist klar, dass in der Netzwerk Konfiguration des I2PRouters das UPnP Portforwarding und die UPnP IP-Adresserkennung auch zu deaktivieren sind.
  • In den UDP-Einstellungen ist der Port anzugeben, für den die Weiterleitung auf dem DSL-Router konfiguriert wurde.
  • In den TCP-Einstellungen ist ebenfalls der Port zu konfigurieren und die Option automatisch erkannte IP-Adresse benutzen zu aktivieren.
  • Die Hinweise im Kapitel Konfiguration des DSL-Routers erläutern die notwendigen Einstellungen, damit Ihr Rechner vom Internet erreichbar ist. Auf dem DSL-Router ist ein Portforwarding zu Ihrem Rechner zu konfigurieren und die Firewall des Rechners ist anzupassen.

SusiDNS anpassen

Für die Zuordnung von Domain Namen mit der Toplevel Domain .i2p zu einem Service wird SusiDNS verwendet, ein dem DNS im Internet vergleichbares System. Wie in den Anfangszeiten des WWW erhält jeder I2P Router eine komplette Liste der bekannten eepsites, das addressbook. Um neue eepsites oder Services in das addressbook einzufügen, verwendet I2P sogenannte subscriptions. Die eine standardmäßig vorhandene subscription wird relativ selten aktualisiert. Um auf dem Laufenden zu bleiben, kann man weitere subscriptions zu abonnieren. Die Einstellungen für SusiDNS findet man in der Router Konsole. Subscriptions kann man unter folgender Adresse einfügen: http://localhost:7657/susidns/subscriptions.jsp

JonDoFox nutzen

Das Firefox Profil JonDoFox ist für spurenarmes uns sicheres Surfen optimiert. Es bietet neben JonDo und Tor eine Benutzerdefinierte Proxy Konfiguration, die man für I2P nutzen kann. Der JonDoFox verhindert zuverlässig eine Kompromittierung der Anonymität.

Firefox selbst konfigurieren

Ich würde empfehlen, für das Surfen im Invisible Internet ein separates Firefox-Profil zu erstellen. Dann ist es für spionierende Websites gänzlich unmöglich, im Cache oder in der Historie abgelegte Daten über das anonyme Surfen auszulesen. Den Profil-Manager von Firefox startet man mit folgendem Kommando:

firefox -P

In dem sich öffnenden Dialog kann man ein neues Profil anlegen und anschließend die Proxy-Einstellungen konfigurieren. In Zukunft wird Firefox bei jedem Start fragen, welches Profil genutzt werden soll. Anschließend kann das Profil I2P-Fox gestartet werden und die ProxyEinstellungen sind wie im Bild 11.6 gezeigt zu konfigurieren. Die allgemeinen Hinweise zu Cookies, Javascript, Plug-Ins, HTTPS-Security usw. im Abschnitt Spurenarm Surfen gelten auch für I2P. Das Profil I2P-Fox ist entsprechend zu konfigurieren.

Wichtige Sicherheitseinstellungen

Um eine Deanonymisierung zu vermeiden, sind für einen aktuellen Firefox außerdem folgende Features unter der Adresse „about:config“ zu deativieren:

  • Flash und Java Plug-ins sind unbedingt zu deaktivieren. Bösartige eepsites können Sie anderenfalls deanonymisieren.
  • Websockets leaken DNS-Requests:
  • network.websocket.enabled = false
  • WebRTC kann durch UDP-Tunnel die reale IP-Adresse aufdecken (FF 18 und neuer):
  • media.peerconnection.enabled = false
  • Geolocation-API kann mittels WLANs der Umgebung den realen Standort ermitteln:
  • geo.enabled = false
  • Phishing- und Malware Protection funktioniert für eepsites nicht, da die Webseiten des Darknet nicht in der Google Datenbank enthalten sind:
  • browser.safebrowsing.enabled = false

 Suchmaschinen für I2P

Um sich in einem Netzwerk zu orientieren, braucht man eine Suchmaschine. Die Webseite plugins.i2p bietet viele Firefox Search Plugins für I2P. Wenn man die Webseite aufgerufen hat, kann man die Suchmaschinen einfach durch Aufklappen der Liste der Suchmaschinen oben rechts im Firefox hinzufügen. Unter dem Trennstrich findet man die neuen Suchmaschinen, die diese Webseite zur Installation anbietet.  Das Äquivalent zu Google im normalen Internet ist im I2P-Netz die Suchmaschine . Die anderen Dienste in der Liste durchsuchen einzelne eepsites.

I2P Mail 1 (Susimail)

Die Anwendung Susimail ist integraler Bestandteil von I2P und ermöglicht den unbeobachteten Austausch von E-Mails. Das Anlegen und Verwalten eines Susimail-Accounts erfolgt auf der eepsite . Es ist möglich, E-Mails in das normale Web zu versenden und auch von dort unter der Adresse @i2pmail.org zu empfangen. In Abhängigkeit der auf HQ Postmaster gewählten Einstellungen kann dieser Übergang ins normale Internet bis zu 24h dauern. Um für Spammer unattraktiv zu sein, haben die Entwickler von I2P die Anzahl der ins normale Web versendbaren Mails begrenzt. Es ist möglich, innerhalb von 24h bis zu 20 Emfängern beliebig viele E-Mail zu senden. Wer unbedingt mehr Leute per E-Mail kontaktieren will, kann mit einem Hashcash ein Kontingent von weiteren 20, 40 oder 80 Empfängern freischalten.

Router-Konsole nutzen

Ein einfaches Webinterface für Susimail ist in der I2P Router Konsole erreichbar unter der Adresse http://localhost:7657/susimail/susimail. Es bietet eine simple Möglichkeit, Mails abzurufen und zu versenden. Komfortabler ist die Nutzung des bevorzugten E-Mail Clients, vor allem wenn man die Möglichkeiten zur Verschlüsselung der Nachrichten nutzen möchte.

Thunderbird konfigurieren

Der Susimail-Account kann mit jedem E-Mail Client genutzt werden. In Thunderbird ist als erstes ein neuer SMTP-Server anzulegen (Konten -> Postausgangs-Server (SMTP) -> Hinzufügen). Der Server erfordert eine Authentifizierung mit dem Daten des Susimail Accounts. Danach kann ein neues POP3-Konto angelegt werden, welches diesen SMTP-Server für die Versendung nutzt. SSLund TLS-Verschlüsselung sind zu deaktivieren. Der I2P-Router übernimmt die abhörsichere Übertragung. In den Server-Einstellungen des Kontos sollte die Option “Alle x Minuten auf neue Nachrichten prüfen” deaktiviert werden! Die Admins von Susimail bitten darum, den Service nicht unnötig zu belasten.

I2P IRC

IRC ist ein öffentlicher Chat Service. Auf den IRC-Servern gibt es verschiedene Chat-Räume, sogenannte Channels, in denen man sich zu einem bestimmten Thema austauschen kann. Die Unterhaltung ist in der Regel öffentlich, aber auch private Nachrichten können zwischen Nutzern ausgetauscht werden. Das I2P-Netz bietet zwei anonyme Chat-Server, die direkt über den I2PRouter erreichbar sind. Die Konfiguration der verschiedenen Clients wie XChat (Linux/UNIX), Kopete (KDE), Colloquy (MacOS) oder Mirc (Windows) ist einfach.

Der Chat wird in der Regeln komplett durch Kommandos gesteuert. Alle Kommandos beginnen mit einem Slash. Die Channels von Anonymous stehen auch auf den I2P-IRC Servern zur Verfügung. Für die Diskussionen in diesen Channels sollten sie die Regeln von Anonymous beherzigen:

Basics: Tauchen Sie in der Masse unter ohne ein besonders smarter Typ sein zu wollen. Es gibt keine Helden, die alt geworden sind, es gibt nur junge Helden und “tote“ Helden.

Geben sie keine persönlichen Informationen im public IRC preis.

  • keine Anhaltspunkte im Nickname und Realname veröffentlichen
  • keine persönlichen Informationen im Chat diskutieren
  • keine Informationen über die Herkunft diskutieren (Land, Stadt usw.)
  • keine Beschreibung von Tattoos, Piercings oder anderer Merkmale
  • keine Informationen über Beruf und Hobbys
  • keine Sonderzeichen wie äöü verwenden, die nur in Ihrer Sprache verfügbar sind
  • veröffentlichen Sie nichts im normalen Netz während Sie in einem anonymen Chat sind, es kann einfach korreliert werden
  • posten Sie keine Bilder von Facebook im Chat, diese Bilder enthalten die persönliche ID
  • verbinden Sie sich nicht Tag für Tag zur gleichen Zeit mit dem Chat

I2P BitTorrent

Der I2P-Router bietet auch eine angepasste Implementierung des BitTorent Protokolls für anonymes Peer-2-Peer Filesharing. Im Gegensatz zur Nutzung von normalem BitTorrent über Tor ist die Implementierung des Invisble Internet Project anonym und die Nutzung ausdrücklich erwünscht. Der Dienst bietet Optimierungen mit speziellen Clients. Die I2P-Router-Konsole bietet einen einfachen BitTorrent Client als Webinterface unter Torrents (http://localhost:7657/i2psnark). Die zum Tausch bereitgestellten oder heruntergeladenen Dateien findet man im Unterverzeichnis i2psnark der I2P-Installation. Dieses Verzeichnis sollte Leseund Schreibrechte für alle lokalen User haben, die I2PSnark nutzen dürfen. Torrents findet man z.B. auf den eepsites , oder . Das Webinterface bietet direkte Links zu diesen eepsites.

Hinweis zur Nutzung: Es gehört beim Filesharing zum guten Ton, Dateien nicht nur zu saugen. Man stellt die heruntergeladenen Dateien auch anderen Teilnehmern zur Verfügung. Bei BitTorrent im normalen Netz gilt es als freundlich, wenn man heruntergeladene Dateien mindestens für 2 Tage zum Upload anbietet oder bis die Datenmenge des Upload das 2,5fache des Downloads beträgt. Da die Geschwindigkeit im I2P-Netz wesentlich geringer ist, sollte man herunter geladene Dateien mindestens für 1 Woche zum Upload anbieten.

DSL-Router und Computer vorbereiten

Um als vollwertiger Teilnehmer an einem anonymen Peer-2-Peer Netz teilzunehmen, muss der eigene Rechner vom Internet aus erreichbar sein. Nur dann können andere Teilnehmer des Netzes den eigenen Knoten kontaktieren. Als typischer Heimnutzer mit DSL-Anschluss sind einige Anpassungen nötig, damit der eigene Rechner aus dem Internet erreichbar ist.

1. Der DSL-Router muss den ankommenden Datenverkehr der anderen Peer-2-Peer Teilnehmer an den eigenen Rechner weiterleiten. Einige Programme können den Router mit UPnP konfigurieren. Aufgrund der Sicherheitsprobleme bei UPnP 4 sollte man dieses Feature auf dem Router deaktivieren und Weiterleitung per Hand konfigurieren. Für I2P wurde im Beispiel der Port 8888 gewählt, für GnuNet muss man die Ports 1080 und 2086 weiterleiten.

2. Die Konfiguration der Weiterleitung auf dem DSL-Router ist einfacher, wenn der eigene Rechner innerhalb des privaten lokalen Netzwerkes eine feste IP-Adresse hat. Dafür ändert man die Konfiguration der Netzwerkschnittstelle von DHCP auf feste IP-Adresse.

3. Außerdem muss die Firewall auf dem lokalen Rechner den ankommenden Datenverkehr der anderen Peer-2-Peer Teilnehmer auf den Ports durchlassen, für die eine Weiterleitung im Router konfiguriert wurde.

4. Für GnuNet und Freenet braucht eine DNS-Namen, um bei wechselnden IP-Adressen unter einer festen Adresse erreichbar zu sein. Mit einem DynDNS-Service kann man dieses Problem lösen. Es gibt mehrere freie DynDNS Dienste 5 für diesen Zweck. (Für I2P nicht nötig!)