Configuración de Servidor Relay Tor: Guía Completa de Configuración

Introducción

La red Tor (The Onion Router) representa una de las herramientas más importantes de privacidad y evasión de censura en internet, proporcionando comunicación anónima para millones de usuarios en todo el mundo. Al enrutar el tráfico a través de una red global de relays operados por voluntarios, Tor protege la identidad, ubicación y actividad de navegación del usuario de la vigilancia y el análisis de tráfico.

Ejecutar un relay Tor contribuye directamente a la fortaleza y capacidad de la red Tor, ayudando a periodistas, activistas, denunciantes y usuarios ordinarios a mantener su privacidad y evitar la censura en regímenes opresivos. Los operadores de relay donan ancho de banda y recursos computacionales, creando una infraestructura descentralizada resistente a puntos únicos de falla o control.

Esta guía completa te guía a través de la implementación y operación de un servidor relay Tor en Linux. Aprenderás las diferencias entre tipos de relay (relay intermedio, relay de salida, puente), procedimientos de instalación, opciones de configuración, gestión de ancho de banda, consideraciones de seguridad, monitoreo y mejores prácticas para la operación responsable de relays.

Ya sea que apoyes la libertad de internet, contribuyas a la infraestructura de privacidad, aprendas sobre redes de anonimato o proporciones resistencia a la censura, ejecutar un relay Tor ofrece una manera significativa de fortalecer la privacidad global de internet.

Visión General del Caso de Uso

¿Por Qué Ejecutar un Relay Tor?

Operar un relay Tor proporciona varios beneficios a la red y la comunidad:

Apoyar Privacidad y Libertad: Permitir que personas en todo el mundo se comuniquen privadamente, accedan a información libremente y eviten la censura en países con acceso restringido a internet.

Aumentar Capacidad de Red: Más relays significa velocidades más rápidas para todos los usuarios de Tor. Tu ancho de banda mejora directamente la experiencia para periodistas, activistas y usuarios cotidianos que buscan privacidad.

Resistencia a la Censura: Los relays puente ayudan específicamente a usuarios en regiones censuradas a conectarse a Tor cuando las conexiones directas están bloqueadas por gobiernos.

Descentralización: Operadores de relay diversos en muchos países y redes hacen que Tor sea más resistente contra ataques y puntos únicos de falla.

Valor Educativo: Ejecutar un relay enseña conceptos de redes, tecnologías de privacidad y los fundamentos técnicos de sistemas de anonimato.

Contribución a la Comunidad: Muchos operadores de relay ejecutan relays como una forma de activismo digital, apoyando valores de privacidad, libertad de expresión y acceso abierto a internet.

Tipos de Relay Explicados

Relay Intermedio (No Salida):

• Función: Retransmite tráfico entre otros relays Tor
• Riesgo: Bajo (no sale tráfico externo de internet desde tu IP)
• Ancho de Banda: Puede ser generoso con asignación de ancho de banda
• Responsabilidad: Mínima, sin quejas de abuso
• Recomendado: Tipo de relay inicial ideal, opción más segura

Relay de Salida:

• Función: Relay final donde el tráfico sale hacia servidores de destino
• Riesgo: Alto (destino ve tu dirección IP)
• Ancho de Banda: Requiere manejo robusto de quejas de abuso
• Responsabilidad: Significativa, requiere configuración cuidadosa
• Legal: Comprender leyes locales, usar política de salida reducida
• No Recomendado: Para conexiones domésticas o sin aprobación del ISP

Relay Puente:

• Función: Relays no listados que ayudan a usuarios a evitar censura
• Riesgo: Bajo (sin tráfico de salida)
• Ancho de Banda: Puede comenzar pequeño
• Responsabilidad: Mínima
• Propósito: Crítico para usuarios en países censurados
• Distribución: Dirección dada privadamente a usuarios que necesitan acceso

Relay Guardián (Entrada):

• Función: Punto de entrada a la red Tor
• Riesgo: Bajo (sin tráfico de salida)
• Requisitos: Alto tiempo de actividad, ancho de banda estable
• Recomendación: Logrado automáticamente con buen tiempo de actividad

Escenarios Comunes de Implementación

Relay de Centro de Datos: VPS o servidor dedicado con ancho de banda abundante, ideal para relays intermedios o guardianes que contribuyen capacidad sustancial.

Relay de Conexión Doméstica: Conexión residencial donando ancho de banda de repuesto, típicamente relay intermedio con límites de ancho de banda para evitar afectar el uso del hogar.

Institución Educativa: Relay de universidad u organización que demuestra compromiso con la libertad de internet y la investigación de privacidad.

Relay Puente para Usuarios Censurados: Puente no listado que ayuda a usuarios en China, Irán u otros países donde Tor está bloqueado a acceder a la red.

Relay de Salida (Avanzado): Relay de salida dedicado con consideraciones legales adecuadas, política de salida reducida y procedimientos de manejo de quejas de abuso.

Relay Raspberry Pi: Relay de bajo consumo en hardware embebido, contribuyendo ancho de banda modesto económicamente.

Requisitos

Requisitos del Sistema

Requisitos Mínimos (Relay Intermedio Pequeño):

• CPU: 1 núcleo a 1.5+ GHz
• RAM: 512MB
• Almacenamiento: 10GB
• Red: 1 Mbps sostenido subida/descarga
• SO: Ubuntu 20.04/22.04, Debian 11/12

Requisitos Recomendados (Relay Intermedio/Guardián Mediano):

• CPU: 2 núcleos a 2.0+ GHz
• RAM: 2GB
• Almacenamiento: 20GB
• Red: 10+ Mbps sostenido, 100 GB/mes+ ancho de banda
• SO: Ubuntu 22.04 LTS

Requisitos de Alto Rendimiento (Relay Guardián/Salida Rápido):

• CPU: 4+ núcleos a 2.5+ GHz
• RAM: 4-8GB
• Almacenamiento: 50GB SSD
• Red: 100+ Mbps sostenido, 10 TB/mes+ ancho de banda
• SO: Ubuntu 22.04 LTS

Consideraciones de Ancho de Banda

Requisitos de Ancho de Banda:

• Mínimo: 1 Mbps sostenido (30 GB/mes)
• Bueno: 10 Mbps sostenido (300 GB/mes)
• Excelente: 100 Mbps sostenido (3 TB/mes)

Tipo de Conexión:

• VPS/Dedicado: Ideal, usualmente sin medidor o límites altos
• Conexión Doméstica: Posible, pero limitar ancho de banda para evitar afectar el hogar
• Conexión de Negocio: Verificar política de uso aceptable

Sostenido vs Ráfaga: Tor requiere ancho de banda sostenido, no solo ráfaga. Probar velocidades reales de subida/descarga.

Consideraciones Legales

Problemas Legales de Relay de Salida:

• Los operadores de relay de salida pueden recibir quejas de abuso
• Comprender leyes locales respecto a responsabilidad por tráfico de usuario
• Avisos DMCA, quejas de derechos de autor comunes para salidas
• Algunos ISPs prohíben relays de salida en términos de servicio
• Considerar consultar asesoría legal para relays de salida

Relay Intermedio/Puente:

• Generalmente sin problemas legales
• El tráfico no sale desde tu IP
• Potencial de abuso mínimo

Recomendaciones:

• Comenzar con relay intermedio para aprender
• Solo ejecutar salida si comprendes las implicaciones legales
• Usar política de salida reducida para salidas
• Tener procedimiento de manejo de quejas de abuso

Requisitos de Red

IP Estática Recomendada: Aunque no es requerida, la IP estática mejora la estabilidad del relay y las posibilidades de promoción a guardián.

Configuración de Puerto:

• ORPort: 9001/TCP (recomendado) - Puerto de relay Tor
• DirPort: 9030/TCP (opcional) - Información de directorio
• ControlPort: 9051/TCP (solo local) - Conexión de control

Firewall: Debe permitir conexiones entrantes en ORPort.

Política de ISP: Verificar términos de servicio, algunos ISPs prohíben operación de relay o tienen límites de ancho de banda.

Conocimientos Previos Requeridos

• Administración básica de sistemas Linux
• Comprensión de redes y configuración de firewall
• Conocimiento de principios de red Tor
• Compromiso con operación estable (alto tiempo de actividad importante)

Configuración Paso a Paso

Paso 1: Instalar Tor

Agregar repositorio Tor para última versión estable:

Ubuntu/Debian:

# Agregar repositorio del Proyecto Tor
sudo apt install apt-transport-https -y

# Agregar clave GPG
wget -qO- https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --dearmor | sudo tee /usr/share/keyrings/tor-archive-keyring.gpg >/dev/null

# Agregar repositorio
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] https://deb.torproject.org/torproject.org $(lsb_release -sc) main" | sudo tee /etc/apt/sources.list.d/tor.list

# Actualizar e instalar
sudo apt update
sudo apt install tor tor-geoipdb -y

CentOS/Rocky Linux:

sudo dnf install epel-release -y
sudo dnf install tor -y

Verificar instalación:

tor --version

Paso 2: Configurar Relay Intermedio

Editar configuración de Tor:

sudo nano /etc/tor/torrc

Agregar configuración básica de relay intermedio:

# Apodo del relay (alfanumérico, máximo 19 caracteres)
Nickname TuApodoRelay

# Información de contacto (visible públicamente)
ContactInfo [email protected]

# Tipo de relay (relay intermedio = sin política de salida)
ExitPolicy reject *:*

# Puerto del relay
ORPort 9001

# Puerto de directorio (opcional, ayuda con créditos de ancho de banda)
DirPort 9030

# Límites de ancho de banda (ajustar según tu capacidad)
# Valores en KB/s
RelayBandwidthRate 1024 KB    # 1 MB/s sostenido
RelayBandwidthBurst 2048 KB   # 2 MB/s ráfaga

# Límite mensual de ancho de banda (opcional)
# AccountingMax 500 GB
# AccountingStart month 1 00:00

# Resolvedor DNS
ServerDNSResolvConfFile /etc/resolv.conf

# Registro
Log notice file /var/log/tor/notices.log

Parámetros de Configuración:

• Nickname: Nombre público del relay, sin espacios
• ContactInfo: Email o clave GPG para que operadores te contacten
• ExitPolicy reject :: Relay intermedio (sin tráfico de salida)
• ORPort: Puerto de comunicación del relay
• RelayBandwidthRate: Límite de ancho de banda sostenido
• AccountingMax: Límite mensual opcional de ancho de banda

Paso 3: Configurar Firewall

Permitir puertos de relay Tor:

# UFW (Ubuntu/Debian)
sudo ufw allow 9001/tcp
sudo ufw allow 9030/tcp

# Firewalld (CentOS/Rocky)
sudo firewall-cmd --permanent --add-port=9001/tcp
sudo firewall-cmd --permanent --add-port=9030/tcp
sudo firewall-cmd --reload

Paso 4: Iniciar Relay Tor

Habilitar servicio Tor:

sudo systemctl enable tor
sudo systemctl start tor

Verificar estado:

sudo systemctl status tor

Ver registros:

sudo tail -f /var/log/tor/notices.log

Buscar líneas indicando inicio exitoso:

Bootstrapped 100%: Done
Self-testing indicates your ORPort is reachable from the outside.

Paso 5: Verificar Operación de Relay

Verificar que relay está ejecutándose:

sudo ss -tlnp | grep tor

Debería mostrar Tor escuchando en puertos configurados.

Monitorear estado de Tor:

sudo journalctl -u tor -f

Paso 6: Encontrar Tu Relay en Tor Metrics

Esperar 2-3 horas para que relay aparezca en consenso de red.

Visitar Tor Metrics: https://metrics.torproject.org/rs.html

Buscar tu apodo de relay o dirección IP.

Verás:

• Huella digital del relay
• Estadísticas de ancho de banda
• Banderas (Fast, Stable, Running, etc.)
• Posición en red

Configuración

Configuración de Relay Puente

Configurar relay puente para ayudar a usuarios censurados:

sudo nano /etc/tor/torrc

Configuración de puente:

# Relay puente
BridgeRelay 1

# Requerido para puente
PublishServerDescriptor bridge

# Información del relay
Nickname TuApodoPuente
ContactInfo [email protected]

# Puertos
ORPort 9001
ExtORPort auto

# Sin salida
ExitPolicy reject *:*

# Ancho de banda
RelayBandwidthRate 1024 KB
RelayBandwidthBurst 2048 KB

# Opcional: transporte conectable obfs4 (recomendado para resistencia a censura)
ServerTransportPlugin obfs4 exec /usr/bin/obfs4proxy
ServerTransportListenAddr obfs4 0.0.0.0:9002

# Registro
Log notice file /var/log/tor/notices.log

Instalar obfs4proxy:

sudo apt install obfs4proxy -y

Abrir puerto obfs4:

sudo ufw allow 9002/tcp

Reiniciar Tor:

sudo systemctl restart tor

Obtener línea de puente para distribución:

sudo cat /var/lib/tor/pt_state/obfs4_bridgeline.txt

Compartir esta línea de puente privadamente con usuarios que necesitan acceso (no publicar públicamente).

Configuración de Relay de Salida (Avanzado)

ADVERTENCIA: Solo ejecutar relay de salida si comprendes las implicaciones legales y tienes aprobación del ISP.

Política de salida reducida (recomendada para salidas):

Nickname TuApodoSalida
ContactInfo [email protected] dirección-reporte-abuso

# Relay de salida con política de salida reducida
ExitPolicy accept *:80          # HTTP
ExitPolicy accept *:443         # HTTPS
ExitPolicy accept *:6667-6697   # IRC
ExitPolicy reject *:*

# Ancho de banda
RelayBandwidthRate 5120 KB
RelayBandwidthBurst 10240 KB

# Puertos
ORPort 9001
DirPort 9030

# Configuración adicional de salida
IPv6Exit 0
ExitPolicyRejectPrivate 1
ExitRelay 1

Manejo de Abuso:

• Configurar email dedicado de abuso
• Monitorear abuse@tu-dominio
• Responder rápidamente a quejas
• Considerar consulta legal

Contabilidad de Ancho de Banda

Limitar ancho de banda mensual para evitar excesos:

# Comenzar contabilidad el día 1 de cada mes a medianoche
AccountingStart month 1 00:00

# Máximo 500 GB por mes
AccountingMax 500 GB

# Asignación de ancho de banda
RelayBandwidthRate 1536 KB    # 1.5 MB/s
RelayBandwidthBurst 3072 KB   # 3 MB/s

Tor hibernará cuando se alcance el límite hasta el siguiente período de contabilidad.

Múltiples Instancias de Relay

Ejecutar múltiples relays en un servidor:

Crear configuración de segunda instancia:

sudo cp /etc/tor/torrc /etc/tor/torrc-2
sudo nano /etc/tor/torrc-2

Configurar puertos diferentes:

DataDirectory /var/lib/tor-2
PidFile /var/run/tor/tor-2.pid

Nickname TuApodoRelay2
ORPort 9011
DirPort 9040
ControlPort 9061

# Asignación diferente de ancho de banda
RelayBandwidthRate 512 KB

Crear servicio systemd:

sudo cp /lib/systemd/system/[email protected] /etc/systemd/system/[email protected]

Iniciar segunda instancia:

sudo systemctl enable tor@2
sudo systemctl start tor@2

Mejores Prácticas de Información de Contacto

Proporcionar información de contacto detallada:

ContactInfo Persona Aleatoria <nadie AT example dot com> - 1234567890

O usar clave GPG:

ContactInfo 0x1234567890ABCDEF Persona Aleatoria <nadie AT example.com>

Incluir email de abuso para relays de salida:

ContactInfo [email protected] 0xABCDEF1234567890 Operador de Salida

Monitoreo y Mantenimiento

Monitorear Estadísticas de Relay

Instalar nyx (herramienta de monitoreo de Tor):

sudo apt install nyx -y

Ejecutar nyx:

sudo -u debian-tor nyx

Proporciona vista en tiempo real de:

• Uso de ancho de banda
• Conexiones actuales
• Información de circuito
• Mensajes de registro

Verificar Métricas de Relay

Usar sitio web de Tor Metrics:

• https://metrics.torproject.org/rs.html

Buscar tu relay para ver:

• Gráficos de ancho de banda
• Estadísticas de tiempo de actividad
• Banderas de red
• Peso de consenso

Usar Atlas:

• https://atlas.torproject.org/

Información detallada del relay y datos históricos.

Monitoreo de Ancho de Banda

Monitorear uso real de ancho de banda:

# Usando vnstat
sudo apt install vnstat -y
vnstat -i eth0 -l

Rastrear uso mensual:

vnstat -m

Rotación de Registros

Configurar rotación de registros:

sudo nano /etc/logrotate.d/tor

Agregar:

/var/log/tor/*.log {
    daily
    rotate 14
    compress
    delaycompress
    notifempty
    missingok
    create 0640 debian-tor debian-tor
    sharedscripts
    postrotate
        systemctl reload tor > /dev/null 2>&1 || true
    endscript
}

Actualizaciones del Sistema

Mantener sistema y Tor actualizados:

# Actualizar regularmente
sudo apt update && sudo apt upgrade -y

# Actualizaciones de Tor
sudo apt install tor tor-geoipdb

Reiniciar Tor después de actualizaciones:

sudo systemctl restart tor

Consideraciones de Seguridad

Aislamiento de Relay

Ejecutar relay Tor en entorno aislado:

Considerar containerización:

# Usando Docker
docker run -d --name tor-relay \
    -p 9001:9001 \
    -v /etc/tor/torrc:/etc/tor/torrc \
    -v tor-data:/var/lib/tor \
    --restart unless-stopped \
    tor:latest

Endurecimiento del Sistema

Endurecer servidor de relay:

# Deshabilitar servicios innecesarios
sudo systemctl disable bluetooth
sudo systemctl disable cups

# Habilitar actualizaciones automáticas de seguridad
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades

Configuración de Firewall

Restringir acceso:

# Solo permitir puertos necesarios
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp   # SSH
sudo ufw allow 9001/tcp # Puerto OR
sudo ufw allow 9030/tcp # Puerto Dir
sudo ufw enable

Seguridad SSH

Asegurar acceso SSH:

sudo nano /etc/ssh/sshd_config

Configurar:

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes

Reiniciar SSH:

sudo systemctl restart sshd

Protección Fail2ban

Instalar fail2ban para prevenir fuerza bruta:

sudo apt install fail2ban -y

Habilitar para SSH:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Solución de Problemas

Relay No Aparece en Red

Verificar que Tor está ejecutándose:

sudo systemctl status tor

Ver registros:

sudo tail -100 /var/log/tor/notices.log

Buscar errores.

Verificar accesibilidad de puerto:

Usar verificador de puerto externo o:

telnet TU_IP_PUBLICA 9001

Desde host externo.

Verificar firewall:

sudo ufw status

Asegurar que ORPort está permitido.

Esperar consenso:

Nuevos relays tardan 2-6 horas en aparecer en consenso de red.

Bajo Ancho de Banda/Sin Clientes

Verificar límites de ancho de banda:

RelayBandwidthRate 1024 KB

Aumentar si puedes soportar más.

Verificar tiempo de actividad:

Los relays necesitan alto tiempo de actividad (semanas/meses) para ganar banderas Stable y Guard.

Verificar ancho de banda anunciado:

grep "Bandwidth" /var/log/tor/notices.log

Tor puede no anunciar ancho de banda completo inmediatamente.

Conectividad de red:

Asegurar que el servidor tiene buena conectividad de internet y baja latencia.

Relay No Obtiene Bandera Guard

Requisitos para bandera Guard:

• 8+ días de tiempo de actividad
• MTBF (Tiempo Medio Entre Fallas) de 8+ días
• Ancho de banda suficiente
• Bandera Stable

Verificar banderas actuales:

Visitar Tor Metrics y buscar tu relay.

Mejorar tiempo de actividad:

Minimizar reinicios, mantener relay ejecutándose continuamente.

Hibernación de Contabilidad

Si relay hiberna inesperadamente:

Verificar estado de contabilidad:

grep "Accounting" /var/log/tor/notices.log

Aumentar AccountingMax:

AccountingMax 1000 GB

O eliminar límites de contabilidad si es posible.

Mejores Prácticas

Mejores Prácticas Operacionales

• Alto Tiempo de Actividad: Mantener 99%+ tiempo de actividad para consideración Guard
• Ancho de Banda Estable: Proporcionar ancho de banda consistente, evitar fluctuaciones
• Actualizaciones Regulares: Mantener Tor y paquetes del sistema actuales
• Monitorear Registros: Verificar registros periódicamente para problemas
• Respaldar Configuración: Guardar torrc y claves

Participación en la Comunidad

• Lista de Correo de Operadores de Relay: Suscribirse a lista de correo tor-relays
• Documentación: Leer documentación oficial de relay Tor
• Comunidad: Unirse al canal IRC #tor-relays
• Reportar Problemas: Reportar bugs al Proyecto Tor

Escalamiento

Creciendo tu contribución de relay:

1. Comenzar con relay intermedio
2. Aumentar ancho de banda gradualmente
3. Monitorear rendimiento
4. Considerar múltiples instancias de relay
5. Actualizar hardware según sea necesario

Conclusión

Ahora operas un relay Tor contribuyendo a la privacidad y libertad global de internet. Tu ancho de banda y tiempo de actividad ayudan directamente a millones de usuarios de Tor a mantener anonimato y evitar censura.

Logros clave:

• Contribución a infraestructura de privacidad apoyando anonimato mundial
• Resistencia a censura ayudando a usuarios en regímenes opresivos
• Fortalecimiento de red mejorando capacidad y rendimiento
• Operación responsable con seguridad y monitoreo adecuados
• Participación en comunidad en movimiento de libertad de internet

Ejecutar un relay Tor es un compromiso continuo. Mantener alto tiempo de actividad, mantener sistemas actualizados y responder a cualquier problema operacional rápidamente. La comunidad de Tor y usuarios en todo el mundo aprecian tu contribución a la privacidad y libertad de internet.

¡Gracias por apoyar la libertad de internet!