Praga "Tor Browser" como inibir?

rubens_web
(usa Debian)

Enviado em 16/04/2013 - 15:07h

Galera do VOL, boa tarde.
Faz um bom tempo que eu me desconectei do fórum, mas pelo visto tem muita galera nova e também os amigos das antigas estão por ai também!

Bom vamos para o problema:
Em pouco tempo... isso eu digo dentro de 2 semanas a praga do TOR BROWSER um navegador que consegue burlar todo firewall/iptables devastou a minha rede dentro da empresa... não consegui identificar um meio de bloquear pelo firewall, pelo squid impossível já que eu uso o transparente. kkk

Bom vamos lá... eu analisei o software ele busca um IP válido externo na web para se auto-validar. Então mesmo eu bloqueando a porta HTTS (443) o navegador TOR consegue se conectar e navegar todas as páginas bloqueadas. E o PIOR acredito que até pelo provedor de internet ele passa despercebido. Já que através de pesquisa este software que nem precisa ser instalado roda direto pelo Windows foi criado para burlar os provedores que se refere a tal lei SOPA (importante saber o que é isso para quem não sabe).

Bom alguém tem solução para dar fim nesta praga?

*Pois se isso for descoberto por Ns usuários... é o fim da segurança de rede caso não encontremos solução.

removido
(usa Nenhuma)

Enviado em 16/04/2013 - 15:22h

Já tentou com layer7?

rubens_web
(usa Debian)

Enviado em 16/04/2013 - 16:15h

Não amigo... não uso Layer7 em meu DEBIAN... o que fazer? Irá resolver?

renato_pacheco
(usa Debian)

Enviado em 16/04/2013 - 16:33h

Controlar isso com proxy transparente é até possível, mas vai t dar um trabalho danado. O certo msm é usar proxy autenticado e controlar o q deve ser acessado na rede, impedindo acesso direto à porta 443.

rubens_web
(usa Debian)

Enviado em 16/04/2013 - 16:58h

Mas o problema que tenho notebook na rede, e estes notebooks são utilizados em outras filiais e clientes, não posso setar aqui para não funcionar em outros locais. Por isso transparente!

O que recomenda eu fazer? É bloqueado este tipo de software em sua rede? já testou ele com proxy mesmo sendo setado? Pois como eu disse acima, mesmo com a porta 443 bloqueada no meu firewall o TOR BROWSER passou. Após o bloqueio da porta 443 todas minha rede não estava mais acessando nada que utilizavam esta porta, mas em teste com este TOR funcionou tudo perfeitamente...

renato_pacheco
(usa Debian)

Enviado em 16/04/2013 - 17:43h

Uma ideia para a sua situação d notebook: libere via MAC diretamente no firewall...

Outra coisa: o q eu sei de redes TOR é q eles utilizam tunelamento para acessar à Internet, da msm forma q o UltraSurf faz. A não ser q ele utilize alguma porta dinâmica, mas não fica difícil d bloquear, basta escolher quais portas podem ser acessadas via proxy. O meu conselho é estudar a forma q a aplicação TOR faz para ter acesso e depois planejar formas d bloqueio.

phoemur
(usa Debian)

Enviado em 16/04/2013 - 23:30h

https://www.torproject.org/docs/faq-abuse.html.en#Bans

http://www.technologyreview.com/view/427413/how-china-blocks-the-tor-anonymity-network/


O primeiro passo é bloquear todos os IPS dos relays de entrada do TOR, que são públicos, porém mudam diariamente (lista incompleta: http://proxy.org/tor.shtml). Você teria que fazer um script pra pegar esses IPs e colocar pra DROP no iptables, basicamente esse site aqui diz como:

http://doc.norang.ca/iptables.html#sec-3


Mesmo assim a pessoa ainda conseguira se conectar ao TOR usando os relays que se comportam como bridge, mas isso por experiência própria é ruim e muito lento.

Pra eliminar isso você teria que utilizar uma filtragem que age justamente na camada da aplicação, utilizando o layer7 por exemplo, que é bem complicadinho aliás, sugiro:

http://www.vivaolinux.com.br/artigo/Iptables-+-Layer7?pagina=1

Como o protocolo de conexão ao TOR é bem diferente de outros como http, ftp, você marcaria e bloquearia esse tráfego, mais ou menos assim:

http://www.vivaolinux.com.br/topico/netfilter-iptables/Bloquear-TOR-Proxy-anonimo

Contudo já existe uma ferramenta chamada Obfs proxy que muda o protocolo fazendo com que o tráfego do TOR pareça legítimo, veja aqui:

https://www.torproject.org/projects/obfsproxy.html.en

Talvez a maneira mais fácil seria restringir a porta 443 utilizando um whitelist, permitindo conectar apenas aos sites que você permitir e bloqueando o resto (o TOR usa a 443 e 80 se não me engano, 22 tb).
Daí você vai criando com o tempo uma lista com os sites permitidos.

Bloquear o TOR realmente é um enrosco viu. Se o governo da China tem tentado restringir isso sem muito sucesso, com tantos recursos disponíveis, conforme escrito no segundo link que eu deixei, imagina nós em uma rede pequena.
Um desafio e tanto.

Se não me engano no Snort também é possível criar regras que detectam tráfego TOR (as últimas rules da emerging threats têm) e daria pra bloquear com guardian, snortsam, fail2ban ou coisa que o valha, mas nunca tentei. Mas esse método é tão sujeito a falhas quanto o anterior, da forma que descrevi.

phoemur
(usa Debian)

Enviado em 16/04/2013 - 23:35h

Só deixando registrado que ao meu ver o TOR é uma coisa muito positiva pra preservar o pouco de liberdade que nos resta na internet.
O problema é o cara que ao invés de trabalhar fica no facebook.... (ou no VOL no nosso caso kkkk) e gastando banda da empresa...

Contudo pense assim, a coisa mais fácil é ele levar um smartphone e ficar acessando o que quiser e pra isso não tem muita solução mesmo...

glaucomartinss
(usa CentOS)

Enviado em 07/04/2015 - 16:35h

O que eu fiz aqui na empresa ajudou até o momento.
Em configuração do firewall de saída, criei uma nova regra bloqueando todos os destinos de saída para os seguintes IPs.

Destino
Tipo - Rede/IP
Inserir rede/IPs (uma por linha)
128.105.214.162
128.105.214.163
54.192.224.124
93.184.215.200
177.43.165.95
177.43.165.110
177.43.165.112
177.43.165.117
173.194.119.20
173.194.119.16
173.194.119.17
173.194.119.18
173.194.119.19
173.194.119.48
173.194.119.49
173.194.119.50
173.194.119.51
173.194.119.52
83.212.101.3
109.105.109.163
192.240.101.106
50.7.176.114

Serviço/Porta
Serviço *
QUALQUER
Protocolo
QUALQUER

Ação
BLOQUEAR

DEPOIS DAS REGRA 1 QUE NORMALMENTE É HTTP

A REGRA HTTPS NÃO FOI MODIFICADA.

tgcrypt
(usa Debian)

Enviado em 04/03/2016 - 18:00h

Olá glaucomartinss,

Testei sua lista mas apenas um dos ips gerou alguns tráfego aqui para mim,
39 1976 DROP tcp -- any any anywhere 93.184.215.200
O que percebi que ele ficou muito lento para carregamento de paginas pesadas e vídeos, mas o conteúdo ainda e exibido, para você ainda está funcionando ou você alterou alguma coisa!?


--
Tiago Lage