Можно ли заблокировать tor

Обновлено: 30.06.2024

Защита от злонамеренной киберактивности, исходящей от Tor

Обзор

В этом бюллетене используются тактика, методы и общие знания MITRE Adversarial Tactics, Techniques and Common Knowledge (ATT&CK®) и структура Pre-ATT&CK. См. фреймворки ATT&CK for Enterprise и Pre-ATT&CK, чтобы узнать о справочных методах злоумышленников.

В этом информационном бюллетене, подготовленном Агентством кибербезопасности и безопасности инфраструктуры (CISA) при участии Федерального бюро расследований (ФБР), освещаются риски, связанные с Tor, а также технические детали и рекомендации по их устранению. Субъекты киберугроз могут использовать программное обеспечение Tor и сетевую инфраструктуру в целях анонимности и сокрытия информации для тайного проведения вредоносных киберопераций.[1],[2],[3]

Tor (он же The Onion Router) – это программное обеспечение, позволяющее пользователям анонимно просматривать веб-страницы за счет шифрования и маршрутизации запросов через несколько уровней или узлов ретрансляции. Это программное обеспечение поддерживается Tor Project, некоммерческой организацией, которая предоставляет инструменты для обеспечения анонимности в Интернете и защиты от цензуры. Хотя Tor можно использовать для продвижения демократии и свободного анонимного использования Интернета, он также предоставляет злоумышленникам возможность скрывать свою деятельность, поскольку личность и место происхождения пользователя программного обеспечения Tor не могут быть определены. Используя протокол Onion Routing Protocol, программное обеспечение Tor скрывает личность пользователя от любого, кто пытается отслеживать онлайн-активность (например, государства, организации по наблюдению, инструменты информационной безопасности). Это возможно, потому что онлайн-активность кого-либо, использующего программное обеспечение Tor, по-видимому, исходит из адреса интернет-протокола (IP) выходного узла Tor, а не IP-адреса компьютера пользователя.

CISA и ФБР рекомендуют организациям оценивать индивидуальный риск компрометации через Tor и принимать соответствующие меры для блокировки или тщательного мониторинга входящего и исходящего трафика от известных узлов Tor.

Нажмите здесь, чтобы открыть PDF-версию этого отчета.

Оценка рисков

Злоумышленники используют Tor для маскировки своей личности при совершении злонамеренных действий в киберпространстве, влияющих на конфиденциальность, целостность и доступность информационных систем и данных организации. Примеры этой деятельности включают выполнение разведки, проникновение в системы, эксфильтрацию данных и манипулирование ими, а также отключение служб с помощью атак типа «отказ в обслуживании» и доставки полезной нагрузки программ-вымогателей. Злоумышленники передавали данные о своих серверах управления и контроля (C2), используемых для управления системами, зараженными вредоносным ПО, через Tor, скрывая личность (местоположение и владельца) этих серверов.

Использование Tor в этом контексте позволяет злоумышленникам оставаться анонимными, что затрудняет восстановление системы и реагирование на кибератаки сетевым защитникам и властям. Организации, которые не предпринимают шагов для блокировки или мониторинга трафика Tor, подвергаются повышенному риску стать целью и использоваться злоумышленниками, скрывающими свою личность и намерения с помощью Tor.

Риск стать объектом вредоносной активности через Tor уникален для каждой организации. Организации следует определить свой индивидуальный риск, оценив вероятность того, что субъект угрозы нацелится на ее системы или данные, а также вероятность успеха субъекта угрозы с учетом текущих средств смягчения последствий и средств контроля. Эта оценка должна учитывать законные причины, по которым незлонамеренные пользователи могут предпочесть или должны использовать Tor для доступа к сети. Организации должны оценить свои решения по смягчению угроз для своей организации со стороны продвинутых постоянных угроз (APT), средне изощренных злоумышленников и неквалифицированных отдельных хакеров, которые в прошлом использовали Tor для проведения разведки и атак.

Технические детали

Tor скрывает источник и место назначения веб-запроса. Это позволяет пользователям скрывать информацию о своих действиях в Интернете, например, о своем местоположении и использовании сети, от получателей этого трафика, а также от третьих лиц, которые могут осуществлять наблюдение за сетью или анализировать трафик. Tor шифрует трафик пользователя и направляет трафик как минимум через три узла или ретранслятора Tor, так что начальный IP-адрес пользователя и запрос маскируются от сети и наблюдателей трафика во время передачи. Как только запрос достигает пункта назначения, он выходит из Tor через общедоступный выходной узел Tor. Любой, кто проводит мониторинг или анализ, будет видеть только трафик, исходящий от выходного узла Tor, и не сможет определить исходный IP-адрес запроса.

Рисунок 1. Вредоносные тактики и методы с помощью Tor, сопоставленные с инфраструктурой MITRE ATT&CK

Вредоносные тактики и методы с помощью Tor

Субъекты угроз используют Tor для создания слоя анонимности, чтобы скрыть вредоносную активность на разных этапах компрометации сети.Их тактика и методы, показанные на рисунке 1 выше, включают:

До ATT&CK

  • Выбор цели [TA0014]
  • Сбор технической информации [TA0015]
    • Провести активное сканирование [T1254]
    • Провести пассивное сканирование [T1253]
    • Определить домен и пространство IP-адресов [T1250].
    • Определить возможности защиты безопасности [T1263]

    АТТ&СК

    • Первоначальный доступ [TA0001]
      • Использование общедоступных приложений [T1190].
      • Часто используемый порт [T1043]
      • Прокси-сервер подключения [T1090]
      • Пользовательский протокол управления и контроля [T1094]
      • Пользовательский криптографический протокол [T1024]
      • Многошаговый прокси [T1188]
      • Многоуровневое шифрование [T1079]
      • Стандартный протокол прикладного уровня [T1071]
      • Данные зашифрованы для защиты [T1486]
      • Отказ в обслуживании конечной точки [T1499]
      • Отказ в обслуживании сети [T1498]

      Ключевые индикаторы вредоносной активности через Tor

      В то время как Tor скрывает пользователя от идентификации с помощью стандартных инструментов безопасности, сетевые защитники могут использовать различные журналы сети, конечных точек и устройств безопасности, чтобы обнаруживать использование Tor, включая потенциально вредоносные действия, связанные с Tor, с помощью индикаторов или основанных на поведении. анализ.

      Организациям следует изучить и активировать уже существующие возможности обнаружения и устранения угроз Tor в своих существующих решениях для защиты конечных точек и сетей, поскольку они часто используют эффективную логику обнаружения. Такие решения, как брандмауэры веб-приложений, брандмауэры маршрутизаторов и системы обнаружения вторжений в хост/сеть, уже могут обеспечивать определенный уровень возможностей обнаружения Tor.

      Смягчение

      Организации могут внедрять меры по смягчению последствий разной сложности и ограничений, чтобы снизить риск, создаваемый злоумышленниками, которые используют Tor для выполнения злонамеренных действий. Однако меры по смягчению последствий также могут повлиять на доступ законных пользователей, которые используют Tor для защиты своей конфиденциальности при посещении ресурсов организации, подключенных к Интернету. Организации должны оценить свой вероятный риск, доступные ресурсы и влияние на законных, не злонамеренных пользователей Tor, прежде чем применять меры по смягчению последствий.

      • Самый строгий подход: блокируйте весь веб-трафик, входящий и исходящий из общедоступных узлов входа и выхода Tor. Организации, которые хотят использовать консервативный или менее ресурсоемкий подход к снижению риска, связанного с использованием Tor злоумышленниками, должны внедрить инструменты, которые ограничивают весь трафик — вредоносный и законный — в и из узлов входа и выхода Tor. Следует отметить, что блокирование известных узлов Tor не полностью устраняет угрозу злоумышленников, использующих Tor для обеспечения анонимности, поскольку не все дополнительные точки доступа к сети Tor или мосты публично перечислены. См. таблицу 1 для наиболее строгих методов смягчения последствий.

      Таблица 1. Наиболее строгие меры по смягчению последствий

      Влияние

      Обязать организацию поддерживать актуальные списки известных IP-адресов выходных и входных узлов Tor.

      Общедоступные списки доступны в Интернете, но частота обновлений и точность зависят от источника. Проект Tor ведет авторитетный список.

      Настройте внешние политики для блокировки входящего трафика от известных выходных узлов Tor, чтобы предотвратить попытки злонамеренной разведки и использования.

      Средства сетевой безопасности (например, брандмауэры нового поколения, прокси-серверы) могут иметь параметры конфигурации для применения этих политик.

      Настройте внутренние политики для блокировки исходящего трафика к узлам входа Tor, чтобы предотвратить кражу данных и трафик C2.

      Средства сетевой безопасности (например, брандмауэры нового поколения, прокси-серверы) могут иметь параметры конфигурации для применения этих политик.

      • Подход с меньшими ограничениями. Настройте мониторинг, анализ и блокировку веб-трафика, входящего и исходящего из общедоступных узлов входа и выхода Tor. Бывают случаи, когда законные пользователи могут использовать Tor для просмотра веб-страниц и других невредоносных целей. Например, развернутые военные или другие зарубежные избиратели могут использовать Tor как часть процесса голосования, чтобы избежать наблюдения со стороны иностранных правительств. Такие пользователи могут использовать Tor при посещении веб-сайтов, связанных с выборами, для проверки статуса регистрации избирателей или для отметки, а затем подачи открепительных удостоверений по электронной почте или через веб-портал. Точно так же некоторые пользователи могут использовать Tor, чтобы избежать отслеживания со стороны рекламодателей при работе в Интернете. Организации, которые не хотят блокировать законный трафик к узлам входа/выхода Tor и обратно, должны рассмотреть возможность внедрения методов, позволяющих осуществлять мониторинг сети и анализ трафика для трафика с этих узлов, а затем рассмотреть возможность соответствующей блокировки. Этот подход может быть ресурсоемким, но он обеспечивает большую гибкость и адаптацию защиты.

      Таблица 2. Менее строгие меры по смягчению последствий

      Тип Уровень усилий Техническая реализация Влияние Известные узлы Tor Низкий/средний

      Обязать организацию поддерживать актуальные списки известных IP-адресов выходных и входных узлов Tor.

      Проект Tor ведет авторитетный список.

      Анализ трафика для определения нормальных моделей поведения; законное и аномальное использование Tor.

      Оцените существующий трафик Tor в/из известных узлов входа/выхода за период в несколько месяцев.

      Проверяйте трафик, чтобы понять законный трафик; установить допустимый уровень риска организации для блокировки или разрешения трафика Tor в/из определенных сервисов.

      Внедрите поведенческие сигнатуры/правила, чтобы блокировать непредвиденные/потенциально вредоносные действия и разрешать законные действия.

      Проверьте активность между любым эфемерным портом и IP-адресом Tor — это может быть эксфильтрация вредоносных данных или трафик C2 (за исключением случаев, когда ожидается использование исходящих узлов входа Tor).

      Отслеживание использования портов TCP/UDP 9001, 9030, 9040, 9050, 9051, 9150 и портов TCP 443* и 8443.

      Отслеживать и/или блокировать входящие подключения от выходных узлов Tor к IP-адресам и портам, для которых внешние подключения не ожидаются (т. е. кроме шлюзов VPN, почтовых портов, веб-портов).

      Связанные порты применимы для мониторинга и анализа трафика клиента -> защиты/ретрансляции, но не для мониторинга выходного узла -> пункта назначения в сети.

      Отслеживайте и проверяйте любые большие потоки данных между сетями и IP-адресами Tor, независимо от порта, так как это может быть несанкционированная утечка данных.

      *Поскольку порт 443 является наиболее распространенным портом для безопасного веб-трафика, общий мониторинг 443 может привести к большому количеству ложных срабатываний; инструменты сетевого трафика могут помочь в этом анализе.

      • Смешанный подход: блокируйте весь трафик Tor к одним ресурсам, разрешайте и отслеживайте другие. Учитывая различное законное и незаконное использование Tor, смешанный подход может быть подходящей стратегией снижения риска для некоторых организаций (например, намеренное разрешение трафика в/из Tor только для определенных веб-сайтов и служб, где можно ожидать законного использования, и блокирование всего трафика Tor). в/из неисключенных процессов/служб). Для этого может потребоваться постоянная переоценка, поскольку организация рассматривает свою собственную устойчивость к риску, связанную с различными приложениями. Уровень усилий по реализации этого подхода высок.

      Соображения по блокировке использования Tor

      Сложные злоумышленники могут использовать дополнительные технологии анонимизации, такие как виртуальные частные сети (VPN), и настраиваемые функции Tor, такие как мосты Tor и подключаемые транспорты, чтобы обойти обнаружение и блокировку. Блокирование использования известных узлов Tor не может эффективно смягчить все угрозы, но может защитить от менее опытных участников. Например, блокирование исходящего трафика к известным узлам входа Tor может оказать заметное влияние на блокировку менее сложного вредоносного ПО от успешного выхода на скрытые компьютеры C2, запутанные Tor. В конечном счете, каждая организация должна учитывать свои собственные внутренние пороговые значения и допустимый риск при определении подхода к снижению рисков, связанных с Tor.

      Из-за характера сайта, которым я управляю, я должен сделать все возможное, чтобы закрыть несколько учетных записей и заблокировать определенные местоположения. Tor хуже прокси - полный кошмар.

      15 ответов 15

      Если вы используете инструмент массового экспорта списка выхода, не забывайте регулярно получать свежий список и удалять старые блоки, поскольку список IP-адресов меняется.

      @Pacerier Насколько мне известно, нет, если только вы не запускаете собственную параллельную сеть Tor (что вроде как лишает смысла). Чтобы узел учитывался при построении цепей, он должен быть доступен в каталоге узла, и именно из этого строятся эти списки блоков.

      @SvenSlootweg Если у вас дома есть обычное подключение к Интернету с динамическим IP-адресом (который может меняться при каждом отключении и повторном подключении) и запущен выходной узел, то изначально вы не будете в этом списке. И наоборот, когда мой провайдер повторно использует IP-адреса, и я получаю тот, который ранее использовался и попал в список, тогда я был бы бессмысленно заблокирован, что привело бы к потере трафика сайта. Со временем, когда все больше и больше людей запускают узлы выхода, вы в конечном итоге будете бессмысленно блокировать все больше и больше людей.

      @Алекс Конечно. Есть причина, по которой я не призываю людей что-либо блокировать. Часто есть гораздо лучшие способы борьбы со злоупотреблениями, например, требовать активации/подтверждения модератора от пользователей с "высоким риском".

      Блокировать Tor неправильно, потому что (ab)пользователи и IP-адреса не совпадают. Заблокировав Tor, вы также заблокируете законных пользователей и безопасные ограниченные узлы выхода Tor, настроенные с консервативными политиками выхода.

      Denyhosts будет автоматически блокировать узлы выхода Tor, которые позволяют Tor получить доступ к порту 22, без ненужного отказа в доступе анонимным пользователям и операторам узлов выхода Tor, которые никогда не позволяют злоумышленникам атаковать ваши службы SSH.

      Очевидно, что DenyHosts бездействует с 2008 года, поэтому вместо него лучше использовать активно поддерживаемый Fail2ban.

      Ваши предложения касаются защиты от взломщиков, а не от спуферов. Спрашивающий спрашивает, как помешать мошенникам иметь несколько учетных записей.

      Предположим, что ваш сайт имеет внешний IP-адрес 192.168.0.5 для аргументации. Реальный IP-адрес TOR на момент публикации: 95.215.44.97

      Разбивка

      Обратный IP-адрес: 97.44.215.95
      Порт: 80
      Обратный IP-адрес: (IP-адрес вашего внешнего сайта)

      Если адрес является TorExitNode, он вернет 127.0.0.2.

      В файле Global.asax вы можете использовать Application_Start, чтобы проверить, возвращает ли IP-адрес значение true, а затем перенаправить их с вашего сайта:

      Теперь, как только они попадают на ваш сайт, они перенаправляются с него.

      У TOR есть список IP-адресов, но, очевидно, они постоянно меняются, поэтому лучше всего использовать мою функцию, поскольку она всегда в режиме реального времени.

      Службу TorDNSEL можно использовать для выполнения оперативного запроса о том, является ли конкретный IP-адрес выходным узлом Tor. Вы запрашиваете службу через специально сформированный DNS-запрос.

      Вот пример PHP-кода, выполняющего поиск:

      В этом примере поддерживаются только адреса IPv4, а не IPv6.

      Получение ответа может занять несколько секунд, поэтому будьте осторожны, чтобы не вызвать задержки при отображении вашего сайта.

      Пожалуйста, вместо того, чтобы публиковать только свой код, всегда описывайте, что делает ваш код и как его использовать.

      Это факт, что лучшая защита приложения — это его код и безопасность, а не черный список брандмауэра. Если для вас принципиально иметь реальных верных пользователей - вам нужно использовать двухфакторную аутентификацию. В настоящее время черные списки совершенно бесполезны.

      Не знаю, почему кто-то проголосовал за вас, в вашем ответе есть некоторые достоинства, но он слишком категоричен. Конечно, код и его безопасность — это первая и лучшая линия защиты. Но реализовать глубокую защиту не помешает, особенно если вы столкнулись с «качеством» некоторых корпоративных кодовых баз.

      Я видел много кода в своей практике, и блокировка пользователей Tor, создание черных списков имели неприятные последствия для веб-сайта. Он плохо и жестко блокирует обычных пользователей. Откройте свое приложение, используйте встроенную IPS и посмотрите на поведение пользователя. Брандмауэр больше не эффективен

      Посмотрите на поведение вашего пользователя хорошо, если у вас есть 20. и 20 потоков в вашей системе. масштабировать это, а этот подход не масштабируется..

      Таким образом, для анализа трафика необходимо написать код так же, как пользователи будут писать код, чтобы обойти ваш анализ.

      Ответ:

      В качестве бонуса вы можете добавить значок на свой сайт, чтобы определить, пришел ли пользователь из TOR или нет:


      (Это было написано для конкретного вопроса PHP, который впоследствии был удален и указан здесь как дубликат).

      Отказ от ответственности: примите во внимание влияние блокировки всех пользователей Tor, о чем говорится в лучшем ответе здесь. Блокируйте только такие функции, как регистрация, оплата, комментарии и т. д., а не все сразу.

      Вот два чистых PHP-решения. Первый загружает и кэширует список узлов Tor и сравнивает IP-адрес посетителя со списком. Второй использует проект Tor DNS Exit List, чтобы определить, использует ли посетитель Tor с помощью поиска DNS.

      С помощью следующего набора функций мы можем определить, принадлежит ли IP-адрес сети Tor, сверив его с динамическим списком выхода, который загружается и кэшируется в течение 10 минут. Не стесняйтесь использовать этот список, но, по возможности, поместите его в кэш на 10 минут.

      Если вы хотите принудительно проверить Tor, вы можете просто использовать:

      Вот код, который вы можете поместить в отдельный файл функций и включить, когда захотите запустить проверку. Обратите внимание, что вы можете изменить некоторые из них, чтобы изменить путь к файлу кеша.

      Проверка выхода из DNS немного более надежна, поскольку она учитывает политику выхода ретранслятора и проверяет, к какому IP-адресу и порту на вашем сервере подключается клиент, и, если такой исходящий трафик разрешен, он возвращает совпадение. . Потенциальная ошибка заключается в том, что если проект DNS временно не работает, запросы DNS могут зависнуть до истечения времени ожидания, что замедлит работу.

      В этом примере я буду использовать класс из написанной и поддерживаемой мной библиотеки под названием TorUtils.

      Во-первых, вам необходимо установить его с помощью Composer, используя composer require dappphp/torutils, и включить в свое приложение стандартный код vendor/autoloader.php.

      Код для проверки: $isTor = false;

      Дополнительные соображения

      Если ваше приложение использует сеансы PHP, я настоятельно рекомендую кэшировать ответ "isTorUser" в сеансе (вместе с исходным IP-адресом) и запускать проверку только изначально или при изменении IP-адреса (например, $_SERVER['REMOTE_ADDR' ] != $_SESSION['last_remote_addr'] ), чтобы не выполнять много дублированных поисков. Несмотря на то, что они стараются быть очень эффективными, делать это снова и снова для одного и того же IP-адреса — пустая трата времени.

      Сеть Tor (The Onion Router) скрывает личность пользователя, перемещая его данные между разными серверами Tor и шифруя этот трафик, чтобы его нельзя было отследить до пользователя. Любой, кто попытается отследить, увидит, что трафик исходит от случайных узлов в сети Tor, а не от компьютера пользователя.

      Следующие конфигурации брандмауэра нового поколения Palo Alto Networks могут блокировать трафик приложений Tor в вашей сети.

      Примечание. Для блокировки любого уклончивого приложения, такого как Tor, требуется сочетание различных возможностей, как указано выше. Во многих случаях недостаточно использовать только одну возможность. Используйте столько этих конфигураций, сколько необходимо, чтобы должным образом заблокировать Tor.

      1. Политика безопасности для блокировки идентификатора приложения Tor

      Компания Palo Alto Networks создала такие приложения, как tor и tor2web, для идентификации соединений Tor. Как и любой другой анонимайзер, Tor использует различные методы для обхода вашей системы безопасности. Просто заблокировать приложения tor и tor2web в политике безопасности недостаточно.

      Создайте политику безопасности, чтобы заблокировать следующие приложения в Интернете:

      В WebGUI > Политика > Безопасность обязательно создайте правило, запрещающее доступ к приведенному выше списку, и убедитесь, что для параметра "Служба" установлено значение "Приложение по умолчанию".

      2. Используйте фильтры приложений

      Существует множество приложений для обхода ограничений, которые создаются по мере роста спроса со стороны пользователей, желающих обойти ограничения. Хороший способ не отставать от новых приложений — использовать фильтр приложений и блокировать приложения на основе поведения, а не вручную добавлять каждое отдельное приложение в политику безопасности.

      Используя фильтр приложений («Объекты» > «Фильтры приложений»), мы можем создать новую группу (имя — VPN) приложений на основе категории «сеть» и подкатегории «прокси». В этот фильтр войдут такие приложения, как psiphon, tor2web, your-freedom. и т. д.

      Затем в разделе «Политики» > «Безопасность» создайте политику безопасности, чтобы блокировать приложения, относящиеся к категории прокси. Включите фильтр приложений "VPN" в политику безопасности и установите действие "Запретить".

      Примечание. Рекомендуется, чтобы при добавлении приложений в белый список в политике безопасности для Службы использовалось значение application-default. Брандмауэр сравнивает используемый порт со списком портов по умолчанию для этого приложения. Если используемый порт не является портом по умолчанию для приложения, брандмауэр прерывает сеанс и записывает в журнал сообщение "Запрет поиска политики приложения" .

      3. Блокировка опасных категорий URL

      Создайте профиль фильтрации URL-адресов, который блокирует доступ к веб-сайтам, отнесенным к следующим категориям:

      • защита от прокси-серверов и анонимайзеры
      • вредоносное ПО
      • фишинг
      • динамический DNS
      • неизвестно
      • припарковано
      • фишинг
      • под вопросом

      Свяжите профиль фильтрации URL-адресов с политикой безопасности, чтобы обеспечить более строгий контроль. Сделайте это внутри «Объекты» > «Профили безопасности» > «Фильтрация URL». Найдите каждую категорию и заблокируйте доступ к этим категориям выше.

      Примечание. Перейдите по ссылке: Создайте передовые профили безопасности, чтобы ознакомиться с рекомендациями по настройке профилей безопасности.

      4. Запретить неизвестные приложения

      Рекомендуется блокировать в сети любые приложения, относящиеся к категории unknown-tcp, unknown-udp и unknown-p2p.

      Если есть приложения, к которым пользователи должны получить доступ в Интернете, которые идентифицируются брандмауэром как unknown-tcp или unknown-udp, и если есть необходимость разрешить доступ к этим приложениям, создайте политику безопасности, которая разрешает unknown- tcp или unknown-udp на определенных портах, используемых этим конкретным приложением.

      Для другого трафика, который идентифицируется как "неизвестный-tcp", "неизвестный-udp" или "неизвестный-p2p", мы создадим политику безопасности, запрещающую этот трафик.

      Убедитесь, что вы создали это правило внутри Политики > Безопасность, как показано ниже.

      5. Блокировка ненадежных проблем и сертификатов с истекшим сроком действия с помощью профиля расшифровки

      Это может быть достигнуто без фактической расшифровки трафика и может быть весьма эффективным при блокировке Tor. Мы рекомендуем клиентам использовать «профиль расшифровки», как показано ниже, как часть правила запрета расшифровки, чтобы ограничить подключение Tor.

      Для этого перейдите в «Объекты» > «Профиль расшифровки». Если у вас еще нет правила запрета расшифровки, добавьте его с помощью кнопки «Добавить». На вкладке «Без расшифровки» убедитесь, что выбраны 2 параметра.

      Затем в разделе «Политики» > «Расшифровка» и снова, если у вас нет правила «Нет расшифровки», добавьте его с помощью кнопки «Добавить», а затем внутри этого правила на вкладке «Параметры»

      После этого вы должны увидеть имя профиля расшифровки, указанное в правилах.

      6. Включить расшифровку SSL

      Если, несмотря на реализацию всех предложенных выше элементов управления, Tor по-прежнему может подключаться, то мы рекомендуем включить расшифровку SSL для этого трафика, что поможет заблокировать Tor.

      Создайте профиль расшифровки в разделе «Объекты» > «Профиль расшифровки». Нажмите «Добавить» внизу и дайте ему имя. Я использовал «расшифровать». Обязательно выберите любые параметры для проверки сертификата сервера и проверки неподдерживаемого режима.

      Затем обязательно перейдите в раздел Политики > Расшифровка и свяжите профиль расшифровки с политикой расшифровки. Сделайте это на вкладке «Параметры» в правиле политики расшифровки.

      Для получения дополнительной информации о настройке расшифровки SSL см.:

      7. Управление на основе источника/получателя с использованием внешнего динамического списка

      В дополнение к мерам предосторожности, принятым на предыдущих шагах для предотвращения трафика Tor, мы можем использовать функцию внешнего динамического списка, чтобы заблокировать подключение приложения Tor к узлам Tor. Это будет блокироваться на основе IP-адреса назначения, соответствующего политике безопасности, в которой настроен EDL.

      • Сведения о создании внешнего динамического списка см. в руководстве по администрированию PAN-OS.
      • Новое обновление содержимого Пало-Альто (динамические обновления 8435 от 7 июля 21 г.) поддерживает встроенные внешние динамические списки. Этот список можно использовать в конфигурации EDL для блокировки нежелательного трафика.

      Чтобы настроить внешний динамический список, перейдите в «Объекты» > «Внешние динамические списки» и создайте новый список с помощью «Добавить». Дайте ему имя - Тор. Обязательно поместите URL-адрес в исходное поле.

      Затем в разделе Политики > Безопасность создайте новое правило (Добавить) для нового EDL (Внешний динамический список).

      На вкладке "Назначение" обязательно используйте только что созданный EDL "Tor".

      Для блокировки любого уклончивого приложения, такого как Tor, требуется сочетание различных возможностей, как указано выше. Во многих случаях недостаточно использовать только одну возможность.

      Примечания к выпуску содержания приложений и угроз
      Версия 8435

      <р>.
      (7/7/21) Подписки Threat Prevention для брандмауэров под управлением PAN-OS 9.0 и более поздних версий теперь включают встроенный внешний динамический список (EDL), который можно использовать для блокировки выходных узлов Tor. Записи в списке включают IP-адреса, предоставленные несколькими поставщиками, и данные об угрозах Palo Alto Networks подтвердили их активность
      .


      Полагаю, мой вопрос заключается в том, почему мы должны прибегать к этому? Насколько я понимаю, браузер Tor поставляется со встроенным списком IP-адресов узлов каталога, к которым клиент должен сначала подключиться, чтобы получить доступ к сети Tor. Так что, если мы заблокируем эти узлы каталогов, мы эффективно предотвратим доступ к Tor, верно?


      С незарегистрированными мостами Tor и подключаемыми транспортами, такими как obfsproxy*, это будет сложнее, чем вы думаете. И в этом суть: предполагается, что Tor трудно заблокировать для цензоров.

      Не могу поверить, что люди этого не понимают.
      Если Великий китайский брандмауэр не может остановить Tor, почему вы думаете, что сможете это сделать?

      Вы можете отслеживать трафик, который выглядит как незашифрованный Tor, и блокировать его с помощью любого количества продуктов IDS. Но, опять же, это низко висящие фрукты, и тот, кто знает, что делает, победит IDS.

      Итак, вы считаете, что нет способа предотвратить использование Tor на предприятии?

      В наше время ваш интернет-шлюз действительно должен быть устройством с достаточным интеллектом для обнаружения и блокировки вирусов, вредоносных программ и таких вещей, как ToR.

      Если вы все еще используете классический PIX или зависите от локального антивируса для поддержания чистоты ваших клиентов, вам, по-моему, будет плохо.

      По большей части мне не удалось сделать это с несколькими разными продуктами. Я пытался сделать это с моим брандмауэром Пало-Альто с запретом приложений, но Tor все равно в конечном итоге подключится. Пытался сделать это с помощью forcepoint, о чудо, я все еще могу подключить Tor. Какие продукты вы используете для его блокировки?

      «Вири» — это не латинское слово, поэтому оно (и, что еще хуже, «вирий») было придумано кем-то, пытающимся быть претенциозным. (И даже если бы это была правильная латынь, латынь не английский язык.)

      Хорошо. как вы думаете, snort является разумным решением для этого? Я бы предпочел, так как это с открытым исходным кодом. У меня нет большого количества подключенных пользователей в данный момент времени, поэтому мне не нужно сверхбыстрое оборудование или что-то в этом роде.

      привратник с очень дорогим оборудованием, да?

      К сожалению, я вижу, что слишком много людей все еще ПЛАНИРУЮТ установку брандмауэров NGEN или все еще используют правила без сохранения состояния. это больно

      Что может помешать пользователю подключиться к Tor через прокси-сервер?

      Лошадь, познакомься с морковкой. По мере разработки новых методов запутывания необходимо разрабатывать новые элементы управления для обнаружения.

      Честно говоря, если они даже могут открыть браузер Tor, вы уже делаете что-то не так. Да, блокировать трафик — это хорошо, но более идеальным решением было бы запретить им даже запускать приложение, которое создает трафик.

      Вам следует подумать о реализации белого списка приложений, который позволит запускать приложения только по указанным путям (например, "c:\program files" и "c:\windows"), а затем убедитесь, что у пользователей нет прав локального администратора. или разрешения на запись любых данных в каталоги из белого списка.

      После этого вам следует подумать о том, чтобы приложение даже не попало на компьютер. Заблокируйте доступ к USB, отключите приводы компакт-дисков и внедрите веб-фильтр, который может блокировать загружаемые исполняемые файлы. Если у кого-то есть законная деловая причина для копирования данных с внешних носителей или загрузки приложения из Интернета, он должен обратиться к ИТ-специалисту или назначенному сотруднику по информационной безопасности, а не загружать его самостоятельно.

      Просматривать сеть Tor проще, чем многие могут подумать, хотя иногда лучше ограничить доступ к такого рода ресурсам. Например, в рабочей среде всегда желательно предусмотреть меры против использования частных сетей или предоставления ими услуг анонимности.

      По этому случаю эксперты по кибербезопасности из Международного института кибербезопасности (IICS) покажут вам, как заблокировать доступ к сети Tor, а также некоторые методы, помогающие обойти эти меры.

      Как обычно, напоминаем вам, что эта статья была подготовлена ​​только в информационных целях, поэтому IICS не несет ответственности за неправомерное использование информации, содержащейся в ней.

      Как работает блокировка Tor?

      Специалисты по кибербезопасности отмечают, что существует 4 основных метода ограничения доступа к Tor.

      Ограничение каталога. Это самый простой метод. Всего существует девять общедоступных каталогов входных узлов Tor; когда вы закроете доступ к этим каталогам, пользователи не смогут подключиться к анонимной сети.

      Список узлов ретрансляции. По мнению экспертов по кибербезопасности, сетевые администраторы могут загрузить список из примерно 7 000 узлов ретрансляции (отвечающих за перенаправление трафика), чтобы заблокировать их по IP-адресу.

      Отпечатки пальцев. Это очень ненадежный метод. он состоит в отслеживании отпечатков пальцев, характерных для определенных пакетов. На основе этих журналов можно настроить фильтрацию трафика для ограничения доступа к Tor. Этот метод широко используется в кампаниях кибервойны.

      Блокировка программного обеспечения. Последний способ — заблокировать доступ и выполнение ресурсов, необходимых для подключения к сети Tor, отсекая любые возможные попытки использования анонимной сети.

      Эксперты по кибербезопасности отмечают, что сочетание этих четырех методов может показать отличные результаты, хотя, конечно, разработчики Tor не сидели сложа руки, наблюдая, как спецслужбы и компании блокировали доступ к этой сети.

      Как обойти ограничения доступа к Tor?

      Использование мостов Tor

      Использование мостов — основной способ обойти эти ограничения. Все начинается с того, что любой пользователь может получить полный список существующих релейных узлов, чтобы заблокировать их, это привело к необходимости создания мостов, список адресов которых публично не известен.


      Популярность этого метода быстро привлекла внимание многих государственных органов, которые научились блокировать такие подключения с помощью тактики и инструментов глубокого анализа трафика. При обнаружении «подозрительного» узла правительственный узел пытается подключиться к нему по протоколу Tor. Если хост поддерживает этот протокол и отвечает, что это мост, он немедленно блокируется, а его IP-адрес заносится в черный список.

      Это факт, что при наличии необходимых ресурсов правительство может заблокировать доступные мосты в данном регионе, а также заблокировать любые последующие попытки, поэтому метод моста имеет ограниченную функциональность.

      Кроткий

      У Tor есть еще один подключаемый транспорт под названием Meek, который можно активировать, если мосты заблокированы. Он также работает аналогично прокси-серверу, но в качестве промежуточного звена для передачи трафика используются облачные серверы Amazon, Google, CloudFront, Content Delivery Network (CDN) или Microsoft Azure.

      Ожидается, что правительства и организации, контролирующие сеть Tor, никогда не будут полностью блокировать CDN, Amazon, Azure или другие подобные сервисы, поскольку эти облака используют много интернет-ресурсов, и любые ограничения повлияют на их производительность.Однако в некоторых случаях более строгие правительства могут отключить половину национального сегмента сети в поисках одного потенциально опасного мессенджера, который не был заблокирован.

      Подключиться к Meek очень просто: при запуске браузера Tor нужно нажать кнопку «Настроить», установить флажок цензуры, а затем, установив переключатель в положение «Выбрать интегрированный мост», выбрать транспорт Meek из раскрывающийся список


      Снежинка

      Для пользователей, менее знакомых с изложенными выше концепциями, ответственные за проект Tor создали расширение для браузера JavaScript под названием Snowflake. Просто установите этот подключаемый модуль, чтобы запустить мост Tor, который будет работать непосредственно из веб-браузера.

      Этот метод оказался эффективным, поскольку ни одна организация в мире не смогла заблокировать использование всех веб-браузеров. Другие методы, такие как глубокий анализ данных, также не будут работать, поскольку Snowflake основана на технологии webrtc, в которой используются десятки законных программных инструментов, таких как Google Hangouts и платформы для видеоконференций; по понятным причинам заблокировать webrtc невозможно.

      Разработчики Tor стараются проводить постоянную поддержку и получать отзывы от пользователей этого проекта, отмечают эксперты по кибербезопасности. Другие меры по борьбе с цензурой в Интернете, такие как Open ObservaTory for Network Interference, также поддерживают надлежащее функционирование Snowflake.


      Выводы

      Tor – это важный инструмент для предотвращения цензуры и повышения конфиденциальности пользователей в Интернете. Очевидно, что многие из самых гнусных преступных групп пользуются этим, чтобы остаться незамеченными, поэтому маловероятно, что правительства мира откажутся от своей заинтересованности в мониторинге деятельности в этой сети, поэтому мы находимся в сценарии, подобном это гонка вооружений за конфиденциальность и анонимность в Интернете.

      В этом контексте законным пользователям остается только правильно использовать эту сеть, используя имеющиеся в их распоряжении инструменты для безопасного доступа к Tor. Чтобы узнать больше о рисках кибербезопасности, вариантах вредоносных программ, уязвимостях и информационных технологиях, посетите веб-сайты Международного института кибербезопасности (IICS).

      Читайте также: