Situatie
Riscurile utilizării Tor în cadrul unei rețele – cum să blocați Tor în afacerea dvs. – blocarea programelor malware, utilizarea darknet și nodurile necinstite.
De când serviciul de anonimat The Onion Router (Tor) a început să fie utilizat în mainstream în urmă cu aproximativ cinci ani, administratorii întreprinderilor se întreabă dacă reprezintă un risc demn de blocare și, dacă se întâmplă, cum se poate realiza acest lucru.
Studiile de caz din Marea Britanie care examinează problema riscurilor sunt aproape inexistente și singurul sector care oferă multe dovezi anecdotice a fost în universitățile în care Tor a câștigat, în mod previzibil, un fel de urmărire sau un fel. Nu este greu de înțeles că Tor are o mulțime de utilizări perfect legitime (nu este intenția noastră de a stigmatiza utilizarea acestuia), dar are și multe probleme tulburătoare, cum ar fi conectarea la site-uri criminale de pe „darknet”, ca si canal pentru malware și ca mod de ocolire a securității rețelei. Anxietatea pentru organizații este că este imposibil de spus care este.
Tor nu este singura rețea de anonimat concepută cu ultra-securitate, The Invisible Internet Project (I2P) fiind un alt exemplu. În plus, VPN-urile și reprezentanții generali creează riscuri similare, deși acestea sunt mult mai ușor de localizat și de blocat.
Tor poate trăi în interiorul rețelelor, fie ca un browser care îmbină serviciile într-o bucată de software ușor de utilizat sau, mai grav, ca un nod de server sau o punte de rețea care devine părți ale rețelei sale. Deși utilizatorii rețelei pot configura unul sau ambii, este important să înțelegem că niciuna nu este o veste bună pentru o organizație din mai multe motive. O problemă conexă sunt site-urile web care nu doresc ca utilizatorii Tor să se conecteze anonim la orice serviciu oferit, deși aceasta este o problemă de specialitate.
Riscurile producerii de tor în întreprindere
Riscul 1 – „darknet”
Darknet-ul este mai mult decât hiperbole. O estimare Kaspersky Lab de la începutul anului 2014 a plasat numărul serviciilor infracționale care îl utilizează la aproape 1.000, aproape sigur o subestimare considerabilă. Indiferent de cifră, numărul care va fi crescut de câteva ori până acum. Darknet-ul ar exista fără Tor, desigur, ceea ce înseamnă pur și simplu o modalitate de a-l atinge fără a dezvălui adresa IP sau lista de navigare a clientului.
Riscul 2 – malware, botneți, DDoS
În plus, infractorii au început să folosească Tor ca canal de comunicații pentru controlul și controlul malware (C&C), ceea ce înseamnă că prezența sa poate indica infecție și compromis. Pentru majoritatea organizațiilor, aceasta va fi probabil cea mai mare îngrijorare dintre toate. Deși Tor C&C este mai lent, este un loc tentant pentru malware pentru a-și ascunde comunicațiile. Lățimea de bandă a unora dintre nodurile de ieșire a determinat ca Tor să fie deturnat pentru atacuri DDoS.
Riscul 3 – lista neagră
Presupunând că o organizație își propune să controleze utilizarea Tor, blocarea acestuia implică două elemente care acoperă traficul de intrare / ieșire, unde cineva a stabilit un nod Tor și traficul de ieșire, unde un computer client se conectează la un nod de intrare Tor. Majoritatea administratorilor se vor concentra pe aceștia din urmă, motivând că este cea mai probabilă problemă, dar este important să ne amintim că configurarea unui nod Tor într-o rețea nu este atât de greu de făcut. Aceasta este o durere de cap potențială majoră, deoarece riscă ca IP-ul unei organizații să fie adăugat la o listă de blocuri de internet.
Solutie
Cum să blochezi Tor în afacerea ta
Blocare după port: După cum am menționat mai jos, Tor este parțială la porturile comune, cum ar fi 443. Dar acest lucru oferă puțin confort. Acest port, dacă este folosit de HTTPS, deci nu poate fi blocat complet sau accesul web al unei rețele se va opri. Tor va arăta pur și simplu ca orice altceva.
Blocare la punctul final: Gândiți lateral, ar trebui să fie posibil să opriți utilizatorii să instaleze software-ul Tor în primul rând prin implementarea listării în alb sau a gestionării privilegiilor. Cu toate acestea, Tor poate fi rulat și preinstalat de pe un stick USB ceea ce înseamnă că, în unele cazuri, poate ocoli astfel de comenzi.
Blocare – de la intervale IP la DPI: din partea rețelei, prima sarcină este identificarea utilizării Tor pe partea LAN pentru a verifica scara problemei, care nu este atât de ușoară pe cât pare. Deoarece Tor folosește criptarea TLS (succesorul SSL), traficul nu va fi ușor identificat și conținutul acestuia va fi imposibil de interogat. Dacă un nod Tor este configurat în interiorul unei rețele, atunci, în principiu, acesta ar putea fi folosit ca punte către primul nod de intrare Tor. Până când traficul ajunge pe firewall va fi de două ori dificil de văzut.
O tehnică comună pentru localizarea Tor este corelarea jurnalelor SIEM cu o listă de adrese IP cunoscute public utilizate ca noduri de intrare. De aici încep majoritatea administratorilor, dar din păcate aceasta poate fi o listă lungă și în continuă schimbare și este foarte puțin probabil să acopere noduri ascunse care sunt o caracteristică a sistemului. Unele dintre serverele care acționează ca noduri de intrare Tor vor fi, de asemenea, utilizate în scopuri legitime, ceea ce crește posibilitatea de a bloca traficul nevinovat și de a genera un fals pozitiv.
O altă tehnică manuală este utilizarea interfeței Deep Packet Inspection (DPI) de pe firewall pentru a căuta semne ale unor certificate neobișnuite utilizate de noduri, deși acest lucru presupune că știți ce porturi sunt utilizate. Tor folosește 443, dar și 80 (HTTP), 9001 și 9030, deși ar putea folosi aproape orice alt port pe care îl poate găsi, astfel încât acesta este cel mai bun punct de plecare.
Întâmplător, utilizarea DPI a făcut ca în 2012 să se blocheze Tor în țări precum Iran și Etiopia pentru o perioadă de săptămâni.
Riscurile Tor și întreprinderea 2016 – concluzie
Detectarea Tor nu va fi ușoară, deși filtrarea adreselor IP ar trebui să reducă riscul. Pentru noi, nu ni se pare deosebit de nepriceput sau ușor și rapid de gestionat în mod continuu. Din acest motiv, o mulțime de firme vor reveni asupra politicilor de detectare generalizate, susținute de sancțiuni dure pentru rularea aplicațiilor neaprobate. Tehnologia te va duce doar până acum.
Recomandare:
Cea mai simpla varianta de a bloca Tor, se poate face cu Fortigate-ul pe care il ai in cadrul companiei tale, blocarea fiind posibila prin blacklistarea semnaturii aplicatiei Tor si automat aceasta nu va mai putea comunica in exterior.
Leave A Comment?