Sieć TOR – jak blokować

Posted by pawel in IPS, SSL PROXY

Tor jest siecią komputerową, która ma na celu zapewnienie anonimowości jej użytkownikom. Oznacza to, że Tor ukrywa to, co użytkownicy robią w sieci. Tor jest siecią działającą w ramach sieci Internet.
Sieć Tor składa się z tak zwanych „węzłów wyjściowych” (exit nodes) oraz z węzłów pośredniczących (relay nodes). Te węzły to po prostu serwery – komputery odpowiednio skonfigurowane i uruchomione przez wolontariuszy na całym świecie. Obecnie jest około 2000 węzłów wyjściowych i około 6000 węzłów pośredniczących. Węzły wyjściowe służą do tego, żeby użytkownicy wykorzystujący sieć Tor do przeglądania internetu byli anonimowi. Węzły pośredniczące służą do tego, żeby użytkownicy wykorzystujący sieć Tor do korzystania z usług ukrytych (hidden services), czyli z usług dostępnych tylko w sieci Tor, byli anonimowi.

Oprócz anonimowości stosowanie połączeń poprzez sieć Tor pozwala na ominięcie filtrów zaimplementowanych na zaporze. Blokowanie sieci Tor ze względu na adresu węzłów Tor nie wchodzi w rachubę z uwagi na ich liczbę i zachodzące ich zmiany. System NETASQ dostarcza jednak narzędzia za pomocą którego blokowanie takich połączeń jest skuteczne. Narzędziem tym jest proxy ssl.

Po skonfigurowaniu funkcjonalności SSL PROXY należy upewnić się, że dla właściwego profilu ASQ (z reguły jest to profil 01) opcja kontroli certyfikatu wystawionego przez nie zaufany urząd certyfikacji powoduje zablokowanie pakietów:

opcja_ssl

próba połączenia z węzłem Tor zakończy się niepowodzeniem:

log1

Trzeba sobie jednak zdawać sprawę, że powyższa konfiguracja spowoduje również blokowanie połączeń do innych serwisów szyfrowanych przez SSL w sytuacji gdy ich certyfikaty będą wystawione przez nie zaufane urzędy certyfikacji.

W celu zaradzeniu takiej sytuacji możemy albo powyżej reguł ssl proxy umieścić regułę dopuszczającą ruch do takich serwerów lub zaimportować CA tych serwerów do naszego CA na NETASQ-u i wskazać to CA jako zaufane dla naszego urządzenia.

Tor oferuje również tzw. Tor Bridge Relay czyli serwery (routery) pośredniczące które mogą być wykorzystane do połączenia z siecią Tor w sytuacji gdy standardowa metoda (opisana powyżej) się nie powiedzie. Bridge Relay dostępne są na różnych portach TCP. Przy konfiguracji zapory należy zatem dbać aby w przypadku konfiguracji usług internetowych możliwie precyzyjnie definiować zasoby zdalne (w szczególności adresy docelowe). Reguły przepuszczające nietypowe usługi bez określenia dokładnego adresu docelowego należy logować i systematycznie przeglądać logi z nimi związane.

Rozwiązaniem tego problemu może być zastosowanie poniższego wpisu (należy mieć na uwadze miejsce umieszczenia wpisu tj., zaraz po regułach proxy ssl, ale przed regułami dla innych usług internetowych):

ssl_block

12 Mar 2014


Najnowszy firmware SNS: 3.8.1 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)