Gewusst wie: Block Tor (Onion Router)
Environment
- Palo Alto Firewall .
- PAN-OS 8.1 und höher.
- Externe dynamische Listen.
Resolution
Das Tor-Netzwerk (The Onion Router) verschleiert die Benutzeridentität, indem es seine Daten über verschiedene Tor-Server verschiebt und diesen Datenverkehr verschlüsselt, damit er nicht an den Benutzer zurückverfolgt wird. Jeder, der versucht, den Datenverkehr zu verfolgen, der von zufälligen Knoten im Tor-Netzwerk und nicht vom Computer des Benutzers kommt.
Die folgenden Konfigurationen in den Palo Alto Networks Next-Generation firewall können den Tor-Anwendungsverkehr in Ihrem Netzwerk blockieren.
Hinweis:Das Blockieren einer ausweichenden Anwendung wie Tor erfordert eine Kombination verschiedener Funktionen, wie oben beschrieben. In vielen Fällen ist das nur mit einer einzigen Funktion nicht genug. Verwenden Sie, da viele dieser Konfigurationen je nach Bedarf richtig Tor blockieren.
1. Sicherheit Policy zum Blockieren von Tor App -ID
Palo Alto Networks hat Anwendungen wie tor und tor2web entwickelt, um Tor-Verbindungen zu identifizieren. Wie jeder andere Anonymisierer verwendet Tor verschiedene Techniken, um Ihre Sicherheit zu umgehen. Nur tor- und tor2web-Anwendungen in der Sicherheit zu policy blockieren, reicht nicht aus.
Erstellen Sie eine policy Sicherheit, um die folgenden Anwendungen im Internet zu blockieren:
- Tor
- Tor2Web
- Ssh
- SSH-tunnel
- Ike
- IPSec-esp
- http-proxy
Stellen Sie im WebGUI-> Policy > Securitysicher, dass Sie eine Regel erstellen, die den Zugriff auf die obige Liste verweigert, und stellen Sie sicher, dass derDienstauf "Anwendungsstandard" festgelegt ist.
2. Anwendungsfilter verwenden
Es gibt viele Vermeidung Anwendungen da draußen, die von Benutzern Einschränkungen umgehen wollen steigender Nachfrage geschaffen werden. A Eine gute Möglichkeit, mit neuen Anwendungen Schritt zu halten, besteht darin, Anwendungsfilter zu verwenden und Anwendungen basierend auf dem Verhalten zu blockieren, anstatt jede einzelne Anwendung manuell zur Sicherheit policy hinzuzufügen.
Anwendungsfilter Gruppen dynamisch Anwendungen basierend auf der gewählten Kategorie. Weitere Details zum Erstellen von Anwendungsfiltern finden Sie im PAN-OS Administrationshandbuch (https://www.paloaltonetworks.com/documentation/80/ / / pan-os pan-os app -id/create-an-application-filter)
Mit Anwendungsfilter,(Objekte > Anwendungsfilter) können wir eine neue Gruppe (Name - VPN ) von Anwendungen basierend auf der Kategorie "Netzwerk" und Unterkategorie "Proxy" erstellen. Dieser Filter enthält Anwendungen wie psiphon, tor2web, Your-freedom... Etc
Als Nächstes erstellen Sie in Richtlinien > Sicherheiteine Sicherheit, um Anwendungen zu blockieren, die als Proxy policy unterkategorisiert werden. Schließen Sie den Anwendungsfilter " VPN in die Sicherheit policy ein, und legen Sie die Aktion auf "Verweigern" fest.
Hinweis: Als bewährte Methode, während White Listing Anwendungen in Ihrer Sicherheit policy , use"Anwendungsstandard" für den Dienst . Der firewall vergleicht den verwendeten Port mit der Liste der Standardports für diese Anwendung. Wenn der verwendete Port kein Standardport für die Anwendung ist, löscht der firewall die Sitzung und protokolliert die Meldung "Appid policy Lookup deny ".
3. Blockieren Riskanter URL Kategorien
Erstellen eines URL Filterprofils, das den Zugriff auf Websites blockiert, die wie folgt kategorisiert sind:
- Proxy-Vermeidung-Anonymizer
- Malware
- Phishing
- Dynamic-dns
- Unbekannt
- geparkt
- Phishing
- Fragwürdig
Ordnen Sie das URL Filterprofil der Sicherheit policy zu, um eine strengere Kontrolle zu erzwingen. Tun Sie dies in Objekten > Sicherheitsprofilen > URL Filtern. Suchen Sie jede Kategorie und blockieren Sie den Zugriff auf diese oben genannten Kategorien.
Hinweis:Bitte folgen Sie dem Link: Erstellen Sie Best Practice-Sicherheitsprofile für Best Practices, wenn es um die Konfiguration von Sicherheitsprofilen geht.
4. Verweigern Unbekannter Anwendungen
Eine bewährte Methode ist es ratsam, alle Anwendungen zu blockieren, die als unbekannte Tcp, unbekannt-Udp und unbekannt-p2p in Ihrem Netzwerk kategorisiert werden.
Wenn es Anwendungen gibt, auf die Benutzer im Internet zugreifen müssen, die von der als unknown-tcp oder unknown-udp identifiziert werden, und wenn der Zugriff auf diese Anwendungen zugelassen werden firewall muss, erstellen Sie eine Sicherheit, die policy unknown-tcp oder unknown-udp auf bestimmten Ports ermöglicht, die von dieser bestimmten Anwendung verwendet werden.
Für anderen Datenverkehr, der als "unknown-tcp" oder "unknown-udp" oder "unknown-p2p" identifiziert wird, erstellen wir eine policy Sicherheit, die den Datenverkehr verweigert.
Stellen Sie sicher, dass Sie diese Regel in Richtlinien > Sicherheiterstellen, um wie folgt zu aussehen.
5. Blockieren nicht vertrauenswürdiger Probleme und abgelaufener Zertifikate mit einem Entschlüsselungsprofil
Dies kann erreicht werden, ohne tatsächlich Verkehr zu entschlüsseln und kann sehr effektiv bei der Blockierung Tor. Wir empfehlen Kunden, einEntschlüsselungsprofilzu verwenden, wie unten als Teil einer No-Decrypt-Regel gezeigt, um Tor von der Verbindung zu begrenzen.
Gehen Sie dazu in Objekte > Entschlüsselungsprofil.Wenn Sie noch keine Nicht-Entschlüsselungsregel haben, fügen Sie sie bitte mit der Schaltfläche "Hinzufügen" hinzu. Stellen Sie auf der Registerkarte "Keine Entschlüsselung" sicher, dass die beiden Optionen ausgewählt sind.
Dann in Richtlinien > Entschlüsselung und wieder, wenn Sie keine No Decryption-Regel haben, fügen Sie es bitte mit der Schaltfläche "Hinzufügen" und dann innerhalb dieser Regel, in der Registerkarte Optionen,
Sobald Sie fertig sind, sollten Sie den Namen des Entschlüsselungsprofils in den Regeln aufgelistet sehen.
6. Schalten Sie SSL die Entschlüsselung ein
Wenn, trotz der Implementierung aller oben vorgeschlagenen Kontrollen, Tor kann immer noch eine Verbindung herstellen, dann empfehlen wir das Aktivieren der SSL Entschlüsselung für diesen Datenverkehr, die Tor blockieren wird.
Erstellen Sie ein Entschlüsselungsprofil iniside Objekte > Entschlüsselungsprofil.Klicken Sie unten auf "Hinzufügen" und geben Sie ihm einen Namen. I verwendet "entschlüsseln". Wählen Sie alle Optionen für die Überprüfung von Serverzertifikaten und nicht unterstützte Modusprüfungenaus.
Dann gehen Sie in Richtlinien > Decryption gehen und das Entschlüsselungsprofil zu einer Entschlüsselung policy zuordnen. Führen Sie dies innerhalb der Registerkarte "Optionen" innerhalb der Policy Entschlüsselungsregel aus.
Weitere Informationen zum Einrichten von SSL Decryption finden Sie unter:
Implementieren und Testen der SSL Entschlüsselung
7. Source/Dest Based Control mit externer dynamischer Liste
Hinweis: Die dokumentierte Liste im Diagramm unten https://panwdbl.appspot.com/lists/ettor.txt ist derzeit nicht verfügbar. Man kann es also nicht als Quelle von EDL verwenden. Stattdessen kann man die Sitehttps://check.torproject.org/torbulkexitlistverwenden, die eine Textdatei mit allen Tor-Exit-Adressen bereitstellt. Diese Seite wird offiziell vom offiziellen Projekt zur Verfügung gestellt TOR (Für weitere Details siehe https://blog.torproject.org/changes-tor-exit-list-service.)
- Bitte beachten Sie die PAN-OS Administrationsanleitung, um eine externe dynamische Liste zu erstellen.
- Neueres Inhaltsupdate von Palo Alto (Dynamic Updates 8435 vom 7/7/21) unterstützt Integrierte externe dynamische Listen. Diese Liste kann in der Konfiguration verwendet EDL werden, um unerwünschten Datenverkehr zu blockieren.
Um die externe dynamische Liste festzulegen, wechseln Sie zu Objekte > externen dynamischen Listen, und erstellen Sie eine neue Liste mit "Hinzufügen". Geben sie einen Namen - Tor. Achten Sie darauf, das URL Innere des Quellfelds einzufügen.
Erstellen Sie dann in den Richtlinien > Sicherheiteine neue Regel (Hinzufügen) für die neue EDL (Externe dynamische Liste).
Achten Sie innerhalb der Registerkarte Ziel darauf, das zu verwenden, das Sie gerade EDL "Tor" erstellt haben.
Additional Information
Versionshinweise zu Anwendungs- und Bedrohungsinhalten
Version 8435
...
(7/7/21) Threat Prevention-Abonnements für Firewalls mit PAN-OS 9.0 und höherer Versionen enthalten jetzt eine integrierte externe dynamische Liste ( ), mit der Sie Tor-Exit-Knoten EDL blockieren können. Die Einträge in der Liste enthalten Adressen, die IP von mehreren Anbietern bereitgestellt werden und dass Palo Alto Networks Threat Intelligence-Daten als aktiv verifiziert
wurden ...