Cómo bloquear Tor (el enrutador de la cebolla)
Environment
- Palo Alto Firewall .
- PAN-OS 8.1 y superior.
- Listas dinámicas externas.
Resolution
La red Tor (The Onion Router) disfraza la identidad del usuario moviendo sus datos a través de diferentes servidores Tor y cifrando ese tráfico para que no se rastree hasta el usuario. Cualquiera que intente rastrear vería el tráfico procedente de nodos aleatorios en la red Tor, en lugar del equipo del usuario.
Las siguientes configuraciones de la próxima generación de Redes de Palo Alto firewall pueden bloquear el tráfico de aplicaciones tor en la red.
Bloqueo de temas no es de confianza y certificados caducados con un perfil de descifrado
Control basado en la fuente/Dest utilizar lista dinámica externa
Nota: El bloqueo de cualquier aplicación evasiva como Tor necesita una combinación de diferentes capacidades como se describió anteriormente. En muchos casos, utilizando una capacidad sola no es suficiente. Utilizar como muchas de estas configuraciones según sea necesario para bloquear adecuadamente Tor.
1. Seguridad Policy para bloquear Tor App -ID
Palo Alto Networks ha creado aplicaciones como tor y tor2web para identificar conexiones Tor. Como cualquier otro anonimizador, Tor utiliza diferentes técnicas para eludir su seguridad. Simplemente bloquear aplicaciones tor y tor2web en la seguridad policy no es suficiente.
Cree una seguridad policy para bloquear las siguientes aplicaciones a Internet:
- Tor
- tor2web
- Ssh
- túnel SSH
- IKE
- IPSec esp
- http-proxy
Dentro del WebGUI > Policy seguridad >, asegúrese de crear una regla que deniegue el acceso a la lista anterior y asegúrese de que el "Servicio" está establecido en " Predeterminadode aplicación".
2. Utilice filtros de aplicación
Hay muchas aplicaciones de evitación por ahí que están siendo creadas como de los usuarios que deseen eludir las restricciones de la demanda aumenta. A una buena manera de mantenerse al día con las nuevas aplicaciones es usar el filtro de aplicaciones y bloquear aplicaciones basadas en el comportamiento en lugar de agregar manualmente cada aplicación individual a la policy seguridad.
Filtro de aplicación dinámicamente grupos de aplicaciones basadas en la categoría elegida. Puede encontrar más detalles sobre cómo crear filtros de aplicación en la PAN-OS Guía de administración(https://www.paloaltonetworks.com/documentation/80/ / / pan-os pan-os app -id/create-an-application-filter)
Usando filtro de aplicación,(Objetos > filtros de aplicación)podemos crear un nuevo grupo (Nombre - ) de aplicaciones basadas en la categoría " VPN redes" y subcategoría "proxy". Este filtro incluirá aplicaciones como psiphon, tor2web, su libertad... etcetera
A continuación, dentro de Directivas > Seguridad, cree una seguridad para bloquear las aplicaciones que se policy subcategorizan como proxy. Incluya el filtro de aplicación " VPN " en la seguridad y establezca la acción en policy "Denegar".
Nota: Como práctica recomendada, mientras que las aplicaciones de lista blanca en su seguridad policy , u se "application-default" para el servicio . El firewall compara el puerto utilizado con la lista de puertos predeterminados para esa aplicación. Si el puerto utilizado no es un puerto predeterminado para la aplicación, firewall la sesión se quita y registra el mensaje "denegación de búsqueda policy appid".
3. Bloquear categorías de URL riesgo
Cree URL un perfil de filtrado que bloquee el acceso a sitios web categorizados como:
- evitar proxy y Anonimizadores
- malware
- phishing
- dns dinámico
- Desconocido
- estacionado
- phishing
- Cuestionable
Asocie el URL perfil de filtrado a la seguridad para aplicar un control más policy estricto. Haga esto dentro de Objetos > perfiles de seguridad > URL filtrado. Encuentra cada categoría y bloquea el acceso a esas categorías anteriores.
Nota:Por favor, siga el enlace: Crear perfiles de seguridad de prácticas recomendadas para las prácticas recomendadas a la hora de configurar perfiles de seguridad.
4. Denegar aplicaciones desconocidas
Como práctica recomendada, se aconseja para bloquear todas las aplicaciones que están categorizadas como desconocido-tcp, udp de desconocido y desconocido-p2p en su red.
Si hay aplicaciones a las que los usuarios necesitan acceder en Internet que se identifiquen firewall como desconocidas-tcp o desconocida-udp y si es necesario permitir el acceso a estas aplicaciones, cree una seguridad policy que permita unknown-tcp o unknown-udp en puertos específicos utilizados por esa aplicación específica.
Para otros tráficos que se identifiquen como "desconocido-tcp" o "desconocido-udp" o "desconocido-p2p", crearemos una seguridad policy que deniegue el tráfico.
Asegúrese de crear esta regla dentro de Las directivas > seguridad, para que tenga el aspecto siguiente.
5. Bloqueo de problemas no confiables y certificados caducados con un perfil de descifrado
Esto se puede lograr sin tener que descifrar realmente el tráfico y puede ser bastante eficaz en el bloqueo de Tor. Recomendamos a los clientes utilizar un "perfil de descifrado" como se muestra a continuación como parte de una regla de no descifrar para limitar Tor de la conexión.
Para ello, vaya a Objetos > perfil de descifrado.Si aún no tiene una regla de no descifrar, agréguela con el botón "Añadir". Dentro de la pestaña"Sin descifrado",asegúrese de que las 2 opciones están seleccionadas.
A continuación, dentro de las directivas > descifrado y de nuevo, si no tiene una regla Sin descifrado, agréguelo con el botón "Agregar", y luego dentro de esa regla, en la pestaña Opciones,
Una vez hecho esto, debería ver el nombre del perfil de descifrado que aparece en las reglas.
6. Encienda SSL el descifrado
Si, a pesar de implementar todos los controles sugeridos anteriormente, Tor todavía puede conectarse, entonces recomendamos activar el SSL descifrado para este tráfico, lo que ayudará a bloquear Tor.
Crear un perfil de descifrado en el lado de objetos > perfil de descifrado.Haga clic en "Añadir" en la parte inferior y asígnele un nombre. I utilizado "descifrar". Asegúrese de seleccionar cualquier opción para Verificación de certificados de servidor y Comprobaciones de modo no compatibles.
A continuación, asegúrese de entrar en directivas > descifrado y asociar el perfil de descifrado a una descifrado policy . Haga esto dentro de la pestaña"Opciones"dentro de la Regla de descifrado. Policy
Para obtener más información sobre la configuración SSL de Descifrado, consulte:
Cómo implementar y probar el SSL descifrado
7. Control basado en fuente/dest mediante la lista dinámica externa
Nota: La lista documentada en el diagrama abajo https://panwdbl.appspot.com/lists/ettor.txt no está actualmente disponible. Así que uno no puede usarlo como la fuente de EDL . En su lugar, se puede usar el sitio,https://check.torproject.org/torbulkexitlist,que proporciona un archivo de texto que contiene todas las direcciones de salida de Tor. Este sitio es proporcionado oficialmente por el proyecto oficial TOR (Para obtener más detalles, consulte https://blog.torproject.org/changes-tor-exit-list-service).
- Consulte la PAN-OS guía de administración para crear una lista dinámica externa.
- La actualización de contenido más reciente de Palo Alto (Actualizaciones dinámicas 8435 del 7/7/21) admite listas dinámicas externas integradas. Esta lista se puede utilizar en la configuración para bloquear el EDL tráfico no deseado.
Para establecer la lista dinámica externa, vaya a Objetos > Listas dinámicas externas y cree una nueva lista con "Agregar". Darle un nombre - Tor. Asegúrese de colocar el URL interior del campo de origen.
A continuación, dentro de Directivas > Seguridad, cree una nueva regla (Agregar) para la nueva EDL (Lista dinámica externa).
Dentro de la pestaña Destino, asegúrese de utilizar el EDL "Tor"que acaba de crear.
Additional Information
Notas de la versión de contenido de aplicaciones y amenazas
Versión 8435
...
(7/7/21) Las suscripciones de Threat Prevention para firewalls que ejecutan PAN-OS 9.0 y versiones posteriores ahora incluyen una lista dinámica externa integrada ( EDL ) que puede utilizar para bloquear los nodos de salida de Tor. Las entradas en la lista incluyen IP direcciones proporcionadas por múltiples proveedores y que Palo Alto Networks datos de inteligencia de amenazas verificados como activos
...