Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cómo bloquear Tor (el enrutador de la cebolla) - Knowledge Base - Palo Alto Networks

Cómo bloquear Tor (el enrutador de la cebolla)

290824
Created On 09/25/18 18:56 PM - Last Modified 10/11/24 21:19 PM


Environment


  • Palo Alto Firewall .
  • PAN-OS 8.1 y superior.
  • Listas dinámicas externas.


Resolution


La red Tor (The Onion Router) disfraza la identidad del usuario moviendo sus datos a través de diferentes servidores Tor y cifrando ese tráfico para que no se rastree hasta el usuario. Cualquiera que intente rastrear vería el tráfico procedente de nodos aleatorios en la red Tor, en lugar del equipo del usuario.

 

Las siguientes configuraciones de la próxima generación de Redes de Palo Alto firewall pueden bloquear el tráfico de aplicaciones tor en la red.

  1. Seguridad Policy para bloquear Tor App -ID

  2. Utilizar filtros de aplicación

  3. Categorías de riesgo URL de bloques

  4. Negar aplicaciones desconocidas

  5. Bloqueo de temas no es de confianza y certificados caducados con un perfil de descifrado

  6. Activar SSL descifrado

  7. Control basado en la fuente/Dest utilizar lista dinámica externa

Nota: El bloqueo de cualquier aplicación evasiva como Tor necesita una combinación de diferentes capacidades como se describió anteriormente. En muchos casos, utilizando una capacidad sola no es suficiente. Utilizar como muchas de estas configuraciones según sea necesario para bloquear adecuadamente Tor.

 

1. Seguridad Policy para bloquear Tor App -ID

Palo Alto Networks ha creado aplicaciones como tor y tor2web para identificar conexiones Tor. Como cualquier otro anonimizador, Tor utiliza diferentes técnicas para eludir su seguridad. Simplemente bloquear aplicaciones tor y tor2web en la seguridad policy no es suficiente.

 

Cree una seguridad policy para bloquear las siguientes aplicaciones a Internet:

  • Tor
  • tor2web
  • Ssh
  • túnel SSH
  • IKE
  • IPSec esp
  • http-proxy

Dentro del WebGUI > Policy seguridad >, asegúrese de crear una regla que deniegue el acceso a la lista anterior y asegúrese de que el "Servicio" está establecido en " Predeterminadode aplicación".

Captura de pantalla 2017-09-19 a las 12.25.12 PM .png

 

 

2. Utilice filtros de aplicación

Hay muchas aplicaciones de evitación por ahí que están siendo creadas como de los usuarios que deseen eludir las restricciones de la demanda aumenta. A una buena manera de mantenerse al día con las nuevas aplicaciones es usar el filtro de aplicaciones y bloquear aplicaciones basadas en el comportamiento en lugar de agregar manualmente cada aplicación individual a la policy seguridad.

 

Filtro de aplicación dinámicamente grupos de aplicaciones basadas en la categoría elegida. Puede encontrar más detalles sobre cómo crear filtros de aplicación en la PAN-OS Guía de administración(https://www.paloaltonetworks.com/documentation/80/ / / pan-os pan-os app -id/create-an-application-filter)

 

Usando filtro de aplicación,(Objetos > filtros de aplicación)podemos crear un nuevo grupo (Nombre - ) de aplicaciones basadas en la categoría " VPN redes" y subcategoría "proxy". Este filtro incluirá aplicaciones como psiphon, tor2web, su libertad... etcetera

Captura de pantalla 2017-09-19 a las 10.38.14 AM .png

 

A continuación, dentro de Directivas > Seguridad, cree una seguridad para bloquear las aplicaciones que se policy subcategorizan como proxy. Incluya el filtro de aplicación " VPN " en la seguridad y establezca la acción en policy "Denegar".

Captura de pantalla 2017-09-19 a las 12.29.36 PM .png

 

Nota: Como práctica recomendada, mientras que las aplicaciones de lista blanca en su seguridad policy , u se "application-default" para el servicio . El firewall compara el puerto utilizado con la lista de puertos predeterminados para esa aplicación. Si el puerto utilizado no es un puerto predeterminado para la aplicación, firewall la sesión se quita y registra el mensaje "denegación de búsqueda policy appid".

 

3. Bloquear categorías de URL riesgo

Cree URL un perfil de filtrado que bloquee el acceso a sitios web categorizados como:

  • evitar proxy y Anonimizadores
  • malware
  • phishing
  • dns dinámico
  • Desconocido
  • estacionado
  • phishing
  • Cuestionable

Asocie el URL perfil de filtrado a la seguridad para aplicar un control más policy estricto. Haga esto dentro de Objetos > perfiles de seguridad > URL filtrado. Encuentra cada categoría y bloquea el acceso a esas categorías anteriores.

Captura de pantalla 2017-09-19 a las 11.13.14 AM .png

 

Nota:Por favor, siga el enlace: Crear perfiles de seguridad de prácticas recomendadas para las prácticas recomendadas a la hora de configurar perfiles de seguridad.

 

4. Denegar aplicaciones desconocidas

Como práctica recomendada, se aconseja para bloquear todas las aplicaciones que están categorizadas como desconocido-tcp, udp de desconocido y desconocido-p2p en su red.

Si hay aplicaciones a las que los usuarios necesitan acceder en Internet que se identifiquen firewall como desconocidas-tcp o desconocida-udp y si es necesario permitir el acceso a estas aplicaciones, cree una seguridad policy que permita unknown-tcp o unknown-udp en puertos específicos utilizados por esa aplicación específica.

 

Para otros tráficos que se identifiquen como "desconocido-tcp" o "desconocido-udp" o "desconocido-p2p", crearemos una seguridad policy que deniegue el tráfico.

 

Asegúrese de crear esta regla dentro de Las directivas > seguridad, para que tenga el aspecto siguiente.

Captura de pantalla 2017-09-19 a las 12.44.05 PM .png

  

5. Bloqueo de problemas no confiables y certificados caducados con un perfil de descifrado

Esto se puede lograr sin tener que descifrar realmente el tráfico y puede ser bastante eficaz en el bloqueo de Tor. Recomendamos a los clientes utilizar un "perfil de descifrado" como se muestra a continuación como parte de una regla de no descifrar para limitar Tor de la conexión.

 

Para ello, vaya a Objetos > perfil de descifrado.Si aún no tiene una regla de no descifrar, agréguela con el botón "Añadir". Dentro de la pestaña"Sin descifrado",asegúrese de que las 2 opciones están seleccionadas.

Captura de pantalla 2017-09-19 a las 11.03.33 AM .png

 

A continuación, dentro de las directivas > descifrado y de nuevo, si no tiene una regla Sin descifrado, agréguelo con el botón "Agregar", y luego dentro de esa regla, en la pestaña Opciones,

2017-09-22_no-decrypt.png

 

Una vez hecho esto, debería ver el nombre del perfil de descifrado que aparece en las reglas.

Captura de pantalla 2017-09-19 a las 11.05.53 AM .png

 

 

6. Encienda SSL el descifrado

Si, a pesar de implementar todos los controles sugeridos anteriormente, Tor todavía puede conectarse, entonces recomendamos activar el SSL descifrado para este tráfico, lo que ayudará a bloquear Tor.

 

Crear un perfil de descifrado en el lado de objetos > perfil de descifrado.Haga clic en "Añadir" en la parte inferior y asígnele un nombre. I utilizado "descifrar". Asegúrese de seleccionar cualquier opción para Verificación de certificados de servidor y Comprobaciones de modo no compatibles.

Captura de pantalla 2017-09-19 a las 1.03.51 PM .png

 

A continuación, asegúrese de entrar en directivas > descifrado y asociar el perfil de descifrado a una descifrado policy . Haga esto dentro de la pestaña"Opciones"dentro de la Regla de descifrado. Policy

Captura de pantalla 2017-09-19 a la 1.04.20 PM .png

 

Para obtener más información sobre la configuración SSL de Descifrado, consulte:

Cómo implementar y probar el SSL descifrado

 

7. Control basado en fuente/dest mediante la lista dinámica externa

Además de las medidas adoptadas en pasos anteriores para evitar el tráfico de tor, podemos utilizar la característica de lista externa dinámica a la Conectividad del bloque de la aplicación Tor a nodos Tor. Esto se bloqueará en función de la dirección de destino IP que coincida con una seguridad que tiene una configuración en policy EDL ella.

Nota: La lista documentada en el diagrama abajo https://panwdbl.appspot.com/lists/ettor.txt no está actualmente disponible. Así que uno no puede usarlo como la fuente de EDL . En su lugar, se puede usar el sitio,https://check.torproject.org/torbulkexitlist,que proporciona un archivo de texto que contiene todas las direcciones de salida de Tor. Este sitio es proporcionado oficialmente por el proyecto oficial TOR (Para obtener más detalles, consulte https://blog.torproject.org/changes-tor-exit-list-service). 

Para establecer la lista dinámica externa, vaya a Objetos > Listas dinámicas externas y cree una nueva lista con "Agregar". Darle un nombre - Tor. Asegúrese de colocar el URL interior del campo de origen.

Captura de pantalla 2017-09-19 a las 10.24.35 AM .png

 

A continuación, dentro de Directivas > Seguridad, cree una nueva regla (Agregar) para la nueva EDL (Lista dinámica externa).

Captura de pantalla 2017-09-19 a las 10.28.09 AM .png

 

Dentro de la pestaña Destino, asegúrese de utilizar el EDL "Tor"que acaba de crear.

Captura de pantalla 2017-09-19 a las 10.28.20 AM .png

  

Bloquear cualquier aplicación evasiva como Tor necesita una combinación de diferentes capacidades como se describió anteriormente. En muchos casos, el uso de una sola capacidad no es suficiente.
 


Additional Information


Notas de la versión de contenido de aplicaciones y amenazas
Versión 8435

...
(7/7/21) Las suscripciones de Threat Prevention para firewalls que ejecutan PAN-OS 9.0 y versiones posteriores ahora incluyen una lista dinámica externa integrada ( EDL ) que puede utilizar para bloquear los nodos de salida de Tor. Las entradas en la lista incluyen IP direcciones proporcionadas por múltiples proveedores y que Palo Alto Networks datos de inteligencia de amenazas verificados como activos
...



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRtCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language