Comment faire pour bloquer Tor (le routeur de l’oignon)
Environment
- Palo Alto Firewall .
- PAN-OS 8,1 et plus.
- Listes dynamiques externes.
Resolution
Le réseau Tor (The Onion Router) déguise l’identité de l’utilisateur en déplaçant ses données sur différents serveurs Tor et en cryptant ce trafic afin qu’il ne soit pas retracé jusqu’à l’utilisateur. Toute personne qui essaie de tracer verrait le trafic provenant de nœuds aléatoires sur le réseau Tor, plutôt que l’ordinateur de l’utilisateur.
Les configurations suivantes sur les réseaux Palo Alto Next-Generation peuvent firewall bloquer le trafic d’applications Tor sur votre réseau.
Blocage des questions non fiables et avec un profil de décryptage, les certificats expirés
Source/Dest Based Control à l’aide d’une liste dynamique externe
Remarque: Le blocage de toute application évasive comme Tor nécessite une combinaison de différentes capacités comme indiqué ci-dessus. Dans de nombreux cas, simplement en utilisant une fonctionnalité unique ne suffit pas. Utiliser autant de ces configurations au besoin pour bien bloquer Tor.
1. Sécurité Policy pour bloquer Tor App -ID
Palo Alto Networks a créé des applications telles que tor et tor2web pour identifier les connexions Tor. Comme tout autre anonymiseur, Tor utilise différentes techniques pour contourner votre sécurité. Il ne suffit pas de bloquer les applications tor et tor2web dans policy la sécurité.
Créez une sécurité policy pour bloquer les applications suivantes sur Internet :
- Tor
- tor2web
- Ssh
- ssh-tunnel
- IKE
- IPSec-esp
- http-proxy
À l’intérieur du WebGUI > Policy > Security, assurez-vous de créer une règle qui refuse l’accès à la liste ci-dessus, et assurez-vous que le "Service" est défini sur "Application Default« .
2. Utilisez des filtres d’application
Il y a nombreuses évitement applications là-bas qui sont créées comme la demande augmente d’utilisateurs voulant contourner les restrictions. A une bonne façon de suivre les nouvelles applications est d’utiliser des applications de filtre d’application et de bloc basées sur le comportement plutôt que d’ajouter manuellement chaque application individuelle à la sécurité policy .
Filtre d’application regroupe dynamiquement des applications basées sur la catégorie choisie. Vous trouverez plus de détails sur la création de filtres d’application dans le PAN-OS Guided’administration (https://www.paloaltonetworks.com/documentation/80/ pan-os / / pan-os app -id/create-an-application-filter)
En utilisant le filtre d’application,(Objets > Filtres d’application) nous pouvons créer un nouveau groupe (Nom - VPN ) d’applications basées sur la catégorie "miseen réseau " et sous-catégorie "proxy« . Ce filtre comprendra des applications telles que psiphon, tor2web, your-freedom... Etc
Ensuite, à l’intérieur > stratégies desécurité, créez policy une sécurité pour bloquer les applications qui sont sous-catégorisées sous forme de proxy. Inclure le filtre d’application VPN " " dans la sécurité et définir policy l’action à "Deny« .
Note: Comme une pratique exemplaire, tandis que les applications d’inscription blanche dans votre policy sécurité , u se« applicationpar défaut » pour le Service . Le firewall compare le port utilisé avec la liste des ports par défaut pour cette application. Si le port utilisé n’est pas un port par défaut pour l’application, firewall les gouttes de la session et enregistre le message policy « appid rechercherefuser » .
3. Bloquer les catégories à URL risque
Créez URL un profil de filtrage qui bloque l’accès aux sites Web classés comme :
- proxy-évitement-et-anonymiseurs
- Malware
- phishing
- dns dynamique
- inconnu
- garé
- phishing
- Douteuse
Associez le URL profil de filtrage à la policy sécurité pour faire respecter un contrôle plus strict. Faites ceci à l’intérieur des > profils de sécurité > URL filtrage. Trouvez chaque catégorie et bloquez l’accès à ces catégories ci-dessus.
Remarque: Veuillez suivre le lien : Créez des profils de sécurité des meilleures pratiques pour les meilleures pratiques lorsqu’il s’agit de configurer des profils de sécurité.
4. Refuser des applications inconnues
Comme une pratique exemplaire, il est conseillé de bloquer toutes les applications qui sont classées comme inconnu-tcp, udp-inconnu et inconnu-p2p dans votre réseau.
S’il existe des applications que les utilisateurs ont besoin d’accéder à Internet qui est identifié firewall par l’inconnu-tcp ou inconnu-udp et s’il est nécessaire de permettre l’accès à ces applications, créer une sécurité qui policy permet inconnu-tcp ou inconnu-udp sur les ports spécifiques utilisés par cette application spécifique.
Pour d’autres trafics identifiés comme « inconnu-tcp » ou « inconnu-udp » ou « inconnu-p2p », nous allons créer une sécurité policy qui nie le trafic.
Assurez-vous de créer cette règle à l’intérieur des > sécurité,pour ressembler ci-dessous.
5. Blocage des problèmes non liés et des certificats expirés avec un profil de décryptage
Cela peut être réalisé sans avoir à décrypter réellement le trafic et peut être très efficace dans le blocage de Tor. Nous recommandons aux clients d’utiliser un «profil de décryptage» tel qu’indiqué ci-dessous dans le cadre d’une règle de non-décryptage pour empêcher Tor de se connecter.
Pour ce faire, entrez dans Objects > Decryption Profile.Si vous n’avez pas déjà de règle de non-décryptage, veuillez l’ajouter avec le bouton « Ajouter ». À l’intérieur de l’onglet « Pasde décryptage», assurez-vous que les 2 options sont sélectionnées.
Ensuite, à l’intérieur des stratégies > décryptage et encore une fois, si vous n’avez pas de règle de non-décryptage, s’il vous plaît l’ajouter avec le bouton "Ajouter« , puis à l’intérieur de cette règle, dans l’onglet Options,
Une fois terminé, vous devriez voir le nom de profil de décryptage indiqué dans les règles.
6. Activer le SSL décryptage
Si, malgré la mise en œuvre de tous les contrôles suggérés ci-dessus, Tor peut toujours se connecter, alors nous SSL vous recommandons d’allumer le décryptage pour ce trafic, ce qui aidera à bloquer Tor.
Créez un profil de décryptage dans les objets > profil de décryptage.Cliquez sur" Ajouter" en bas et donnez-lui un nom. I utilisé "décrypter« . Assurez-vous de sélectionner toutes les options pour la vérification des certificats serveur et les vérifications de mode non prises en charge.
Ensuite, assurez-vous d’entrer dans > décryptage et d’associer le profil de décryptage à une décryptage policy . Faites ceci à l’intérieur del’onglet " Options" à l’intérieur de la règle de décryptage. Policy
Pour plus d’informations sur la mise SSL en place du décryptage, veuillez consulter :
Comment implémenter et tester le SSL déchiffrement
7. Contrôle basé source/dest à l’aide de la liste dynamique externe
Remarque : La liste documentée dans le diagramme ci-dessous https://panwdbl.appspot.com/lists/ettor.txt n’est actuellement pas disponible. On ne peut donc pas l’utiliser comme source de EDL . Au lieu de cela, on peut utiliser le site,https://check.torproject.org/torbulkexitlist, qui fournit un fichier texte contenant toutes les adresses de sortie Tor. Ce site est officiellement fourni par le projet officiel TOR (Pour plus de détails s’il vous plaît voir https://blog.torproject.org/changes-tor-exit-list-service.)
- Reportez-vous au PAN-OS guide d’administration pour créer une liste dynamique externe.
- La mise à jour de contenu plus récente de Palo Alto (mises à jour dynamiques 8435 à partir du 7/7/21) prend en charge les listes dynamiques externes intégrées. Cette liste peut être utilisée dans la configuration pour bloquer le EDL trafic indésirable.
Pour définir la liste dynamique externe, allez dans les objets > listes dynamiques externes et créez une nouvelle liste avec "Ajouter« . Donnez-lui un nom - Tor. Veillez à placer URL l’intérieur du champ source.
Puis à l’intérieur > stratégies desécurité , créer une nouvelle règle (Ajouter) pour la EDL nouvelle (Liste dynamique externe).
À l’intérieur de l’onglet Destination, n’oubliez pas d’utiliser EDL letor que vous venez de créer.
Additional Information
Notes de mise à jour du contenu applications et menaces
Version 8435
...
(7/7/21) Les abonnements threat prevention pour les pare-feu exécutant PAN-OS 9.0 et versions ultérieures incluent désormais une liste dynamique externe intégrée ( EDL ) que vous pouvez utiliser pour bloquer les nœuds de sortie Tor. Les entrées dans la liste incluent IP des adresses fournies par plusieurs fournisseurs et que Palo Alto Networks données de renseignement sur les menaces vérifiées comme actives
...