Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment faire pour bloquer Tor (le routeur de l’oignon) - Knowledge Base - Palo Alto Networks

Comment faire pour bloquer Tor (le routeur de l’oignon)

290822
Created On 09/25/18 18:56 PM - Last Modified 10/11/24 21:19 PM


Environment


  • Palo Alto Firewall .
  • PAN-OS 8,1 et plus.
  • Listes dynamiques externes.


Resolution


Le réseau Tor (The Onion Router) déguise l’identité de l’utilisateur en déplaçant ses données sur différents serveurs Tor et en cryptant ce trafic afin qu’il ne soit pas retracé jusqu’à l’utilisateur. Toute personne qui essaie de tracer verrait le trafic provenant de nœuds aléatoires sur le réseau Tor, plutôt que l’ordinateur de l’utilisateur.

 

Les configurations suivantes sur les réseaux Palo Alto Next-Generation peuvent firewall bloquer le trafic d’applications Tor sur votre réseau.

  1. Sécurité Policy pour bloquer Tor App -ID

  2. Utiliser des filtres d’Application

  3. Bloquer les catégories à URL risque

  4. Refuser les demandes de l’inconnu

  5. Blocage des questions non fiables et avec un profil de décryptage, les certificats expirés

  6. Activer le SSL décryptage

  7. Source/Dest Based Control à l’aide d’une liste dynamique externe

Remarque: Le blocage de toute application évasive comme Tor nécessite une combinaison de différentes capacités comme indiqué ci-dessus. Dans de nombreux cas, simplement en utilisant une fonctionnalité unique ne suffit pas. Utiliser autant de ces configurations au besoin pour bien bloquer Tor.

 

1. Sécurité Policy pour bloquer Tor App -ID

Palo Alto Networks a créé des applications telles que tor et tor2web pour identifier les connexions Tor. Comme tout autre anonymiseur, Tor utilise différentes techniques pour contourner votre sécurité. Il ne suffit pas de bloquer les applications tor et tor2web dans policy la sécurité.

 

Créez une sécurité policy pour bloquer les applications suivantes sur Internet :

  • Tor
  • tor2web
  • Ssh
  • ssh-tunnel
  • IKE
  • IPSec-esp
  • http-proxy

À l’intérieur du WebGUI > Policy > Security, assurez-vous de créer une règle qui refuse l’accès à la liste ci-dessus, et assurez-vous que le "Service" est défini sur "Application Default« .

Screen Shot 2017-09-19 à 12.25.12 PM .png

 

 

2. Utilisez des filtres d’application

Il y a nombreuses évitement applications là-bas qui sont créées comme la demande augmente d’utilisateurs voulant contourner les restrictions. A une bonne façon de suivre les nouvelles applications est d’utiliser des applications de filtre d’application et de bloc basées sur le comportement plutôt que d’ajouter manuellement chaque application individuelle à la sécurité policy .

 

Filtre d’application regroupe dynamiquement des applications basées sur la catégorie choisie. Vous trouverez plus de détails sur la création de filtres d’application dans le PAN-OS Guided’administration (https://www.paloaltonetworks.com/documentation/80/ pan-os / / pan-os app -id/create-an-application-filter)

 

En utilisant le filtre d’application,(Objets > Filtres d’application) nous pouvons créer un nouveau groupe (Nom - VPN ) d’applications basées sur la catégorie "miseen réseau " et sous-catégorie "proxy« . Ce filtre comprendra des applications telles que psiphon, tor2web, your-freedom... Etc

Screen Shot 2017-09-19 à 10.38.14 AM .png

 

Ensuite, à l’intérieur > stratégies desécurité, créez policy une sécurité pour bloquer les applications qui sont sous-catégorisées sous forme de proxy. Inclure le filtre d’application VPN " " dans la sécurité et définir policy l’action à "Deny« .

Screen Shot 2017-09-19 à 12.29.36 PM .png

 

Note: Comme une pratique exemplaire, tandis que les applications d’inscription blanche dans votre policy sécurité , u se« applicationpar défaut » pour le Service . Le firewall compare le port utilisé avec la liste des ports par défaut pour cette application. Si le port utilisé n’est pas un port par défaut pour l’application, firewall les gouttes de la session et enregistre le message policy « appid rechercherefuser » .

 

3. Bloquer les catégories à URL risque

Créez URL un profil de filtrage qui bloque l’accès aux sites Web classés comme :

  • proxy-évitement-et-anonymiseurs
  • Malware
  • phishing
  • dns dynamique
  • inconnu
  • garé
  • phishing
  • Douteuse

Associez le URL profil de filtrage à la policy sécurité pour faire respecter un contrôle plus strict. Faites ceci à l’intérieur des > profils de sécurité > URL filtrage. Trouvez chaque catégorie et bloquez l’accès à ces catégories ci-dessus.

Screen Shot 2017-09-19 à 11.13.14 AM .png

 

Remarque: Veuillez suivre le lien : Créez des profils de sécurité des meilleures pratiques pour les meilleures pratiques lorsqu’il s’agit de configurer des profils de sécurité.

 

4. Refuser des applications inconnues

Comme une pratique exemplaire, il est conseillé de bloquer toutes les applications qui sont classées comme inconnu-tcp, udp-inconnu et inconnu-p2p dans votre réseau.

S’il existe des applications que les utilisateurs ont besoin d’accéder à Internet qui est identifié firewall par l’inconnu-tcp ou inconnu-udp et s’il est nécessaire de permettre l’accès à ces applications, créer une sécurité qui policy permet inconnu-tcp ou inconnu-udp sur les ports spécifiques utilisés par cette application spécifique.

 

Pour d’autres trafics identifiés comme « inconnu-tcp » ou « inconnu-udp » ou « inconnu-p2p », nous allons créer une sécurité policy qui nie le trafic.

 

Assurez-vous de créer cette règle à l’intérieur des > sécurité,pour ressembler ci-dessous.

Screen Shot 2017-09-19 à 12.44.05 PM .png

  

5. Blocage des problèmes non liés et des certificats expirés avec un profil de décryptage

Cela peut être réalisé sans avoir à décrypter réellement le trafic et peut être très efficace dans le blocage de Tor. Nous recommandons aux clients d’utiliser un «profil de décryptage» tel qu’indiqué ci-dessous dans le cadre d’une règle de non-décryptage pour empêcher Tor de se connecter.

 

Pour ce faire, entrez dans Objects > Decryption Profile.Si vous n’avez pas déjà de règle de non-décryptage, veuillez l’ajouter avec le bouton « Ajouter ». À l’intérieur de l’onglet « Pasde décryptage», assurez-vous que les 2 options sont sélectionnées.

Screen Shot 2017-09-19 au 11.03.33 AM .png

 

Ensuite, à l’intérieur des stratégies > décryptage et encore une fois, si vous n’avez pas de règle de non-décryptage, s’il vous plaît l’ajouter avec le bouton "Ajouter« , puis à l’intérieur de cette règle, dans l’onglet Options,

2017-09-22_no-decrypt.png

 

Une fois terminé, vous devriez voir le nom de profil de décryptage indiqué dans les règles.

Screen Shot 2017-09-19 au 11.05.53 AM .png

 

 

6. Activer le SSL décryptage

Si, malgré la mise en œuvre de tous les contrôles suggérés ci-dessus, Tor peut toujours se connecter, alors nous SSL vous recommandons d’allumer le décryptage pour ce trafic, ce qui aidera à bloquer Tor.

 

Créez un profil de décryptage dans les objets > profil de décryptage.Cliquez sur" Ajouter" en bas et donnez-lui un nom. I utilisé "décrypter« . Assurez-vous de sélectionner toutes les options pour la vérification des certificats serveur et les vérifications de mode non prises en charge.

Screen Shot 2017-09-19 au 1.03.51 PM .png

 

Ensuite, assurez-vous d’entrer dans > décryptage et d’associer le profil de décryptage à une décryptage policy . Faites ceci à l’intérieur del’onglet " Options" à l’intérieur de la règle de décryptage. Policy

Screen Shot 2017-09-19 à 1.04.20 PM .png

 

Pour plus d’informations sur la mise SSL en place du décryptage, veuillez consulter :

Comment implémenter et tester le SSL déchiffrement

 

7. Contrôle basé source/dest à l’aide de la liste dynamique externe

En plus de précautions prises lors des étapes précédentes pour empêcher le trafic de tor, nous pouvons utiliser la fonctionnalité de liste dynamique externe au bloc de connexion de l’application de Tor aux nœuds Tor. Cela bloquera en fonction de l’adresse de destination IP correspondant à une sécurité qui a un policy EDL configuré en elle.

Remarque : La liste documentée dans le diagramme ci-dessous https://panwdbl.appspot.com/lists/ettor.txt n’est actuellement pas disponible. On ne peut donc pas l’utiliser comme source de EDL . Au lieu de cela, on peut utiliser le site,https://check.torproject.org/torbulkexitlist, qui fournit un fichier texte contenant toutes les adresses de sortie Tor. Ce site est officiellement fourni par le projet officiel TOR (Pour plus de détails s’il vous plaît voir https://blog.torproject.org/changes-tor-exit-list-service.) 

Pour définir la liste dynamique externe, allez dans les objets > listes dynamiques externes et créez une nouvelle liste avec "Ajouter« . Donnez-lui un nom - Tor. Veillez à placer URL l’intérieur du champ source.

Screen Shot 2017-09-19 à 10.24.35 AM .png

 

Puis à l’intérieur > stratégies desécurité , créer une nouvelle règle (Ajouter) pour la EDL nouvelle (Liste dynamique externe).

Screen Shot 2017-09-19 au 10.28.09 AM .png

 

À l’intérieur de l’onglet Destination, n’oubliez pas d’utiliser EDL letor que vous venez de créer.

Screen Shot 2017-09-19 à 10.28.20 AM .png

  

Bloquer toute application évasive comme Tor a besoin d’une combinaison de différentes capacités comme indiqué ci-dessus. Dans de nombreux cas, il ne suffit pas d’utiliser une seule capacité.
 


Additional Information


Notes de mise à jour du contenu applications et menaces
Version 8435

...
(7/7/21) Les abonnements threat prevention pour les pare-feu exécutant PAN-OS 9.0 et versions ultérieures incluent désormais une liste dynamique externe intégrée ( EDL ) que vous pouvez utiliser pour bloquer les nœuds de sortie Tor. Les entrées dans la liste incluent IP des adresses fournies par plusieurs fournisseurs et que Palo Alto Networks données de renseignement sur les menaces vérifiées comme actives
...



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRtCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language