如何阻止 Tor （洋葱路由器） - Knowledge Base - Palo Alto Networks

如何阻止 Tor （洋葱路由器）

303156

Created On 09/25/18 18:56 PM - Last Modified 10/11/24 21:19 PM

Environment

帕洛阿尔托 Firewall 。
PAN-OS 8.1 及以上。
外部动态列表。

Resolution

Tor网络（洋葱路由器）通过跨不同的Tor服务器移动其数据并加密该流量来掩饰用户身份，以便不会追溯到用户。任何尝试跟踪的人都会看到来自 Tor 网络上的随机节点的流量，而不是用户的计算机。

Palo Alto 网络下一代上的以下配置 firewall 可以阻止您网络上的 Tor 应用程序流量。

注意：阻止任何回避的应用程序，如 Tor 需要组合不同的功能，如上面所述。在许多情况下，只使用一个单一的能力是不够的。使用尽可能多的这些配置根据需要适当地阻止 Tor。

1. Policy 阻止托尔的安全 App -ID

Palo Alto 网络已创建 tor 和 tor2web 等应用程序 来识别 Tor 连接。与任何其他匿名器一样 ，Tor 使用不同的技术来绕过您的安全性。仅仅在安全性中阻止托和r2web应用程序 policy 是不够的。

创建一个安全 policy 条来阻止以下应用到互联网：

tor
tor2web
Ssh
ssh 隧道
ike
ipsec esp
http 代理

在 WebGUI Policy >>安全，请务必创建拒绝访问上述列表的规则，并确保"服务"设置为"应用程序默认"。

屏幕截图 2017-09-19 在 12.25.12 PM .png

2. 使用应用程序过滤器

有许多避税的应用在那里，被创建为需求上升从用户想要绕过限制。 A 跟上新应用的好方法是使用应用程序筛选器，并基于行为阻止应用程序，而不是手动将每个应用程序添加到安全 policy 性。

应用程序筛选器动态组基于选定类型的应用程序。有关如何创建应用程序过滤器的更多详细信息，请访问 PAN-OS 《管理指南》（https://www.paloaltonetworks.com/documentation/80/ pan-os / - pan-os app id/创建应用程序过滤器）

使用应用过滤器（对象>应用过滤器），我们可以 VPN 根据"网络"类别和子类别"代理"创建新的应用程序组（名称-）。此过滤器将包括诸如精神，tor2web，您的自由...等

屏幕截图 2017-09-19 在 10.38.14 AM .png

接下来， 在"策略>安全性"中，创建一个安全 policy 性来阻止被子分类为代理的应用程序。将应用过滤器 VPN ""包含在安全中 policy ，并将操作设置为"拒绝"。

屏幕截图 2017-09-19 在 12.29.36 PM .png

注意： 作为最佳实践，当白色列表应用程序在您的安全 policy ，use"应用程序默认"的服务。将 firewall 所使用的端口与该应用程序的默认端口列表进行比较。如果所使用的端口不是应用程序的默认端口， firewall 则会删除会话并记录 "appid policy 查找拒绝"的消息。

3. 阻止风险 URL 类别

创建 URL 筛选配置文件，阻止访问分类为：

代理服务器避免匿名
恶意软件
网络钓鱼
动态 dns
未知
停
网络钓鱼
可疑

将 URL 过滤配置文件与安全性联系起来 policy ，以实施更严格的控制。在 "对象">安全配置文件> URL 筛选中这样做。查找每个类别并阻止访问上述类别。

屏幕截图 2017-09-19 在 11.13.14 AM .png

注意：请按照以下链接操作：在配置安全 配置文件时，为最佳做法创建最佳实践安全配置文件。

4. 拒绝未知应用程序

作为最佳实践，它被建议阻止归类为未知 tcp、 udp 未知和未知 p2p 网络中的任何应用程序。

如果用户需要在互联网上访问的应用程序被 firewall 未知 tcp 或未知 udp 识别，如果需要允许访问这些应用程序，则创建一个安全 policy 性，允许在特定应用程序使用的特定端口上使用未知 tcp 或未知 udp。

对于被识别为"未知 tcp"或"未知 udp"或"未知 p2p"的其他流量，我们将创建一个 policy 拒绝流量的安全性。

请确保在策略"安全 ">创建此规则，如下所示。

屏幕截图 2017-09-19 在 12.44.05 PM .png

5. 使用解密配置文件阻止不受信任的问题和过期证书

这可以通过实际解密流量实现，并可以相当有效地阻止 Tor。我们建议客户使用"解密配置文件"，如下所示，作为无解密规则的一部分，以限制 Tor 的连接。

为此，请进入 对象>配置文件。如果您还没有不解密规则，请使用"添加"按钮添加它。在"无解密"选项卡内，请确保选择了 2 个选项。

屏幕截图 2017-09-19 在 11.03.33 AM .png

然后在策略>，再次，如果您没有"不 解密" 规则，请添加它与"添加"按钮，然后在该规则内部，在"选项"选项卡中，

完成后，您应该会看到 规则中列出的 解密配置文件名称。

屏幕截图 2017-09-19 在 11.05.53 AM .png

6. 打开 SSL 解密

如果，尽管执行上述建议的所有控制，Tor仍然可以连接，那么我们建议打开 SSL 解密此流量，这将有助于阻止 Tor。

创建解密配置文件，以> 配置文件。单击底部的"添加"并给它一个名称。 I 使用"解密"。请务必选择 服务器证书验证 和 不受支持的模式检查的任何选项。

屏幕截图 2017-09-19 在 1.03.51 PM .png

然后，请务必进入 解密>政策 ，并将解密配置文件关联到解密 policy 。在解密规则内的"选项"选项选项卡内进行此 Policy 项。

屏幕截图 2017-09-19 在 1.04.20 PM .png

有关设置 SSL 解密的更多信息，请参阅：

如何实施和测试 SSL 解密

7. 使用外部动态列表进行基于源/基于数据的控制

除了前面的步骤中为防止 tor 交通而采取的预防措施，我们可以使用外部动态列表功能块连接到 Tor 应用于 Tor 节点。这将基于与其中 IP 配置的证券匹配的目的地地址 policy EDL 进行阻止。

注：以下图表中的记录列表 https://panwdbl.appspot.com/lists/ettor.txt目前不可用。因此，人们不能把它作为 EDL 来源。相反，我们可以使用该网站，https://check.torproject.org/torbulkexitlist，它提供了一个文本文件，包含所有托尔退出地址。此网站由官方项目正式提供 TOR （有关详细信息，请参阅https://blog.torproject.org/changes-tor-exit-list-service。