Hace 12 años | Por kobecaf a ithinkdeque.com
Publicado hace 12 años por kobecaf a ithinkdeque.com

Esto no es ningún secreto, y puede que mucha gente lo conozca. Para los que no, es una manera fácil y rápida de navegar por donde quieran evitando el proxy de su empresa/instituto/whatever. Ojo,no es una explicación de como funciona tor, es una explicación sencilla de como usarlo.

Comentarios

D

Titular alternativo: cómo terminar en la puta calle por tocarle los cojones al sysadmin de tu empresa.

l

Si en tu empresa te permiten:

1- ejecutar el software que quieras
2- permitir conexiones a la red TOR

Es que les hace falta un admin de sistemas mejor que el que tienen

gallir

O sea, un manual para usar el antiguo y conocido Tor, pero con un título sensacionalista y que ni lo menciona.

kobecaf

#2 Hombre, a tor lo menciono en la entradilla, donde digo además expresamente que es una explicación sencilla de cómo usarlo. Además también empiezo diciendo que esto es algo antiguo pero que le puede servir a gente que no lo conozca. Quizá debería haber intentado transmitir esto en el título en vez de en la entradilla, supongo.

albandy

#12 Uf si te contara, hasta se me conectan al exploit-db a ver que pueden encontrar.
Respecto a los patrones de tráfico, si, prácticamente se conectan siempre a los mismos sitios, pero igualmente los logs se guardan en base de datos (no en ficheros) y además lo tenemos que tener así por ley (no me preguntes que apartado de la ley en concreto porque no tengo ni puta idea, seguramente algo de la LSSI, pero lo que mandan los jefes va a misa).

albandy

Tor es detectable con esta regla de snort:

alert tcp any any -> $HOME_NET any (msg: "TOR 1.0 Proxy Connection Attempt"; content: "TOR"; content: ""; within:30; classtype:policy-violation; resp:rst_all; sid:5000030; rev:1;)

kobecaf

#6 Me ha entrado curiosidad por comprobar lo que has dicho, y he encontrado esto:

-----------------------------

On Sun, Nov 09, 2008 at 09:58:22PM -0500, Roc Admin wrote:
> I just read this article in the SANS reading room called "Detecting and
> Preventing Anonymous Proxy Usage"
>
> http://www.sans.org/reading_room/whitepapers/detection/32943.php
>
> From the article:
> Wireshark's ability to reconstitute a TCP stream was used to observe the
> content being sent and received. I noticed a string that the client sends
> out each time it establishes a connection with Tor. The string is as
> follows: Tor1.0 U Client 0
>
> Can anyone speak to this?

I suspect it refers to the old 0.1.2.x versions of Tor, back when we
wrote deterministic strings in our TLS certificates.

Tor 0.2.0.x and later don't do that.

----------------------------

Lo he visto aqui: http://www.mail-archive.com/or-talk@freehaven.net/msg08921.html

El paper del que hablan es este:

http://www.sans.org/reading_room/whitepapers/detection/detecting-preventing-anonymous-proxy-usage_32943

slds!

albandy

#8 Mira que bien, así que unos cuantos cabroncetes se me deben estar conectando con el nuevo protocolo. Pues nada, haremos un script que cada vez que detecte una conexión cifrada a una ip no conocida, se conecte, haga el handshake, y si el contenido no es html o xml se bloquea la conexión y se me manda un mail. Seguidamente se comprueba y si es Tor telefonazo al jefe.

Además que también se puede añadir una regla que impida la conexión directa por ip (que en realidad es lo que hace Tor con el proxy, no consulta entradas DNS), y si alguien se tiene que conectar a una ip en concreto que me lo diga y se añade a la lista.

kobecaf

#9 Muy interesante eso que cuentas... ¿Me puedes explicar a qué te refieres exactamente con "una ip no conocida"?

Otra dudilla, ¿No cargaría mucho eso la/s máquina/s que tuvieran que comprobar eso para cada "ip no conocida"? No se si tu empresa tendrá muchos empleados, pero en sitios con cientos de trabajadores conectándose a internet y navegando sería un poco chungo ¿no?

slds y gracias por la info

albandy

#10 Una ip que no haya registrado antes.

Carga y bastante, pero en cuestiones de seguridad no puedes racanear en HW, por eso tenemos montado un cluster (4 nodos squid + 4 nodos para análisis de la red).

Ventajas: navegan a toda castaña
Desventajas: no pueden hacer todo lo que quieran (aunque tienen mucha libertad, solo se bloquea porno y warez).

kobecaf

#11 Joe, pues de todo hay en la viña del señor pero si sólo se bloquea pr0n y warez, tampoco habrá tanta gente tratando de evitar el proxy, no? a menos que lo hagan por deporte... En mi caso libertad cero. Se capan cosas inverosímiles además etiquetándolas en categorías más inverosímiles. Al final sólo consiguen que la gente esté quemada cuando durante una navegación normal y legítima saltan avisos de bloqueos cuasi aleatorios

Lo de las ips no registradas me sigue pareciendo la pera. ¿tan comunes son los patrones de tráfico de la gente? ¿no se conectan a bastantes nuevos sitios TODOS los dias? ¿Cada vez que un usuario se conecta a una web que no ha guardado el squid vais a lanzar una petición? Y cuanto tiempo se quedan guardadas esas ips?

A todo esto, gracias por contestar

D

No digo que sea mala idea usar Tor. Prefiero un servidor OpenVPN en mi casa y establecer una vpn. Aún así, depende de lo grande que sea la empresa, pueden tener sistemas que bloqueen tor o que sean capaces de inspeccionar un poco dentro de un tunel ssl.

kobecaf

#1 Totalmente de acuerdo en lo del servidor openVPN, de hecho es lo que hacia en la empresa anterior
Lo malo es que te obliga a tener un servidor en tu casa funcionando 24x7, crearte los certificados, tener un cliente portable en el trabajo, etc. y esta solución es mucho más fácil y accesible para cualquiera ¿no crees?

En todo caso, gracias por el comentario