Esto no es ningún secreto, y puede que mucha gente lo conozca. Para los que no, es una manera fácil y rápida de navegar por donde quieran evitando el proxy de su empresa/instituto/whatever. Ojo,no es una explicación de como funciona tor, es una explicación sencilla de como usarlo.
|
etiquetas: proxy , tor , https , desktops
1- ejecutar el software que quieras
2- permitir conexiones a la red TOR
Es que les hace falta un admin de sistemas mejor que el que tienen
Respecto a los patrones de tráfico, si, prácticamente se conectan siempre a los mismos sitios, pero igualmente los logs se guardan en base de datos (no en ficheros) y además lo tenemos que tener así por ley (no me preguntes que apartado de la ley en concreto porque no tengo ni puta idea, seguramente algo de la LSSI, pero lo que mandan los jefes va a misa).
alert tcp any any -> $HOME_NET any (msg: "TOR 1.0 Proxy Connection Attempt"; content: "TOR"; content: "<identity>"; within:30; classtype:policy-violation; resp:rst_all; sid:5000030; rev:1;)
-----------------------------
On Sun, Nov 09, 2008 at 09:58:22PM -0500, Roc Admin wrote:
> I just read this article in the SANS reading room called "Detecting and
> Preventing Anonymous Proxy Usage"
>
> www.sans.org/reading_room/whitepapers/detection/32943.php
>
> From the article:
> Wireshark's ability to reconstitute a TCP stream was used to observe the
> content… » ver todo el comentario
Además que también se puede añadir una regla que impida la conexión directa por ip (que en realidad es lo que hace Tor con el proxy, no consulta entradas DNS), y si alguien se tiene que conectar a una ip en concreto que me lo diga y se añade a la lista.
Otra dudilla, ¿No cargaría mucho eso la/s máquina/s que tuvieran que comprobar eso para cada "ip no conocida"? No se si tu empresa tendrá muchos empleados, pero en sitios con cientos de trabajadores conectándose a internet y navegando sería un poco chungo ¿no?
slds y gracias por la info
Carga y bastante, pero en cuestiones de seguridad no puedes racanear en HW, por eso tenemos montado un cluster (4 nodos squid + 4 nodos para análisis de la red).
Ventajas: navegan a toda castaña
Desventajas: no pueden hacer todo lo que quieran (aunque tienen mucha libertad, solo se bloquea porno y warez).
Lo de las ips no registradas me sigue pareciendo la… » ver todo el comentario
Lo malo es que te obliga a tener un servidor en tu casa funcionando 24x7, crearte los certificados, tener un cliente portable en el trabajo, etc. y esta solución es mucho más fácil y accesible para cualquiera ¿no crees?
En todo caso, gracias por el comentario