Блокируем браузер TOR



  • Доброго дня.

    Есть проблема пользователи пользуются браузером TOR, надо его заблокировать.

    Кто знает какие порты он юзает, может адреса первоначальные? или может знает кто сигнатуру пакет чтобы можно было в Layer7 использовать?

    У кого какие мысли?

    Спасибо.



  • @fil23:

    Доброго дня.

    Есть проблема пользователи пользуются браузером TOR, надо его заблокировать.

    Кто знает какие порты он юзает, может адреса первоначальные? или может знает кто сигнатуру пакет чтобы можно было в Layer7 использовать?

    У кого какие мысли?

    Спасибо.

    Я за TOR-браузер руки ломаю. И Вам советую перенять такой метод, это не вконтактик через прокси…



  • вот нашел вот такую тему https://check.torproject.org/cgi-bin/TorBulkExitList.py

    т.е. сюда вводится IP с которого ходим в интернет и нам выдается весь список пиров или сидов которыми можно пользоваться.

    Мне кажется если этот список правильно разложить скриптом , и засунуть в Layer7 может даже что то получиться.

    М?



  • Ссылка на лист с адресами нод тора - https://check.torproject.org/exit-addresses
    Тащите, обрабатываете sed-ом\awk и суете в URL Alias.

    После, создаете правило fw , где в Dest будет этот алиас.

    Скрипт суете в крон и пускай хоть каждые 15 мин отрабатывает.

    P.s. Как вариант, установить и настроить пакет ids\ips suricata. В нем есть категория tor.

    P.p.s. https://forum.pfsense.org/index.php?topic=55826.0



  • Лично я использую для этих целей связку pfBlocker и листы с https://www.iblocklist.com/lists.php



  • Только сегодня наткнулся на эту ссылку в англоязычных ресурсов. Но думал что надо будет делать скрипт который выдирает от туда IP адреса. А тут оказывается есть pfBlocker (про него не знал ни чего). Спасибо за наводку. Сделал , получилось, прям полегчало.

    На счет https://www.iblocklist.com/lists.php  так я не увидел там ссыль на TOR  , по этому приведу тут http://list.iblocklist.com/?list=tor

    Проблема решена, всем спасибо.



  • Рано радовался. Оказывается в ТОР если поставить крыжик, что ваш провайдер блокирует сеть, то он начинает как то обходить мой запрет. (скорей всего он начинает идти по своим внутренним адресам).



  • @fil23:

    Рано радовался. Оказывается в ТОР если поставить крыжик, что ваш провайдер блокирует сеть, то он начинает как то обходить мой запрет. (скорей всего он начинает идти по своим внутренним адресам).

    У меня в добавок стоит еще запрет на использование левых DNS, а в своем (dnsmasq) прописано```
    address=/torproject.org/192.168.250.127

    И вообще стараюсь использовать именно технологию подмены DNS+transparent Squid, но она слабо помогает если пользователи могут втыкать свои мобильные модемы или менять параметры wifi на компьютерах.
    
    @fil23:
    
    > Только сегодня наткнулся на эту ссылку в англоязычных ресурсов. Но думал что надо будет делать скрипт который выдирает от туда IP адреса. А тут оказывается есть pfBlocker (про него не знал ни чего). Спасибо за наводку. Сделал , получилось, прям полегчало.
    > 
    > На счет [https://www.iblocklist.com/lists.php](https://www.iblocklist.com/lists.php)  так я не увидел там ссыль на TOR  , по этому приведу тут [http://list.iblocklist.com/?list=tor](http://list.iblocklist.com/?list=tor)
    > 
    > Проблема решена, всем спасибо.
    
    Я использовал список [proxy](https://www.iblocklist.com/list?list=xoebmbyexwuiogmbyprb) поскольку ссылки на tor список не замечал.


  • А доступ к ДНС имеют все машины в сети? Правило, разрешающее обращение вовне на 53-ий порт tcp\udp имеют все?
    Я бы разрешил только внутренним днс-серверам.

    Squid и squidguard установлены?



  • 2 PbIXTOP

    И вообще стараюсь использовать именно технологию подмены DNS+transparent Squid, но она слабо помогает если пользователи могут втыкать свои мобильные модемы или менять параметры wifi на компьютерах.

    Каким боком тогда пф, если фактически человек "приносит" с собой свой канал в Интернет ?

    Что это за контора, в к-ой у пол-лей имеются Админские права на рабочих местах??

    И да, если более 20-ти машин в орг-ции - пожалуйте в домен. Для этого даже Win не нужна - zentyal, nethserver или "руками" устанавливайте samba, openldap и т.д.



  • @werter:

    А доступ к ДНС имеют все машины в сети? Правило, разрешающее обращение вовне на 53-ий порт tcp\udp имеют все?
    Я бы разрешил только внутренним днс-серверам.

    Squid и squidguard установлены?

    Я постарался перекрыть все порты кроме нужны 80 443 и еще пару десятков. 53 среди разрешенных нету.
    Я запустил сетевой снифер и увидел, что браузер TOR идет по 80му порту, на определенный IP (откуда, я так понимаю качает базу)
    На счет Squid и squidguard  - у нас более 200 хостов, и сервер не вывозит, инет начинает притормаживать, по этому не использую.

    Еще печальная новость, оказывается у Google Chrome и у прочих браузеров есть плагины работающие по принципу TOR сетей. Тот же хром делает запросы через этот плагин к себе, на совой домен.

    Хотя знаете , я вот сейчас заблокировал адрес  83.212.101.3 , и он перестал работать. Наверное буду раз в недельку или в месяц проверять на работоспособность браузера TOR.
    Сейчас наверное буду с плагинами  браузеров разбираться.
    Короче со всех сторон обложили. :)



  • Остался последний вариант.
    Разрешить явно только то, что можно. Все остальное - будет заблокировано по-умолчанию.


  • Moderator




  • Moderator

    @fil23:

    не расскажете как прикрутить первые два набора правил?

    Use the "html" format :)



  • @BBcan177:

    @fil23:

    не расскажете как прикрутить первые два набора правил?

    Use the "html" format :)

    In pfBlocker or  other application?


  • Moderator

    @fil23:

    @BBcan177:

    @fil23:

    не расскажете как прикрутить первые два набора правил?

    Use the "html" format :)

    In pfBlocker or  other application?

    In the IPv4 Tab, in the Format options dropdown menu select "html". This will use a Regex style parser to find the IPs in each line.



  • @BBcan177:

    In the IPv4 Tab, in the Format options dropdown menu select "html". This will use a Regex style parser to find the IPs in each line.

    Where this tab (IPv4)?


  • Moderator

    @fil23:

    @BBcan177:

    In the IPv4 Tab, in the Format options dropdown menu select "html". This will use a Regex style parser to find the IPs in each line.

    Where this tab (IPv4)?

    I assume you are on pfSense 2.1.x or older. You are probably using the old version of pfBlocker.

    You cannot use those types of Lists, unless you upgrade pfSense to 2.2.x and use the new version pfBlockerNG. The "Lists" tab in the old pfBlocker is now called "IPv4" and added "IPv6" tab also.



  • @BBcan177:

    I assume you are on pfSense 2.1.x or older. You are probably using the old version of pfBlocker.

    You cannot use those types of Lists, unless you upgrade pfSense to 2.2.x and use the new version pfBlockerNG. The "Lists" tab in the old pfBlocker is now called "IPv4" and added "IPv6" tab also.

    Yes, I am using version by 2.1.
    At the weekend I will update.
    Thanks.



  • А кто ни будь борится с meek-google?



  • Все же попробуйте suricata . В ней есть набор правил для ТОРа.
    Только учтите, что система требует времени на настройку и обучение.


Log in to reply