Я хочу закрыть доступ к сети Tor на моём ресурсе.
Нам грустно слышать это. Бывают ситуации, когда владельцу ресурса нужно заблокировать доступ анонимных пользователей. Но во многих случаях есть более простые способы решения этой проблемы. Пользователи по-прежнему смогут безопасно входить на ваш сайт.
Сначала спросите себя: можно ли что-то сделать на уровне приложений, чтобы отделить нормальных пользователей от злодеев? Например, сделать некоторые разделы сайта или функции (право оставлять комментарии?) доступными только для зарегистрированных пользователей. Составить актуальный список IP-адресов Tor нетрудно. Вы можете установить ограничения конкретно для этого списка. Так у вас получится многоуровневый контроль доступа. Вам не придется закрывать сайт сразу от множества людей.
Например, в IRC-сети Freenode возникла проблема с тем, что скоординированная группа злоумышленников присоединилась к каналам и незаметно перехватила разговор; но когда Freenode пометили всех пользователей, приходящих с узлов Tor, как «анонимных пользователей», лишив злоумышленников возможности смешиваться, злоумышленники вернулись к использованию своих открытых прокси и бот-сетей.
Подумайте о сотнях тысяч людей, которые используют Tor ежедневно просто ради безопасности своих данных. Например, для защиты от сборщиков информации, рекламных компаний. Есть те, кто использует Tor, потому что это единственный способ преодолеть жесткий местный брандмауэр. Прямо сейчас некоторые пользователи Tor могут связываться с вашим сервисом, не совершая никаких злонамеренных действий. Стоит ли запрещать сеть Tor и терять вклад этих людей? А тех людей, которые могут прийти в будущем? (Владелец сервиса часто не знает, сколько к нему пришло «правильных» пользователей Tor, и даже не замечает их, пока не возникает злодей.)
Есть смысл спросить себя: что делать с пользователями других сервисов, где много людей скрыты за несколькими IP-адресами? В этом смысле Tor не очень-то отличается от AOL.
Наконец, обратите внимание, что узлы Tor могут иметь собственные политики исходящего трафика. Многие узлы Tor вообще не позволяют исходящие соединения. Многие из тех, которые разрешают некоторые исходящие соединения, могут (уже) запрещать подключения к вашему сервису. Если вы намереваетесь блокировать узлы, лучше проверить политики исходящего трафика и блокировать только те узлы, которые позволяют такие подключения. Имейте в виду, что политики могут меняться (как, впрочем, и весь список узлов сети Tor).
Если вы решительно настроены на блокировку, у нас есть список выходных узлов Tor и другой список узлов, основанный на DNS.
(Некоторые системные администраторы блокируют диапазоны IP-адресов. Обычно причиной являются политика безопасности или какой-либо шаблон, соответствующий злоумышленнику. Иногда администраторы разрешают выходные узлы Tor, поскольку хотят обеспечить доступ к своим сервисам только пользователям Tor. Эти скрипты пригодны и для создания «разрешительных списков».)
Блокируем Tor на корпоративном firewall
В связи с тем, что множество пользователей раскусили преимущества «portable Tor Browser», для установки которого не нужны админские права, было решено задавить возможность использования Tor во всех возможных вариантах.
Сразу оговорюсь, что речь пойдёт о связке FreeBSD + pf.
Схема инициализации Tor сервиса проста до безобразия.
Есть несколько корневых серверов на которых регистрируются клиенты. Эти же клиенты скачивают с техже самых серверов список таких же клиентов как и они, и согласно этого списка получают информацию через какого клиента ходить можно или нельзя, а также другую служебную информацию.
обычный URL запроса списка клиентов к корневому серверу выглядит вот так:
Содержимое выдаваемого сервером файла примерно таково:
Начальный кусок страницы содержит служебную информацию о сервере и времени генерации списка. Ниже идут строки идентифицирующие клиентов, а также их характеристики.
Нас будут интересовать строки начинающиеся с буквы «r», ну и естественно IP адрес клиента. Всё остальное в принципе не особенно важно.
Берем wget + awk + grep + sort + uniq и получаем нужный нам список ip адресов.
остаётся добавить несколько строк в pf.conf
table persist file «/etc/pf/tor.list»
block in log quick on < $int_if $ext_if >from any to <tor> label TOR_IN
block out log quick on < $int_if $ext_if >from <tor> to any label TOR_OUT
И скормить измененный конфиг pf.
теперь через tcpdump на интерфейсе pflog можно вычислить человека который пытался пользоваться Tor и сказать «ай яй яй». Скрипт обновления списка Tor клиентов можно запускать сколь угодно часто(в зависимости от предоплаченного Вашей компанией трафика). Обычный размер файла клиентов около 1.5 Мегабайт. Поэтому насколько часто его обновлять решать Вам и только Вам. Я дёргаю файл раз в 10 минут(безлимитный трафик).
Для любителей perl решений есть модуль
search.cpan.org/
ajdixon/Net-Tor-Servers-0.02/lib/Net/Tor/Servers.pm
который в связке с pftabled perl client позволит менять таблицу pf налету не вызывая скрипт синхронизации и перечитывания таблицы Tor клиентов.
Желающие могут привязать таблицу Tor клиентов к другим межсетевым экранам.
Как заблокировать Tor и Opera VPN ?
Возникла необходимость оградить семью от нежелательных сайтов. Я заблокировал на роутере список из 7914 серверов tor командами: iptables -I FORWARD -s ип-адрес-сервера -j DROP Но это помогло лишь поверхностно, так как в тор браузере есть опция для обхода блокировки через мосты.
Opera VPN получается заблокировать только по конкретным адресам:
iptables -I FORWARD -s 49.213.19.115 -j REJECT
но таких адресов у них очень много
Лучше семью от себя огради
Я для этого на всех устройствах линуксы понаставил. Нет маздаю, нет нежелательных сайтов)))
Возникла необходимость оградить семью от нежелательных сайтов.
Семейный DNS от яндекса
Семейный DNS от яндекса настроен, но про Тор и Опера уже все знают.
Продвинутая у тебя семья.
Только через белый список. Иначе обойдут.
Возникла необходимость оградить семью от нежелательных сайтов.
Примеры сайтов в студию!
Никак. Такое только интернет-провайдеры могут себе позволить с железом за сотни нефти.
Ну ты и артист,удали не медленно эти браузеры https://lenta.ru/news/2017/07/30/torvpn/
Фильтрация только по IP-адресам не эффективна, нужен фильтр, который будет анализировать содержимое пакетов, и отшибать трафик tor по fingerprint. Но как уже говорили, это сотни нефти. Хотя мне самому было бы интересно узнать, как собрать аналог на коленке, пусть и с околонулевой пропускной способностью.
Детенышь у друга завайфается и узнает про большие сиськи, что тогда
или покупаешь dpi, или белый список.
если сеть используется чисто для просмотра интернетов, оставь только следующие разрешённые порты: udp 123 и 53, tcp 80 и 443
впн по идее отпадёт. ещё можешь прозрачное проксирование сквидом прикрутить
Детенышь у друга завайфается и узнает про большие сиськи, что тогда
ты не с той стороны проблему решаешь. ты же не роскомнадзор, лучше бы с семьёй поговорил
Товарищ майор не нужно свои проблемы перекладывать на нас, ИТ-шников.
Я заблокировал на роутере список из 7914 серверов tor командами: iptables -I FORWARD -s ип-адрес-сервера -j DROP
Не поможет, договорятся с соседкой и будут к ее вафле подключаться. Или USB-модем купят. Нужны кардинальные меры, миндальничать тут нельзя.
Нужны кардинальные меры, миндальничать тут нельзя.
Да пару лет подождать. До белых списков чуток осталось!
Дяденька, а вы случайно не из Роскомнадзора?
Даже блокировка тор с vpn не спасет твой разум когда домочадцы пронюхают про Deep Web, например всякие там децентрализованные социалочки.
Да, лучше расшарить для домашних свою коллекцию высокоморальнойхудожественной порнухи.
Вместо того, что бы бороться, лучше возглавить.
Очко се лучше заблокируй, недоумок. С таким подходом ожидай в старости оказаться в каком-нибудь грязном приюте для престарелых, и за это ещё благодарить будешь.
Заблокировать можно только на устройстве, но так как на винде нет iptables ты лососнешь тунца и правильно сделаешь. Такие мудаки не должны жить.
Технических мер недостаточно. Они должны дополняться внутрисемейной административной и внутрисемейной уголовной ответственностью
ты хозяин в семье или кто? блочь кулаками.
Он тебя на бутылку посадит.
Лор ещё заблокируй, а то всё что ты сделал будет бесполезным.
Отключи компьютер от сети. Электрической. А домашние пусть смотрят телевизор, там духовность.
Для того, чтобы эта самая информация не выскочила случайно при сёрфинге (когда её не ищут целенаправленно), хватит семейного DNS от яндекса. Но ты не думаешь, что твоё чадо УЖЕ знает эту самую «нежелательную информацию», раз использует такие продвинутые меры её достижения, как Tor-мосты? Ты уже проиграл. Или ты думаешь, что если твоё чадо увидит на одну сиську меньше, то это что-то изменит?
К тому же ты не контролируешь полностью ни общение твоего чада на улице/в школе, ни сети, к которым он может иметь доступ (например, поймать Wi-Fi с макдаке/торговом центре/метро на смартфон, если он у него есть).
О «чаде» речи же не шло. Скорее всего, имеются в виду жены или по крайней мере одна жена.
Возникла необходимость оградить семью от нежелательных сайтов.
Раньше подобное решалось не илюзорными звиздюлями. Не поможет конечно, но частично «заблокирует»
Фильтрация только по IP-адресам не эффективна, нужен фильтр, который будет анализировать содержимое пакетов, и отшибать трафик tor по fingerprint. Но как уже говорили, это сотни нефти. Хотя мне самому было бы интересно узнать, как собрать аналог на коленке, пусть и с околонулевой пропускной способностью.
ну хз, товарищ майор. простой рабоче-крестьянский микротик справляется за более скромные деньги
А от жены то зачем что-то блокировать? Я ещё могу понять беспокойство о ребёнке (потом придётся отвечать на неудобные вопросы о том, что делает мальчик с девочкой на видео, плюс плохие слова, плюс шок-контент, вопрос действительно дискуссионный, как это всё повлияет на ребёнка, хотя лично мне понятно, что одними только репрессиями этот вопрос не решаем из-за неполной контролируемости окружения ребёнка). Но жена уже психологически сформировавшийся организм, который знает и чем люди занимаются в постели, и что иногда могут помирать, и что существуют ругательства. Максимум, что может быть — неприятие некоторых вещей. Например, каких-то особых извращений или расчленёнки. Ну так их можно просто не гуглить специально, раз противно.
А от жены то зачем что-то блокировать?
Насколько я понимаю, для того, чтобы она не позволяла себе слишком многого. Знакомиться со всякими мужчинами, например.
Я правда не видел, чтобы когда-нибудь прибегали к техническим мерам. В подобных семьях, наверное, достаточно просто слов. Или, если таки нет доверия, муж берет и внезапно проверяет компьютер («телефон») жены.
Но мало ли, мы же на ЛОРе все-таки, тут люди образованные.
потом придётся отвечать на неудобные вопросы о том, что делает мальчик с девочкой на видео, плюс плохие слова, плюс шок-контент
Да ну, что за чушь! «Мальчика с девочкой на видео» — это еще сильно постараться надо, священная корова всех цензоров же. О остальное — куда вы все это уберете? Это же Интернет.
Или, если таки нет доверия, муж берет и внезапно проверяет компьютер («телефон») жены.
Кстати с точки зрения технологии проще и удобнее. Есть еще варианты перехвата трафика, но не так удобно парсить по факту.
Проблемы в отношениях техническими мерами не решаются. Кроме варианта запереть жену в подвале и больше никогда не выпускать наружу. Но это не совсем законно в большинстве стран.
Если она хочет знакомиться с другими мужчинами, значит ТС её чем-то не устраивает. А блокировать сайты знакомств — гасить симптомы болезни вместо её причины. Поможет, но временно, а потом будет ещё хуже.
Я именно это и сказал.
Если она хочет знакомиться с другими мужчинами, значит ТС её чем-то не устраивает.
Почему? Может быть, ей просто хочется расширить круг знакомств. Человек, как правило, социален, и женщина (вот удивительно, правда? 😉 — тоже.
гасить симптомы болезни вместо её причины
Напротив, это сугубо *профилактическая* мера. Если она принята вовремя, разумеется.
Два чая этому чаду Юрия Зенкова
Скорее всего, имеются в виду жены или по крайней мере одна жена.
В таком случае имеет смысл проломить ТСу голову чугунной сковородой.
Лучше всего отключением электричества. Или посадкой домочадцев в клетку. Правда не удивляйся, что тогда у тебя будут проблемы.
В таком случае имеет смысл проломить ТСу голову чугунной сковородой.
Месье, зачем вы разжигаете?
Но да, а в каком случае смысла уже (или еще) нет?
Но да, а в каком случае смысла уже (или еще) нет?
Когда ТС не пытается ограничить свободу действий жены.
ХЗ, я в детстве, годам к 5 так очень уверенно, знал весь русский матерный трехэтажный и что он обозначает, спасибо соседу алкоголику, земля ему пухом. Откуда дети берутся тоже знал, разве что некоторых особо извращенных вещей вроде зоофилии и копрофилии не знал, но про гомиков точно знал, как и про садистов с мазохистами. А к первому классу расчлененку так вообще ИРЛ видел, т.к. у меня на улице человека топориком зарубили по пьяне, как раз одного из алкоголиков, которых теперь никого не осталось. Маньяком вроде не вырос, матерюсь очень редко и мало.
И да, в моем детстве у меня не было интернета.
В таком случае имеет смысл проломить ТСу голову чугунной сковородой.
а в каком случае смысла уже (или еще) нет?
Когда ТС не пытается ограничить свободу действий жены.
Но чью-то-то он пытается, не? Почему именно за жену из всех домочадцев он по-вашему заслуживает смерти?
Вы ранее писали, что скорее всего он хочет оградить жену, а не детей. Вот я за жену вам и пишу. На детей похеру они почти как рабы, а жена в полне себе свободный человек.
НЕ ну если он жене запрещает ходить на сайты гэнгбэнг знакомств то в принципе имеет право. Если запрещает ходить на однокласники то делает правильно. Но зачем детям порнуху запрещать я вообще не понимаю если честно.
Да, лучше расшарить для домашних свою коллекцию высокоморальнойхудожественной порнухи.
Судя по молчанию и локации, одноглазников страны огресора от несознательных домочадцев банить собрался.
Что бы пользователи не могли устанавливать расширения в Chrome необходимо сделать следующее: Перейти в папку профиля Chrome: C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default Открыть свойства папки Extensions, выбрать вкладку Безопасность -> Дополнительно. Нажать кнопку Добавить, выбрать Субъект: текущего пользователя и Тип: «Запретить», Применяется к: «Только для этой папки», Сделать что бы галочка стояла только на «Запись». Так мы запрещаем создание в папке с расширениями новых папок и новые расширения пользователям будет невозможно установить. Но в подпапках возможность записи сохранится и уже установленные расширения смогут обновятся. если у вас другой браузер. то гугл в помощь. Для блокировки установки из мобильных устройств поможет приложение Smart AppLock (блокировка). Установите приложение, задайте ПИН-код приложения, и в список запрещенных приложений добавьте Play Market и средство установки пакетов. Ещё одна полезная функция приложения — FAKE-экран блокировки, когда вместо окна для ввода ПИН-кода или графического ключа для заблокированного приложения выдаётся окошко об ошибке. Если у вас IOS и т.д. то вам прямой путь по указанному ранее сценарию. удачи
Блокируем браузер TOR
Есть проблема пользователи пользуются браузером TOR, надо его заблокировать.
Кто знает какие порты он юзает, может адреса первоначальные? или может знает кто сигнатуру пакет чтобы можно было в Layer7 использовать?
У кого какие мысли?
Доброго дня.
Есть проблема пользователи пользуются браузером TOR, надо его заблокировать.
Кто знает какие порты он юзает, может адреса первоначальные? или может знает кто сигнатуру пакет чтобы можно было в Layer7 использовать?
У кого какие мысли?
Спасибо.
Я за TOR-браузер руки ломаю. И Вам советую перенять такой метод, это не вконтактик через прокси…
т.е. сюда вводится IP с которого ходим в интернет и нам выдается весь список пиров или сидов которыми можно пользоваться.
Мне кажется если этот список правильно разложить скриптом , и засунуть в Layer7 может даже что то получиться.
Ссылка на лист с адресами нод тора — https://check.torproject.org/exit-addresses
Тащите, обрабатываете sed-ом\awk и суете в URL Alias.
После, создаете правило fw , где в Dest будет этот алиас.
Скрипт суете в крон и пускай хоть каждые 15 мин отрабатывает.
P.s. Как вариант, установить и настроить пакет ids\ips suricata. В нем есть категория tor.
Лично я использую для этих целей связку pfBlocker и листы с https://www.iblocklist.com/lists.php
Только сегодня наткнулся на эту ссылку в англоязычных ресурсов. Но думал что надо будет делать скрипт который выдирает от туда IP адреса. А тут оказывается есть pfBlocker (про него не знал ни чего). Спасибо за наводку. Сделал , получилось, прям полегчало.
Проблема решена, всем спасибо.
Рано радовался. Оказывается в ТОР если поставить крыжик, что ваш провайдер блокирует сеть, то он начинает как то обходить мой запрет. (скорей всего он начинает идти по своим внутренним адресам).
Рано радовался. Оказывается в ТОР если поставить крыжик, что ваш провайдер блокирует сеть, то он начинает как то обходить мой запрет. (скорей всего он начинает идти по своим внутренним адресам).
У меня в добавок стоит еще запрет на использование левых DNS, а в своем (dnsmasq) прописано«`
address=/torproject.org/192.168.250.127
А доступ к ДНС имеют все машины в сети? Правило, разрешающее обращение вовне на 53-ий порт tcp\udp имеют все?
Я бы разрешил только внутренним днс-серверам.
Squid и squidguard установлены?
И вообще стараюсь использовать именно технологию подмены DNS+transparent Squid, но она слабо помогает если пользователи могут втыкать свои мобильные модемы или менять параметры wifi на компьютерах.
Каким боком тогда пф, если фактически человек «приносит» с собой свой канал в Интернет ?
Что это за контора, в к-ой у пол-лей имеются Админские права на рабочих местах??
И да, если более 20-ти машин в орг-ции — пожалуйте в домен. Для этого даже Win не нужна — zentyal, nethserver или «руками» устанавливайте samba, openldap и т.д.
А доступ к ДНС имеют все машины в сети? Правило, разрешающее обращение вовне на 53-ий порт tcp\udp имеют все?
Я бы разрешил только внутренним днс-серверам.Squid и squidguard установлены?
Я постарался перекрыть все порты кроме нужны 80 443 и еще пару десятков. 53 среди разрешенных нету.
Я запустил сетевой снифер и увидел, что браузер TOR идет по 80му порту, на определенный IP (откуда, я так понимаю качает базу)
На счет Squid и squidguard — у нас более 200 хостов, и сервер не вывозит, инет начинает притормаживать, по этому не использую.
Еще печальная новость, оказывается у Google Chrome и у прочих браузеров есть плагины работающие по принципу TOR сетей. Тот же хром делает запросы через этот плагин к себе, на совой домен.
Хотя знаете , я вот сейчас заблокировал адрес 83.212.101.3 , и он перестал работать. Наверное буду раз в недельку или в месяц проверять на работоспособность браузера TOR.
Сейчас наверное буду с плагинами браузеров разбираться.
Короче со всех сторон обложили. 🙂