Limitando o acesso do Tor com ISA 2004/2006
Se você olhar “no anel da cebola”, ou apenas”Tor“, você quis saber provavelmente se fosse sábio obstruir o acesso destes anonymous usuários (ou talvez apenas os nós da saída). Eu não estou indo falar sobre como a rede cifrada do Tor trabalha, porque o info muito pode ser encontrado “para fora lá”. A fonte principal deve ser: www.torproject.org - e talvez WikiPedia.
Como um guy da segurança (ou ISA administrador talvez), você pergunta-se yourself “porque estes povos querem ser anonymous "? Nos meios “anonymous” deste caso que “” não querem alvos no Internet ver o IP address originando (a fonte). Um “alvo” é tipicamente um Web site ou algum outro serviço da correia fotorreceptora.
A resposta? Bem, primeiramente você começou perguntar-se yourself: "quem seja eles"? E lá é realmente nenhuma resposta do bom a essa pergunta que eu suponho - quem sabe realmente? Tudo que nós podemos fazer é supo, assim que me deixa girar ao redor estas perguntas: se eu dever tentar para fora a corte, ou alguns novos façanha, mim fazem-no diretamente sobre meu IP pessoal do WAN? Ou eu tentaria “esconder” meu IP originando? Se você o olhar que as redes do Tor do perspective são GRANDES para esconder para fora - a idéia inteira é que não deve ser possível seguir a comunicação. Que você não sabe pode o ferir, direito? Eu não estou dizendo que todos os usuários do Tor são hackers ou qualquer coisa, porque não são, mas você tem que olhar as probabilidades… Que você pensa? Eu cant a ajuda que penso, aquele se você esconder de alguém que você tem algo (bad) para esconder - mas hey, poderia ser um presente de Christmas, direita?
Em todo o caso - você tem que se decidir - eu quero estes povos alcanço meus Web site e serviços ou não? Eu não estou indo decidir-se em seu interesse - que é a política!
Assim, que podemos nós fazer sobre ele se nós o quisermos para fora? Bem, após a leitura Thomas Shinders A entrada de “computador de Blog HammerOfGod ajusta-se - obstrua e registre por País” Eu comecei uma idéia. Como sobre downloading uma lista de usuários do Tor, a importe em a Jogo do computador (CS) e certifique-se de que o CS é Exceção em você publicou serviços? Os hackers desta maneira para fora lá, atrás dos usuários do Tor, não picam em torno de seus usuários de IIS ou o que quer que você tem.
So, I started a search for Tor lists - the best thing would probably be to create it yourself dynamically - but that would take programming skills that I unfortunately haven’t got. I’m just a scripting kinda guy… The thing is, you would need to have a Tor client installed and from that extract the list once in a while - not possible for me (maybe you can do it easily - please post a "how to" then).
But, then I found a list on Proxy.org - this list it updated regularly - the only thing is, that this list is formatted for easy import on Apache servers, definitely not ISA. But hey, we can change the formatting in a script and then call the "AddComputersToComputerSet.vbs" script from Microsoft… Simple, all we have to do then, is to configure the CS exceptions on our ISA rules, schedule the script and never touch it again!
So, I created a simple script for:
a) Downloading the latest Tor server list from Proxy.org
b) After the download it creates a new file with the correct format (machine_name<tab>IP_address)
c) And then it calls the AddComputersToComputerSet.vbs with the correct parameters
You can download the script here - also download the script from MS (link above) and place them in the same directory. You will need a bit of VBS knowledge to "tweak" the script(s), but I’ve tried to make the code "easy understandable". Now, make sure you can run it from your ISA box (it downloads over HTTP), and then schedule the thing (oh, and remember to remove the Msgbox "Done!" line if you want this as a scheduled task).
If you want it to run from another machine, take a look at the link to the AddComputersToComputerSet I provided above (some changes are needed).
Please report back if you have any bug reports or ideas! It provided "As Is" - after downloading you’re on your own :)
The dynamically created/updated ISA Computer Set:
The ISA Rule/Publishing Exceptions:
What’s missing?
I can think of a lot of things I’d like to add in there - but the idea with this blog entry is to "spread the word" and a Proof of Concept.
Personally I want to add logging of script actions, email alerts if the list is unavailable or some other errors occur. Also, there’s a weakness in case the downloadable list is compromised somehow. Say someone adds Internal/Private/"not-Tor" IPs etc. to the list, it just might give some strange results for your users. So, we have to trust the list is OK secure - but it would be a good idea to put in some sort of validation on what IP addresses are put into this particular CS.
Hope you can use this :)
.
Popularity: 4%
Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on exploit and otherSoftware and scripting and script and Microsoft and Hacking and Security.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
