.. Wiki Lesfourmisduweb documentation master file, created by sphinx-quickstart on Thu Apr 25 13:32:03 2019. You can adapt this file completely to your liking, but it should at least contain the root `toctree` directive. .. Reminder for header structure : Niveau 1 : ==================== Niveau 2 : -------------------- Niveau 3 : ++++++++++++++++++++ Niveau 4 : """""""""""""""""""" Niveau 5 : ^^^^^^^^^^^^^^^^^^^^ Bloquer le réseaux TOR ============================ Je travail dans un lycée, autan dire que je doit empêcher mes lycéen et mes collégien de surfer sur des site non pédagogique… Depuis un certain temps maintenant est arrivé « tor browser » Principe de fonctionnement du soft: Pas besoin d’être administrateur de la machine pour le lancer. Au démarrage, TOR va vous demander si votre proxy est équiper d’un proxy. Si vous cochez non, il va essayer de contacter des « ip tor » à travers la passerelle configuré sur votre ordinateur et va scanner tout les ports qui peuvent potentiellement sortir sur internet. La première sécurité est donc d’empêché les clients de sortir sur directement sur internet et de mettre en place un proxy. Les client ne pourrons donc pas sortir sur internet sans passer par lui. Seul le proxy sera autorisé à sortir sur internet. TOR va donc scanner et jamais trouver de « porte de sortie » Bloquer les ip tor connue -------------------------------------------- Bloquer les ip du réseau TOR sur notre réseau avec squid3. Le premier essaie est concluant: On récupère la liste des ip tor via ce lien : https://www.dan.me.uk/torlist/ On les stock dans un fichier :file:`/etc/squid3/iptor` On créer notre acl dans :file:`/etc/squid3/squid.conf`: et on ajoute l'acl avec le http_acces qui va avec : .. code-block:: bash acl tor dst "/etc/squid3/torlist" http_access deny tor Très efficace, par contre tor essaiera aussi de passer par des port de votre firewall aussi, il faut donc tout bloquer bien et laisser sortir sur internet uniquement le serveur proxy Bloquer le surf ip -------------------------------------------- Cela signifie que l'utilisateur ne pourra pas surfer en tapant directement d'adresse ip : http://92.222.29.147 par exemple Attention cela peut entraîner d'autre soucis Dans SQUIDGARD """"""""""""""""""""""""""" Sous squidguard il vous suffit il vous suffit de rajouter !in-addr a votre acl, comme ceci : Dans le fichier :file:`/etc/squidguard/squidguard.conf` .. code-block:: bash profs { pass !in-addr !autresitebloquer all redirect http://172.21.254.254/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientident=%i+srcclass=%s+targetclass=%t+url=%u } Dans DANSGUARDIAN """"""""""""""""""""""""" Dans le fichier :file:`/etc/dansguardian/lists/bannedsitelist` Dé-commenter les ligne comme ceci: .. code-block:: bash #Blanket IP Block. To block all sites specified only as an IP, #remove the # from the next line to leave only a '*ip': *ip #Blanket SSL/CONNECT IP Block. To block all SSL and CONNECT #tunnels to sites specified only as an IP, #remove the # from the next line to leave only a '*ips': *ips Pour bloquer la liste des ip du réseau tor (comme expliquer plus haut) vous pouvez également la faire avec dansguardian a ajoutant comme ceci toujours dans le fichier :file:`/etc/dansguardian/lists/bannedsitelist` .. code-block:: bash # Bloc IP TOR .Include