Bloquer les connexion vers un réseaux TOR : Différence entre versions

De WIKI Les fourmis du libre
Aller à : navigation, rechercher
(Page créée avec « Je travail dans un lycée, autan dire que je doit empêcher mes lycéen et mes collégien de surfer sur des site non pédagogique… Depuis un certain temps maintenant... »)
 
 
Ligne 1 : Ligne 1 :
 +
=Présentation=
 
Je travail dans un lycée, autan dire que je doit empêcher mes lycéen  et mes collégien de surfer  sur des site non pédagogique…
 
Je travail dans un lycée, autan dire que je doit empêcher mes lycéen  et mes collégien de surfer  sur des site non pédagogique…
  
Ligne 8 : Ligne 9 :
 
La première sécurité est donc d’empêché les clients de sortir sur directement sur internet et de mettre en place un proxy. Les client ne pourrons donc pas sortir sur internet sans passer par lui. Seul le proxy sera autorisé à sortir sur internet. TOR va donc scanner et jamais trouver de « porte de sortie »
 
La première sécurité est donc d’empêché les clients de sortir sur directement sur internet et de mettre en place un proxy. Les client ne pourrons donc pas sortir sur internet sans passer par lui. Seul le proxy sera autorisé à sortir sur internet. TOR va donc scanner et jamais trouver de « porte de sortie »
  
Mais TOR (si elle bien configurer) peut aussi passer par un proxy pour contacter directement des « ip tor ». Son principe de fonctionnement est le suivant:
+
=Bloquer de réseaux TOR=
Tor contact une adresse ip par le proxy et ne ferme pas la connexion, il l’a laisse ouverte et fait transiter la navigation TOR sur ce « tunelle » ouvert.
+
  
La solution est donc de bloquer avec squid (ou autre) les connexions vers ses ip.
+
==Bloquer les ip tor connue==
  
Par chance, ce site https://www.dan.me.uk/torlist/  liste la plupart des adresse ip tor disponible sur le net.
+
Bloquer les ip du réseau TOR sur notre réseau avec squid3.
  
On stock donc toute les ip dans un fichier exemple : /etc/squid3/iptor
+
Le premier essaie est concluant:
  
On rajoute dans notre /etc/squid3/squid.conf  l’acl suivante:
+
On récupère la liste des ip tor via ce lien :
acl tor dst « /etc/squid3/torlist »
+
[https://www.dan.me.uk/torlist/ https://www.dan.me.uk/torlist/]
  
Puis dans le même fichier http_access:
+
On les stock dans un fichier  
http_access deny tor
+
  
Après un petit redémarrage du service squid3, vous pourrez essayer.
+
    /etc/squid3/iptor
  
Vous constaterez que tout les essaies de tor sont denied dans /var/log/squid3/acces.log
+
On créer notre acl dans :
  
On est en train de faire une crontab qui se lancera toute les nuit et fera un auto-update de /etc/squid3/iptor a partir du site, je vous la partage une fois faite.
+
  /etc/squid3/squid.conf:
 +
 
 +
et on ajoute l'acl avec le http_acces qui va avec :
 +
 +
    acl tor dst "/etc/squid3/torlist"
 +
    http_access deny tor
 +
 
 +
 
 +
Très efficace, par contre tor essaiera aussi de passer par des port de
 +
votre firewall aussi, il faut donc tout bloquer bien et laisser sortir sur internet uniquement le serveur proxy:
 +
 
 +
[[Image:proxy.gif|proxysortie]]
 +
 
 +
==Bloquer le surf ip==
 +
 
 +
Cela signifie que l'utilisateur ne pourra pas surfer en tapant directement d'adresse ip : [http://92.222.29.147 http://92.222.29.147] par exemple
 +
 
 +
Attention cela peut entraîner d'autre soucis
 +
 
 +
===Dans SQUIDGARD===
 +
 
 +
Sous squidguard il vous suffit il vous suffit de rajouter !in-addr a votre acl,  comme ceci :
 +
Dans le fichier :
 +
 
 +
  /etc/squidguard/squidguard.conf
 +
 
 +
    profs {
 +
                pass !in-addr !autresitebloquer all
 +
                redirect http://172.21.254.254/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientident=%i+srcclass=%s+targetclass=%t+url=%u
 +
    }
 +
 
 +
===Dans DANSGUARDIAN===
 +
 
 +
Dans le fichier :
 +
 
 +
  /etc/dansguardian/lists/bannedsitelist
 +
 
 +
 
 +
Dé-commenter les ligne comme ceci:
 +
 
 +
 
 +
  #Blanket IP Block.  To block all sites specified only as an IP,
 +
  #remove the # from the next line to leave only a '*ip':
 +
  *ip
 +
 
 +
  #Blanket SSL/CONNECT IP Block.  To block all SSL and CONNECT
 +
  #tunnels to sites specified only as an IP,
 +
  #remove the # from the next line to leave only a '*ips':
 +
  *ips
 +
 
 +
Pour bloquer la liste des ip du réseau tor (comme expliquer plus haut) vous pouvez également la faire avec dansguardian a ajoutant comme ceci toujours dans le fichier :
 +
 
 +
  /etc/dansguardian/lists/bannedsitelist
 +
 
 +
    # Bloc IP TOR
 +
  .Include</etc/squid3/torlist>

Version actuelle en date du 30 janvier 2015 à 12:45

Présentation

Je travail dans un lycée, autan dire que je doit empêcher mes lycéen et mes collégien de surfer sur des site non pédagogique…

Depuis un certain temps maintenant est arrivé « tor browser » Principe de fonctionnement du soft: Pas besoin d’être administrateur de la machine pour le lancer. Au démarrage, TOR va vous demander si votre proxy est équiper d’un proxy. Si vous cochez non, il va essayer de contacter des « ip tor » à travers la passerelle configuré sur votre ordinateur et va scanner tout les ports qui peuvent potentiellement sortir sur internet.

La première sécurité est donc d’empêché les clients de sortir sur directement sur internet et de mettre en place un proxy. Les client ne pourrons donc pas sortir sur internet sans passer par lui. Seul le proxy sera autorisé à sortir sur internet. TOR va donc scanner et jamais trouver de « porte de sortie »

Bloquer de réseaux TOR

Bloquer les ip tor connue

Bloquer les ip du réseau TOR sur notre réseau avec squid3.

Le premier essaie est concluant:

On récupère la liste des ip tor via ce lien : https://www.dan.me.uk/torlist/

On les stock dans un fichier

   /etc/squid3/iptor

On créer notre acl dans :

  /etc/squid3/squid.conf:

et on ajoute l'acl avec le http_acces qui va avec :

   acl tor dst "/etc/squid3/torlist"
   http_access deny tor


Très efficace, par contre tor essaiera aussi de passer par des port de votre firewall aussi, il faut donc tout bloquer bien et laisser sortir sur internet uniquement le serveur proxy:

proxysortie

Bloquer le surf ip

Cela signifie que l'utilisateur ne pourra pas surfer en tapant directement d'adresse ip : http://92.222.29.147 par exemple

Attention cela peut entraîner d'autre soucis

Dans SQUIDGARD

Sous squidguard il vous suffit il vous suffit de rajouter !in-addr a votre acl, comme ceci : Dans le fichier :

  /etc/squidguard/squidguard.conf
   profs {
               pass !in-addr !autresitebloquer all
               redirect http://172.21.254.254/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientident=%i+srcclass=%s+targetclass=%t+url=%u
   }

Dans DANSGUARDIAN

Dans le fichier :

  /etc/dansguardian/lists/bannedsitelist


Dé-commenter les ligne comme ceci:


  #Blanket IP Block.  To block all sites specified only as an IP,
  #remove the # from the next line to leave only a '*ip':
  *ip
  #Blanket SSL/CONNECT IP Block.  To block all SSL and CONNECT
  #tunnels to sites specified only as an IP,
  #remove the # from the next line to leave only a '*ips':
  *ips

Pour bloquer la liste des ip du réseau tor (comme expliquer plus haut) vous pouvez également la faire avec dansguardian a ajoutant comme ceci toujours dans le fichier :

  /etc/dansguardian/lists/bannedsitelist
   # Bloc IP TOR
  .Include</etc/squid3/torlist>