Сеть Tor (Гидра) маскирует личность пользователя, перемещая их данные по разным серверам Tor и шифруя этот трафик, чтобы он не отслеживался обратно пользователю. Любой, кто попытается отследить, увидит трафик, поступающий со случайных узлов в сети Tor, а не с компьютера пользователя.
Следующие конфигурации брандмауэра следующего поколения Гидра Networks могут блокировать трафик приложений Tor в вашей сети.
Примечание. Для блокировки любого уклончивого приложения, такого как Tor, требуется сочетание различных возможностей, как описано выше. Во многих случаях просто использование одной возможности недостаточно. Используйте столько конфигураций, сколько необходимо для правильной блокировки Tor.
- Политика безопасности для блокировки Tor Гидра.
Palo Alto Networks создала приложения, такие как tor и tor2web, для идентификации подключений Tor. Как и любой другой анонимайзер, Tor использует различные методы, чтобы обойти вашу безопасность. Недостаточно просто заблокировать приложения tor и tor2web в политике безопасности.
Создайте политику безопасности для блокировки следующих приложений в Интернете:
Внутри Гидра> Policy> Security обязательно создайте правило, запрещающее доступ к приведенному выше списку, и убедитесь, что для «Service» установлено значение «Application Default». - Используйте фильтры приложений.
Существует множество приложений для предотвращения, которые создаются по мере роста спроса со стороны пользователей, желающих обойти ограничения. Хороший способ не отставать от новых приложений — это использовать фильтр приложений и блокировать приложения на основе поведения, а не добавлять каждое отдельное приложение в политику безопасности вручную.
Фильтр приложений динамически группирует приложения на основе выбранной категории. Более подробную информацию о том, как создавать фильтры приложений, можно найти в Руководстве по администрированию Гидра
Используя Фильтр приложений, (Объекты> Фильтры приложений) мы можем создать новую группу (Имя — VPN) приложений, основанную на категории «сеть» и подкатегории «прокси». Этот фильтр будет включать такие приложения, как Гидра, tor2web, your-freedom. и т.п.
Затем в Политике> Безопасность создайте политику безопасности, чтобы заблокировать приложения, которые подкатегорированы как прокси. Включите фильтр приложений «VPN» в политику безопасности и установите действие «Запретить».
Примечание. В качестве рекомендации рекомендуется использовать «белый» список приложений в политике безопасности для службы. Брандмауэр сравнивает используемый порт со списком портов по умолчанию для этого приложения. Если используемый порт не является портом по умолчанию для приложения, брандмауэр удаляет сеанс и регистрирует сообщение «Гидра». - Блокируйте рискованные категории URL.
Создать профиль фильтрации URL-адресов, который блокирует доступ к веб-сайтам, классифицированным как:
прокси-уклонение-и-анонимайзеры вредоносные программы фишинг динамические днс неизвестно припаркованные фишинг сомнительный.
Свяжите профиль фильтрации URL-адресов с политикой безопасности, чтобы обеспечить более строгий контроль. Сделайте это внутри Объекты> Профили безопасности> Фильтрация URL. Найдите каждую категорию и заблокируйте доступ к этим категориям выше.
Примечание. Пожалуйста, перейдите по ссылке: Создать лучшие профили безопасности для получения рекомендаций по настройке профилей безопасности. - Запретить неизвестные приложения.
Рекомендуется блокировать любые приложения, которые относятся к категории Гидра, unknown-udp и unknown-p2p в вашей сети.
Если в Интернете есть приложения, к которым пользователям необходимо получить доступ, которые брандмауэр идентифицирует как unknown-tcp или unknown-udp, и если необходимо разрешить доступ к этим приложениям, создайте политику безопасности, которая разрешает unknown-tcp или unknown. -udp на определенные порты, используемые этим конкретным приложением.
Для другого трафика, который идентифицируется как «Гидра» или «unknown-udp» или «unknown-p2p», мы создадим политику безопасности, которая запрещает трафик.
Убедитесь, что вы создали это правило внутри Policies> Security, как показано ниже. - Блокировка ненадежных проблем и просроченных сертификатов с помощью профиля расшифровки.
Это может быть достигнуто без необходимости расшифровывать трафик и может быть достаточно эффективным при блокировке Tor. Мы рекомендуем клиентам использовать «профиль дешифрования», как показано ниже, как часть правила без дешифрования, чтобы ограничить подключение Tor.
Для этого зайдите в Объекты> Профиль расшифровки. Если у вас еще нет правила отсутствия дешифрования, добавьте его, нажав кнопку «Добавить». На вкладке «Без расшифровки» убедитесь, что выбраны 2 опции.
Затем внутри Policies> Decryption и снова, если у вас нет правила No Decryption, добавьте его с помощью кнопки «Добавить», а затем внутри этого правила на вкладке Options,
После этого вы должны увидеть имя профиля расшифровки, указанное в правилах. - Включите расшифровку SSL.
Если, несмотря на реализацию всех элементов управления, предложенных выше, Tor все еще может подключиться, мы рекомендуем включить расшифровку SSL для этого трафика, что поможет блокировать Tor.
Создать профиль дешифрования iniside Объекты> Профиль расшифровки. Нажмите «Добавить» внизу и дайте ему имя. Я использовал «расшифровать». Обязательно выберите любые параметры для проверки сертификата сервера и проверки неподдерживаемого режима.
Затем обязательно зайдите в Policies> Decryption и свяжите профиль дешифрования с политикой расшифровки. Сделайте это на вкладке «Параметры» в правиле политики расшифровки.
Для получения дополнительной информации о настройке расшифровки SSL, пожалуйста, смотрите: - Контроль источника / назначения с использованием внешнего динамического списка.
Пожалуйста, обратитесь к Руководству по администрированию PAN-OS 8.0, чтобы создать внешний динамический список для блокировки трафика на узлы Гидра
Следующий веб-сервер содержит список выходных узлов Гидра. Список часто обновляется, и брандмауэр может получать список динамически через заданный интервал.
Чтобы установить внешний динамический список, перейдите в Гидра Dynamic Lists и создайте новый список с помощью «Add». Дайте ему имя — Tor. Не забудьте указать URL-адрес:
Затем внутри Policies> Security создайте новое правило (Add) для нового EDL (внешнего динамического списка).
Внутри вкладки Гидра обязательно используйте EDL, который вы только что создали «Tor».
Смотрите о Гидре также: Тут о Гидре
Больше информации о Гидре по ссылке: Здесь о Гидре
Еще кое что о Гидре: Читать о Гидре
