Tor Proxy's offene ports mit IP Filtern versehen ?.. anstatt ports 80 und 443 ganz offen zu lassen?

Dagalbert · May 24, 2011, 3:28am

Hallo

Wie gesagt, Tor Proxy auf dem offenen port 80 und 443 laufenzulassen funktioniert und ist noch ganz lustig.
Meine Frage ist, kann man denn diese zwei ports mit ip Filtern versehen? so dass dadurch nur die in die Routerfirewall vorprogrammierten ip Adressen oder anders gesagt nur gewisse Internetseiten mit Tor aufgerufen werden koennten?

Habe bisher auf diese weise meinen Router konfiguriert, will aber nicht funktionnieren, ich bitte um Raat da ich jetzt zweifle ob ich auch die IP adressen der Tor server zu den IP filtern dazu kalibrieren muss oder sollte, (und gar keine ahnung hab wo diese Tor IPs zu finden waeren)…

(ich bin auf opensuse 11.4), Mein router erlaubt IP filter in Inbound und Outbound, damit ist’s auch moeglich LAN-LAN; LAN-WAN; WAN-LAN usw… zu droppen

erikro · May 29, 2011, 10:45am

Hallo zusammen,

Dazu ein paar grundsätzliche Bemerkungen wie Proxies und wie TOR funktioniert. Allgemein bieten Proxies deshalb eine höhere Sicherheit, weil sie die Verbindung indirekt mit dem Internet herstellen. Das sieht dann so aus:



Client ---- Proxy ---- Firewall ---- Server

Der Client fragt den normalerweise außerhalb des Computers des anfragenden Clients liegenden Proxy nach der Webseite (oder was auch immer). Der Proxy wertet die Anfrage aus und, so nichts in seiner Konfiguration dagegen spricht, fragt nun seinerseits die Seite beim Server an. Der Server sieht die Anfrage des Proxies und liefert die Seite an den Proxy aus. Erst wenn der Proxy die Seite erhalten hat, leitet er sie an den Client weiter.

Auf Grund dessen, dass der Server nur den Proxy sieht, kann diese Technik zum anonymisierten Surfen (oder was auch immer) genutzt werden. Das sieht dann so aus:



Client mit TOR - Firewall - 1. TOR-Proxy - 2. TOR-Proxy - 3. TOR-Proxy - Server

Da nun der Client nur mit dem ersten TOR-Proxy kommuniziert, wäre es theoretisch denkbar, die Firewall so zu konfigurieren, dass sie auch nur diese Kommunikation zulässt. Das Problem dabei ist nur, dass Du alle zehn Minuten einen neuen Eingangsserver in das TOR-Netz mitgeteilt bekommst. Davon bekommst Du natürlich nichts mit. Du müsstest also alle zehn Minuten den Server ändern.

Die Frage ist nun, was Du erreichen willst. Willst du anonym surfen? Willst Du den Zugriff auf bestimmte Seiten verhindern? Oder willst Du beides? Und warum?

Wenn Du anonym surfen willst, dann reicht Dir TOR und die Firewall konfigurierst Du so, wie im anderen Thread (Wie kann ich meine DNS Abwicklung am sichersten gestalten) besprochen.

Willst Du den Zugang sperren, dann setzt Du einen externen Zwangsproxy ein und lässt einen direkten Zugriff auf das Internet nicht zu. Der Proxy hat hier den großen Vorteil, dass ich nicht nur an Hand der IP sperren, sondern auch Inhalte filtern kann. So kann ich in der Regel schwarze Listen schreiben mit Begriffen, die nicht auf der Seite vorkommen dürfen.

Willst Du beides, dann müsste das so aussehen:



Client - lokaler Proxy - Firewall - TOR-Netz - Server

Ob das so geht, weiß ich allerdings nicht. Aber ich vermute recht stark, dass es auch Proxies gibt, die TOR unterstützen.

hth

Liebe Grüße

Erik

Dagalbert · June 3, 2011, 2:32am

Danke lieber Erikro fuer die ausfuehrliche Auskunft,

jetzt war ich mal bei Zyxel.ch und habe temporaer folgende loesung die etwas lascher aber sicherlich um ein etliches weniger einschraenkend ist wie man eine Router-Firewall fuer TOR so einrichten sollte (glaube ich zumindest zu wissen…?)

Hier ein Ausschnitt aus dem wichtigsten:

die Zywalls haben eine konfigurierbare Default-Regel für jede Richtung. Zunächst solltest Du die Defaultregel für LAN nach WAN auf DROP (heisst evtl. auch DENY) setzen. Damit ist dann erst mal sämtlicher Traffic aus dem LAN ins WAN verboten. Das Logging würde ich für die Defaultregel aktivieren.

Jetzt musst Du ausdrücklich erlauben, was zulässig sein soll.
Für den Proxy also zunächst einmal die Dienste HTTP, HTTPS, ggf. noch FTP und ganz wichtig: DNS für die Namensauflösung. Sollte es sich um eine Windows-Domäne mit Active Directory handeln, ist es wichtig, den PDC-Emulator mit einer externen Zeitquelle zu synchronisieren. Also muss weiterhin das (S)NTP-Protokoll zugelassen werden. Alle diese Dienste müssten bereits vordefiniert sein - wenn nicht, dann selbst definieren.

Da Du nur 10 Benutzer hast, vermute ich, dass Du nur einen DC hast und auch der Proxy auf dieser Maschine läuft. Dann kommen wir mit einer Firewallregel aus:

Direction: LAN-to-WAN
Source-IP-Type=Host
Source-IP=die (feste!) IP-Adresse des Servers
Destination-IP=any
Service=DNS, HTTP, HTTPS, (FTP), (S)NTP
Action=allow bzw. permit
Log=no

Das wars. Wenn jetzt etwas nicht wie erwartet funktioniert, dann ins Firewalllog schauen und bei Bedarf zusätzlich freischalten. Zu beachten ist etwa, dass die Definition HTTP nur TCP-Traffic mit Zielport 80 und HTTPS nur TCP-Traffic mit Zielport 443 zulässt. Wenn also jemand eine Seite ansurfen muss, die nicht auf diesen Standardports liegt, dann heisst es, dies als Service zu definieren und der Regel hinzuzufügen.
Du kannst es Dir natürlich auch ganz einfach machen und vom Server ausgehend alle Dienste zulassen (ANY). Das würde ich jedoch nicht tun - es ist manchmal recht aufschlussreich, was man in seinem Firewalllog so alles findet…

Kleine Zusatzfrage: Mit “Source-IP=IP-Adresse des Servers” meinst du den Proxy und nicht den Domän Kontroller, oder?

Ich hatte vorausgesetzt, dass Proxy und DC die selbe Maschine sind.
Wenns 2 Maschinen sind, benötigst Du 2 Regeln:

a) für den DC
Direction: LAN-to-WAN
Source-IP-Type=Host
Source-IP=die (feste!) IP-Adresse des DCs
Destination-IP=any
Service=DNS, (S)NTP
Action=allow bzw. permit
Log=no

b) für den Proxy
Direction: LAN-to-WAN
Source-IP-Type=Host
Source-IP=die (feste!) IP-Adresse des Proxys
Destination-IP=any
Service=HTTP, HTTPS, (FTP)
Action=allow bzw. permit
Log=no

Hierbei setze ich voraus, dass der interne DNS-Server auf dem DC läuft und dieser die Namensauflösung für externe Adressen machen soll (z.B. per Weiterleitung oder über die root-Server). Und ich setze voraus, dass der Proxy den internen DNS-Server zur Namensauflösung benutzt.
Wenn dem nicht so ist, dann beschreibe bitte Eure Infrastruktur etwas genauer (ggf. per PN).

Dagalbert · June 3, 2011, 2:52am

erikro:

Hallo zusammen,

Willst Du den Zugang sperren, dann setzt Du einen externen Zwangsproxy ein und lässt einen direkten Zugriff auf das Internet nicht zu. Der Proxy hat hier den großen Vorteil, dass ich nicht nur an Hand der IP sperren, sondern auch Inhalte filtern kann. So kann ich in der Regel schwarze Listen schreiben mit Begriffen, die nicht auf der Seite vorkommen dürfen.

Willst Du beides, dann müsste das so aussehen:
Client - lokaler Proxy - Firewall - TOR-Netz - Server
Ob das so geht, weiß ich allerdings nicht. Aber ich vermute recht stark, dass es auch Proxies gibt, die TOR unterstützen.

Ja, nicht wahr ein Zwangsproxy ist so etwas wie Squid-Guard fuer Squid

tut eigentlich Squid auch anonymisieren wenn auch dieser, Webseiten so schnell wie moeglich versucht zu vermitteln ?

Erinnere mich noch drann das es auf Metasploit einen Squid-Exploit gab als Back-Track 4 noch aktuell
war, ist aber auch sicher schon Passé…