Fundacja Panoptykon po raz kolejny narzeka na blokowanie przez ministerstwa IP, na którym mają uruchomiony węzeł Tor (relay-node). Sytuacja skłoniła mnie do wpisu, bo mam wrażenie, że zachodzi grube niezrozumienie tematu. Z obu stron…
Źródło: https://media.torproject.org/image/official-images/2011-tor-logo-flat.svg
Czy warto blokować ruch z sieci Tor?
To zależy. Ruch z sieci Tor pozwala na łatwe uzyskanie stosunkowo wysokiej anonimowości w sieci. Z jednej strony jest to wykorzystywane do anonimowej komunikacji przez zwykłych ludzi, z drugiej jest wykorzystywane do nadużyć i wandalizmu. Ze znanych serwisów wymienionych w FAQ – Wikipedia blokuje edycję artykułów z sieci Tor, podobnie Slashdot. Oczywiście takich serwisów jest o wiele więcej. Po prostu stosunek sygnał/szum jest w przypadku sieci Tor wyjątkowo niski.
Są też inne, poważniejsze powody do blokowania. O ile sieć Tor ma raczej słabą przepustowość i nie nadaje się do ataków wolumetrycznych, to zdecydowanie ułatwia łatwe, anonimowe ataki na aplikację, SQLi itp. Czyli raj dla script kiddies. I dokładnie taki jest oficjalny powód podany przez rzecznika ABW cytowany na Niebezpieczniku.
Jak blokować ruch z sieci Tor?
Autorzy projektu Tor podkreślają, że wezły sieci Tor mają indywidualne polityki, ale.. Patrząc z punktu widzenia administratora serwisu docelowego i ekonomii działania: sieć Tor to jakieś ułamki promila ruchu, w dodatku często ruchu niepożądanego. Jeśli ktoś zdecyduje się już blokować ruch z sieci Tor, to raczej nie będzie bawił się w polityki poszczególnych węzłów, tylko zablokuje wszystkie. Czy to na poszczególnych maszynach, czy to na centralnym firewallu, czy wręcz null-route’ując na routerach ruch kierowany do węzłów Tor (co uniemożliwi komunikację TCP). Ostatnia metoda jest i prosta w implementacji, i prosta w utrzymaniu (centralne miejsce do zarządzania), i wydajna.
Z których węzłów ruch blokować?
Tu jest pies pogrzebany. Fundacja Panoptykon nie prowadzi exit node, czyli nie przekazuje ruchu z sieci Tor do „normalnego internetu”. Niestety, oficjalne narzędzia udostępniane przez projekt Tor IMO nie są zbyt przyjazne administratorom (szczególnie tym, którzy są mniej świadomi zasad działania Tora lub którzy nie mają czasu). Blokowanie wszystkich węzłów Tora widziałem spotkałem, zarówno jako użytkownik końcowy (tak, relay node w domu, ruch z normalnego IP i komunikat o niewpuszczaniu z sieci Tor w serwisie), jak i administrator. Przede wszystkim brakuje oficjalnej listy węzłów wyjściowych łatwej do przetwarzania, czyli zawierającej same IP. Przypominam, że pisałem we wpisie o blokowaniu węzłów Tor, że udostępniam taką listę. Tylko exit nodes, tylko adresy IP.
Podsumowując, obie strony są winne:
Dziwią mnie żale ze strony Panoptykonu, gdy sytuacja jest typowa i opisana w FAQ Tora:
You might also find that your Tor relay’s IP is blocked from accessing some Internet sites/services. This might happen regardless of your exit policy, because some groups don’t seem to know or care that Tor has exit policies. (If you have a spare IP not used for other activities, you might consider running your Tor relay on it.)
Jak widać, projekt Tor zaleca prowadzenie węzłów na oddzielnych IP, nieużywanych do innych usług. Tak, wiem, sekcja dotyczy węzłów wyjściowych, ale idę o zakład, że pomysłodawca/admin w Panoptykonie nie czytał. Poza tym, zdrowy rozsądek zaleca analizę możliwych konsekwencji przed uruchomieniem usługi i stosowanie oddzielnych IP w tym przypadku.
Dziwi mnie też implementacja blokowania Tora na rządowych serwerach, wskazująca na niezrozumienie tematu. Oczywiście nie mam złudzeń co do korzystania przez nich np. z mojej listy (sam bym tego na ich miejscu nie zrobił), ale samodzielna implementacja to nie rocket science… Plus, niezrozumienie tematu może prowadzić do fałszywego poczucia bezpieczeństwa – tak naprawdę nie sposób zablokować 100% ruchu z sieci Tor, przynajmniej nie w oparciu o adresy IP.
Cześć,
> pomysłodawca/admin w Panoptykonie nie czytał. Poza tym, zdrowy rozsądek zaleca analizę możliwych konsekwencji przed uruchomieniem usługi i stosowanie oddzielnych IP w tym przypadku.
Czytałem. O zdrowym rozsądku też słyszałem, ale nie o to tu chodzi. Chodzi o wykrywanie i przeciwdziałanie takiemu blokowaniu.
Jak piszesz „sieć Tor to jakieś ułamki promila ruchu, w dodatku często ruchu niepożądanego” i „stosunek sygnał/szum jest w przypadku sieci Tor wyjątkowo niski”. Zarówno Fundacja Panoptykon jak i ja prywatnie uważamy, że Tor jest wartościowym narzędziem służącym zachowaniu prywatności i anonimowości w sieci. (Zbytnio) uproszczone podejście do zarządzania filtrami, którym wykazało się ministerstwo nigdy nie spowoduje zwiększenia ruchu wartościowego pochodzącego z sieci Tor (zwiększenia SNR).
Jeśli ministerstwa będą blokować cały ruch z Tor-a, to (rzecz jasna) nikt nie będzie na strony ministerstw z Tora wchodził. A jeśli postawienie relaya na własnym serwerze nie będzie możliwe (bo fajnie tam trzymać pocztę) to nikt tego nie będzie robił. Problem, z którym spotkaliśmy się w przypadku fundacji to problem, który mam również ja oraz wielu moich znajomych, którzy mają własne serwery. Moim zdaniem fundacja może być odpowiednim bytem do walczenia o tą sprawę, jeśli żaden z moich znajomych się nie kwapi. Wszak to część jej misji.
To, że „This might happen regardless of your exit policy, because some groups don’t seem to know or care that Tor has exit policies.” też wiemy, a staranie się o rozsądne filtry w ministerstwie jest fragmentem akcji mającej na celu zwrócenie uwagi na problematykę i wypracowanie dobrych rozwiązań oraz edukację.
Dodatkowo (szczegóły w komentach pod tekstem Niebezpiecznika: niebezpiecznik.pl/post/ministerstwo-gospodarki-blokuje-e-maile-od-fundacji-panoptykon-bo-sa-wezlem-tor-a/ ) da się takie filtrowanie zrobić dobrze, rozróżniając ruch pocztowy od nas – Tor nie przekazuje maili, wystarczy odblokować ruch SMTP z IP relaya; lub lepiej, blokować tylko :80 i :443 z exit-nodes; lub lepiej, zabezpieczyć infrę (aktualne CMS-y? WAF?) i nie blokować infry administracji publicznej, do której każda i każdy powinni mieć równy dostęp.
@czesiek Czytałem. O zdrowym rozsądku też słyszałem, ale nie o to tu chodzi. Chodzi o wykrywanie i przeciwdziałanie takiemu blokowaniu.
Czyli co, sugerujesz, że obywatele mają płacić za utrzymanie infrastruktury wytrzymającej dowolny atak, posadźmy też armię urzędników do przeglądania poczty, bo przecież spamu nie można blokować, a RBL to zło? Nawiasem, wykrywanie ograniczania dostępu z sieci Tor jest bardzo nieskuteczne. Proponowałbym po pierwsze stworzenie listy zasobów, do których dostęp chcesz badać, a następnie pobieranie ich przy pomocy skryptu (wygląda na jakiś kwadrans pracy) over Tor oraz z IP służącego za relay node. 😉
Również zgadzam się co do Tora jako wartościowego narzędzia, prowadzę węzły Tora, ale doskonale rozumiem tzw. drugą stronę, czyli utrzymujących usługi. Zgadzam się (i pisałem o tym we wpisie), że blokada relay nodes nie ma sensu. Natomiast blokada exit nodes… no cóż, jak pisałem, to zależy.
Trochę nie rozumiem tej części serwerowej. Bierzesz po prostu osobny IP na Tora i po temacie. Albo osobny serwer. Szczególnie na węzeł wyjściowy, bo autorzy projektu wprost zalecają ustawienie stosownego revDNS, więc bez oddzielnego IP się nie obejdzie. Zresztą, opisywałem nawet postawienie takiego exit node, którego IP nawet sam projekt Tor nie wylistuje. 😉
staranie się o rozsądne filtry w ministerstwie jest fragmentem akcji mającej na celu zwrócenie uwagi na problematykę i wypracowanie dobrych rozwiązań oraz edukację
Wypracowywanie dobrych rozwiązań przez stosowanie niedobrych? Zupełnie nie kupuję takiego podejścia. Jak pisałem w pierwszym akapicie – można zrobić taki monitoring. Ale celowa błędna/naiwna konfiguracja serwera i robienie szumu, że maile nie docierają? No sorry, poczta z niepoprawnie skonfigurowanych (brak SFP, obecność na RBL, złe revDNS itd. itp.) serwerów/domen nie dochodzi, takie są realia.
da się takie filtrowanie zrobić dobrze, rozróżniając ruch pocztowy od nas
I da się, i się nie da, zależy od sposobu realizacji i pożądanego nakładu pracy. Jeśli stosują nullrouting, który jest najwydajniejszy, to się nie da.
nie blokować infry administracji publicznej, do której każda i każdy powinni mieć równy dostęp
Czyli wracamy do akapitu pierwszego. RBLe też złe? A skoro każdy/każda, to może i automatów nie ograniczajmy, bo może Kowalski ma życzenie pytać automatem i odpowiedź mu się należy? A że będzie pytał o 100 takich samych rzeczy, codziennie prosząc o wysłanie na inny adres email (jego prawo, w przypadku dostępu do informacji publicznej), to trudno, więcej urzędników potrzeba, bo „dostęp musi być, odpowiedź musi być”?
każdy poradnik konfigurowania serwera poczty mówi, że musisz sprawdzić reputację adresu ip i domeny i bardzo o nie dbać bo zazwyczaj raz utracona jest trudna do odzyskania. Niestety, tak działa poczta elektroniczna. Do załatwiania spraw urzędowych i takiej komunikacji powinny być inne rozwiązania (osobna platforma z pewnym uwierzytelnieniem obywatela).
Ze swojej strony jestem za pełną transparentnością urzędów i jawnością wszystkich filtrów i rozwiązań technicznych jak również spójnością między urzędami w ich implementacji.
@nbb Osobna platforma z uwierzytelnianiem obywatela nie bardzo wchodzi w grę – obywatel ma prawo dostępu do informacji publicznej także w sposób anonimowy. Polecam lekturę komentarzy pod wpisem Panoptykonu.
Jeśli chodzi o reputację adresu poczty, to w tym przypadku nie ma ona nic do rzeczy – po prostu blokują węzły Tora. Zacytuję odpowiedź z wpisu na Niebezpieczniku: Zgodnie z zaleceniami ABW (CERT-GOV) Ministerstwo Gospodarki blokuje wszystkie adresy należące do sieci TOR bez rozróżniania na exit-node czy relay node.
Zatem jest transparentnie i jawnie. Niewykluczone, że spójnie. Szkoda jedynie, że bez sensu…