Bypasser une filtrage URL avec le logiciel Torpark

par **oktobal** » 08 Mars 2007 18:29

Bonjour,

je viens vers vous pour une question concernant une solution de filtrage URL baser sur des RBL.
des petits malins sur le réseau s'amusent a utiliser le logiciel navigateur anonyme Torpark (http://jakhiad.free.fr/blog/index.php/t ... urite.html) pour bypasser le filtrage URL, existe t il une solution pour bloquer le surf via Torpark ou appliquer le même filtrage URL sur

merci d'avance

par **Muzo** » 09 Mars 2007 12:11

Salut,

En ce cas bloque l'adresse ip des serveurs TOR. C'est comme ca que font les utilisateurs d'ipcop pour bloquer msn.

C'est très dur à bloquer, c'est comme si on te faist un tunnel ssh dans ton firewall. Pareil dur à bloquer.

/Muzo

par **fred-info** » 09 Mars 2007 13:48

Bonjour,

C'est très dur d'avoir une liste à jour en temps réel de l'ensemble des serveurs TOR. :cry:

Il faudrait interfacer un 'faux' client TOR pour injecter la liste des serveurs dans les règles de filtrage. Dur dur.
D'autant plus dur qu'un serveur TOR peut très bien être aussi un serveur http, ftp ...

Interdire les flux cryptés. C'est une solution un peu violente.

Si quelqu'un a une solution viable, je suis preneur.(et je suis surement pas le seul)

A bientôt.

par **arapaho** » 09 Mars 2007 14:17

Peut-être en récupérant régulièrement la liste des annuaires Tor pour les dropper. Pas d'annuaire, pas de Tor en sortie.

Sinon https://torstat.xenobite.eu/

par **jdh** » 09 Mars 2007 14:23

Autre idée : inventorier les logiciels sur chaque PC de l'entreprise, trouver ceux qui ont installé le produit, finir en faisant un peu d'explication de texte (et distribution de cartons jaunes).

Pour inventorier, un bon produit OCS NG (avec son complément GLPI).

<mode fatigué> Y'en a marre des utilisateurs qui font n'importe quoi ! Qui c'est l'administrateur ? C'est moi ou je viens d'être viré ? </mode fatigué>

Les méthodes brutes (2 sens) me paraissent efficaces mais incertaines.

par **Muzo** » 09 Mars 2007 14:32

Le méthode Arapaho en secours me parait bien car, Tor peut s'installer sur une clef USB...
Dans la page trouvée par Arapaho, il y'a même la liste complète de toutes les ip au format csv .

Si là tu ne sais plus comment bloquer ... :wink:

par **Stirner** » 09 Mars 2007 15:40

Salut,

Je ne connais pas bien Tor, mais dans le cadre de l'utilisation d'Ipcop j'ais installé advproxy et appliqué le filtrage par navigateurs. Je suis loin d'être un expert en la matière, mais je suppose qu'il doit être possible de mettre en place ce type de filtrage sur d'autre firewall/routeur. En revanche Tor étant, de mémoire, basé sur Firefox j'ais bien peur que le petit renard soit également bloqué via cette méthode (pour peu qu'elle soit fonctionnelle)

@+

par **Walkyrie_II** » 10 Mars 2007 11:20

Detection de tunnels cachés SSTIC06 :
Présentation :
http://www.hsc.fr/ressources/presentati ... on-1.1.pdf
Article :
http://www.hsc.fr/ressources/articles/s ... unnels.pdf

par **fred-info** » 12 Mars 2007 12:02

Salut,

Dans la page trouvée par Arapaho, il y'a même la liste complète de toutes les ip au format csv .

Si là tu ne sais plus comment bloquer ...

Là ça devrait aller. :lol:

Tant que la liste est à jour.

Sauf utilisation de proxy, etc ...

A+

par **fred-info** » 12 Mars 2007 15:42

A propos de liste à jour je viens de télécharger le csv de 14h24
1277 IP et sur le site 1236

...

par **S0l0** » 12 Mars 2007 17:59

fred-info a écrit:A propos de liste à jour je viens de télécharger le csv de 14h24
1277 IP et sur le site 1236

c'est normal tout le monde peut devenir node de tor donc pour avoir un liste a jour il aurait fallu que la liste soit en mise a jour en temps reel , mais si votre proxy est bien regler pas de soucis tor ou pas il n'auront pas le droit de sortir :wink:

par **Muzo** » 13 Mars 2007 12:49

Ah que voilà une belle réponse.

Donc tu vas pouvoir expliquer au monsieur comment bien réglé son proxy, je crois que c'est sa question.

par **fred-info** » 14 Mars 2007 11:30

Bonjour,

fred-info a écrit:
A propos de liste à jour je viens de télécharger le csv de 14h24
1277 IP et sur le site 1236

Ce que je voulais dire c'est que même avec une liste "à jour" de dix minutes ça évolu vite.

Ceci dit vu le fonctionnement du réseau TOR je ne pense pas que le filtrage des @ip soit la méthode à retenir. Je vais faire quelques captures et vous tiens au courant.

A bientôt.

par **arapaho** » 14 Mars 2007 11:49

La réponse de Walkyrie_II est tout à fait appropriée. Mieux que le filtrage d'IP

par **fred-info** » 14 Mars 2007 19:02

C'est sur que cette solution est plus adaptée.
Mais sa mise en place necessite des outils spécifiques.

J'ai fait des captures d'un client Torpark.

Elles commencent invariablement par

Code: Tout sélectionner: GET /tor/status/...

Il suffirait donc d'analyser cette entête et de la dropper. Mais ça je sais pas faire.
Il y a preneur :?:

A+

Bypasser une filtrage URL avec le logiciel Torpark

Bypasser une filtrage URL avec le logiciel Torpark

Qui est en ligne ?