06 maio 2011

TORPROJECT – Bloquear TOR PROJECT na sua Rede

A rede Tor fornece anonimato, tem grande apoio e goza de grande popularidade. TOR é frequentemente usado para atividades maliciosas como ataques de rede ou SPAM e, portanto, nós demos uma olhada em como quebrar o anonimato.
Uma análise técnica do roteador cebola (também conhecido como TOR), o tráfego é retransmitida impossibilitando para revelar as identidades dos usuários. Além de ser muito usado para BURLAR varias redes com restrição de conteúdo.

Após vasculhar muito a INTERNET, descobri um material do Analista de Segurança Sr. Martin Suess da empresa COMPASS Security Network AG na Suíça.

Ele descreve no seu material, como obter a lista de nós utilizado pelo TOR.

Segui a rotina que ele descrevia no seu artigo. Mais o “MALEDETTO”, continuava a estabelecer uma conexão.

Para corrigir o problema, crie um Shell Script, onde ele passou a colher os IPs dos NÒS do TOR. Após obtida as informações desses nós, o mesmo Shell Script cria as regras para este nós.

Não esquecendo que, foi necessário deixar como default as iniciações de regras de INPUT e FORWARD estejam em DROP.

Segue logo abaixo o Shell Scripts que estou utilizando.

Utilize qualquer editor para gerar o arquivo. E os parâmetros de diretório a fica a gosto do usuário.

#!/bin/bash

# Desenvolvido por José. Carlos Oliveira
# Testado no slackware 9 e 10 e Debian
#
####


wget -q http://tor.noreply.org/tor/status/all
grep -E "^r" all | awk '{print $7}' | sort | uniq > /usr/local/scripts/tor/torip
rm -f all

tempip="/usr/local/scripts/tor/blocked-ips-`date +%d%m%Y`.tmp";
blockip="/usr/local/scripts/tor/blocked-ips-`date +%d%m%Y`";
script="/usr/local/scripts/tor/fir_blocked-`date +%d%m%Y`";
scripts="/usr/local/scripts/tor/limpo_blocked-`date +%d%m%Y`";
# separa todos os ips que tentaram bruteforce utilizando os usuarios guest/teste
#echo -n "Digite o nome do LOG (exemplo: messages):  "
#read

cat -n /usr/local/scripts/tor/torips.txt | awk '{ print $2}' > $tempip;

# faz backup da lista de ips bloqueados
if [ -f $blockip ]; then
   cat $blockip >> $tempip;
fi

# remove ips duplicados
sort -u $tempip | grep -v ^$ | cut -d= -f2 > $blockip;

# gera um script que bloqueia o ip atrav.s do iptables
ips=$(cat $blockip);
#echo "iptables -F INPUT" > $script;
for ip in $ips ; do
    blocked=("iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP");
    blocked2=("iptables -A FORWARD -s $ip -p tcp --dport 80 -j DROP")
    echo $blocked >> $script
    echo $blocked2 >> $script
done


sort -u $script | grep -v ^$ > $scripts
chmod +x $scripts
$scripts

Obs: Como os nós se alteram muito, optei de coloca-los para rodar no CRON uma vez por dia.

Fontes: Compass Security Network AG

Postar um comentário