Configura Ubuntu, Proxmox, Zabbix & NethServer para entornos de Oficina
Menu

Nethserver Tor

8/7/2017

0 Comments

 
Picture
Regresar
En el siguiente artículo vamos a explicar los pasos para garantizar la filtración de los servicios de Internet en Nethserver, en especial para aquellos casos donde es necesario detectar y bloquear el Navegador TOR y derivados.
  • En resumen, muchas Empresas utilizan soluciones como Nethserver, pfSense, CheckPoint, Fortinet entre otros, buscando entre otras cosas, legislar el uso del servicio de Internet en su red privada.  Esta situación suele incomodar a algunos usuarios, los cuales al verse afectados en su "Libre Locomoción Digital" buscan soluciones para saltar las políticas establecidas en la organización.  Lamentablemente en su búsqueda de una "Solución Clandestina", se encuentran con tantas aplicaciones que pueden vulnerar el "Sistema Operativo" de sus Estaciones de Trabajo y servir de trampolín a todo tipo de Virus y Malwares.
    ​En el rubro de aplicaciones con esta finalidad, esta el navegador TOR el cual hoy en día es muy cuestionado en especial en temas de seguridad.
Picture

¿Qué es TOR?

  • Wikipedia:  "Tor Browser es un navegador gratuito de código abierto configurado para funcionar en la red Tor, en la que las páginas pasan encriptados por varios servidores antes de salir a Internet", permitiendo la navegación anónima y eludiendo las reglas de filtración de la mayoría de Appliance Web Filter.

  • ​Más información haga clic en el siguiente link:   https://en.wikipedia.org/wiki/Tor_(anonymity_network)
Después de esta breve explicación, vamos a entrar en detalle sobre la configuración de Nethserver y Tor.

Reforzar Filtración en Nethserver

Si ha utilizado las guías del 911-ubuntu para configurar Nethserver, vamos a asumir que todo funciona al 100% con la filtración a excepción del navegador TOR, el cual nos evade todo el trabajo hecho en la configuración de "Web Content Filter".

​​Para filtrar el navegador TOR, es necesario efectuar algunos ajustes a nuestra configuración en Nethserver:​
  • Por definición el Firewall de Nethserver viene configurado para "Permitir" todo el tráfico de la "Red Privada (Green)" en el enlace de "Internet (Red)", para después aplicar filtros a través de "Web Content Filter".  Esta característica se conoce en otros "Appliances Proxy/Firewall" como "Firewall Half-Open".
  • Para reforzar la Filtración en Nethserver, es necesario cambiar esta característica a "Firewall Full-Closed" el cual indica que todo tráfico esta vedado y solo a través de "Reglas" explicitas en "Firewall rule" se permite la navegación.  Esto lo efectuamos de la siguiente forma:
​
Gráfica 001 - Configurar Firewall
Picture
Gráfica 002 - Bloquear Tráfico
Picture
  • NOTA:  Al efectuar este cambio en la configuración del Firewall, Nethserver permitirá únicamente los "Servicios" descritos en "Firewall rules" -> "Network Service".   En caso de experimentar inconvenientes con servicios que estén permitidas en su organización, se sugiere identificar el puerto que utilizan las Aplicaciones y luego habilitarlo en "Firewall Rule".

Agregar DPI a Nethserver

El siguiente paso es agregar el módulo DPI "Deep Packet Inspection", que en resumen es un método avanzado de inspección de tramos de paquetes y sus cabeceras, similar a aplicaciones de tipo Sniffers como WireSark.
Más información haga clic en el siguiente link:   https://en.wikipedia.org/wiki/Deep_packet_inspection
​
Gráfica 003 - Agregar Módulo DPI
Picture
Gráfica 004 - Revisar protocolos y validar TOR
Picture
  • PDI, Analiza y guarda registro de diferentes tipos de protocolos como TOR, Teamviewer, Spotify, Apple Music, Dropbox entre otros, permitiendo hacer fácil y preciso la identificación de servicios para su Bloqueo o Habilitación en el FireWall.

Agregar Reglas en Firewall para TOR

Después de instalar DPI este comienza a llevar registro de los protocolos utilizados en nuestra red, esto permite a nuestro Firewall utilizar dicha información para bloquear protocolos específicos.

El siguiente paso es crear una "Regla" en "Firewall Rule" utilizando los registros de DPI sobre el protocolo TOR:
Gráfica 005 - Crear nueva Regla en Firewall
Picture
Gráfica 006 - Definir Regla para TOR
  • Al darle clic en "Service" le aparece una pantalla que le permite seleccionar el "Protocolo".  En la parte superior de dicha pantalla puede seleccionar "Search" para buscar TOR.
Picture
Descripción Gráfica 006 - Definir Regla para TOR
  • Enable:  Indica que la regla esta habilitado.
  • Action:  La acción a tomar si el paquete coincide con los criterios de la regla.
    En este caso se sugiere Aplicar "Drop".
  • Source:  Fuente del paquete.
  • Destination:  Destino del paquete.
  • Service:  Protocolo a filtrar.   En este caso al darle Clic en "Service", abre una nueva pantalla.
    Seleccione "Search" y buscamos el protocolo TOR.
    El nos muestra los protocolos que coinciden con TOR y que tienen un prefijo "-  DPI protocolo".

​NOTA:  Después de agregar la nueva "Regla" en el Firewall no olvide aplicar los cambios.
Picture

Validar bloqueo de TOR

Hemos finalizado el ajuste a nuestro Nethserver para filtrar la navegación con TOR y derivados, a continuación se recomienda bajar la última versión de este Navegador y probar en modo Avanzado todas sus opciones.
​
Abrimos el Navegador TOR
  • Ingresamos en modo avanzado en "Configure"
Picture
Indicar que estamos detrás de un ISP filtrado
  • Con esta opción activamos la pantalla avanzado.
Picture
Tor Bridge Configuration
  • La última versión de TOR presenta 5 opciones de Bridge.  Es conveniente probar cada una de las opciones.
Picture
Connecting to the Tor Network
  • El Navegador TOR no debe de pasar de este punto y devolver un error de conexión.  Esto nos indica que la filtración de TOR se efectuó con éxito.
Picture
Finalizado Nethserver TOR
Regresar
Picture
0 Comments



Leave a Reply.
    Editor:
    Juan Estuardo Hernandez
    Consultor Software Libre,
    Organización y Métodos.
    Acumular información es sólo el primer paso hacia la sabiduría. Pero compartir información es el primer paso hacia la comunidad.
    Henry Louis Gates, Jr.
    Condiciones de uso:

    El contenido del website 911-ubuntu y este artículo en particular, es “Libre” y puede ser consultado por quien lo desee.

    Por favor “No haga copias de nuestros artículos”.   Si desea compartirlo puede referir nuestras publicaciones como un enlace (Link), así las personas interesadas obtendrá nuestras últimas actualizaciones.

    Como todo en la vida, nada es perfecto, así que si observas algún error o  desea mejorar el contenido de estos artículos, puede enviarnos un mensaje el cual será bienvenido.  (Formulario al pie de página).


    Gracias por continuar consultando 911-Ubuntu para Entorno de Oficina y Redes Corporativas.    ​​​

Creative Commons License
This work is licensed under a Creative Commons Attribution-NoDerivatives 4.0 International License
Powered by Create your own unique website with customizable templates.
  • Principal
  • Ubuntu Oficina
  • Servidores
    • nethserver
    • Proxmox
    • Zabbix
    • fengoffice
    • ubuntu-server >
      • Control remoto
  • Links
  • Principal
  • Ubuntu Oficina
  • Servidores
    • nethserver
    • Proxmox
    • Zabbix
    • fengoffice
    • ubuntu-server >
      • Control remoto
  • Links