Nethserver Tor

Regresar

En el siguiente artículo vamos a explicar los pasos para garantizar la filtración de los servicios de Internet en Nethserver, en especial para aquellos casos donde es necesario detectar y bloquear el Navegador TOR y derivados.

• En resumen, muchas Empresas utilizan soluciones como Nethserver, pfSense, CheckPoint, Fortinet entre otros, buscando entre otras cosas, legislar el uso del servicio de Internet en su red privada.  Esta situación suele incomodar a algunos usuarios, los cuales al verse afectados en su "Libre Locomoción Digital" buscan soluciones para saltar las políticas establecidas en la organización.  Lamentablemente en su búsqueda de una "Solución Clandestina", se encuentran con tantas aplicaciones que pueden vulnerar el "Sistema Operativo" de sus Estaciones de Trabajo y servir de trampolín a todo tipo de Virus y Malwares.
  ​En el rubro de aplicaciones con esta finalidad, esta el navegador TOR el cual hoy en día es muy cuestionado en especial en temas de seguridad.

---

¿Qué es TOR?

• Wikipedia:  "Tor Browser es un navegador gratuito de código abierto configurado para funcionar en la red Tor, en la que las páginas pasan encriptados por varios servidores antes de salir a Internet", permitiendo la navegación anónima y eludiendo las reglas de filtración de la mayoría de Appliance Web Filter.
  
  
• ​Más información haga clic en el siguiente link:   https://en.wikipedia.org/wiki/Tor_(anonymity_network)

Después de esta breve explicación, vamos a entrar en detalle sobre la configuración de Nethserver y Tor.

---

Reforzar Filtración en Nethserver

Si ha utilizado las guías del 911-ubuntu para configurar Nethserver, vamos a asumir que todo funciona al 100% con la filtración a excepción del navegador TOR, el cual nos evade todo el trabajo hecho en la configuración de "Web Content Filter".

​​Para filtrar el navegador TOR, es necesario efectuar algunos ajustes a nuestra configuración en Nethserver:​

• Por definición el Firewall de Nethserver viene configurado para "Permitir" todo el tráfico de la "Red Privada (Green)" en el enlace de "Internet (Red)", para después aplicar filtros a través de "Web Content Filter".  Esta característica se conoce en otros "Appliances Proxy/Firewall" como "Firewall Half-Open".

• Para reforzar la Filtración en Nethserver, es necesario cambiar esta característica a "Firewall Full-Closed" el cual indica que todo tráfico esta vedado y solo a través de "Reglas" explicitas en "Firewall rule" se permite la navegación.  Esto lo efectuamos de la siguiente forma:

​

Gráfica 001 - Configurar Firewall

Gráfica 002 - Bloquear Tráfico

• NOTA:  Al efectuar este cambio en la configuración del Firewall, Nethserver permitirá únicamente los "Servicios" descritos en "Firewall rules" -> "Network Service".   En caso de experimentar inconvenientes con servicios que estén permitidas en su organización, se sugiere identificar el puerto que utilizan las Aplicaciones y luego habilitarlo en "Firewall Rule".

---

Agregar DPI a Nethserver

El siguiente paso es agregar el módulo DPI "Deep Packet Inspection", que en resumen es un método avanzado de inspección de tramos de paquetes y sus cabeceras, similar a aplicaciones de tipo Sniffers como WireSark.
Más información haga clic en el siguiente link:   https://en.wikipedia.org/wiki/Deep_packet_inspection
​

Gráfica 003 - Agregar Módulo DPI

Gráfica 004 - Revisar protocolos y validar TOR

• PDI, Analiza y guarda registro de diferentes tipos de protocolos como TOR, Teamviewer, Spotify, Apple Music, Dropbox entre otros, permitiendo hacer fácil y preciso la identificación de servicios para su Bloqueo o Habilitación en el FireWall.

---

Agregar Reglas en Firewall para TOR

Después de instalar DPI este comienza a llevar registro de los protocolos utilizados en nuestra red, esto permite a nuestro Firewall utilizar dicha información para bloquear protocolos específicos.

El siguiente paso es crear una "Regla" en "Firewall Rule" utilizando los registros de DPI sobre el protocolo TOR:

Gráfica 005 - Crear nueva Regla en Firewall

Gráfica 006 - Definir Regla para TOR

• Al darle clic en "Service" le aparece una pantalla que le permite seleccionar el "Protocolo".  En la parte superior de dicha pantalla puede seleccionar "Search" para buscar TOR.

Descripción Gráfica 006 - Definir Regla para TOR

• Enable:  Indica que la regla esta habilitado.
• Action:  La acción a tomar si el paquete coincide con los criterios de la regla.
  En este caso se sugiere Aplicar "Drop".
• Source:  Fuente del paquete.
• Destination:  Destino del paquete.
• Service:  Protocolo a filtrar.   En este caso al darle Clic en "Service", abre una nueva pantalla.
  Seleccione "Search" y buscamos el protocolo TOR.
  El nos muestra los protocolos que coinciden con TOR y que tienen un prefijo "-  DPI protocolo".

​NOTA:  Después de agregar la nueva "Regla" en el Firewall no olvide aplicar los cambios.

---

Validar bloqueo de TOR

Hemos finalizado el ajuste a nuestro Nethserver para filtrar la navegación con TOR y derivados, a continuación se recomienda bajar la última versión de este Navegador y probar en modo Avanzado todas sus opciones.
​

Abrimos el Navegador TOR

• Ingresamos en modo avanzado en "Configure"

Indicar que estamos detrás de un ISP filtrado

• Con esta opción activamos la pantalla avanzado.

Tor Bridge Configuration

• La última versión de TOR presenta 5 opciones de Bridge.  Es conveniente probar cada una de las opciones.

Connecting to the Tor Network

• El Navegador TOR no debe de pasar de este punto y devolver un error de conexión.  Esto nos indica que la filtración de TOR se efectuó con éxito.

---

Finalizado Nethserver TOR

---

Regresar

---

---