[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [DFRI-listan] DFRI söker kontakt med Tor-operatörer



VI sitter just nu i kontraktsdispyt med leverantör här, kan inte gå in djupare på vad det gäller förrän saken blir lite mindre argumenterat.
Kortfattat kan jag dock säga att om ni ska köra Tor-relän eller Exit-noder _måste_ ni läsa det finstilta noggrant. 
Det finns en stor chans att bli utpressad för att teckna andra sorters kontrakt  ("köp det här dyrare avtalet på tre års tid så försvinner problemet")  om man använder sin bandbredd på det här sättet.

Annars så finns det ett par läxor att ha som de flesta kommer från nivån "sunt förnuft" /netsec.


Frontendbrandvägg bör isolera Tor-noden och relät från inkommande trafik på andra portar. SSH-bruteforce och diverse portscanning/tjänsteprobning blir _mycket_ vanligare på tor-exit relän.

Vi löser det med en "inloggnings-gateway" som man har som admin-terminal, som bara accepterar SSH-nycklar, för att gå från den till andra maskiner på nätverket, samt en brandvägg som isolerar SSH mellan maskiner som inte går genom denna.

Tor (exit)noden bör (måste?) finnas i sitt eget nätverkssegment. Det är enkelt att styra all sin trafik till en viss nod, och sedan portscanna det lokala lanet där. Egen brandväggs-zon som inte gör att den verkar vara på samma nivå som andra maskiner i nätverket.

Samma sak med era IDS (Intrusion Detection System, Snort mfl. ). Ingående trafik till tor, och från tor-relän, kan ses som helt okej, dock spelar exit-policy och IDS dåligt tillsammans.

Om ni tänkte köra tung trafik i era tor-noder ( >10Mbit ) så bör ni investera tiden i att göra benchmarking för att se till så ni inte överbelastar någon form av hårdvara. Tor-trafik tar lång tid på sig att gå upp i hastighet, och bra tester där kommer att rädda er från intressanta och svårdiagnosticerbara problem.

Kör ni tyngre trafik i era noder bör ni se till så att utgående trafik från en tor exit-nod inte filtreras genom er brandvägg. All form av DPI och connection tracking där kan vara rätt tungt för er hårdvara.

Exit policy och Abuse kontakt på er tor-exit-notice är bra att ha.

Se samtidigt till så ni har ett Fax-nummer listat på er abuse och kontakt. Inte en telefon. Många advokatfirmor och internationella organisationer tycker om fax. Fax->Epost tjänster finns och fungerar. Det är också mycket lättare att hantera Fax på "bra tid" än irriterande telefonsamtal.


Kör ni detta som organisation, se till så det finns en klar policy för vem/vilka som ansvarar för att vittja abuse-mailen, och hur man hanterar sådana kontakter.  Att abuse mail går till en oläst maillåda ( som postmaster, root@  mfl.) är inte en bra idé.


Jag tror det var allt här.

//D.S.



2012/8/13 Linus Nordberg <linus@xxxxxxxxxxx>
Hej listan!

Jag skickade just ut ett mejl [1] till de operatörer av Tor-relän som
verkar köra ett relä på en svensk IP-adress och som har sin kontakt-info
satt till något som ser ut som en epost-adress.

Vi hoppas att få kontakt med några fler Tor-operatörer för att samla mer
kunskap om hur det är att driva relän i Sverige. Vi får se om det leder
till något.

Brevet gick ut till 85 adresser. Om ni känner någon som borde fått
mejlet men inte fått det, skicka gärna länken till vederbörande.

[1] https://www.dfri.se/kontakt-tor-operatorer/