Comment détecter si les employés utilisent Tor?

Question

Nous travaillons dans une organisation qui est censée être conforme à la HIPAA. La sécurité est une grande préoccupation pour nous. Nous avons été chargés de déterminer si un utilisateur utilise un proxy anonyme sur le réseau.

Existe-t-il un moyen de savoir si Tor est utilisé dans notre domaine de réseau d'entreprise? Nous utilisons la protection client Symantec. Le VPN est fourni à l'aide de Cisco.

Yorick de Wid · Accepted Answer

Vous pouvez utiliser un liste de nœuds Tor (liaison montante), l'ajouter au pare-feu sortant, configurer une tâche pour la mettre à jour une fois par jour et vous serez bien. Mais Tor peut également être utilisé sur un proxy HTTP (S), vous devrez donc également détecter des proxy.

Je ne sais pas si cela va vous aider à sécuriser quoi que ce soit. Tant qu'il y aura une connexion à Internet, il serait possible de contourner ce type de mesures de sécurité. Vous pourriez finir par dépenser du temps et de l'énergie sans fin pour interdire toutes sortes de procurations, VPN, tunnels SSL et autres. Le conseil est de vous assurer qu'ils ne peuvent pas faire de mal en protégeant ce qui est important pour votre entreprise et en laissant les utilisateurs. Par exemple, séparez le réseau en compartiments, utilisez des sous-réseaux, des VLAN, des DMZ et exigez une authentification et une autorisation sur les réseaux privés. Conservez les éléments importants dans une zone, tout en permettant la mise en réseau sans restrictions sur une autre. Etc...

grochmal · Answer

Je pense que votre principale préoccupation devrait être:

en utilisant un proxy anonyme dans le réseau

Est une mauvaise hypothèse. Je voudrais tout de suite demander:

Dans quel réseau?

Yorick a déjà touché ce point mais je serai plus flagrant.

HIPAA concerne principalement la confidentialité des données dans votre système de production et donc dans le réseau utilisé pour se connecter au système de production. Vous devriez avoir le contrôle de ce que toutes les machines se connectant à ce réseau peuvent faire. En d'autres termes, ces machines doivent être gérées par l'entreprise et fournir le logiciel nécessaire pour gérer le système de production. Aucune autre machine ne doit se connecter à ce réseau, cela inclut le VPN au réseau de production (qui devrait être évité si possible).

Un réseau pour vos employés qui ne se connectent pas au système de production, par ex. un réseau de développement ou bureau wifi doit être séparé du réseau de production. Il vous suffit de montrer explicitement que les réseaux sont séparés (de préférence avec un matériel séparé, les VLAN 802.1Q sont sujets à quelques attaques s'ils sont mal configurés). Les machines de ces réseaux ne concernent pas le système de production tant qu'elles ne s'y connectent jamais (elles ne devraient pas!). Le passage de quoi que ce soit en production doit de toute façon avoir une procédure AQ/CQ dans laquelle la sécurité du code/de la configuration/d'un autre changement est évaluée.

Il convient de noter que le réseau de développement contenant les machines de développement ne verra jamais de données de production. Si vos données de production doivent être protégées (par exemple pour la confidentialité des patients comme dans HIPAA), vous devez anonymiser toutes les données dans les configurations de développement/test. Avoir un environnement de production sécurisé puis vider les données de production dans un réseau non sécurisé serait tout simplement idiot.

Michael Hampton · Answer

La seule façon d'être relativement sûr que Tor n'est pas utilisé sur le réseau est d'inspecter tous les appareils du réseau et de s'assurer que Tor n'est pas installé ou ne fonctionne sur aucun d'entre eux. Cela pourrait nécessiter tellement d'heures de travail que cela pourrait tout aussi bien être impossible. Et vous pourriez le manquer de toute façon.

Vous pouvez tenter de détecter l'utilisation de Tor en surveillant le trafic vers l'une des autorités d'annuaire codées en dur , auxquelles tous Tor les clients se connecteront toujours (à une exception près, voir ci-dessous). Il y en a généralement moins d'une douzaine.

Vous pouvez également tenter de détecter le trafic vers l'un des milliers de nœuds de garde, mais cela peut mettre beaucoup de pression sur votre IDS. La détection du trafic des autorités d'annuaire ne nécessite de surveiller que quelques adresses IP et il y aura du trafic vers ces autorités même pour les clients autrement inactifs.

La grande exception est lorsque Tor a été configuré pour utiliser un pont. Ceux-ci sont explicitement conçus pour que Tor ne communique pas directement avec aucun des nœuds Tor normaux ou des autorités d'annuaire. Au lieu de cela, ils communiquent avec une adresse de pont non publiée. Les États-nations ont du mal à détecter ces connexions; si l'un est utilisé sur votre réseau, vous n'avez pratiquement aucune chance.

Ce que vous devriez faire à la place, c'est contrôler plus soigneusement l'accès au réseau et à partir du réseau en général. Seul le trafic réellement nécessaire doit être autorisé à destination et en provenance de tout appareil sur lequel PHI est accessible ou stocké. Cela signifie que vous devez refuser par défaut dans les deux directions, entrantes et sortantes, et également séparer les réseaux où PHI est présent des autres réseaux. Il semble que votre stratégie de sortie de pare-feu actuelle soit autorisée par défaut, et bloquer des éléments dans une configuration autorisée par défaut revient à percer des trous dans le ciel.

usr-local-ΕΨΗΕΛΩΝ · Answer

Empêcher l'utilisateur d'installer/d'utiliser des logiciels qui n'ont pas été approuvés par l'entreprise, en appliquant des politiques logicielles sur la machine des employés suffira, combiné à une authentification réseau telle que seules les machines conformes aux politiques peuvent accéder au réseau. Cela fait de la station de travail presque une simple machine kiosk. Dans le secteur de la finance et des soins de santé, il ne devrait pas être considéré comme inapproprié d'appliquer un mode kiosque aux employés opérationnels.

L'incapacité à exécuter un logiciel qui peut se connecter à Tor est la clé pour empêcher les utilisateurs d'utiliser Tor, si le navigateur (par exemple, oignon.au proxy) ne fait pas partie de la menace. Mais normalement, vous auriez une liste blanche de sites disponibles dans des environnements protégés.

Dans le monde réel, cela se heurte souvent aux besoins du personnel informatique. Dans la plupart des entreprises, la capacité des informaticiens, qui ne sont pas nécessairement développeurs/ingénieurs logiciels, à exécuter n'importe quel logiciel ou à écrire des scripts personnalisés est une exigence. Par souci de discussion, supposons que c'est le cas.

Bien sûr, vous ne pouvez pas empêcher votre administrateur système d'exécuter Tor et vous ne pouvez pas également verrouiller sa machine sur un kiosque pour cette "menace", sinon vous empêcherez des activités hors processus extraordinaires telles que la résolution de problèmes avec des machines ou un réseau. Dans ce cas, je recommanderais d'utiliser une politique telle que les machines sysadmin avec une configuration logicielle privilégiée sont normalement connectées à un réseau non sensible, et éventuellement à Internet. Si un administrateur système doit accéder au réseau sensible où sont stockées les informations protégées, il doit alors connecter physiquement son ordinateur portable à une autre prise et enregistrer l'événement dans une piste d'audit. Un tel audit peut également être accompli par un commentaire sur un ticket de support "J'accède à la machine 10.100.200.10 pour terminer la tâche ".

En bref, empêcher quiconque d'utiliser Tor est une exigence stricte qui est difficile à appliquer, cependant une réinterprétation raisonnable de l'exigence devrait satisfaire tout régulateur en adoptant le principe de sécurité qui les utilisateurs doivent être capable d'exécuter uniquement le moins de logiciels minimum pour accomplir leurs tâches (une variation du principe des privilèges minimums).

Et de toute façon, Tor lui-même n'est pas une menace, c'est un média qui peut être abusé par des initiés ou d'autres employés infidèles ou représenter un risque pour les employés non formés existants.

mgjk · Answer

Tor est de par sa conception difficile à bloquer. Les mesures de Yorick garderont les employés honnêtes honnêtes. J'irais dans cette voie à moins que HIPAA ne demande plus * L'ajout de la détection aux mesures de blocage signifie que vous pouvez identifier les utilisateurs de Tor et passer par la direction pour les discipliner. À mon humble avis, interdire ce type de comportement devrait figurer dans la certification annuelle des politiques commerciales de l'employé et faire partie de votre programme de formation en sécurité.

Si vous devez gouverner avec une poigne de fer, tout bloquer par défaut et installer un proxy d'interception est une méthode courante. Cela signifie que vous allez intercepter, déchiffrer, inspecter, catégoriser et rechiffrer tout le trafic TLS client. Cela est courant dans les banques et les institutions sécurisées ... avec toutes les implications en matière de confidentialité, la complexité du déploiement et les problèmes de performances.

* (Je ne sais pas ... je n'ai pas fait de HIPAA)

James Snell · Answer

Étant donné que le titre fait référence à la détection d'une telle activité, je configurerais une règle de pare-feu pour journaliser mais pas bloquer les connexions à des services/serveurs d'anonymisation connus de divers types. Évidemment, cela signifie que quelqu'un surveille les journaux du pare-feu ou un type de système de signalisation.

Il y a un léger risque que les données puissent sortir mais si quelqu'un rencontre un bloc, il est susceptible de trouver d'autres méthodes/services (pour lesquels vous ne vous êtes peut-être pas connecté) pour extraire des données de votre système.

Autoriser une quantité limitée de sortie de données vous donne des cibles au sein de votre réseau qui vous permettent d'auditer l'accès à leurs systèmes et de découvrir ce qu'ils font réellement - tels comme tenter d'accéder à du matériel qui est en dehors de leur champ d'application.

Cela vous permet également de contourner tous les problèmes BYOD dans les environnements qui leur permettent d'accéder aux données sensibles dont ils auraient encore besoin de leur authentification (connexions, etc.) afin que vous puissiez voir ce qui pourrait être à risque.

L'inconvénient de cette approche est que les risques sont proportionnels à la mesure dans laquelle les pare-feu sont surveillés et que tous les drapeaux sont traités, donc cela dépend vraiment des ressources disponibles.