Come rilevare se i dipendenti utilizzano Tor?

35

Lavoriamo in un'organizzazione che dovrebbe essere conforme HIPAA. La sicurezza è una grande preoccupazione per noi. Siamo stati incaricati di scoprire se un utente utilizza proxy anonimo nella rete.

C'è un modo in cui possiamo trovare se Tor viene utilizzato all'interno del nostro dominio di rete aziendale? Stiamo utilizzando la protezione del client Symantec. La VPN viene fornita utilizzando Cisco.

    
posta student 05.09.2016 - 14:03
fonte

6 risposte

81

Puoi utilizzare un elenco di nodi Tor (uplink), aggiungere questo al firewall in uscita, configurare un'attività per aggiornare questo una volta al giorno e sarai bravo. Ma Tor può essere utilizzato anche su un proxy HTTP (S), quindi dovrai rilevare anche i proxy.

Non sono sicuro che questo ti possa aiutare a proteggere nulla. Finché c'è una connessione a Internet, sarebbe possibile bypassare questo tipo di misure di sicurezza. Potresti finire per spendere tempo ed energie infinite per proibire tutti i tipi di proxy, VPN, tunnel SSL e così via. Il consiglio è semplicemente quello di assicurarsi che non possano fare alcun danno proteggendo ciò che è importante per la tua attività e lasciare che siano gli utenti. Ad esempio, separare la rete in compartimenti, utilizzare sottoreti, VLAN, DMZ e richiedere l'autenticazione e l'autorizzazione su reti private. Tieni le cose importanti in una zona, mentre permetti il networking senza restrizioni su un'altra. E così via ...

    
risposta data 05.09.2016 - 14:18
fonte
53

Credo che la tua principale preoccupazione dovrebbe essere quella:

using anonymous proxy in the network

È una cattiva ipotesi. Vorrei subito chiedere:

In quale rete?

Yorick ha già toccato questo punto, ma sarò più sfacciato.

HIPAA riguarda principalmente la riservatezza dei dati nel tuo sistema di produzione e quindi nella rete utilizzata per connettersi al sistema di produzione. Dovresti avere il controllo di ciò che le tutte macchine che si connettono a questa rete possono fare. In altre parole, dovrebbero essere macchine aziendali gestite dall'azienda e fornire il software necessario per gestire il sistema di produzione. Nessun altra macchina dovrebbe connettersi a questa rete, questo include VPN alla rete di produzione (che dovrebbe essere meglio evitata se possibile).

Una rete per i dipendenti che non si connettono al sistema di produzione, ad es. una rete di sviluppo o wifi dell'ufficio deve essere separata dalla rete di produzione. Basta mostrare esplicitamente che le reti sono separate (preferibilmente con hardware separato, le VLAN 802.1Q sono soggette a un paio di attacchi se mal configurate). Le macchine in queste reti non interessano il sistema di produzione finché non si collegano mai ad esso (non dovrebbero!). Lo spostamento di qualsiasi cosa in produzione deve comunque avere una procedura QA / QC in cui viene valutata la sicurezza del codice / configurazione / un'altra modifica.

Vale la pena notare che la rete di sviluppo contenente le macchine di sviluppo non vedrà mai alcun dato di produzione. Se i dati di produzione devono essere salvaguardati (ad esempio per la privacy dei pazienti come in HIPAA) è necessario anonimizzare tutti i dati nelle impostazioni di sviluppo / test. Avere un ambiente di produzione sicuro e quindi scaricare i dati di produzione in una rete non protetta sarebbe semplicemente sciocco.

    
risposta data 05.09.2016 - 15:35
fonte
13

L'unico modo per essere relativamente sicuri che Tor non sia in uso sulla rete è quello di ispezionare ogni dispositivo sulla rete e assicurarsi che Tor non sia installato o in esecuzione su nessuno di essi. Ciò potrebbe richiedere così tante ore lavorative che potrebbe anche essere impossibile. E potresti comunque perderlo.

Puoi tentare di rilevare l'uso di Tor guardando il traffico verso uno qualsiasi dei authority della directory hardcoded , a cui tutti i client Tor si connetteranno sempre (con un'eccezione, vedi sotto). Di solito ce ne sono meno di una dozzina.

Si potrebbe anche tentare di rilevare il traffico verso le migliaia di nodi di guardia, ma ciò potrebbe mettere a dura prova il proprio IDS. Il rilevamento del traffico dell'autorità di directory richiede la sorveglianza di pochi IP e il traffico verso queste autorità anche per i client altrimenti inattivi.

La grande eccezione è quando Tor è stato configurato per utilizzare un bridge. Questi sono esplicitamente progettati in modo che Tor non comunichi direttamente con nessuno dei normali nodi Tor o con le autorità della directory. Invece comunicano con un indirizzo di bridge non pubblicato. Gli stati delle nazioni hanno difficoltà a rilevare queste connessioni; se uno è in uso sulla tua rete, non hai praticamente nessuna possibilità.

Ciò che dovresti fare invece è controllare con maggiore attenzione l'accesso da e verso la rete in generale. Solo il traffico effettivamente necessario dovrebbe essere consentito ae da qualsiasi dispositivo in cui è possibile accedere o memorizzare PHI. Ciò significa che è necessario negare l'impostazione predefinita in entrambe le direzioni , in entrata e in uscita, anche separando le reti in cui PHI è presente da altre reti. Sembra che il tuo attuale criterio di uscita del firewall sia predefinito-permetti, e il blocco di cose in una configurazione di default consente di bucare i buchi nel cielo.

    
risposta data 06.09.2016 - 01:11
fonte
7

Impedire all'utente di installare / utilizzare software che non è stato approvato dalla società, applicando le politiche del software sul computer dei dipendenti sarà sufficiente, combinato all'autenticazione di rete, come solo le macchine conformi alle policy possono accedere alla rete. Ciò rende la workstation quasi un semplice kiosk macchina. Nel settore finanziario e sanitario, non dovrebbe essere considerato inappropriato applicare una modalità chiosco ai dipendenti operativi.

L'impossibilità di eseguire un software che possa connettersi a Tor è la chiave per impedire agli utenti di utilizzare Tor, se il browser (ad esempio onion.to proxying) non fa parte della minaccia. Ma normalmente avresti un elenco autorizzato di siti disponibili in ambienti protetti.

Questo, nel mondo reale, spesso si scontra con le esigenze del personale IT. Nella maggior parte delle aziende, la capacità dell'IT, che non sono necessariamente sviluppatori / ingegneri del software , di eseguire qualsiasi software o scrivere script personalizzati è un requisito. Per motivi di discussione, supponiamo che sia il caso.

Ovviamente non puoi impedire al tuo amministratore di sistema di eseguire Tor e non puoi bloccare il suo computer su un solo chiosco solo per quella "minaccia", altrimenti impedirai straordinarie attività out-of-process come risolvere problemi con le macchine o rete. In questo caso, consiglierei di utilizzare una politica come le macchine sysadmin con configurazione software privilegiata normalmente collegate a una rete non sensibile e, infine, a Internet. Se un amministratore di sistema deve accedere alla rete sensibile in cui sono archiviate le informazioni protette, dovrà collegare fisicamente il suo laptop a una presa diversa e registrare l'evento in una traccia di controllo. Tale verifica può anche essere effettuata con un commento su un ticket di supporto "Sto ottenendo l'accesso alla macchina 10.100.200.10 per completare l'attività".

In breve, impedire a chiunque di utilizzare Tor è un requisito rigoroso che è difficile da applicare, tuttavia una ragionevole reinterpretazione del requisito dovrebbe soddisfare qualsiasi regolatore adottando il principio di sicurezza che utenti deve essere in grado di eseguire solo il minimo minimo di programmi software per svolgere i propri compiti (una variante del principio dei privilegi minimi minimi).

E comunque, Tor stesso non è una minaccia, è un mezzo che può essere abusato da insider traders o altri dipendenti infedeli o rappresentare un rischio per i dipendenti inesperti esistenti.

    
risposta data 07.09.2016 - 18:33
fonte
5

Tor è un sottoprodotto difficile da bloccare. Le misure di Yorick manterranno onesti i dipendenti onesti. Vorrei seguire questa strada a meno che HIPAA richieda di più * Aggiungere rilevamenti alle misure di blocco significa poter identificare gli utenti di Tor e passare attraverso la gestione per disciplinarli. IMHO, vietando questo tipo di comportamento dovrebbe essere nella certificazione annuale dei dipendenti delle politiche aziendali e parte del tuo programma di formazione sulla sicurezza.

Se devi governare con un pugno di ferro, il blocco di tutto per impostazione predefinita e l'installazione di un proxy di intercettazione è un metodo comune. Ciò significa che intercetterai, decifri, ispezionerai, categorizzerai e ricodificherete tutto il traffico TLS del cliente. Questo è comune nelle banche e nelle istituzioni sicure ... insieme a tutte le implicazioni sulla privacy, la complessità della distribuzione e i problemi di prestazioni.

* (Non lo so ... non ho fatto HIPAA)

    
risposta data 05.09.2016 - 16:10
fonte
2

Poiché il titolo si riferisce al rilevamento di tale attività, configurerei una regola firewall per log ma non per bloccare connessioni a servizi / server di anonimizzazione noti di vario tipo. Ovviamente questo significa avere qualcuno che controlla i registri del firewall o un qualche tipo di sistema di segnalazione.

C'è un leggero rischio che i dati possano uscire ma se qualcuno incontra un blocco è probabile che trovino altri metodi / servizi (per i quali potresti non avere accesso) per ottenere dati dal tuo sistema.

Consentire una quantità limitata di data egress ti dà obiettivi all'interno della tua rete che ti permettono di controllare l'accesso ai loro sistemi e scoprire cosa stanno facendo in realtà - come tentare di accedere a materiale che è al di fuori di il loro ambito di lavoro.

Questo ti porta anche a risolvere eventuali problemi BYOD in ambienti che consentono loro di accedere ai dati sensibili di cui avrebbero ancora bisogno l'autenticazione (accessi, ecc.) in modo da poter visualizzare ciò che potrebbe essere a rischio.

Lo svantaggio di questo approccio è che i rischi sono proporzionali al modo in cui i firewall vengono monitorati da vicino e le eventuali azioni sono gestite, quindi dipende davvero dalle risorse disponibili.

    
risposta data 07.09.2016 - 11:34
fonte

Leggi altre domande sui tag