Domanda:
Come rilevare se i dipendenti utilizzano Tor?
Zameer Ansari
2016-09-05 17:03:41 UTC
view on stackexchange narkive permalink

Lavoriamo in un'organizzazione che dovrebbe essere conforme a HIPAA. La sicurezza è una grande preoccupazione per noi. Ci è stato assegnato il compito di scoprire se qualche utente utilizza un proxy anonimo nella rete.

Esiste un modo per scoprire se Tor viene utilizzato all'interno del dominio della nostra rete aziendale ? Stiamo utilizzando la protezione client Symantec. La VPN viene fornita utilizzando Cisco.

Per quanto ne so, la conformità HIPPA non richiede il controllo se qualcuno dei tuoi dipendenti utilizza Tor.Ti suggerisco di chiedere a chi ti ha incaricato di giustificare la loro richiesta.Sei sicuro di voler monitorare i tuoi dipendenti in questo modo?Forse faresti meglio a riflettere più attentamente su quale sia il tuo modello di minaccia, cosa esattamente stai cercando di ottenere e se questo è davvero il modo migliore per ottenerlo.Una mentalità da lista di controllo è raramente il modo migliore per ottenere una sicurezza reale.
"* Ci è stato assegnato il compito di scoprire se qualche utente sta utilizzando un proxy anonimo nella rete. *" Suggerirei di chiedere a chi ti ha incaricato di farlo per farti sapere quali sono i metodi approvati per farlo.Se non lo sanno, chiedi loro di chiedere a chi gli ha detto di dirti di farlo quali metodi sono approvati per farlo.Se non riesci a ottenere una risposta, invia un'e-mail a tutti gli utenti chiedendo loro di segnalare tale utilizzo.
Tieni presente che tor è stato sviluppato attivamente per aggirare i meccanismi di rilevamento a livello statale, ad esempio [il grande firewall cinese] (https://blog.torproject.org/blog/closer-look-great-firewall-china).Non so qual è il tuo livello tecnico, ma scommetto che non sei all'altezza delle risorse o delle capacità tecniche del governo cinese - se tor riesci a aggirarli ancora ...fortuna :)
È possibile per un utente copiare e incollare le informazioni di identificazione personale del paziente in un modulo web ospitato su un server esterno?Allora perché ti preoccupi dei metodi * complicati * per accedere a risorse esterne?
Tor richiede ancora il software sul computer client, vero?I tuoi computer aziendali non contengono spyware aziendali che consentono all'amministratore di eseguire scansioni remote automatizzate?
Sei risposte:
#1
+82
Yorick de Wid
2016-09-05 17:18:52 UTC
view on stackexchange narkive permalink

Puoi utilizzare un elenco di nodi Tor (uplink), aggiungerlo al firewall in uscita, impostare un'attività per aggiornarlo una volta al giorno e sarai bravo. Ma Tor può anche essere usato su un proxy HTTP (S), quindi dovrai rilevare anche i proxy.

Non sono sicuro che questo ti aiuterà a proteggere qualcosa. Finché c'è una connessione a Internet, sarebbe possibile aggirare questo tipo di misure di sicurezza. Potresti finire per spendere tempo ed energia infiniti per vietare tutti i tipi di proxy, VPN, tunnel SSL e simili. Il consiglio è di assicurarti che non possano fare alcun danno proteggendo ciò che è importante per la tua attività e lasciando gli utenti. Ad esempio, separare la rete in compartimenti, utilizzare sottoreti, VLAN, DMZ e richiedere autenticazione e autorizzazione su reti private. Mantieni le cose importanti in una zona, consentendo il networking senza restrizioni in un'altra. E così via ...

"Ad esempio, separare la rete in compartimenti, utilizzare sottoreti, VLAN, DMZ e richiedere autenticazione e autorizzazione su reti private".- Una caratteristica di Tor è quella di perforare i firewall rendendo i sistemi interni raggiungibili tramite URL .onion.Il blocco di Tor è essenziale per proteggere queste reti.
@mgjk Così fa una VPN sito-2-sito, che può essere eseguita su 443. Bloccare semplicemente le cose perché temi che non risolvano il problema sottostante.
Se un dipendente ha fatto di tutto per smascherare la rete interna, è la differenza tra me che chiama il suo manager o coinvolge la polizia.
@mgjk Questa diventerà una santa crociata, Tor ha molti fork che funzionano tutti in modo diverso con le proprie reti interne e uplink, e Tor non è certamente l'unica rete anonima, che dire di i2p per esempio?
@YorickdeWid - Uso una soluzione commerciale per questo, funziona bene.Esistono molte soluzioni come questa di molti fornitori.
Tor ha bridge, che sono relay che _non_ pubblicizzano come se fossero sulla rete Tor, e quindi potrebbero non apparire nell'elenco che hai.Esistono proprio per questo motivo: per consentire alle persone di accedere a Tor da posizioni in cui Tor è bloccato.
@dave +1 ... inoltre se l'utente ha impostato la connessione per utilizzare un livello di trasporto collegabile in modo che le richieste vengano inoltrate attraverso siti popolari come Microsoft o Amazon.Vedi https://trac.torproject.org/projects/tor/wiki/doc/meek
L'obiettivo qui è rilevare Tor secondo uno standard di audit.Se vengono utilizzati relè di ingresso non pubblicati, devono saperlo prima di provare quelli pubblici e * sperare * che infosec non sia a conoscenza dei relè di ingresso non pubblicati scelti o, anche se vengono utilizzati relè di ingresso privati, la normale analisi del traffico del segmento di utenti (tempodel giorno) e le connessioni TCP di lunga durata sarebbero un enorme suggerimento che il dipendente ha in mente qualcosa e il supporto dovrebbe esaminare la propria workstation.A proposito, per il pugno di ferro, docile può essere scelto con intercettazione SSL (SNI! = Host)
#2
+53
grochmal
2016-09-05 18:35:14 UTC
view on stackexchange narkive permalink

Credo che la tua principale preoccupazione dovrebbe essere che:

utilizzare proxy anonimo nella rete

è un presupposto sbagliato . Chiederei subito:

In quale rete?

Yorick ha già toccato questo punto ma sarò più palese .

HIPAA riguarda principalmente la privacy dei dati nel tuo sistema di produzione e quindi nella rete che viene utilizzata per connettersi al sistema di produzione. Dovresti avere il controllo di cosa possono fare tutte le macchine che si connettono a questa rete. In altre parole, queste dovrebbero essere macchine aziendali gestite dall'azienda e fornire il software necessario per gestire il sistema di produzione. Nessun'altra macchina dovrebbe connettersi a questa rete, questo include VPN alla rete di produzione (che dovrebbe essere evitata se possibile).

Una rete per i tuoi dipendenti che non si connettono al sistema di produzione, ad es. una rete di sviluppo o Wi-Fi dell'ufficio deve essere separata dalla rete di produzione. Devi solo mostrare esplicitamente che le reti sono separate (preferibilmente con hardware separato, le VLAN 802.1Q sono soggette a un paio di attacchi se mal configurate). Le macchine in queste reti non interessano il sistema di produzione fintanto che non si collegano mai ad esso (non dovrebbero!). Lo spostamento di qualsiasi cosa in produzione deve comunque avere una procedura QA / QC in cui viene valutata la sicurezza del codice / configurazione / altra modifica.

Vale la pena notare che la rete di sviluppo contenente le macchine di sviluppo non ne vedrà mai dati di produzione. Se i tuoi dati di produzione devono essere salvaguardati (ad esempio per la privacy del paziente come in HIPAA) devi rendere anonimi tutti i dati nelle configurazioni di sviluppo / test. Avere un ambiente di produzione protetto e quindi scaricare i dati di produzione in una rete non protetta sarebbe semplicemente sciocco.

Sapevo che qualcuno avrebbe fatto l'osservazione sulle VLAN ^^
@YorickdeWid Tutti odiamo le VLAN, non è vero?:) Ethernet non può essere riparato.
Tranne quell'amministratore di rete che cerca di fare half-duplex dividendo il cavo: P.Comunque, buon punto comunque.
Sul tuo ultimo punto, immagino che nessun dato debba essere spostato dalla produzione anche a quegli ambienti.(Spostare nuovamente i dump di produzione in un ambiente di sviluppo / test non è raro, dopotutto. In qualche modo, può essere considerata una buona pratica.) Forse vale la pena aggiungerlo?Non so.
@jpmc26 - Ottimo punto, ho aggiornato la risposta.
#3
+13
Michael Hampton
2016-09-06 04:11:06 UTC
view on stackexchange narkive permalink

L'unico modo per essere relativamente sicuri che Tor non sia in uso sulla rete è ispezionare ogni dispositivo sulla rete e assicurarsi che Tor non sia installato o in esecuzione su nessuno di essi. Ciò potrebbe richiedere così tante ore di lavoro che potrebbe anche essere impossibile. E potresti perderlo comunque.

Puoi tentare di rilevare l'uso di Tor controllando il traffico verso una qualsiasi delle autorità di directory codificate, per a cui tutti i client Tor si connetteranno sempre (con un'eccezione, vedi sotto). Di solito ce ne sono meno di una dozzina.

Potresti anche tentare di rilevare il traffico verso uno qualsiasi dei migliaia di nodi di guardia, ma questo potrebbe mettere a dura prova il tuo IDS. Rilevare il traffico dell'autorità di directory richiede di controllare solo pochi IP e ci sarà traffico verso queste autorità anche per client altrimenti inattivi.

La grande eccezione è quando Tor è stato configurato per usare un bridge. Questi sono progettati esplicitamente in modo che Tor non comunichi direttamente con nessuno dei normali nodi Tor o autorità di directory. Invece comunicano con un indirizzo bridge non pubblicato. Gli stati nazionali hanno difficoltà a rilevare queste connessioni; se uno è in uso sulla tua rete, non hai praticamente nessuna possibilità.


Quello che dovresti fare invece è controllare più attentamente l'accesso alla e dalla rete in generale. Solo il traffico effettivamente necessario dovrebbe essere consentito da e verso qualsiasi dispositivo in cui è possibile accedere o archiviare PHI. Ciò significa che devi negare per impostazione predefinita in entrambe le direzioni, in entrata e in uscita, separando anche le reti in cui è presente PHI dalle altre reti. Sembra che la tua attuale politica di uscita dal firewall sia di default-allow e bloccare le cose in una configurazione di default-allow è come fare buchi nel cielo.

#4
+7
usr-local-ΕΨΗΕΛΩΝ
2016-09-07 21:33:34 UTC
view on stackexchange narkive permalink

Impedire all'utente di installare / utilizzare software che non è stato approvato dall'azienda, applicando i criteri del software sulla macchina dei dipendenti sarà sufficiente, combinato all'autenticazione di rete, poiché solo le macchine conformi alle norme possono accedere alla rete. Questo rende la workstation quasi una semplice macchina kiosk . Nel settore finanziario e sanitario, non dovrebbe essere considerato inappropriato imporre una modalità kiosk ai dipendenti operativi.

L'incapacità di eseguire un software che può connettersi a Tor è la chiave per impedire agli utenti di utilizzare Tor, se browser (ad esempio onion.to proxy) non fa parte della minaccia. Ma normalmente avresti un elenco autorizzato di siti disponibili in ambienti protetti.

Questo, nel mondo reale, spesso entra in conflitto con le esigenze del personale IT. Nella maggior parte delle aziende, la capacità dell'IT, che non è necessariamente sviluppatori / ingegneri di software , di eseguire software o di scrivere script personalizzati è un requisito. Per motivi di discussione, supponiamo che sia così.

Ovviamente non puoi impedire al tuo amministratore di sistema di eseguire Tor e non puoi anche bloccare la sua macchina in un chiosco solo per quella "minaccia", altrimenti impedirai attività straordinarie fuori processo come la risoluzione di problemi con le macchine o la rete. In questo caso, consiglierei di utilizzare una politica come le macchine sysadmin con configurazione software privilegiata sono normalmente connesse a una rete non sensibile, ed eventualmente Internet. Se un amministratore di sistema ha bisogno di accedere alla rete sensibile in cui sono archiviate le informazioni protette, deve collegare fisicamente il proprio laptop a una presa diversa e registrare l'evento in un audit trail. Tale verifica può essere eseguita anche da un commento su un ticket di supporto "Sto ottenendo l'accesso alla macchina 10.100.200.10 per completare l'attività".

In poche parole, impedire a chiunque di utilizzare Tor è un requisito rigoroso difficile da applicare, tuttavia una ragionevole reinterpretazione del requisito dovrebbe soddisfare qualsiasi autorità di regolamentazione adottando il principio di sicurezza che gli utenti deve essere in grado di eseguire solo il minimo insieme minimo di programmi software per svolgere i propri compiti (una variazione del principio dei privilegi minimi minimi).

E comunque Tor stesso non è una minaccia, lo è un mezzo che può essere oggetto di abusi da parte di insider traders o altri dipendenti infedeli o che può rappresentare un rischio per i dipendenti esistenti non addestrati.

Questa è la soluzione corretta ... combatterla da un livello di rete sarà uno sforzo inutile ... impostare una politica di gruppo per impedire l'installazione di tor o l'esecuzione di tor portable.
Ciò presuppone che sia il tuo sistema operativo che ogni applicazione che hai approvato non possano essere violati per eseguire istruzioni non approvate.Non hai nemmeno la possibilità di farlo funzionare, a meno che tu non sia disposto a bloccare le macchine dei dipendenti al punto in cui funzionano come un chiosco Internet rinforzato (un browser web minimo su un sistema operativo Linux ridotto e nient'altro,con tutto l'hardware sigillato all'interno di una scatola).Danneggeresti la produttività dei dipendenti e avresti comunque il rischio che qualcosa possa essere sfruttato.
E le banche?Dovrebbero arrendersi al fatto che qualcuno potrebbe usare Tor per far trapelare i propri dati privati?Ovviamente ogni sistema può essere violato, ma un amministratore di sistema non dovrebbe arrendersi.Stiamo solo parlando di alcuni requisiti di conformità, non che approviamo o disapproviamo Tor stesso (lo approvo e lo sostengo), ma dobbiamo capire che alcuni strumenti non dovrebbero essere utilizzati, soprattutto da persone senza adeguata esperienza e conoscenza, in luoghi di lavoro critici.
Questa è davvero la risposta corretta per qualsiasi settore regolamentato e anche per quasi tutti gli altri.Fornisce un livello di sicurezza molto elevato ed è estremamente comune sia in ambito sanitario che finanziario.È anche un metodo molto potente per ridurre le capacità di attacco del malware.
Voglio ringraziare @slang per aver utilizzato l'espressione `internet kiosk`.Questa è la risposta nella maggior parte degli ambienti protetti.E non dovrebbe essere considerato un male contro la produttività dei dipendenti.I dipendenti operativi (ad esempio i cassieri delle banche) dovrebbero utilizzare solo un insieme minimo ed efficiente di prodotti per svolgere i propri compiti.Se, per le loro normali operazioni, richiedono più di 35 software (come nella banca MPS qualche anno fa), penso che la loro produttività sia fortemente influenzata dal numero di strumenti di cui hanno bisogno per imparare.Anche se non dovresti svolgere attività non lavorative durante l'orario lavorativo, ci sono tablet per quelli
Forse nei lavori di banchiere / cassiere che aspettano solo di essere sostituiti dall'automazione, un chiosco avrebbe senso e non danneggerebbe la produttività.Non credo che abbiano nemmeno bisogno di controllare la posta elettronica durante il giorno.Tuttavia, per qualsiasi tipo di knowledge worker, avere restrizioni sul proprio ambiente di elaborazione è disastroso per la produttività ... Si finisce per dedicare più tempo a lavorare sulle "politiche di sicurezza" che sul lavoro produttivo.Non riesco a immaginare di passare la giornata senza le mie shell Python / Bash o gli script che ho scritto per automatizzare le attività.
Due problemi.** Uno ** è che * richiedi * Python / Bash per andare avanti con il tuo lavoro quotidiano, supponendo che non lavori nell'IT.** Due ** è che la maggior parte dei dipendenti che non lavorano direttamente nell'IT (pensa al cassiere per un esempio) non sanno nemmeno cosa sia la shell, quindi perché darli?Conosco molte scimmie informatiche a cui dovrebbe essere impedito di utilizzare la maggior parte del software perché possono danneggiare la loro postazione di lavoro (e averla formattata dall'IT) solo per la loro incompetenza.Credo che tu stia pensando troppo al ** tuo ** posto di lavoro, che * potrebbe * essere un'azienda IT.Sii di mentalità aperta e limitati :)
Ok, sembra che stiamo per diventare offtopici qui.Se qualcuno vuole discutere l'equilibrio tra sicurezza e produttività, può aprire una nuova domanda (ma alla fine le discussioni basate sull'opinione non sono ben accettate su SE)
#5
+5
mgjk
2016-09-05 19:10:41 UTC
view on stackexchange narkive permalink

Tor è difficile da bloccare in base alla progettazione. Le misure di Yorick manterranno onesti i dipendenti onesti. Vorrei seguire quella strada a meno che HIPAA non richieda di più * L'aggiunta di rilevamento alle misure di blocco significa che puoi identificare gli utenti Tor e passare attraverso la gestione per disciplinarli. IMHO, vietare questo tipo di comportamento dovrebbe essere nella certificazione annuale del dipendente delle politiche aziendali e parte del programma di formazione sulla sicurezza.

Se devi governare con il pugno di ferro, bloccando tutto per impostazione predefinita e l'installazione di un proxy di intercettazione è un metodo comune. Ciò significa che intercetterai, decifrerai, ispezionerai, classificherai e ricodificherai tutto il traffico TLS del client. Questo è comune nelle banche e nelle istituzioni sicure ... insieme a tutte le implicazioni sulla privacy, la complessità della distribuzione e i problemi di prestazioni.

* (Non lo so ... non ho fatto HIPAA)

Non appena consenti il BYOD, tutte le scommesse vengono disattivate (il che potrebbe non essere il caso in questo argomento).L'analisi dei pacchetti sul traffico TLS suona bene in teoria ma ha gravi conseguenze in pratica.
@YorickdeWid - BYOD funziona bene con questo se il tuo MDM supporta la distribuzione di CA private.Le limitazioni intorno ai proxy di intercettazione TLS sono ben comprese.
Come se funzionasse su un tablet o un telefono.
Perché un telefono dovrebbe essere autorizzato su una rete protetta?
Non ho fatto HIPPA (non sono negli Stati Uniti) ma devo sostenere che questa è una politica sanitaria.Pertanto è una questione di riservatezza dei dati del paziente.Se consenti il download dei dati del paziente sul computer personale di un dipendente (che può quindi essere rubato) sei già responsabile per questo.Direi che BYOD è fuori discussione.
@YorickdeWid - MDM == "Gestione dei dispositivi mobili".A meno che tu non sia un negozio molto, molto piccolo, se utilizzi dispositivi mobili, hai bisogno di un qualche tipo di soluzione per applicare la crittografia, il controllo degli accessi e la cancellazione remota.Per BYOD, hai i requisiti nella politica di utilizzo accettabile (AUP) e ti occupi del fatto che i dati personali verranno cancellati insieme ai dati aziendali all'uscita (e che le loro foto dei loro figli verranno sottoposte a backup sui server aziendali...).Molte soluzioni MDM consentono di aggiungere certificati all'archivio certificati del dispositivo, motivo per cui lo menziono.
@Erbureth - perché negli ambienti in cui gli utenti accedono alle informazioni personali mentre non sono necessariamente alle scrivanie assegnate, smartphone o tablet sono probabilmente la soluzione migliore per un terminale appropriato per consentire a quegli utenti di ottenere tale accesso.
Il BYOD non dovrebbe essere utilizzato nelle situazioni HIPPA in cui gli utenti accedono a dati sanitari sensibili.Anche se potresti fare delle eccezioni se avessi un buon sistema di incapsulamento che conservasse dati / applicazioni sensibili nel proprio contenitore.
#6
+2
James Snell
2016-09-07 14:34:52 UTC
view on stackexchange narkive permalink

Poiché il titolo si riferisce al rilevamento di tale attività, configurare una regola firewall per registrare ma non bloccare le connessioni a servizi / server di anonimizzazione noti di vario tipo. Ovviamente questo significa avere qualcuno che monitora i log del firewall o qualche tipo di sistema di segnalazione.

C'è un leggero rischio che i dati possano fuoriuscire ma se qualcuno incontra un blocco è probabile che trovi altri metodi / servizi (per cui potresti non aver effettuato l'accesso) per estrarre i dati dal tuo sistema.

Consentire una quantità limitata di uscita di dati ti offre obiettivi all'interno della tua rete che ti consentono di controllare l'accesso ai loro sistemi e scoprire cosa stanno effettivamente facendo, come tentare di accedere a materiale che non rientra nel loro ambito lavorativo.

Ciò consente anche di aggirare eventuali problemi BYOD in ambienti che consentono loro di ottenere ai dati sensibili avrebbero ancora bisogno della loro autenticazione (accessi, ecc.) in modo da poter vedere cosa potrebbe essere a rischio.

Lo svantaggio di questo approccio è che i rischi sono proporzionali a quanto sono vicini i firewall monitorato e qualsiasi flag su cui si agisce, quindi dipende davvero dalle risorse disponibili.

Una volta consentito l'accesso a Internet, anche con la sola porta 80, ci saranno SEMPRE modi per esfiltrare i dati a meno che non blocchino l'accesso a TUTTI gli endpoint eccetto quelli conosciuti e limitati e ciò non è fattibile.Il modo per prevenirlo è consentire solo ai dispositivi gestiti dall'azienda di accedere ai dati relativi a HIPAA e impedire a tali dispositivi di eseguire codice a meno che non siano autorizzati.Questa è una pratica molto comune e molto sicura.
Anche le applicazioni consentite possono essere manipolate per estrarre i dati e persino il DNS può essere utilizzato per trasmettere i dati in modo che le connessioni non debbano nemmeno essere dirette, ma la discussione di tutte queste strade ci porta al di fuori dell'ambito della domanda che è stata posta.A cui la risposta probabilmente non è bloccare, ma catturare e neutralizzare la minaccia dalla tua organizzazione.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...