En una red monitoreada, ¿pueden los administradores saber si se está utilizando Tor?

Según scuzzy-delta, sí:

  

Es posible detectar que alguien en su red está usando Tor (por ejemplo, usted es un administrador de red en un lugar de trabajo y un empleado lo está usando), y el hecho de que lo esté usando es en sí mismo información interesante .

Su respuesta: enlace

Usar una conexión TOR de puente es una apuesta segura pero de ninguna manera es la definición de seguro, más cercano al juego en realidad. La razón de esto es que están destinados a eludir la censura, si un puente no funciona para usted, por ejemplo. Irán, prueba con otro hasta que encuentres uno que aún no está bloqueado. Sin embargo, asumo que todas las conexiones puenteadas funcionarán en terrenos de libertad y, por lo tanto, no tienen idea de qué conexiones de puente conoce su administrador.

Profundizando, este es un extracto de enlace

  

En los últimos años, los censores han encontrado formas de bloquear a Tor incluso cuando los clientes utilizan puentes. Por lo general, hacen esto instalando cajas especiales en los ISP que se asoman al tráfico de la red y detectan Tor; cuando se detecta Tor bloquean el flujo de tráfico.
  Para evitar tal censura sofisticada, Tor introdujo transportes conectables. Estos transportes manipulan todo el tráfico Tor entre el cliente y su primer salto, de modo que no es identificable como una conexión Tor. Si el censor no puede decidir si la conexión es una conexión Tor, entonces es menos probable que la bloqueen.

Si alguien puede lanzar la pieza que falta, ¿es "obfs3, scramblesuit, fte, y obfs4" ofuscación amplia entonces?

Puede comparar los paquetes de red con la lista pública de nodos Tor (por ejemplo, enlace ) usando WireShark o cualquier otro software de rastreo de paquetes.

Cualquier persona que vea su actividad de Internet puede saber si / cuándo está utilizando Tor: ISP, empleador, etc. Puede evitar que vean que está usando Tor activando su VPN primero y luego conectándose a Tor.

Sí !

Responderé con otra pregunta de seguridad, que es una clave lo suficientemente grande.

En la red telefónica de una empresa, ¿cómo notifica el administrador que se utiliza una línea para establecer una conexión externa para crear una conexión de Internet en un módem?

Un módem malicioso tiene un esquema de comunicación que es bastante claro: un número llamado y un tiempo de comunicación excelente.

Más en serio,

Un análisis de comportamiento simple (no uno profundo sino solo una colección de los pares de @IP y protocolos involucrados: {( @IP src , @IP dst , tcp o udp , port )} de las conexiones establecidas inmediatamente señalan un cliente (o nodo) típico de Tor.

El tráfico IP normal se ve como:

• 1 × N en {80,443} / tcp donde N es alrededor de 1000,
• y unos pocos 1 × n en {21,22} / tcp donde n es alrededor de menos de 10,
• n × N en {80,443} / tcp donde n corresponde a sus servidores web oficiales y N es alrededor de 1000 (dependiendo de la fama de sus servidores web).

Un cliente (o nodo) Tor mostrará un tráfico que se verá así:

• 1 × 1 en 443 / tcp,
• o 1 × N en 443 / tcp donde N es alrededor de 1000, como un retorno del tráfico desde un @IP interno donde no tiene un servidor web oficial.

Una VPN basada en SSL se parece mucho a un cliente Tor de este análisis bahavioural muy básico. Pero una prueba rápida en el @IP dst más notablemente un whois @IP dst básico aclarará esto dentro de 10s.