En una red monitoreada, ¿pueden los administradores saber si se está utilizando Tor?

3

No estoy preguntando si Tor está seguro, estoy preguntando si un observador puede saber que está utilizando Tor. Por ejemplo, si el ISP de una persona o la red de la empresa controla el tráfico, ¿podrían determinar con certeza que una persona está utilizando Tor o no? Por ejemplo, los nodos de salida son ciertamente conocidos, aunque no estoy seguro de si el primer nodo al que se pasa el tráfico es (¿se conoce públicamente)? Un administrador de sistemas podría realizar un whois y descubrir que es un nodo de retransmisión tor (si realmente quisieran saber), ¿no es cierto?

Cuando @Manumit pregunta "Si alguien puede lanzar la pieza que falta, es" obfs3, scramblesuit, fte, y obfs4 "¿ofuscación amplia entonces?"

    
pregunta Celeritas 23.05.2015 - 10:45
fuente

4 respuestas

4

Según scuzzy-delta, sí:

  

Es posible detectar que alguien en su red está usando Tor (por ejemplo, usted es un administrador de red en un lugar de trabajo y un empleado lo está usando), y el hecho de que lo esté usando es en sí mismo información interesante .

Su respuesta: enlace

Usar una conexión TOR de puente es una apuesta segura pero de ninguna manera es la definición de seguro, más cercano al juego en realidad. La razón de esto es que están destinados a eludir la censura, si un puente no funciona para usted, por ejemplo. Irán, prueba con otro hasta que encuentres uno que aún no está bloqueado. Sin embargo, asumo que todas las conexiones puenteadas funcionarán en terrenos de libertad y, por lo tanto, no tienen idea de qué conexiones de puente conoce su administrador.

Profundizando, este es un extracto de enlace

  

En los últimos años, los censores han encontrado formas de bloquear a Tor incluso cuando los clientes utilizan puentes. Por lo general, hacen esto instalando cajas especiales en los ISP que se asoman al tráfico de la red y detectan Tor; cuando se detecta Tor bloquean el flujo de tráfico.
  Para evitar tal censura sofisticada, Tor introdujo transportes conectables. Estos transportes manipulan todo el tráfico Tor entre el cliente y su primer salto, de modo que no es identificable como una conexión Tor. Si el censor no puede decidir si la conexión es una conexión Tor, entonces es menos probable que la bloqueen.

Si alguien puede lanzar la pieza que falta, ¿es "obfs3, scramblesuit, fte, y obfs4" ofuscación amplia entonces?

    
respondido por el Manumit 23.05.2015 - 12:03
fuente
2

Puede comparar los paquetes de red con la lista pública de nodos Tor (por ejemplo, enlace ) usando WireShark o cualquier otro software de rastreo de paquetes.

    
respondido por el Ruslanas Balčiūnas 23.05.2015 - 14:10
fuente
0

Cualquier persona que vea su actividad de Internet puede saber si / cuándo está utilizando Tor: ISP, empleador, etc. Puede evitar que vean que está usando Tor activando su VPN primero y luego conectándose a Tor.

    
respondido por el Tox 17.06.2015 - 22:34
fuente
-1

Sí !

Responderé con otra pregunta de seguridad, que es una clave lo suficientemente grande.

En la red telefónica de una empresa, ¿cómo notifica el administrador que se utiliza una línea para establecer una conexión externa para crear una conexión de Internet en un módem?

Un módem malicioso tiene un esquema de comunicación que es bastante claro: un número llamado y un tiempo de comunicación excelente.

Más en serio,

Un análisis de comportamiento simple (no uno profundo sino solo una colección de los pares de @IP y protocolos involucrados: {( @IP src , @IP dst , tcp o udp , port )} de las conexiones establecidas inmediatamente señalan un cliente (o nodo) típico de Tor.

El tráfico IP normal se ve como:

  • 1 × N en {80,443} / tcp donde N es alrededor de 1000,
  • y unos pocos 1 × n en {21,22} / tcp donde n es alrededor de menos de 10,
  • n × N en {80,443} / tcp donde n corresponde a sus servidores web oficiales y N es alrededor de 1000 (dependiendo de la fama de sus servidores web).

Un cliente (o nodo) Tor mostrará un tráfico que se verá así:

  • 1 × 1 en 443 / tcp,
  • o 1 × N en 443 / tcp donde N es alrededor de 1000, como un retorno del tráfico desde un @IP interno donde no tiene un servidor web oficial.

Una VPN basada en SSL se parece mucho a un cliente Tor de este análisis bahavioural muy básico. Pero una prueba rápida en el @IP dst más notablemente un whois @IP dst básico aclarará esto dentro de 10s.

    
respondido por el daniel Azuelos 23.05.2015 - 13:26
fuente

Lea otras preguntas en las etiquetas