TOR salir del nodo como espejo CentOS

0

Hoy vimos el tráfico que va desde los servidores CentOS a un nodo de salida TOR. Esto provocó algunas cejas levantadas y nos llevó a investigar lo que estaba pasando.

Al final, resultó que este nodo de salida también actúa como un espejo del repositorio de CentOS y yum decidió que era nuestro espejo más rápido.

Ahora que lo sabemos, debería no causar daño, me pregunto si otros también notaron este tipo de comportamiento.

¿Cómo deberíamos tratar este espejo? ¿Deberíamos incluir en la lista negra todos los nodos de salida de TOR conocidos?

    
pregunta RobAu 04.10.2017 - 13:43
fuente

3 respuestas

3

Suponiendo que la conexión era legítima (originada en Yum / Dnf sobre el protocolo y puerto esperado) no hay problemas, incluso si el repositorio comenzó a servir paquetes maliciosos, no se instalarán ya que el administrador de paquetes verifica las firmas localmente.

Asegúrese de que la conexión sea realmente legítima y que su binario Yum / Dnf no esté comprometido. Parece una buena estrategia de ocultación para colocar el malware en el administrador de paquetes y tener el servidor actúa como un paquete de recompra para engañar a los administradores desprevenidos y hacer que piensen que es solo el administrador de paquetes haciendo su trabajo legítimo, mientras que de hecho está hablando con su servidor C & C.

    
respondido por el André Borie 04.10.2017 - 14:22
fuente
1
  

¿Cómo deberíamos tratar este espejo? ¿Deberíamos incluir en la lista negra todos los nodos de salida de TOR conocidos?

Eso depende de tu modelo de amenaza.

No todo el tráfico relacionado con un nodo Tor es malicioso. La naturaleza de DNS / IP es que las cosas cambian y se reasignan, o se asocian con plataformas compartidas, por lo que una lista negra demasiado entusiasta que no vigila y purga continuamente puede tener consecuencias no deseadas.

Igual que con el bloqueo del rango de IP de un país entero, depende de su organización determinar si esto es aceptable o no.

    
respondido por el Ivan 05.10.2017 - 01:45
fuente
1

Mientras el tor binario no sea vulnerable, no hay problema en ello. Los usuarios de Tor pueden acceder a los archivos duplicados (y probablemente es por eso que configuran el nodo en el espejo / la duplicación en el nodo), pero no pueden modificarlos. Al menos no más fácil que cualquier otro usuario, que pueda llegar al espejo.

Y no debería ser una amenaza para usted, incluso cuando algo se modificaría, ya que los paquetes están firmados por una clave que no pertenece al espejo sino a los mantenedores de paquetes.

    
respondido por el allo 05.10.2017 - 16:42
fuente

Lea otras preguntas en las etiquetas