Sind Tor/VNP/etc eine Bedrohung, aka. Gibt es einen Sinn, IPs zu sperren

Die Diskussion aus Blocking Tor Users by Default wird fortgesetzt:

Die verlinkte Story hat keine Relevanz dafür, wie wir Discourse sichern sollten. Sie richtet sich an Menschen, die in Ländern wie China und Russland leben.

Wie ich das sehe, hilft das Bannen einer IP-Adresse nur kurzfristig und ist eine ähnliche Aktion wie das Bannen eines User Agents. Es funktioniert nur gegen schlecht agierende Nutzer, die nicht versuchen, Ihnen zu schaden. Aber böswillige… reine Zeitverschwendung.

Das Ändern der IP oder des User Agents ist ein so trivialer Trick, dass er gegen einen Angreifer nichts hilft – ich spreche nicht von Black Hats, sondern von A-holes, die versuchen, ein Forum zu zerstören oder jemandem das Leben schwer zu machen.

Eine Anwendung sollte keine Aufgaben erledigen, die woanders erledigt werden sollten. Wie eine Firewall oder Paketfilterung im Allgemeinen. Aber sie erledigt dies bereits durch das Blockieren von User Agents und die Verwendung von etwas anderem als Crontab. Ist das eine ähnliche Situation.

Ich frage nichts, aber ich würde gerne Meinungen (und warum nicht auch Tricks) hören

• welche Sicherheitsmaßnahmen ein selbst hostender Administrator ergreifen sollte
• ist Discourse anfällig für wütende und geschickte Leute (ich weiß, Sie haben ein Bounty-Programm, aber das ist eine andere Sache)
• und mehr oder weniger auf Meta-Ebene: Sind IP- und User-Agent-Bans nur eine Spielerei, um ein falsches Sicherheitsgefühl zu vermitteln, weil wir diesen Krieg bereits verloren haben

Ideen?

Sie können Akismet ausprobieren. Sie können versuchen, alle Benutzer zu genehmigen (was sehr umständlich ist). Aber wenn ein tatsächlicher Mensch versucht, lästig zu sein, können Sie nicht viel tun.

Ich glaube, es gibt möglicherweise immer noch ein Shadow-Ban-Plugin. Suche nach jemandem, der ein Shadow-Ban-Plugin erstellt (Ich weiß nicht, ob sie es erstellt haben oder ob es verfügbar ist). Oder Sie könnten den Benutzer einfach in einer Gruppe belassen, die jeder stummgeschaltet hat.

Bearbeiten: Es existiert tatsächlich: Discourse Shadowban könnte eine Möglichkeit sein, den einen schlechten Akteur dazu zu bringen, nicht zu erkennen, dass das, was er tut, um böswillig zu sein, keine Wirkung hat.

Das Problem ist, dass eine Mehrheit seiner Nutzer es für böswillige Zwecke verwendet, ganz zu schweigen davon, dass es besonders beliebt für das Surfen im Dark Web ist.

Diese Mehrheit kam von Ihnen. Es ist keine Tatsache. Es ist ein Faktoid

Die meisten böswilligen Zwecke werden aus dem Light Web gemacht. Gerade jetzt sind zwei Benutzer online, aber es gibt ungefähr 20 „Knocker“, die versuchen, Lücken zu finden. Das Sperren von Ländern hilft tatsächlich mehr als das Sperren von Zwiebeln.

Aber es gibt immer noch nicht viel zu tun. Sie können jeden bekannten Tor-Einstiegspunkt von Hand sperren, aber wenn ein Server ihn nicht informiert … Es gibt keinen Unterschied zwischen VPN und Tor, und wir bezeichnen VPNs nicht als Teil des Dark Web.

Aber natürlich benutzen sie Werkzeuge, die die Identität verbergen. Was können Sie und wir dann tun? Die USA, Frankreich, Deutschland, Großbritannien, China und Russland haben versucht, die Freiheit des Netzes einzuschränken, ohne Erfolg, weil es keinen ausreichend großen politischen und finanziellen Hebel gibt. Ich sehe nicht, wie Discourse mehr tun könnte.

Oder sie können es. Sie können eine KI entwickeln, die bösartiges Verhalten identifizieren kann. Aber seien wir hier realistisch – fast alles jenseits von überwachten Wörtern ist zu diesem Zeitpunkt Science-Fiction.

Aber mein Schwachpunkt ist, dass das Sperren von IPs reine Zeitverschwendung ist. Es gibt nur die Illusion von Sicherheit, nichts weiter. Es muss andere Werkzeuge geben, aber diese Optionen sind schlecht und schlechter, weil wir dann alle Benutzer irgendwie einschränken müssten.

Das Vertrauensniveau von Discourse ist eine Lösung und eigentlich gar nicht schlecht. Aber es sollte andere Metriken als Likes geben (ich verstehe einfach nicht, warum man sich die Mühe macht, Likes zu zählen, denn dann ist TL nur ein Marketinginstrument, nichts weiter) oder Lesevorgänge. Welche Metriken? Ich weiß es nicht.

Wenn nur ein Typ hinter einem Administrator/Forum her ist, ist die Situation schwierig – hauptsächlich, weil es dort nichts anderes als IP-Sperren gibt. Alle anderen „Knocker“ sind einfacher, weil die Mehrheit der Bots dumm und schlecht programmiert ist. Deshalb versucht gerade eine vietnamesische IP, ein uraltes XMLRPC-Schwachstelle von WordPress bei Discourse auszunutzen

Aber die meisten Apps und Dienste leiten dazu an, die Version zu verbergen. Nicht Discourse. Liegt es daran, dass das Ausspähen der Version eine alte Geschichte ist oder gibt es andere Gründe?

Entschuldigung, aber was meinst du damit?

Das Problem ist, dass Tor viel zugänglicher ist als jedes VPN. Tor-Benutzer können ihre IP-Adresse mit einem Klick ändern.

Wie würde ein VPN dir übrigens den Zugriff auf eine .onion-Website ermöglichen?

Wenn sich der Standort eines Benutzers ständig ändert (z. B. von Frankreich nach Südkorea) und das immer wieder, ist das nicht verdächtiges Verhalten? Ich kann mir nicht vorstellen, dass Tor-Relais unmöglich zu erkennen sind.

2318×734 132 KB

Okay, aber sich mit nichts zufriedenzugeben ist nicht genug. Selbstzufriedenheit mit laxer Sicherheit ist katastrophal und macht die Dinge nur noch schlimmer.

Es gibt Dutzende oder Hunderte von Discourse-Sites, die laufen. Es ist nicht klar, ob es Beweise für „lasche Sicherheit“ gibt. Wenn Sie eine robustere Kontrolle auf IP-Ebene wünschen, müssen Sie dies mit einem Reverse-Proxy tun.

Natürlich.

Und doch ist Tor am Rande und praktisch jeder bösartige Verkehr kommt über VPN.

Jetzt muss ich fragen: Haben Sie jemals VPN benutzt? Wo ist der Unterschied? Sagen Sie jetzt, dass die meisten VPN-Benutzer einen einfachen OpenVPN-Server verwenden?

URL angeben. Ich verstehe Ihre Frage nicht.

Manchmal ja, manchmal nein. Aber noch einmal: und glauben Sie, VPN erlaubt das?

Natürlich kann es das. Nicht einfach, aber. Sie können versuchen, alle Benutzer zu erkennen, die von VPN-Servern kommen, das ist auch nicht so einfach.

Und es ist eine Aufgabe, die auf dem Server erledigt werden muss, bevor die App aufgerufen wird.

Ja, aber was wäre, wenn die Leute aufhören würden, IP-Adressen überhaupt zu sperren? Ich habe nur auf das geantwortet, was @Jagster gesagt hat, da er glaubt, dass es Zeitverschwendung ist.

Woher weißt du das?

Ich habe schon früher VPNs benutzt, ja. Aber was haben virtuelle private Server mit dieser Diskussion zu tun?

Du hast gesagt, dass es keine Unterschiede zwischen VPNs und Tor gibt.

Wenn niemand Teleportation erfunden hat, kann man nicht sofort von Frankreich nach Südkorea gelangen.

Daher gibt es nur eine Erklärung…

Wenigstens ist es möglich. Vielleicht könnte jemand ein Plugin genau für diesen Zweck entwickeln…

Da selbst gehostetes OpenVPN die einzige Situation ist, in der man die IP nicht mit einem Klick ändern kann.

Exit-Relays sind tatsächlich trivial zu entdecken, per Design. Hier sind sie.

Es gibt hier einige Informationen dazu:

Obwohl dies noch nicht aktualisiert wurde, um Folgendes zu berücksichtigen:

Und hier gibt es einige Informationen darüber, warum sie dies tun:

Diese Diskussion ergibt keinen Sinn, denn

Nicht wahr, die Mehrheit der Tor-Nutzer verwendet es einfach, weil es einfach zu benutzen ist und sie neugierig sind.

Genau das hat Nextcloud mit der App „Verdächtige Anmeldungen“ gemacht, die meiner Meinung nach bald standardmäßig angeboten wird.

Völlig falsch. Ich interpretiere das so, dass keiner von beiden verstanden wird, daher stelle ich nur klar, dass dies in jeder Hinsicht zwei verschiedene Dinge sind.

Auch nicht wahr, denn VPNs sind einfacher denn je zu nutzen, da wir Wireguard jetzt im Linux-Kernel integriert haben und es einsatzbereit ist. Wenn Sie sich auf das Tor Browser Bundle beziehen, denken Sie daran, dass Mozilla seinen eigenen VPN-Dienst innerhalb von Firefox anbietet, was bedeutet, dass Sie das Tor Bundle nicht einmal installieren müssten.

Gespräche wie diese sind verwirrend. Mein Verständnis ist, dass die Sorge Bedrohungen von VPN- und Tor-Nutzern für ein anfälliges öffentliches Forum betrifft, aber ich frage mich, warum Sie diese Technologien nicht nutzen, um Ihren Dienst von vornherein nur vertrauenswürdigen Nutzern zugänglich zu machen (vorausgesetzt, dies ist ein Problem von kritischer Bedeutung für Sie).

Immer.

Wenn die Bedrohung, der Sie ausgesetzt sind, ein staatlicher Akteur ist, dann ja. In diesem Fall wären Sie in Gefahr, da unbegrenzte Ressourcen und Fachwissen weit über das hinausgehen, was wir antizipieren können. Wenn Sie in Gefahr sind, empfehle ich Ihnen, sich selbst (oder Ihre Dienste) niemals im öffentlichen Internet preiszugeben, aber ich hoffe, das ist nicht der Fall.

Das ursprüngliche Thema hatte den Zweck, Tor-Blocking im Zusammenhang mit unerwünschten, aber nicht sicherheitsrelevanten Aktivitäten zu diskutieren. Mein Eindruck ist, dass dieses hier abgetrennt wurde, um Tor/VPN-Blocking im Zusammenhang mit Sicherheit zu diskutieren, aber die Zwecke haben sich durch die Antworten vermischt.

Es gibt legitime Gründe, Tor und VPNs zu blockieren, aber dies aus Sicherheitsgründen zu tun, gehört nicht dazu. Böswillige Akteure können Tor nutzen, sie können VPNs nutzen, sie können auch zuvor kompromittierte Systeme nutzen, die sich in jeder Art von Verbindung befinden können (Rechenzentrum / Zuhause / Büro / was auch immer) irgendwo auf der Welt.

Ebenso können legitime Benutzer, unter der Annahme, dass Ihr Dienst öffentlich zugänglich ist und es keinen spezifischen Grund gibt, Tor/VPNs zu blockieren, auch Verbindungen dieser Art nutzen.

Wenn bösartige Aktivitäten beobachtet werden, sei es manuell oder mit einem automatischen Mechanismus, kann eine temporäre IP-Sperre für diese spezifische Aktivität manuelle Angriffe erschweren und automatisierte Angriffe erfordern ein größeres und komplexeres Bot-Netzwerk, was Ihren Dienst möglicherweise als Ziel für Akteure mit begrenzten Ressourcen weniger attraktiv macht.

[quote=“Simon Manning, post:10, topic:240455, username:Simon_Manning”]
Exit-Relays sind von Natur aus trivial zu erkennen.
[/quote]Ich habe mich hauptsächlich gefragt, ob es unmöglich ist. Danke für die Information!

[quote=“james.network, post:11, topic:240455, username:sunjam”]
Nicht wahr, die Mehrheit der Tor-Nutzer nutzt es einfach, weil es einfach zu benutzen ist und sie neugierig sind.
[/quote]Woher willst du das wissen?

[quote=“james.network, post:11, topic:240455, username:sunjam”]
Das ist genau das, was Nextcloud mit der App für verdächtige Anmeldungen gemacht hat, die meiner Meinung nach bald standardmäßig angeboten wird.
[/quote]Oh, das ist großartig! Das muss ich mir ansehen!

[quote=“james.network, post:11, topic:240455, username:sunjam”]
Auch nicht wahr, denn VPNs sind einfacher zu benutzen als je zuvor, da wir Wireguard in den Linux-Kernel integriert haben und es einsatzbereit ist. Wenn Sie sich auf das Tor-Browser-Bundle beziehen, denken Sie daran, dass Mozilla jetzt einen eigenen VPN-Dienst innerhalb von Firefox anbietet, was bedeutet, dass Sie das Tor-Bundle nicht einmal installieren müssten.
[/quote]1. Ja, ich beziehe mich auf den Webbrowser. Die Möglichkeit, ihn einfach herunterzuladen und wie jeden anderen Webbrowser zu starten, ist für jeden, der seine Aktivitäten verbergen möchte, extrem praktisch. Die meisten kostenlosen VPNs sind ziemlich zwielichtig (und höchstwahrscheinlich verkaufen sie Ihre Daten an andere Unternehmen), und wenn Sie ein seriöses VPN nutzen möchten, müssen Sie jeden Monat ein paar Dollar dafür ausgeben. Tor ist kostenlos und seriös. Man kann einfach nicht mit kostenlos konkurrieren.

2. Das ist ein ähnlicher Punkt wie der obige, aber Mozillas VPN kostet Geld.

[quote=“james.network, post:11, topic:240455, username:sunjam”]
Gespräche wie diese sind verwirrend. Mein Verständnis ist, dass die Sorge von VPNs und Tor-Nutzern für ein anfälliges öffentliches Forum ausgeht, aber ich frage mich, warum Sie diese Technologien nicht nutzen, um Ihren Dienst von vornherein nur vertrauenswürdigen Nutzern zugänglich zu machen (vorausgesetzt, dies ist ein Thema von kritischer Bedeutung für Sie).
[/quote]Warum sollte ein Forum sich ausschließlich über Tor zugänglich machen wollen? Es ist erheblich langsamer als „normale“ Webbrowser, und stellen Sie sich nur den Albtraum vor, Nutzer zum Wechseln zu bewegen…

[quote=“Simon Manning, post:12, topic:240455, username:Simon_Manning”]
Es gibt legitime Gründe, Tor und VPNs zu blockieren, aber dies aus Sicherheitsgründen zu tun, ist keiner davon.
[/quote]In welchem Kontext? Nur neugierig…

[quote=“Simon Manning, post:12, topic:240455, username:Simon_Manning”]
Ebenso, wenn Ihr Dienst öffentlich zugänglich ist und es keinen besonderen Grund gibt, Tor/VPNs zu blockieren, können legitime Nutzer auch über eine dieser Verbindungsarten verfügen.
[/quote]Es ist eine Frage des Abwägens von Vor- und Nachteilen. Wie hoch ist der Prozentsatz der „guten“ Nutzer, die Tor nutzen, im Vergleich zum Prozentsatz der „schlechten“ Nutzer, die Tor nutzen?

[quote=“Simon Manning, post:12, topic:240455, username:Simon_Manning”]
Wenn bösartige Aktivitäten beobachtet werden, sei es manuell oder mit einem automatischen Mechanismus, kann eine temporäre IP-Sperrung für diese spezifische Aktivität manuelle Angriffe erschweren und automatisierte Angriffe erfordern ein größeres und komplexeres Bot-Netzwerk, was Ihren Dienst möglicherweise für Akteure mit begrenzten Ressourcen weniger attraktiv macht.
[/quote]Ich bin mir nicht sicher, wie effektiv das wäre. Angesichts der Größe des Tor-Netzwerks wäre es wie ein Katz-und-Maus-Spiel, alle IP-Adressen zu blockieren.

In jeder Hinsicht? Nein, das ist es nicht. Diese sind nur unterschiedlich, wenn wir über die technische Lösung dahinter sprechen.

Für einen Administrator, der Logs liest, sind sie völlig gleich. Es gibt keinen Unterschied. Da gibt es einen Benutzer, der Anfragen von einer wechselnden IP-Adresse stellt, die zu einem VPS/etwas führt, das wie ein VPS aussieht…

Das ist eine Sichtweise. Die meisten Angriffsversuche kommen von VPN/Tor – Tor ist zwar eine kleine Minderheit. Das Fähigkeitsniveau, wenn diese Angreifer alte Passwortlisten verwenden oder versuchen, alte WordPress-Lücken auszunutzen, ist eine andere Geschichte. Aber ein solcher Ausgangspunkt, an dem wir etwas nicht an der Quelle stoppen, nur weil ein Skript-Kiddie kaum kopieren und einfügen kann, ist wirklich schwach.

Aber bei Themen wie diesem sollte man immer bedenken, dass es da draußen zwei, fast gegensätzliche Welten gibt:

• global vs. lokal
• Geschäft vs. (fast) alles

Erstere können nicht davon ausgehen, dass jemand keine legitime Person ist, nur basierend darauf, wie er/sie/es ins Netz gekommen ist. Letztere können das, wenn sie über VPS und Tor nur Müll erhalten.

Also, dann das hier

ist nicht immer wahr. Es kommt darauf an.

Das stimmt, wenn wir über echte Angreifer sprechen. Aber wenn da draußen nur eine andere verärgerte Person ist, die kein Linux benutzt. Und selbst wenn etwas anderes als ein Headless-Server verwendet würde, besteht eine hohe Wahrscheinlichkeit, dass er/sie/es es einfach nicht zu benutzen weiß. VPS ist viel einfacher.

Also – wir sprechen hier oft über zwei verschiedene Welten. Oder Fälle.

Ich habe keine größeren Probleme mit Tor. VPN ist eine andere Geschichte, aber das liegt nur daran, dass Scraper und Hacker es so oft benutzen.

Für mich ist die Situation ziemlich einfach. Es gibt absolut keinen Sinn, eine IP zu sperren, da sie nach 2-5 Versuchen wechselt. Ich bin in einer so einfachen Lösung, dass ich reine lokale Dienste ohne größere finanzielle Bedeutung betreibe und GeoIP verwenden kann.

Im Moment ist es jedoch nicht in Gebrauch. Und ich habe mehr oder weniger 200 gleichzeitige Besucher, die versuchen, auf SSH, WordPress, Drupal… zuzugreifen, aber nur SEO-Scraper interessieren sich für Discourse

Hast du dafür irgendwelche Daten?

Wir wissen nicht, ob das nicht auch das genaue Gegenteil sein könnte.

Warum nicht? Wenn die IP-Adresse einer Person während einer Anmeldung in Kanada ist, dann bei der nächsten Anmeldung in Dänemark und dann bei der nächsten Anmeldung in Simbabwe, erscheint das legitim?

Es scheint, als würde ein Bot ein VPN verwenden.

Ja, und das ist mit Sicherheit nicht legitim. Vielleicht verstehe ich den Punkt nicht, den Sie vermitteln wollen?

Ich bin mir nicht sicher, was ich vom Fingerprinting halten soll, aber das könnte eine Option sein (vielleicht für ein Plugin).

AmIUnique sagt, ich hätte einen einzigartigen Fingerabdruck unter „887481 Fingerabdrücken in unserem gesamten Datensatz“ (wenn man ihnen trauen kann, ich habe es gerade erst gefunden).

Bearbeitung: Sie zeigen die Informationen an, die sie verwenden, und es sind viele, sogar Details von meiner Grafikkarte wegen WebGL. Es ist absolut machbar, man könnte zwischen verschiedenen Geräten wechseln und die Browserkonfiguration immer wieder ändern, um es zu umgehen. Es wird also nicht perfekt oder einfach sein, das Problem zu lösen.

Es ist bereits ein Plugin.

Die meisten großen Webbrowser versuchen inzwischen, Fingerprinting zu blockieren (und um zum ursprünglichen Thema dieses Threads zurückzukehren: Tor ist aus offensichtlichen Gründen wahrscheinlich am immunsten gegen Fingerprinting).

Also ja, es hätte vor ein paar Jahren eine gute Option sein können, aber es wird immer schwieriger, Benutzer zu fingerprinten, da große Unternehmen aus Datenschutzgründen gegen Werbetreibende vorgehen.

Es könnte eine Heuristik sein und den Benutzer zur manuellen Überprüfung markieren, anstatt ihn sofort zu blockieren, sodass er aggressiv bei der Identifizierung sein könnte.

Tor ist vielleicht schwer zu identifizieren, aber es wäre fair genug, alle Tor-Benutzer zur manuellen Überprüfung zu schicken, die meisten Foren werden nicht viele davon haben.

(Entschuldigung, falls das Plugin das bereits tut, ich bin mobil, habe es noch nicht überprüft)