¿Son Tor/VNP/etc una amenaza, es decir, ¿vale la pena bloquear IPs?

Continuando la discusión de Bloquear usuarios de Tor por defecto:

La historia enlazada no tiene ningún papel en cómo deberíamos asegurar Discourse. Está pensada para aquellos que viven en países como China y Rusia.

Como veo el problema, bloquear una dirección IP solo ayuda por un corto tiempo y es una acción similar a bloquear un agente de usuario. Solo funciona contra los que se portan mal y no intentan hacerte daño. Pero los malvados… una pérdida total de tiempo.

Cambiar la IP o el agente de usuario es un truco tan trivial que simplemente no ayuda contra un atacante — no estoy hablando de hackers, sino de imbéciles que intentan romper un foro o hacerle la vida miserable a alguien.

Una aplicación no debería hacer tareas que deberían hacerse en otro lugar. Como el firewall o el filtrado de paquetes en general. Pero ya lo está haciendo al bloquear agentes de usuario y usar algo que no sea crontab. ¿Es esta una situación similar?

No pido nada, pero me gustaría escuchar opiniones (y por qué no trucos también)

• qué tipo de medidas de seguridad debería tomar un administrador que autoaloja
• ¿es Discourse vulnerable contra personas enfadadas y hábiles (sé que tienen un programa de recompensas, pero eso es otro juego)?
• y más o menos a nivel meta: ¿son las prohibiciones de IP y agente de usuario solo un truco para dar una falsa sensación de seguridad porque ya hemos perdido esta guerra ?

¿Ideas?

Puedes probar akismet. Puedes probar a aprobar a todos los usuarios (lo cual es muy inconveniente). Pero si un humano real está intentando ser una molestia, no hay mucho que puedas hacer.

Creo que todavía puede haber un plugin de shadow ban. Buscando a alguien que cree un plugin de shadow ban (no sé si lo crearon o si está disponible). O podrías simplemente mantener al usuario en un grupo que todos tengan silenciado.

Editar: sí existe: Discourse Shadowban podría ser una forma de hacer que el mal actor no se dé cuenta de que lo que está haciendo de forma maliciosa no está teniendo ningún efecto.

El problema es que una mayoría de sus usuarios lo utilizan para fines maliciosos, sin mencionar que es especialmente popular para navegar por la dark web.

Esa mayoría provino de ti. No es un hecho. Es un factoid

La mayoría de los propósitos maliciosos se realizan desde la web clara. Ahora mismo tengo dos usuarios en línea, pero hay unos 20 “knockers” intentando encontrar agujeros. De hecho, prohibir países ayuda más que prohibir cebollas.

Pero todavía no hay mucho que hacer. Puedes prohibir todos los puntos de entrada de Tor conocidos a mano, pero si un servidor no lo informa… No hay diferencia entre VPN y Tor, y no llamamos a las VPN parte de la dark web.

Pero, por supuesto, están usando herramientas que ocultarán la identidad. ¿Qué pueden hacer tú y nosotros entonces? Estados Unidos, Francia, Alemania, Reino Unido, China y Rusia han intentado cerrar la libertad de la red, sin éxito porque no hay suficiente influencia política y financiera. No veo cómo Discourse podría hacer más.

O pueden hacerlo. Pueden construir una IA que pueda identificar comportamientos maliciosos. Pero seamos realistas aquí: casi todo más allá de las palabras vigiladas es ciencia ficción en este momento.

Pero mi punto débil es que prohibir IPs es una pérdida de tiempo. Solo da una ilusión de seguridad, nada más. Debe haber otras herramientas, pero esas opciones son malas y peores, porque entonces deberíamos empezar a limitar a todos los usuarios de alguna manera.

El nivel de confianza de Discourse es una solución y, de hecho, no está nada mal. Pero debería haber otras métricas además de los “me gusta” (simplemente no entiendo por qué molestarse en contar los “me gusta”, porque entonces el TL es una herramienta de marketing, nada más) o las lecturas. ¿Qué métricas? No lo sé.

Si solo un tipo está detrás de un administrador/foro, la situación es difícil, principalmente porque no hay nada más que prohibiciones de IP. Todos los demás “knockers” son más fáciles, porque la mayoría de los bots son estúpidos y están mal codificados. Es por eso que ahora mismo una IP vietnamita intenta explotar un antiguo agujero XMLRPC de WordPress en Discourse

Pero la mayoría de las aplicaciones y servicios guían para ocultar la versión. No Discourse. ¿Es así porque la detección de versiones es en realidad una historia antigua o hay otras razones?

Lo siento, pero ¿a qué te refieres con eso?

El problema es que Tor es mucho más accesible que cualquier VPN. Los usuarios de Tor pueden simplemente cambiar su dirección IP con solo hacer clic en un botón.

Por cierto, ¿cómo permitiría una VPN acceder a un sitio web .onion?

Si la ubicación de un usuario cambia constantemente (por ejemplo, de Francia a Corea del Sur) una y otra vez, ¿no es eso un comportamiento sospechoso? No puedo imaginar que los relés de Tor sean imposibles de detectar.

2318×734 132 KB

De acuerdo, pero conformarse con nada no es suficiente. La complacencia con la seguridad laxa es desastrosa y solo empeora las cosas.

Hay decenas o cientos de sitios de Discourse en funcionamiento. No está claro que haya evidencia de “seguridad laxa”. Si desea tener un control más robusto a nivel de IP, deberá hacerlo con un proxy inverso.

Por supuesto.

Y sin embargo, Tor está en el margen y prácticamente todo el tráfico malicioso proviene de VPN.

Ahora tengo que preguntar: ¿alguna vez has usado VPN? ¿Dónde está la diferencia? ¿Estás diciendo ahora que la mayoría de los usuarios de VPS están usando un servidor OpenVPN simple?

Dando la URL. No entiendo tu pregunta.

A veces sí, a veces no. Pero de nuevo: ¿y crees que VPN lo permite?

Por supuesto que puede. No es fácil, sin embargo. Puedes intentar detectar a todos los usuarios que vienen de servidores VPS, eso tampoco es tan fácil.

Y es una tarea que debe hacerse en el servidor antes de entrar en una aplicación.

Sí, pero ¿y si la gente dejara de prohibir las direcciones IP por completo? Solo estaba respondiendo a lo que dijo @Jagster, ya que él cree que es una pérdida de tiempo.

¿Cómo lo sabes?

He usado VPN antes, sí. Pero, ¿qué tienen que ver los servidores privados virtuales con esta discusión?

Dijiste que no hay diferencias entre VPN y Tor.

A menos que alguien haya inventado la teletransportación, no puedes ir inmediatamente de Francia a Corea del Sur.

Como resultado, solo hay una explicación…

Al menos es posible. Quizás alguien podría desarrollar un Plugin solo para ese propósito…

Porque OpenVPN autoalojado es la única situación en la que no se puede cambiar la IP con un solo clic.

Los relés de salida son en realidad triviales de detectar por diseño. Aquí están.

Hay información al respecto aquí:

Aunque eso no se ha actualizado para incorporar esto:

Y hay información sobre por qué hacen esto aquí:

Esta discusión no tiene sentido, porque

No es cierto, la mayoría de los usuarios de Tor lo usan simplemente porque es fácil de empezar y tienen curiosidad.

Esto es exactamente lo que Nextcloud ha hecho con la aplicación de inicios de sesión sospechosos, que creo que pronto se ofrecerá por defecto.

Completamente falso. Leo esto como una falta de comprensión de ambos, así que solo aclaro que son dos cosas diferentes en todos los sentidos.

Tampoco es cierto, porque las VPN son más fáciles que nunca de usar ahora que tenemos Wireguard integrado en el kernel de Linux y listo para desplegar. Si te refieres al paquete del navegador Tor, recuerda que Mozilla ahora ofrece su propio servicio de VPN dentro de Firefox, lo que significa que ni siquiera necesitarías instalar el paquete Tor.

Conversaciones como esta son confusas. Mi entendimiento es que la preocupación son las amenazas de los usuarios de VPN y Tor a un foro público vulnerable, pero lo que me pregunto es por qué no estás utilizando estas tecnologías para hacer que tu servicio solo sea accesible a usuarios de confianza desde el principio (suponiendo que esto sea un problema de importancia crítica para ti).

Siempre.

Si la amenaza que enfrentas es un actor a nivel estatal, entonces sí. En ese caso, estarías en peligro porque los recursos ilimitados y la experiencia van mucho más allá de lo que podemos anticipar. Si estás en peligro, te sugiero que nunca te expongas (ni a tus servicios) en la internet pública, pero espero que no sea el caso.

El tema original tenía el propósito de discutir el bloqueo de Tor en relación con actividades no deseadas pero no relacionadas con la seguridad. Mi impresión es que este se bifurcó para discutir el bloqueo de Tor/VPN en relación con la seguridad, pero los propósitos se cruzaron a través de las respuestas.

Existen razones legítimas para bloquear Tor y VPN, sin embargo, hacerlo por seguridad no es una de ellas. Los malos actores pueden usar Tor, pueden usar VPN, también pueden usar sistemas previamente comprometidos que podrían estar en cualquier tipo de conexión (centro de datos / hogar / oficina / lo que sea) en cualquier parte del mundo.

Igualmente, asumiendo que su servicio está disponible públicamente sin ninguna razón específica para bloquear Tor/VPN, los usuarios legítimos también pueden estar en cualquiera de esos tipos de conexión.

Si se observa actividad maliciosa, ya sea manual o con un mecanismo automático, el bloqueo temporal de IP para esa actividad específica puede hacer que los ataques manuales sean más incómodos y que los ataques automatizados requieran una red de bots más grande y compleja, lo que podría hacer que su servicio sea menos atractivo como objetivo para actores con recursos limitados.

Me preguntaba principalmente si era imposible. ¡Gracias por la información de todos modos!

¿Pero cómo sabrías eso?

¡Oh, eso es genial! ¡Tendré que echarle un vistazo!

1. Sí, me refiero al navegador web. Poder descargarlo y tenerlo en funcionamiento como cualquier otro navegador web es extremadamente conveniente para cualquiera que busque ocultar lo que está haciendo. La mayoría de las VPN gratuitas son bastante turbias (y muy probablemente, venden tus datos a otras empresas), y si quieres usar una VPN de confianza, tendrás que desembolsar un par de dólares cada mes. Tor es gratuito y de confianza. Simplemente no puedes competir con lo gratuito.

2. Este es un punto similar al anterior, pero la VPN de Mozilla cuesta dinero.

¿Por qué querría algún foro hacerse accesible exclusivamente a través de Tor? Es considerablemente más lento que los navegadores web “normales”, e imagina la pesadilla que sería intentar que los usuarios cambiaran…

¿En qué contexto? Solo por curiosidad…

Es una cuestión de sopesar los pros y los contras. ¿Cuál es el porcentaje de usuarios “buenos” que usan Tor en comparación con el porcentaje de usuarios “malos” que usan Tor?

No estoy seguro de cuán efectivo sería eso. Considerando lo grande que es la red de Tor, sería como jugar al gato y al ratón intentando bloquear todas las direcciones IP.

¿En todos los sentidos? No lo es. Son diferentes solo cuando hablamos de la solución técnica detrás de ellos.

Para un administrador que lee registros, son totalmente iguales. No hay diferencia. Hay un usuario que realiza solicitudes desde una IP cambiante que conduce a un VPS/algo que parece un VPS…

Ese es un punto de vista. La mayoría de los intentos de ataque provienen de VPN/tor — tor es una minoría pequeña, sin embargo. El nivel de habilidad cuando esos atacantes usan listas de contraseñas antiguas o intentan explotar viejos agujeros de WordPress es otra historia. Pero un punto de partida tal en el que no detenemos algo desde la fuente solo porque un script kiddie apenas puede copiar y pegar, es realmente débil.

Pero en temas como este, siempre se debe recordar que existen dos mundos, casi opuestos:

• global vs. local
• negocios vs. (casi) todo

Los primeros no pueden asumir que alguien no es una persona legítima solo por cómo entró en la red. Los segundos pueden hacerlo cuando solo obtienen basura a través de VPS y tor.

Entonces, luego esto

no siempre es cierto. Depende.

Eso es cierto si estamos hablando de atacantes reales. Pero cuando hay solo otra persona enojada que no usa Linux. E incluso si hubiera algo más en uso que un servidor sin cabeza, hay una alta probabilidad de que simplemente no sepa cómo usarlo. Un VPS es mucho más fácil.

Entonces, a menudo estamos hablando de dos mundos diferentes. O casos.

No tengo grandes problemas con tor. VPN es otra historia, pero eso es solo porque los scrapers y los knockers lo usan con tanta frecuencia.

Para mí, la situación es bastante fácil. No tiene ningún sentido prohibir una IP porque cambiará después de 2-5 intentos. Estoy en una solución tan fácil que estoy utilizando servicios puramente locales sin ninguna importancia financiera mayor y puedo usar geoip.

Ahora mismo no está en uso, sin embargo. Y tengo más o menos 200 visitantes concurrentes intentando acceder a SSH, WordPress, Drupal… lo que sea, pero solo los scrapers de SEO están interesados en Discourse

¿Tienes algún dato que respalde eso?

Por lo que sabemos, podría ser todo lo contrario.

¿Por qué no? Si la dirección IP de alguien está en Canadá durante un período de inicio de sesión, luego en Dinamarca durante el siguiente período de inicio de sesión, luego en Zimbabue durante el siguiente período de inicio de sesión, ¿eso parece legítimo?

Parece que un bot está usando una VPN.

Sí, y eso ciertamente no es legítimo. ¿Quizás no estoy entendiendo el punto que intentas transmitir?

No estoy seguro de cuál es mi opinión sobre la huella dactilar, pero esa podría ser una opción (quizás para un plugin)

AmIUnique dice que tengo una huella dactilar única entre “887481 huellas dactilares en todo nuestro conjunto de datos” (si se les puede creer, lo acabo de encontrar ahora)

edición: muestran la información que utilizan, y es mucha, incluso detalles de mi tarjeta de video debido a webgl, es totalmente factible, uno podría cambiar entre diferentes dispositivos y seguir jugando con la configuración del navegador para intentar eludirlo, por lo que no será perfecto ni fácil de resolver el problema.

Ya es un Plugin.

La mayoría de los principales navegadores web ahora intentan bloquear la huella digital (y volviendo al tema original de este hilo, Tor es probablemente el más inmune a la huella digital por razones obvias).

Así que sí, tal vez podría haber sido una buena opción hace unos años, pero cada vez es más difícil tomar huellas digitales de los usuarios a medida que las grandes empresas toman medidas enérgicas contra los anunciantes por razones de privacidad.

Podría ser una heurística y marcar al usuario para verificación manual en lugar de bloquearlo directamente, por lo que podría ser agresivo en su identificación.

Tor podría ser difícil de identificar a un usuario específico, pero sería justo poner a todos los usuarios de Tor en verificación manual, la mayoría de los foros no tendrán muchos de ellos.

(disculpas si el plugin ya hace eso, estoy en el móvil, aún no lo he revisado)