Tor/VNP/etc sont-ils une menace, c'est-à-dire. Y a-t-il un intérêt à interdire les adresses IP

Continuant la discussion de Bloquer les utilisateurs de Tor par défaut :

L’article lié n’a aucun rôle dans la manière dont nous devrions sécuriser Discourse. Il est destiné à ceux qui vivent dans des pays comme la Chine et la Russie.

Comme je le vois, le problème est que bannir une adresse IP n’aide que peu de temps et c’est une action similaire à bannir un agent utilisateur. Cela ne fonctionne que contre ceux qui se comportent mal et qui n’essaient pas de vous nuire. Mais les malveillants… perte de temps totale.

Changer d’IP ou d’agent utilisateur est une astuce si triviale qu’elle n’aide pas contre un attaquant — je ne parle pas de pirates informatiques, mais de connards qui essaient de casser un forum ou de rendre la vie de quelqu’un misérable.

Une application ne devrait pas faire des tâches qui devraient être faites ailleurs. Comme un pare-feu ou un filtrage de paquets en général. Mais elle le fait déjà en bloquant les agents utilisateurs et en utilisant autre chose que crontab. Est-ce une situation similaire.

Je ne demande rien, mais j’aimerais entendre des opinions (et pourquoi pas des astuces aussi)

• quelles mesures de sécurité un administrateur auto-hébergé devrait-il prendre
• Discourse est-il vulnérable contre des personnes en colère et compétentes (je sais que vous avez un programme de primes, mais c’est une autre histoire)
• et plus ou moins sur le niveau méta : les interdictions d’IP et d’agent utilisateur ne sont-elles qu’un gadget pour donner un faux sentiment de sécurité parce que nous avons déjà perdu cette guerre

Des idées ?

Vous pouvez essayer akismet. Vous pouvez essayer d’approuver tous les utilisateurs (ce qui est très gênant). Mais s’il s’agit d’un humain réel qui essaie de vous importuner, il n’y a pas grand-chose que vous puissiez faire.

Je pense qu’il existe peut-être encore un plugin de bannissement fantôme. À la recherche de quelqu’un pour créer un plugin de bannissement fantôme (je ne sais pas s’ils l’ont créé ou s’il est disponible). Ou vous pourriez simplement garder l’utilisateur dans un groupe que tout le monde a mis en sourdine.

Edit : il existe : Discourse Shadowban pourrait être un moyen de faire en sorte que le mauvais acteur ne réalise pas que ce qu’il fait de malveillant n’a aucun effet.

Le problème est qu’une majorité de ses utilisateurs l’utilisent à des fins malveillantes, sans parler du fait qu’il est particulièrement populaire pour naviguer sur le dark web.

Cette majorité vient de vous. Ce n’est pas un fait. C’est un fait divers ;)\n\nLa plupart des intentions malveillantes proviennent du web clair. En ce moment, j’ai deux utilisateurs en ligne, mais une vingtaine de tentatives d’intrusion essaient de trouver des failles. Bannir des pays aide plus que bannir des onions.\n\nMais il n’y a toujours pas grand-chose à faire. Vous pouvez bannir manuellement tous les points d’entrée Tor connus, mais si un serveur ne l’indique pas… Il n’y a pas de différence entre VPN et Tor, et nous ne qualifions pas les VPN de partie du dark web.\n\nMais bien sûr, ils utilisent des outils qui cachent leur identité. Que pouvez-vous et que pouvons-nous faire alors ? Les États-Unis, la France, l’Allemagne, le Royaume-Uni, la Chine et la Russie ont essayé de restreindre la liberté du net, sans succès car il n’y a pas assez de levier politique et financier. Je ne vois pas comment Discourse pourrait faire plus.\n\nOu ils le peuvent. Ils peuvent développer une IA capable d’identifier les comportements malveillants. Mais soyons réalistes ici - presque tout au-delà des mots surveillés relève de la science-fiction à l’heure actuelle.\n\nMais mon point faible est que bannir les IP est une pure perte de temps. Cela donne juste une illusion de sécurité, rien de plus. Il doit y avoir d’autres outils, mais ces options sont mauvaises et pires, car nous devrions alors commencer à limiter tous les utilisateurs d’une manière ou d’une autre.\n\nLe niveau de confiance de Discourse est une solution et en fait pas mal du tout. Mais il devrait y avoir d’autres métriques que les likes (je ne comprends juste pas pourquoi s’embêter à compter les likes, car alors le TL est un outil marketing, rien d’autre) ou les lectures. Quelles métriques ? Je ne sais pas.\n\nSi un seul gars s’en prend à un admin/forum, la situation est difficile - principalement parce qu’il n’y a rien d’autre que des bannissements d’IP. Tous les autres intrus sont plus faciles, car la majorité des bots sont stupides et mal codés. C’est pourquoi en ce moment une IP vietnamienne essaie d’exploiter une ancienne faille XMLRPC de WordPress sur Discourse \n\nMais la plupart des applications et services incitent à cacher la version. Pas Discourse. Est-ce parce que le reniflement de version est une vieille histoire ou y a-t-il d’autres raisons ?

Désolé, mais qu’entendez-vous par là ?

Le problème est que Tor est beaucoup plus accessible que n’importe quel VPN. Les utilisateurs de Tor peuvent simplement changer leur adresse IP en cliquant sur un bouton.

Au fait, comment un VPN vous permettrait-il d’accéder à un site web .onion ?

Si la localisation d’un utilisateur change constamment (par exemple, de la France à la Corée du Sud) de manière répétée, n’est-ce pas un comportement suspect ? Je n’arrive pas à imaginer que les relais Tor soient impossibles à détecter.

2318×734 132 KB

D’accord, mais se contenter de rien, ce n’est pas suffisant. La complaisance face à une sécurité laxiste est désastreuse et ne fait qu’aggraver les choses.

Il existe des dizaines ou des centaines de sites Discourse en fonctionnement. Il n’est pas clair qu’il y ait des preuves d’une « sécurité laxiste ». Si vous souhaitez un contrôle plus robuste au niveau IP, vous devrez le faire avec un proxy inverse.

Bien sûr.

Et pourtant, Tor est marginal et pratiquement tout le trafic malveillant provient des VPN.

Maintenant, je dois demander : avez-vous déjà utilisé un VPN ? Quelle est la différence ? Dites-vous maintenant que la plupart des utilisateurs de VPN utilisent un serveur OpenVPN simple ?

Je donne l’URL. Je ne comprends pas votre question.

Parfois oui, parfois non. Mais encore une fois : et pensez-vous que les VPN le permettent ?

Bien sûr que si. Pas facilement, cependant. Vous pouvez essayer de détecter tous les utilisateurs venant des serveurs VPN, ce n’est pas si facile non plus.

Et c’est une tâche qui doit être effectuée au niveau du serveur avant d’entrer dans une application.

Oui, mais que se passerait-il si les gens cessaient complètement d’interdire les adresses IP ? Je répondais juste à ce que @Jagster a dit puisqu’il pense que c’est une perte de temps.

Comment le savez-vous ?

J’ai déjà utilisé des VPN, oui. Mais qu’est-ce que les serveurs privés virtuels ont à voir avec cette discussion ?

Vous avez dit qu’il n’y avait pas de différences entre les VPN et Tor.

À moins que quelqu’un n’ait inventé la téléportation, vous ne pouvez pas passer immédiatement de la France à la Corée du Sud.

Par conséquent, il n’y a qu’une seule explication…

Au moins, c’est possible. Peut-être que quelqu’un pourrait développer un Plugin à cet effet…

Parce que OpenVPN auto-hébergé est la seule situation où l’on ne peut pas changer d’IP en un clic.

Les relais de sortie sont en fait triviaux à détecter par conception. Les voici.

Il y a quelques informations à ce sujet ici :

Bien que cela n’ait pas été mis à jour pour intégrer ceci :

Et il y a quelques informations sur la raison pour laquelle ils font cela ici :

Cette discussion n’a pas de sens, car

Ce n’est pas vrai, la majorité des utilisateurs de Tor l’utilisent simplement parce qu’il est facile de commencer et qu’ils sont curieux.

C’est exactement ce que Nextcloud a fait avec l’application Suspicious Logins, qui, je crois, sera bientôt proposée par défaut.

Complètement faux. Je lis cela comme un manque de compréhension des deux, donc je clarifie simplement qu’il s’agit de deux choses différentes en tout point.

Ce n’est pas vrai non plus, car les VPN sont plus faciles que jamais à utiliser maintenant que nous avons Wireguard intégré au noyau Linux et prêt à être déployé. Si vous faites référence au Tor browser bundle, rappelez-vous que Mozilla propose désormais son propre service VPN au sein de Firefox, ce qui signifie que vous n’auriez même pas besoin d’installer le bundle Tor.

Les conversations comme celle-ci sont déroutantes. Ma compréhension est que la préoccupation concerne les menaces des utilisateurs de VPN et de Tor envers un forum public vulnérable, mais ce que je me demande, c’est pourquoi vous n’utilisez pas ces technologies pour rendre votre service accessible uniquement aux utilisateurs de confiance dès le départ (en supposant qu’il s’agisse d’un problème d’une importance capitale pour vous).

Toujours.

Si la menace à laquelle vous êtes confronté est un acteur de niveau étatique, alors oui. Dans ce cas, vous seriez en danger car des ressources et une expertise illimitées dépassent de loin ce que nous pouvons anticiper. Si vous êtes en danger, je vous suggère de ne jamais vous exposer (ou vos services) sur Internet public, mais j’espère que ce n’est pas le cas.

Le sujet d’origine avait pour but de discuter du blocage de Tor en relation avec des activités indésirables mais non liées à la sécurité. J’ai l’impression que celui-ci a été bifurqué pour discuter du blocage de Tor/VPN en relation avec la sécurité, mais les objectifs se sont mélangés au fil des réponses.

Il existe des raisons légitimes de bloquer Tor et les VPN, cependant le faire pour des raisons de sécurité n’en est pas une. Les acteurs malveillants peuvent utiliser Tor, ils peuvent utiliser des VPN, ils peuvent également utiliser des systèmes précédemment compromis qui pourraient se trouver sur tout type de connexion (centre de données / domicile / bureau / n’importe quoi) n’importe où dans le monde.

De même, en supposant que votre service soit accessible au public sans raison spécifique de bloquer Tor/VPN, les utilisateurs légitimes peuvent également se trouver sur l’un de ces types de connexion.

Si une activité malveillante est observée, que ce soit manuellement ou avec un mécanisme automatique, le blocage temporaire des adresses IP pour cette activité spécifique peut rendre les attaques manuelles plus difficiles et les attaques automatisées nécessitent un réseau de bots plus grand et plus complexe, rendant potentiellement votre service moins attrayant comme cible pour les acteurs disposant de ressources limitées.

Je me demandais surtout si c’était impossible. Merci pour l’information cependant !

Comment le sauriez-vous cependant ?

Oh, c’est génial ! Je vais devoir y jeter un œil !

1. Oui, je fais référence au navigateur Web. Le fait de pouvoir simplement le télécharger et l’avoir opérationnel comme n’importe quel autre navigateur Web est extrêmement pratique pour quiconque cherche à cacher ce qu’il fait. La plupart des VPN gratuits sont assez louches (et selon toute vraisemblance, ils vendent vos données à d’autres entreprises), et si vous voulez utiliser un VPN réputé, vous devrez débourser quelques dollars chaque mois. Tor est gratuit et réputé. On ne peut tout simplement pas rivaliser avec la gratuité.

2. C’est un point similaire à celui ci-dessus, mais le VPN de Mozilla coûte de l’argent.

Pourquoi un forum voudrait-il se rendre exclusivement accessible via Tor ? C’est considérablement plus lent que les navigateurs Web “normaux”, et imaginez le cauchemar d’essayer de faire changer les utilisateurs…

Dans quel contexte ? Juste par curiosité…

C’est une question de peser le pour et le contre. Quel est le pourcentage d’utilisateurs “bons” utilisant Tor par rapport au pourcentage d’utilisateurs “mauvais” utilisant Tor ?

Je ne suis pas sûr de l’efficacité. Compte tenu de la taille du réseau Tor, ce serait comme jouer au chat et à la souris pour essayer de bloquer toutes les adresses IP.

En tout sens ? Non, ce n’est pas le cas. Ceux-ci ne sont différents que lorsque nous parlons de la solution technique derrière ceux-ci.

Pour un administrateur qui lit les journaux, c’est totalement pareil. Il n’y a aucune différence. Il y a un utilisateur qui fait des requêtes à partir d’une IP changeante qui mène à un VPS/quelque chose qui ressemble à un VPS…

C’est un point de vue. La plupart des tentatives d’attaque proviennent de VPN/tor — tor est une minorité, cependant. Le niveau de compétence lorsque ces attaquants utilisent d’anciennes listes de mots de passe ou tentent d’exploiter d’anciens trous WordPress est une autre histoire. Mais un tel point de départ où nous n’arrêtons pas quelque chose à la source simplement parce qu’un script kiddie peut à peine copier-coller, est vraiment faible.

Mais dans des sujets comme celui-ci, il faut toujours se rappeler qu’il existe deux mondes, presque opposés :

• mondial vs. local
• affaires vs. (presque) tout

Les premiers ne peuvent pas supposer que quelqu’un n’est pas une personne légitime juste en fonction de la façon dont il/elle/iel est entré sur le net. Les seconds le peuvent lorsqu’ils ne reçoivent que des déchets via VPS et tor.

Donc, alors ceci

n’est pas toujours vrai. Ça dépend.

C’est vrai si nous parlons de vrais attaquants. Mais quand il y a juste une autre personne énervée qui n’utilise pas Linux. Et même s’il y avait quelque chose d’autre utilisé qu’un serveur headless, il y a de fortes chances qu’il/elle/iel ne sache tout simplement pas comment l’utiliser. Un VPS est beaucoup plus facile.

Donc, nous parlons assez souvent maintenant de deux mondes différents. Ou de cas différents.

Je n’ai pas de gros problèmes avec tor. VPN est une autre histoire, mais c’est juste parce que les scrapers et les knockers l’utilisent si souvent.

Pour moi, la situation est assez simple. Il n’y a aucun intérêt à bannir une IP car elle changera après 2-5 tentatives. Je suis dans une solution si simple que je gère des services purement locaux sans aucune importance financière majeure et je peux utiliser geoip.

Actuellement, ce n’est pas utilisé, cependant. Et j’ai plus ou moins 200 visiteurs simultanés essayant d’accéder à SSH, WordPress, Drupal… vous l’appelez, mais seuls les scrapers SEO s’intéressent à Discourse

Avez-vous des données pour étayer cela ?

Pour autant que nous sachions, cela pourrait être le contraire.

Pourquoi pas ? Si l’adresse IP de quelqu’un est au Canada pendant une période de connexion, puis au Danemark pendant la période de connexion suivante, puis au Zimbabwe pendant la période de connexion suivante, cela semble-t-il légitime ?

Il semble qu’un bot utilise un VPN.

Oui, et ce n’est certainement pas légitime. Peut-être que je ne comprends pas le point que vous essayez de faire passer ?

Je ne suis pas sûr de mon opinion sur l’empreinte digitale, mais cela pourrait être une option (peut-être pour un plugin)

AmIUnique dit que j’ai une empreinte digitale unique parmi “887481 empreintes digitales dans l’ensemble de notre ensemble de données” (s’ils sont dignes de confiance, je viens de le trouver maintenant)

edit : ils montrent les informations qu’ils utilisent, et c’est beaucoup, même des détails de ma carte vidéo à cause du webgl, c’est totalement faisable, on pourrait changer entre différents appareils, et continuer à tripoter la configuration du navigateur pour essayer de le contourner, donc ce ne sera pas parfait ou facile de résoudre le problème

C’est déjà un Plugin.

La plupart des principaux navigateurs Web tentent désormais de bloquer le fingerprinting (et pour revenir au sujet original de ce fil de discussion, Tor est probablement le plus immunisé contre le fingerprinting pour des raisons évidentes).

Donc oui, cela aurait peut-être été une bonne option il y a quelques années, mais il devient de plus en plus difficile de faire le fingerprinting des utilisateurs à mesure que les grandes entreprises répriment les annonceurs pour des raisons de confidentialité.

Il pourrait s’agir d’une heuristique et signaler l’utilisateur pour vérification manuelle au lieu de le bloquer immédiatement, de sorte qu’il pourrait être agressif dans son identification.

Tor pourrait être difficile à identifier un utilisateur spécifique, mais il serait juste de soumettre tous les utilisateurs Tor à une vérification manuelle, la plupart des forums n’en auront pas beaucoup.

(Désolé si le plugin fait déjà cela, je suis sur mobile, je ne l’ai pas encore vérifié)