Tor/VNP等は脅威か、つまりIPアドレスを禁止する意味はあるか

一般
1

Blocking Tor Users by Default からの議論の続きです。

リンクされた記事は、Discourseをどのように保護すべきかについて、何ら役割を担っていません。それは、中国やロシアのような国に住んでいる人々のためのものです。

私が理解しているように、IPアドレスを禁止しても一時的な効果しかないのは、ユーザーエージェントを禁止するのと同じような行為です。それは、あなたに危害を加えようとしない、悪い振る舞いをする者に対してのみ有効です。しかし、悪意のある者に対しては…時間の無駄です。

IPアドレスやユーザーエージェントを変更することは、攻撃者に対しては全く役に立たない、取るに足らないトリックです。私はブラックハットの話をしているのではなく、フォーラムを破壊しようとしたり、誰かの人生を惨めなものにしようとしたりするアホの話をしています。

アプリケーションは、他の場所で行われるべきタスクを実行すべきではありません。例えば、ファイアウォールやパケットフィルタリング全般です。しかし、ユーザーエージェントをブロックしたり、crontab以外のものを使用したりすることで、すでに実行されています。これは似たような状況でしょうか。

何も要求しませんが、意見(そして、もしあればトリックも)を聞きたいと思います。

  • 自己ホスト型管理者はどのようなセキュリティ対策を行うべきか
  • Discourseは怒っていて熟練した人々に対して脆弱か(バウンティプログラムがあることは知っていますが、それは別の話です)
  • そして、メタレベルで言えば、IPアドレスとユーザーエージェントの禁止は、すでにこの戦争に負けているため、偽の安心感を与えるためのギミックに過ぎないのでしょうか :wink:

アイデアはありますか?

「いいね!」 1
2

Akismet を試すことができます。すべてのユーザーを承認することもできます(これは非常に不便です)。しかし、実際に人間が悪意を持って行動している場合、できることはあまりありません。

シャドーバン プラグインがまだ存在する可能性があります。シャドーバン プラグインを作成する人を探しています(作成されたかどうか、または利用可能かどうかはわかりません)。または、単にそのユーザーを全員がミュートしているグループに配置することもできます。

編集:存在します:Discourse Shadowban は、悪意を持って行動している悪いアクターが、自分の行動が効果がないことに気づかないようにする方法になるかもしれません。

「いいね!」 5
3

問題は、そのユーザーの大多数が悪意のある目的で使用しており、ましてやダークウェブの閲覧に特に人気があるということです。

「いいね!」 2
4

それはあなたの多数から来ました。それは事実ではありません。それはファクトイドです :wink:

悪意のある目的のほとんどはライトウェブから作られています。現在、オンラインユーザーは2人ですが、穴を探しているノッカーが20人ほどいます。実際、国を禁止することは、オニオンを禁止することよりも効果があります。

しかし、まだあまりできることはありません。既知のTorのエントリーポイントはすべて手動で禁止できますが、サーバーがそれを通知しない場合はどうでしょうか…VPNとTorに違いはなく、VPNをダークウェブの一部とは呼びません。

しかし、もちろん、彼らはアイデンティティを隠すツールを使用しています。その場合、あなたと私たちは何ができるでしょうか?米国、フランス、ドイツ、英国、中国、ロシアはネットの自由を閉じようとしましたが、政治的および財政的なてこが十分ではないため、成功しませんでした。Discourseがもっとできるとは思えません。

あるいは、彼らはできるかもしれません。悪意のある行動を特定できるAIを構築できます。しかし、現実的に考えてみましょう — 監視されている単語を超えたほとんどすべては、現時点ではSFです。

しかし、私の弱点は、IPを禁止することは時間の無駄であるということです。それはセキュリティの幻想を与えるだけで、それ以上のものはありません。他のツールがなければなりませんが、それらの選択肢は悪いものとより悪いものであり、なぜなら私たちはすべてのユーザーを何らかの方法で制限し始めることになるからです。

Discourseの信頼レベルは1つの解決策であり、実際にはまったく悪くありません。しかし、いいね(なぜいいねを数えるのに手間をかけるのか理解できません。なぜなら、TLはマーケティングツールにすぎないからです)や読書数以外の指標が必要です。どのような指標ですか?わかりません。

もし1人の男が管理者/フォーラムを追っている場合、その状況は困難です — 主に、IP禁止以外の何物でもないからです。他のすべてのノッカーはより簡単です、なぜならボットの大多数は愚かでひどくコーディングされているからです。だからこそ、現在、1つのベトナムのIPがDiscourseのWordPressの古いXMLRPCの穴を悪用しようとしています :man_facepalming:

しかし、ほとんどのアプリやサービスはバージョンを隠すように誘導しています。Discourseではありません。バージョン検出は実際には古い話だからですか、それとも他の理由がありますか?

「いいね!」 1
5

すみませんが、どういう意味ですか?

問題は、TorはそこにあるどのVPNよりもはるかにアクセスしやすいということです。TorユーザーはボタンをクリックするだけでIPアドレスを変更できます。

ところで、VPNで.onionウェブサイトにアクセスするにはどうすればよいですか?

ユーザーの場所が絶えず変化する場合(例:フランスから韓国へ)、それは疑わしい動作ではありませんか?Torリレーを検出することが不可能だとは想像できません。

2318×734 132 KB

わかりました、しかし何もしないで満足するのは十分ではありません。緩いセキュリティに満足することは壊滅的であり、事態を悪化させるだけです。

「いいね!」 1
6

数万、あるいは数十万ものDiscourseサイトが稼働しています。「気の緩んだセキュリティ」の証拠があるとは到底思えません。より堅牢なIPレベルの制御が必要な場合は、リバースプロキシで対応する必要があります。

「いいね!」 1
7

もちろん。

それなのにTorはごく一部で、実質的にすべての悪意のあるトラフィックはVPN経由で来ています。

さて、質問しなければなりません:VPNを使ったことがありますか?違いは何ですか?あなたは今、ほとんどのVPSユーザーがプレーンなOpenVPNサーバーを使用していると言っていますか?

URLを提示します。あなたの質問が理解できません。

時にはそうですが、時にはそうではありません。しかし、再び:VPNがそれを可能にするとあなたは思いますか?

もちろん検出可能です。ただし、簡単ではありません。VPSサーバーから来るすべてのユーザーを検出することはできますが、それもそれほど簡単ではありません。

そして、それはアプリに入る前にサーバーで行わなければならないタスクです。

「いいね!」 1
8

はい、しかし、IPアドレスを完全に禁止することをやめたらどうなるでしょうか? @Jagsterさんが時間の無駄だと信じているので、彼が言ったことに応答していただけです。

どうやってそれを知るのですか?

以前はVPNを使用していました、はい。しかし、仮想プライベートサーバーがこの議論に何の関係があるのですか?

VPNとTorには違いがないと言いましたね。

誰かが瞬間移動を発明しない限り、フランスから韓国にすぐに移動することはできません。

その結果、説明は一つしかありません… :wink:

少なくとも可能です。誰かがその目的のためだけの#プラグインを開発できるかもしれません… :thinking:

「いいね!」 1
9

セルフホスト型OpenVPNは、ワンクリックでIPを変更できない唯一の状況だからです。

「いいね!」 1
10

出口リレーは、設計上実際には簡単に検出できます。こちらにあります。

それに関する情報がここにあります。

ただし、これを取り込むように更新されていません。

そして、なぜ彼らがこれを行うのかについての情報がここにあります。

「いいね!」 1
11

この議論は、

真実ではありません。Torユーザーの大多数は、単に使いやすく、好奇心から使用しています。 :person_shrugging:

これはまさにNextcloudがSuspicious Logins appで行ったことであり、まもなくデフォルトで提供されるようになると考えられます。

完全に間違っています。どちらも理解していないように読めますので、これらはあらゆる意味で異なる2つのものであることを明確にしておきます。

これも真実ではありません。LinuxカーネルにWireguardが組み込まれ、展開可能になったため、VPNはこれまで以上に使いやすくなっています。Torブラウザバンドルを指している場合、MozillaはFirefox内で独自のVPNサービスを提供しているため、Torバンドルをインストールする必要さえありません。

このような会話は混乱を招きます。懸念されているのは、脆弱な公開フォーラムに対するVPNおよびTorユーザーからの脅威ですが、私が疑問に思っているのは、なぜこれらのテクノロジーを使用して、そもそもサービスを信頼できるユーザーのみにアクセス可能にしないのかということです(これがあなたにとって非常に重要な問題であると仮定した場合)。

常に。

直面している脅威が国家レベルの攻撃者である場合、はい。その場合、無制限のリソースと専門知識は、私たちが予期できる範囲をはるかに超えるため、危険にさらされることになります。危険にさらされている場合は、自分自身(またはサービス)を公開インターネットに決して公開しないことをお勧めしますが、そうではないことを願っています。 :heart:

「いいね!」 1
12

元のトピックは、望ましくないがセキュリティ関連ではない活動に関連するTorのブロックについて議論することを目的としていました。このトピックは、セキュリティに関連するTor/VPNのブロックについて議論するためにフォークされたようですが、返信を通じて目的が混同されたようです。

TorとVPNの両方をブロックする正当な理由がありますが、セキュリティのためにブロックすることはその理由の1つではありません。悪意のあるアクターはTorを使用するかもしれませんし、VPNを使用するかもしれませんし、世界中のあらゆる種類の接続(データセンター/自宅/オフィス/その他)にある、以前に侵害されたシステムを使用する可能性もあります。

同様に、Tor/VPNをブロックする特別な理由がなく、サービスが公開されていると仮定すると、正当なユーザーもこれらの接続タイプのいずれかを使用している可能性があります。

悪意のあるアクティビティが観察された場合、それが手動であっても自動化されたメカニズムであっても、特定のアクティビティに対する一時的なIPブロックは、手動攻撃をより困難にし、自動化された攻撃にはより大きく複雑なボットネットワークが必要になるため、リソースが限られているアクターにとってターゲットとしての魅力が低下する可能性があります。

「いいね!」 4
13

私は主にそれが不可能かどうか疑問に思っていました。しかし、情報提供ありがとうございました!:+1:

どうやってそれを知るのですか?

ああ、それは素晴らしいですね!チェックしてみます!

  1. はい、ウェブブラウザのことです。他のウェブブラウザと同じようにダウンロードしてすぐに使えるというのは、何かを隠したい人にとって非常に便利です。ほとんどの無料VPNはかなり怪しく(そしておそらく、あなたのデータを他の会社に売っています)、評判の良いVPNを使いたい場合は、毎月数ドルを支払う必要があります。Torは無料で評判が良いです。無料には勝てません。:person_shrugging:
  1. これは上記のポイントと似ていますが、MozillaのVPNはお金がかかります。

フォーラムがTor経由でのみアクセスできるようにしたいと思う理由は何でしょうか?「通常の」ウェブブラウザよりもかなり遅いですし、ユーザーが切り替えるように説得するのがいかに大変かを想像してみてください…:dizzy_face:

どのような文脈でですか?ただ興味があるだけで…:slight_smile:

長所と短所を比較検討する問題です。「良い」ユーザーがTorを使用している割合と、「悪い」ユーザーがTorを使用している割合はどうでしょうか?

それがどれほど効果的か分かりません。Torネットワークの大きさを考えると、すべてのIPアドレスをブロックしようとするのは、猫とネズミのゲームをしているようなものです。

14

あらゆる意味で?違います。それらは技術的な解決策について話している場合にのみ異なります。

ログを読んでいる管理者にとっては、それらは完全に同じです。違いはありません。VPSまたはVPSのように見えるものからリクエストを行っているユーザーがいます。

それは一方的な見方です。攻撃の試みのほとんどはVPN/Torから来ています—Torは少数ですが。攻撃者が古いパスワードリストを使用したり、古いWordPressの脆弱性を悪用しようとしたりする場合のスキルレベルは別の話です。しかし、スクリプトキディがほとんどコピー&ペーストしかできないという理由だけで何かをソースから止めないという出発点は、非常に弱いです。

しかし、このようなトピックでは、常に2つの、ほぼ反対の、世界を覚えておくべきです。

  • グローバル対ローカル
  • ビジネス対(ほぼ)すべて

最初のグループは、ネットへの入り方に基づいて、誰かが正当な人物ではないと仮定することはできません。後者のグループは、VPSやTor経由でゴミしか得られない場合、そうすることができます。

それで、この

は常に真実ではありません。それは状況によります。

それは、実際の攻撃者について話している場合に真実です。しかし、そこにはLinuxを使用していない別の怒っている人がいる場合。そして、ヘッドレスサーバー以外のものが使用されていても、それを使用する方法を知らない可能性が高いです。VPSの方がはるかに簡単です。

したがって、私たちはしばしば2つの異なる世界について話しています。またはケース。

Torには大きな問題はありません。VPNは別の話ですが、それはスクレイパーやノッカーが頻繁に使用するためです。

私にとって、状況は非常に簡単です。IPアドレスは2〜5回の試行後に変更されるため、それを禁止する意味は全くありません。私は、より大きな財務的重要性を持たない純粋なローカルサービスを運用しており、geoipを使用できます。

現在、それは使用されていません。そして、SSH、WordPress、Drupalなどにアクセスしようとする約200人の同時訪問者がいますが、Discourseに興味があるのはSEOスクレイパーだけです:rofl:

「いいね!」 1
15

それを裏付けるデータはありますか?

我々が知る限り、それは実際には全く逆である可能性もあります。 :person_shrugging:

なぜですか? 誰かのIPアドレスが、あるログイン期間中はカナダにあり、次のログイン期間中はデンマークにあり、その次のログイン期間中はジンバブエにある場合、それは正当に見えますか?

「いいね!」 1
16

ボットがVPNを使用しているようです。

「いいね!」 1
17

はい、それは全く正当なものではありません。あなたの言いたいことを私が理解していないのかもしれません。

「いいね!」 1
18

フィンガープリンティングについては、私の意見は定かではありませんが、選択肢になるかもしれません(プラグイン用かもしれません)。

AmIUniqueによると、私は「データセット全体で887481個のフィンガープリント」の中でユニークなフィンガープリントを持っています(もしそれが信頼できるなら、今見つけたばかりです)。

編集:彼らは使用する情報を示しており、webglのためにビデオカードの詳細まで、それは非常に可能です。異なるデバイス間で切り替え、ブラウザの設定をいじり続けてそれを回避しようとすることができます。そのため、完璧または問題を解決するのは簡単ではありません。

「いいね!」 1
19

すでに#プラグインになっています。

主要なウェブブラウザのほとんどは、現在フィンガープリンティングをブロックしようとしています(そして、このトピックの元の主題に戻ると、Torはおそらく明白な理由からフィンガープリンティングに対して最も耐性があります)。

ですから、数年前なら良い選択肢だったかもしれませんが、大手企業がプライバシー上の理由で広告主を取り締まっているため、ユーザーのフィンガープリンティングはますます困難になっています。

「いいね!」 1
20

ユーザーを手動で確認するようにフラグを立てるヒューリスティックである可能性があり、 outright blocking するのではなく、特定ユーザーを特定するのは難しいかもしれませんが、tor ユーザー全員を手動確認に回すのは十分公平でしょう。ほとんどのフォーラムでは、それほど多くのユーザーはいません。

(プラグインがすでにそうしている場合は申し訳ありません。モバイルなので、まだ確認していません)

「いいね!」 1