Tor/VNP и аналоги представляют угрозу? Имеет ли смысл блокировать IP-адреса

Продолжаем обсуждение из темы Блокировка пользователей Tor по умолчанию:

Ссылка на статью не содержит никаких рекомендаций о том, как нам следует защищать Discourse. Она предназначена для тех, кто живёт в таких странах, как Китай и Россия.

Как я вижу, проблема в том, что блокировка IP-адреса помогает лишь на короткое время, и это действие аналогично блокировке user-agent. Это работает только против тех, кто ведёт себя плохо, но не пытается вам навредить. А вот настоящие злоумышленники… это полная трата времени.

Смена IP-адреса или user-agent — это настолько тривиальный трюк, что это просто не помогает против атакующего. Я говорю не о чёрных хакерах, а о придурках, которые пытаются сломать форум или сделать чью-то жизнь невыносимой.

Приложение не должно выполнять задачи, которые должны решаться где-то ещё. Например, межсетевой экран или фильтрация пакетов. Но Discourse уже блокирует user-agent и использует что-то другое вместо crontab. Это похожая ситуация.

Я ничего не прошу, но хотел бы услышать мнения (и почему бы не трюки тоже):

• какие меры безопасности должен предпринимать администратор при самостоятельном размещении
• уязвим ли Discourse перед злыми и умелыми людьми (я знаю, что у вас есть программа вознаграждений, но это совсем другая история)
• и в более или менее мета-уровне: являются ли баны по IP и user-agent просто трюком, создающим ложное чувство безопасности, потому что мы уже проиграли эту войну

Идеи?

Вы можете попробовать Akismet. Можно также одобрять всех пользователей (но это очень неудобно). Однако если настоящий человек пытается вести себя назойливо, вы мало что можете сделать.

Кажется, что плагин для теневой блокировки всё ещё существует. Ищем того, кто создаст плагин для теневой блокировки (не знаю, создали ли его или доступен ли он). Или же можно просто добавить пользователя в группу, которую все игнорируют.

Редакция: такой плагин существует: Discourse Shadowban. Это может быть способом сделать так, чтобы один негодный участник не понял, что его злонамеренные действия не приносят никакого эффекта.

Проблема в том, что большинство его пользователей используют его в злонамеренных целях, не говоря уже о том, что он особенно популярен для просмотра тёмной сети.

Это большинство пришло от вас. Это не факт, а фактоид

Большинство злонамеренных действий исходит из поверхностного веба. Прямо сейчас у меня два онлайн-пользователя, но около 20 «стукачей» пытаются найти уязвимости. На самом деле блокировка стран помогает больше, чем блокировка onion-адресов.

Но пока ещё не так много можно сделать. Можно вручную заблокировать все известные точки входа Tor, но если сервер не сообщает об этом… Разницы между VPN и Tor нет, и мы же не называем VPN частью тёмного веба.

Конечно, они используют инструменты, скрывающие личность. Что тогда можем сделать вы и мы? США, Франция, Германия, Великобритания, Китай и Россия пытались ограничить свободу интернета, но безрезультатно, потому что у них нет достаточно большого политического и финансового рычага. Не вижу, как Discourse мог бы сделать больше.

Или мог бы. Они могли бы создать ИИ, способный выявлять злонамеренное поведение. Но будем реалистами — практически всё, что выходит за рамки мониторинга ключевых слов, на данном этапе является научной фантастикой.

Однако моя слабая точка в том, что блокировка IP-адресов — это пустая трата времени. Это создаёт лишь иллюзию безопасности, не более. Должны существовать другие инструменты, но эти варианты плохи и ещё хуже, потому что тогда нам придётся как-то ограничивать всех пользователей.

Уровни доверия в Discourse — одно из решений, и на самом деле оно неплохое. Но должны быть другие метрики, помимо лайков (я просто не понимаю, зачем вообще считать лайки, ведь тогда TL становится маркетинговым инструментом, и ничем больше) или просмотров. Какие метрики? Не знаю.

Если один человек преследует администратора или форум, ситуация сложная — в основном потому, что кроме блокировок IP здесь ничего нет. Все остальные «стукачи» проще, потому что большинство ботов глупые и плохо написаны. Вот почему прямо сейчас один вьетнамский IP пытается эксплуатировать древнюю уязвимость XMLRPC в WordPress на Discourse

Но большинство приложений и сервисов стремятся скрыть версию. Не Discourse. Это потому, что определение версии — уже старая история, или есть какие-то другие причины?

Извините, но что вы имеете в виду?

Проблема в том, что Tor гораздо доступнее любого VPN. Пользователи Tor могут просто сменить свой IP-адрес одним кликом.

Кстати, как VPN может позволить вам получить доступ к сайту .onion?

Если местоположение пользователя постоянно меняется (например, из Франции в Южную Корею) снова и снова, разве это не подозрительное поведение? Не могу представить, что ретрансляторы Tor невозможно обнаружить.

2318×734 132 KB

Хорошо, но соглашаться на отсутствие действий — недостаточно. Самодовольство при слабой безопасности катастрофично и только усугубляет ситуацию.

Существуют десятки или сотни работающих сайтов на Discourse. Неясно, есть ли какие-либо доказательства «слабой безопасности». Если вы хотите обеспечить более надежный контроль на уровне IP-адресов, вам потребуется использовать обратный прокси-сервер.

Конечно.

И всё же Tor находится на обочине, а практически весь вредоносный трафик идёт через VPN.

Теперь я должен спросить: вы когда-нибудь использовали VPN? В чём разница? Вы сейчас утверждаете, что большинство пользователей VPS используют обычный сервер OpenVPN?

Введя URL. Я не понимаю ваш вопрос.

Иногда да, иногда нет. Но ещё раз: а вы считаете, что VPN позволяет?

Конечно, можно. Хотя и не так просто. Вы можете попытаться обнаружить всех пользователей, приходящих с VPS-серверов, но это тоже не так просто.

И это задача, которую необходимо решить на сервере до входа в приложение.

Да, но что, если люди перестанут полностью блокировать IP-адреса? Я просто отвечал на то, что сказал @Jagster, так как он считает, что это пустая трата времени.

Откуда вы это знаете?

Да, я раньше использовал VPN. Но какое отношение виртуальные частные серверы имеют к этому обсуждению?

Вы сказали, что между VPN и Tor нет никакой разницы.

Если только кто-то не изобрёл телепортацию, вы не можете мгновенно переместиться из Франции в Южную Корею.

В результате есть только одно объяснение…

По крайней мере, это возможно. Может быть, кто-то мог бы разработать #плагин именно для этой цели…

Потому что самохостинг OpenVPN — это единственная ситуация, когда нельзя сменить IP одним кликом.

Выходные ретрансляторы по своей конструкции обнаружить очень легко. Вот они.

Некоторая информация об этом здесь:

Хотя этот материал не был обновлён с учётом следующего:

А вот здесь есть информация о том, почему они так поступают:

Эта дискуссия не имеет смысла, потому что

Это не так. Большинство пользователей Tor просто используют его, потому что он прост в настройке, и они проявляют любопытство.

Именно это Nextcloud уже реализовал в приложении Suspicious Logins, и, как я полагаю, скоро оно будет предлагаться по умолчанию.

Совершенно неверно. Я воспринял это как полное непонимание обеих технологий, поэтому просто уточню: это два совершенно разных инструмента во всех смыслах.

Это тоже не так, поскольку использовать VPN сейчас проще, чем когда-либо, благодаря встроенной в ядро Linux поддержке WireGuard и возможности быстрого развёртывания. Если вы имеете в виду пакет браузера Tor, помните, что Mozilla теперь предлагает собственный VPN-сервис прямо в Firefox, так что вам даже не придётся устанавливать пакет Tor.

Подобные разговоры запутывают. Насколько я понимаю, речь идёт об угрозах со стороны пользователей VPN и Tor для уязвимого публичного форума, но меня интересует, почему вы не используете эти технологии, чтобы сделать ваш сервис доступным только для доверенных пользователей с самого начала (предполагая, что это вопрос критической важности для вас).

Всегда.

Если угроза исходит от актера государственного уровня, то да. В таком случае вы будете в опасности, так как неограниченные ресурсы и экспертиза выходят далеко за пределы того, что мы можем предвидеть. Если вы находитесь в опасности, я советую никогда не появляться (и не размещать свои сервисы) в публичном интернете, но надеюсь, что это не ваш случай.

Исходная тема была создана для обсуждения блокировки Tor в контексте нежелательной, но не связанной с безопасностью активности. Мое впечатление таково, что эта ветка была ответвлена для обсуждения блокировки Tor/VPN в контексте безопасности, но цели перепутались в ходе ответов.

Существуют законные причины для блокировки Tor и VPN, однако обеспечение безопасности не входит в их число. Злоумышленники могут использовать Tor, могут использовать VPN, а также могут применять ранее скомпрометированные системы, которые могут находиться в сети любого типа (дата-центр / домашняя сеть / офис / что угодно) в любой точке мира.

Точно так же, если ваш сервис общедоступен и у вас нет конкретных причин для блокировки Tor/VPN, легитимные пользователи также могут находиться в любой из этих типов сетей.

Если наблюдается вредоносная активность, будь то вручную или с помощью автоматического механизма, временная блокировка IP-адреса для конкретного инцидента может усложнить ручные атаки и потребовать от автоматизированных атак более крупной и сложной сети ботов, что потенциально сделает ваш сервис менее привлекательной целью для злоумышленников с ограниченными ресурсами.

Я просто хотел узнать, является ли это невозможным. Спасибо за информацию!

Но откуда вы это знаете?

О, это отлично! Мне стоит это проверить!

1. Да, я имею в виду веб-браузер. Возможность просто скачать его и запустить как любой другой веб-браузер чрезвычайно удобна для любого, кто хочет скрыть свои действия. Большинство бесплатных VPN довольно сомнительны (и, скорее всего, они продают ваши данные другим компаниям), а если вы хотите использовать надежный VPN, вам придется платить несколько долларов каждый месяц. Tor бесплатен и надежен. С бесплатным конкурировать просто невозможно.

2. Это похожий пункт на предыдущий, но VPN от Mozilla платный.

Зачем любому форуму делать себя исключительно доступным через Tor? Это значительно медленнее, чем «обычные» веб-браузеры, и просто представьте кошмар, пытаясь заставить пользователей переключиться…

В каком контексте? Просто интересно…

Это вопрос взвешивания плюсов и минусов. Какой процент «хороших» пользователей использует Tor по сравнению с процентом «плохих» пользователей, использующих Tor?

Не уверен, насколько это будет эффективно. Учитывая, насколько велика сеть Tor, это было бы похоже на игру в кошки-мышки, пытаясь заблокировать все IP-адреса.

Во всех смыслах? Нет, это не так. Они различаются только тогда, когда речь идёт о технической реализации.

Для администратора, читающего логи, они абсолютно одинаковы. Разницы нет. Есть пользователь, который делает запросы с меняющихся IP-адресов, ведущих к VPS или чему-то, что выглядит как VPS.

Это лишь одна точка зрения. Большинство попыток атак исходят от VPN/Tor — хотя Tor составляет лишь малую часть. Уровень навыков тех, кто использует старые списки паролей или пытается эксплуатировать уязвимости в старых версиях WordPress, — это уже совсем другая история. Но такая отправная точка, когда мы не блокируем что-либо на уровне источника только потому, что «скрипт-кидди» едва умеет копировать и вставлять, действительно слаба.

Однако в таких темах всегда следует помнить, что существуют два почти противоположных мира:

• глобальный против локального
• бизнес против (почти) всего остального

Первые не могут предполагать, что человек нелегитимен, только исходя из того, как он/она подключился к сети. Вторые могут, если получают через VPS и Tor только мусор.

Так что, в данном случае

не всегда верно. Это зависит от ситуации.

Это верно, если речь идёт о реальных злоумышленниках. Но когда там просто очередной разозлённый человек, который не использует Linux. И даже если вместо безголового сервера используется что-то другое, высока вероятность, что он/она/оно просто не знает, как этим пользоваться. VPS значительно проще.

Итак — сейчас мы довольно часто говорим о двух разных мирах. Или случаях.

У меня нет серьёзных проблем с Tor. VPN — это другая история, но только потому, что парсеры и сканеры используют его так часто.

Для меня ситуация довольно проста. Блокировать IP-адрес бессмысленно, так как он изменится после 2–5 попыток. Я нахожусь в такой простой ситуации: я предоставляю чисто локальные сервисы без какой-либо значительной финансовой важности и могу использовать geoip.

Прямо сейчас это, впрочем, не используется. И у меня примерно 200 одновременных посетителей, пытающихся получить доступ к SSH, WordPress, Drupal… да хоть к чему угодно, но только SEO-парсеры проявляют интерес к Discourse

Но есть ли у вас какие-либо данные, подтверждающие это?

Насколько нам известно, на самом деле может быть всё наоборот.

Почему бы и нет? Если IP-адрес человека находится в Канаде во время одного сеанса входа, затем в Дании во время следующего, а потом в Зимбабве во время следующего, не кажется ли это подозрительным?

Похоже, бот использует VPN.

Да, и это определённо не законно. Возможно, я не понимаю, к чему вы хотите прийти?

Не уверен в своём мнении насчёт создания цифрового отпечатка, но это может быть вариантом (возможно, в виде плагина).

Сайт AmIUnique сообщает, что у меня уникальный отпечаток среди «887 481 отпечатков во всём нашем наборе данных» (если им можно доверять, я только что нашёл этот ресурс).

редактирование: они показывают используемую информацию, и её много — даже детали о моей видеокарте благодаря WebGL. Это вполне реализуемо: кто-то может переключаться между разными устройствами и постоянно менять конфигурацию браузера, пытаясь обойти защиту, поэтому идеального или простого решения проблемы не будет.

Это уже #plugin.

Большинство крупных веб-браузеров теперь пытаются блокировать отпечатки (и возвращаясь к исходной теме этой дискуссии, Tor, вероятно, наиболее устойчив к отпечаткам по очевидным причинам).

Так что да, возможно, это был бы хороший вариант несколько лет назад, но всё сложнее и сложнее выявлять пользователей по отпечаткам, поскольку крупные компании ужесточают контроль над рекламодателями в целях конфиденциальности.

Это может быть эвристика, которая помечает пользователя для ручной проверки вместо полного блокирования, поэтому она может быть агрессивной в своей идентификации.

Tor может быть сложно идентифицировать конкретного пользователя, но будет вполне справедливо поместить всех пользователей Tor на ручную проверку; на большинстве форумов их не так много.

(извините, если плагин уже это делает, я с мобильного, еще не проверил)