如何检测员工是否在使用 Tor?

信息安全
2021-08-22 21:29:59

我们在一个应该符合 HIPAA 的组织中工作。安全是我们的一个大问题。我们的任务是查明是否有用户在网络中使用匿名代理。

有没有办法可以找到Tor是否在我们的公司网络域中使用?我们正在使用赛门铁克客户端保护。VPN 是使用 Cisco 提供的。

4个回答

您可以使用Tor(上行链路)节点列表,将其添加到传出防火墙,设置任务以每天更新一次,这样就可以了。但是 Tor 也可以通过 HTTP(S) 代理使用,因此您还必须检测代理。

我不确定这是否会帮助您保护任何东西。只要有互联网连接,就有可能绕过这些安全措施。您最终可能会花费无尽的时间和精力来禁止各种代理、VPN、SSL 隧道等。建议是通过保护对您的业务重要的东西来确保他们不会造成任何伤害,而让用户保持不变。例如,将网络分隔为隔间,使用子网、VLAN、DMZ 并要求在专用网络上进行身份验证和授权。将重要的东西放在一个区域中,同时允许网络不受另一个区域的限制。等等...

我相信您主要关心的应该是:

在网络中使用匿名代理

是一个不好的假设。我会马上问:

在哪个网络?

约里克已经谈到了这一点,但我会更加明目张胆。

HIPAA 主要与生产系统中的数据隐私有关,因此在用于连接到生产系统的网络中。您应该可以控制连接到该网络的所有机器可以执行的操作。换句话说,这些应该是公司管理的公司机器,并提供与生产系统打交道所需的软件。没有其他机器应该连接到这个网络,这包括连接到生产网络的 VPN(如果可能的话最好避免)。

未连接到生产系统的员工网络,例如开发网络办公室 wifi,应与生产网络分开您只需要明确表明网络是独立的(最好使用单独的硬件,如果配置不当,802.1Q VLAN 会受到一些攻击)。这些网络中的机器与生产系统无关,只要它们从未连接到它(它们不应该!)。无论如何,将任何东西投入生产都应该有一个 QA/QC 程序,在该程序中评估代码/配置/其他更改的安全性。

值得注意的是,包含开发机器的开发网络永远不会看到任何生产数据。如果要保护您的生产数据(例如在 HIPAA 中保护患者隐私),您必须对开发/测试设置中的所有数据进行匿名处理。拥有一个安全的生产环境,然后将生产数据转储到一个不安全的网络中将是愚蠢的。

您可以相对确定 Tor 没有在网络上使用的唯一方法是检查网络上的每台设备,并确保 Tor 没有安装或运行在其中的任何设备上。这可能需要很多工时,这也可能是不可能的。无论如何,你可能会错过它。

您可以通过观察任何硬编码目录机构的流量来尝试检测 Tor 的使用,所有 Tor 客户端将始终连接到该机构(有一个例外,见下文)。这些通常少于十几个。

您还可以尝试检测到数千个保护节点中的任何一个的流量,但这可能会给您的 IDS 带来很大压力。检测目录权限流量只需要监视几个 IP,即使对于其他空闲客户端,也会有流量到这些权限。

最大的例外是当 Tor 被配置为使用网桥时。这些是明确设计的,因此 Tor 不会直接与任何正常的 Tor 节点或目录机构进行通信。相反,它们与未发布的网桥地址进行通信。民族国家很难发现这些联系;如果您的网络上正在使用一个,那么您几乎没有机会。

相反,应该做的是更仔细地控制对网络的访问。只有实际需要的流量才能被允许进出任何可以访问或存储 PHI 的设备。这意味着您需要在传入和传出两个方向默认拒绝,还将存在 PHI 的网络与其他网络隔离开来。听起来您当前的防火墙出口策略是默认允许的,而在默认允许配置中阻止事物就像在天空中打孔一样。

防止用户安装/使用未经公司批准的软件,通过在员工机器上执行软件策略就足够了,结合网络身份验证,例如只有那些符合策略的机器才能访问网络。这使得工作站几乎是一台简单的kiosk机器。在金融和医疗保健行业,不应认为对运营员工实施自助服务终端模式是不合适的。

如果浏览器(例如 onion.to 代理)不是威胁的一部分,则无法运行可能连接到 Tor 的软件是阻止用户使用 Tor 的关键。但通常你会有一个受保护环境中可用站点的白名单列表。

在现实世界中,这经常与 IT 人员的需求发生冲突。在大多数公司中,IT(不一定是软件开发人员/工程师)运行任何软件或编写自定义脚本的能力是一项要求。为了便于讨论,我们假设是这种情况。

当然,你不能阻止你的系统管理员运行 Tor,你也不能仅仅为了那个“威胁”而将他的机器锁定到一个信息亭,否则你将阻止异常的进程外活动,例如修复机器或网络的问题。在这种情况下,我建议采用一种策略,例如具有特权软件配置的系统管理员机器通常连接到非敏感网络,最终连接到 Internet。如果系统管理员需要访问存储受保护信息的敏感网络,则他/她应将他/她的笔记本电脑物理连接到不同的插头,并将事件记录到审计跟踪中。这种审计也可以通过对支持票的评论“我正在访问机器10.100.200.10以完成任务”来完成。

简而言之,阻止任何人使用 Tor是一项难以执行的严格要求,但是对该要求的合理重新解释应该通过采用用户必须能够运行最少最少的软件程序集的安全原则来满足任何监管机构完成他们的职责(最低限度特权原则的一种变体)。

无论如何,Tor 本身并不是威胁,它是一种可能被内部交易者或其他不忠员工滥用或对现有未经培训的员工构成风险的媒介。

其它你可能感兴趣的问题
上一篇为什么浏览器默认接受 Let's Encrypt 证书? 下一篇如何检测我的 USB 中的文件何时被复制到另一台 PC?