Комментарии 5
Особенно приятно соблюдать такие правила в странах с интернет цензурой.
Что-то намешали в кучу все подряд безо всякой конкретики…
Взаимодействие TOR и сети некоторой компании можно разделить на 5 разных случая — и все случаи надо разбирать отдельно, потому что разные способы взаимодействия создают разные риски — и дают разные возможности, которые в некоторых случаях могут и перевесить риски.
1. Выходная нода снаружи сети — т.е. трафик, идущий из TOR. Такой трафик может представлять угрозу, из-за чего его иногда запрещают.
Но тут надо понимать, что атаковать сеть компании снаружи можно и не только через TOR — но и арендовав любой ботнет, а потому запрет TOR не сильно снизит риски. При этом, TOR является способом обхода блокировок — а блокировку на сайт сейчас может «наложить» любой недобросовестный конкурент. Поэтому лучше бы такой трафик оставить разрешенным.
2. Выходная нода на границе сети («своя» выходная нода). Все особенности случая номер 1 — плюс возможные юридические проблемы. Не вполне понятно, зачем так делать — ведь никакой выгоды подобное решение не несет — а ресурсы потребляет.
Если компания официально поддерживает сеть TOR в силу некоторых причин — то, разумеется, ноду надо держать — но в остальных случаях выходная нода на границе сети компании смотрится странно.
3. Выходная нода ВНУТРИ сети компании. Готовый бэкдор для любого везучего хакера по всему миру. За такое надо больно бить по рукам.
4. Исходящее подключение в сеть TOR из сети компании. Как и с любым исходящим шифрованным соединением, есть риск раскрытия через него сведений, составляющих коммерческую тайну. Но при этом, это одновременно — инструмент, позволяющий обойти блокировку на важном стороннем ресурсе (на гитхабе, к примеру).
Если в компании прослушивается весь исходящий траффик, подменяются HTTPS-сертификаты и запрещаются SSH и VPN-соединения «наружу» — то есть смысл заодно запретить и доступ в TOR. Но в противном случае борьба с одним только TORом выглядит странно.
5. Компания держит скрытый сервис в зоне .onion. Тут вообще никаких проблем быть не должно — но и просто так обычно такие сервисы не настраивают.
Взаимодействие TOR и сети некоторой компании можно разделить на 5 разных случая — и все случаи надо разбирать отдельно, потому что разные способы взаимодействия создают разные риски — и дают разные возможности, которые в некоторых случаях могут и перевесить риски.
1. Выходная нода снаружи сети — т.е. трафик, идущий из TOR. Такой трафик может представлять угрозу, из-за чего его иногда запрещают.
Но тут надо понимать, что атаковать сеть компании снаружи можно и не только через TOR — но и арендовав любой ботнет, а потому запрет TOR не сильно снизит риски. При этом, TOR является способом обхода блокировок — а блокировку на сайт сейчас может «наложить» любой недобросовестный конкурент. Поэтому лучше бы такой трафик оставить разрешенным.
2. Выходная нода на границе сети («своя» выходная нода). Все особенности случая номер 1 — плюс возможные юридические проблемы. Не вполне понятно, зачем так делать — ведь никакой выгоды подобное решение не несет — а ресурсы потребляет.
Если компания официально поддерживает сеть TOR в силу некоторых причин — то, разумеется, ноду надо держать — но в остальных случаях выходная нода на границе сети компании смотрится странно.
3. Выходная нода ВНУТРИ сети компании. Готовый бэкдор для любого везучего хакера по всему миру. За такое надо больно бить по рукам.
4. Исходящее подключение в сеть TOR из сети компании. Как и с любым исходящим шифрованным соединением, есть риск раскрытия через него сведений, составляющих коммерческую тайну. Но при этом, это одновременно — инструмент, позволяющий обойти блокировку на важном стороннем ресурсе (на гитхабе, к примеру).
Если в компании прослушивается весь исходящий траффик, подменяются HTTPS-сертификаты и запрещаются SSH и VPN-соединения «наружу» — то есть смысл заодно запретить и доступ в TOR. Но в противном случае борьба с одним только TORом выглядит странно.
5. Компания держит скрытый сервис в зоне .onion. Тут вообще никаких проблем быть не должно — но и просто так обычно такие сервисы не настраивают.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
IBM рекомендует компаниям отказаться от Tor из соображений безопасности