martes, 5 de abril de 2016

¿Debería tu web bloquear usuarios de TOR?



Autor: @RaulRenales

Recientemente un cliente me pregunto por la red TOR, como de costumbre había oído mil cosas y como os podéis imaginar ninguna buena. (Todos mis clientes suelen tener un primo "erudito" que sabe de todo)  La pregunta concreta fue, "¿se pueden bloquear los usuarios de estas redes para que no tengan acceso a mi web? esos usuarios no aportan nada a mi negocio y son un riesgo", la respuesta es obviamente SI, si se puede, pero no un SI al 100%, debemos de contemplar algunos matices.

En un sistema basado en el bloqueo por IP, el bloqueo de usuarios TOR se produce a través de las IPs de los nodos de Salida, si estas ips cambian se podría dar acceso a usuarios de Tor dado que no controlamos estas nuevas ips.

También, el dueño de la web debe evaluar el riesgo potencial para su web, debe valorar los mercados a los que dirige sus productos, etc ... No todo el usuario de Tor es ilícito y se podría incurrir en el trato como usuarios de segunda a usuarios que tan solo quieren preservar su intimidad.

Existen distintas maneras de afrontar el problema, por ejemplo Cloudflare filtra a los usuarios que provienen de nodos Tor y les obliga a resolver un código Captcha, por el contrario Akamai regala a estos usuarios un bonito error 403, bloqueándolos así en el uso de ese contenido.

La realidad es que según el articulo "Do you see what I see?" las 1000 paginas TOP del ranking Alexa, están bloqueando sistemáticamente los usuarios que provienen de nodos TOR, esto supone bloquear aproximadamente el 3,7% de su trafico.

¿Y vosotros que haríais?

Os dejo esta infografía que he encontrado que ilustra muy bien el caso:


¿Debemos bloquear a los usuarios de TOR en nuestra web?

3 comentarios:

  1. Bloquear o al menos integrar en el SIEM para al ver las más mínima sospecha, bloquear.
    Buen artículo.

    ResponderEliminar
  2. Si se opta por bloquear TOR, cosa que no comparto, almenos que sólo se bloqueen nodos exit, lo digo porque últimamente estoy viendo que se bloquea también a nodos relay.
    Bloquear un nodo relay si que puede ser contraproducente para el negocio.

    ResponderEliminar
  3. Muy buena pregunta.
    Sí la haces a un administrador de sistemas lo más probable es que esté tan preocupado por la seguridad que bloquea a cualquier Tor y mucho más. Ya que es responsable de que producción no pare.

    Sí es un administrador web lo que querrá seran visitas por el SEO y esas " marketadas".

    El responsable deberá tomar la decisión.

    En mi caso, haría cómo dice kinomakino.blogspot.com.es
    No perdería de vista los logs del siem. Y crearía un periodo de pruebas en lab para dimensionar el problema un par de meses tipo honeypot y extraer datos con los que tomar decisiones.
    No vaya a ser que veamos que el problema sea muy grande o muy pequeño.

    Saludo.

    Gracias D. RAUL

    ResponderEliminar