Torificación: ¡¡Ojo con los pings!!

Publicado: febrero 16, 2017 en Seguridad
Etiquetas:, ,

En muchas ocasiones utilizamos la torificación, bien sea usando el Transparent Proxy de Tor o torify, para conseguir que todas nuestras conexiones salgan a través de Tor. Esto es muy útil cuando vamos a usar herramientas o aplicaciones que carecen de soporte para configurar proxys o, sencillamente, para que evitar fugas.

Esto, que a priori es muy bueno, puede ser un problema si intentamos que protocolos no soportados salgan a través de Tor. Si nos paramos a leer el manual de torify, al final, nos encontramos con esto:

When used with torsocks, torify should not leak DNS requests or UDP
 data.

Both will leak ICMP data.

Básicamente, si utilizamos el comando torify, no tendremos fugas de DNS o por usar el protocolo UDP, pero sí en el caso del ICMP, es decir, los pings.

Si utilizamos esto para lanzar, por ejemplo, un nmap, cuando éste envíe pings, lo estará haciendo sin pasar por la red Tor, incluso si utilizamos iptables, para natear el tráfico (en el caso de la torificación transparente).

Es por eso que, cuando queremos utilizar torificación transparente, es muy importante que no permitamos por defecto la salida del tráfico y asegurarnos que sólo se va a pasar por Tor aquello que soporta. Por eso, si nos fijamos en la entrada Torificando voy, torificando vengo y leaks no tengo, podréis ver que sólo el tráfico TCP es enviado a la red Tor.

Sin embargo, podemos encontrar diferentes scripts que automatizan el proceso de torificación transparente, para usarlo cuando nos sea necesario nada más, o modo de ejemplo. Con estos scripts debemos tener cuidado y revisar qué hacen. Por ejemplo, anonym8 es un script que nos permite automatizar la torificación cuando lo necesitemos. Es una buena idea y realiza varias funciones para preservar nuestro anonimato. Sin embargo, cuando define las reglas de iptables, econtramos esto:

iptables -t nat -A OUTPUT -p udp -j REDIRECT --to-ports $TOR_PORT
iptables -t nat -A OUTPUT -p icmp -j REDIRECT --to-ports $TOR_PORT

Se puede observar que todo el tráfico, incluyendo ICMP y UDP, se envían al TransPort de Tor. Dado que este tráfico no se puede rutar por Tor, lo que ocurre, al menos en el caso de ICMP, es que sale de nuestro equipo sin ningún problema, y sin anonimizar.

Haciendo una búsqueda en Google, veremos diferentes sitios donde se intenta hacer esto:

Si necesitamos tráfico ICMP o UDP , lo mejor es utilizar una VPN, a la que nos conectemos a través de Tor. Si no es necesario, lo mejor es prohibir la salida de todo lo que no sea TCP, en el caso de utilizar el TransPort, o no enviar ICMP, si utilizamos torify (ej. nmap -sT ….).

¡Hasta la próxima!

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s