¿Protegido con Cloudfare? Pues claro que sí, chati!

Cuando desplegamos una aplicación, es imprescindible aplicar medidas de seguridad. Una de ellas puede ser utilizar una plataforma como Cloudfare. Por un lado, oculta la IP real del servidor. Por otro, frena ataques DDOS, que, probablemente, desde nuestra infraestructura no podríamos parar. Además, añade una protección adicional a los accesos desde redes anónimas, como puede ser Tor.

Utilizar esta plataforma es muy útil pero no es suficiente. Os voy a contar un caso real, para ilustrar el por qué.

(más…)

Torificación: ¡¡Ojo con los pings!!

En muchas ocasiones utilizamos la torificación, bien sea usando el Transparent Proxy de Tor o torify, para conseguir que todas nuestras conexiones salgan a través de Tor. Esto es muy útil cuando vamos a usar herramientas o aplicaciones que carecen de soporte para configurar proxys o, sencillamente, para que evitar fugas.

Esto, que a priori es muy bueno, puede ser un problema si intentamos que protocolos no soportados salgan a través de Tor. Si nos paramos a leer el manual de torify, al final, nos encontramos con esto: (más…)

Torificando voy, torificando vengo y leaks no tengo

Hoy voy a hacer un pequeño Howto, que nos va a servir para «torificar» el sistema. ¿Por qué hacer esto? Bueno, cuando utilizamos Tor-Bowser, podemos navegar a través de la red TOR y, en principio, hacerlo con un alto grado de anonimato. Sin embargo, existen diferentes técnicas que van a permitir revelar nuestra IP.

Para clarificar un poco esto, podéis visitar https://ipleak.net (con Tor-Browser, no podrá descubrir vuestra IP mediante WebRTC, porque ya lo tiene deshabilitado).

La idea es que, por un lado, todas las consultas de DNS las hagamos a la red TOR. Por otro, vamos a enviar todo el tráfico saliente a través de TOR por defecto. El tráfico entrante y saliente, estará bloqueado por defecto. De esta manera, evitaremos que pueda ser revelada nuestra IP con mecanismos similares, basados en JavaScript. (más…)