tor infrastruktur betrieb erfahrungsbericht · erfahrungsaustausch im praktischen betrieb und...
TRANSCRIPT
![Page 1: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/1.jpg)
Tor Infrastruktur Betrieb ErfahrungsberichtCERT.at IT Security Stammtisch
Mai 2019
![Page 2: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/2.jpg)
Foundation for Applied Privacy● Non-profit Privacy Infrastruktur Provider
● Kostenlose PETs Dienste für die Öffentlichkeit
● 2018 gegründet
● ISPA Mitglied
![Page 3: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/3.jpg)
Agenda● Tor Use-Cases● Der Weg bis zum ersten Exit (und weiter)● Statistiken● Abuse Handling
● “Bad Relay” Identifikationsmethoden● Tor Tipps für Security AnalystInnen
![Page 4: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/4.jpg)
![Page 5: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/5.jpg)
Guard
Middle
Exit
![Page 6: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/6.jpg)
![Page 7: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/7.jpg)
>2 Millionen BenutzerInnen täglich
CC0 1.0 Universell (CC0 1.0) Public Domain Dedication https://pixabay.com/de/menschenmenge-menschen-silhouetten-2045498/
![Page 8: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/8.jpg)
~400 Gbit/s“Advertised” Bandbreite
![Page 9: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/9.jpg)
Tor Use-Cases● Schutz von Verbindungsdaten● Zensurresistente Kommunikation● End-to-End Encryption● Location Anonymity● Whistleblowing Plattformen● NAT Punching und dyn. DNS Ersatz● Anonymes herunterladen von SW Updates
![Page 10: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/10.jpg)
![Page 11: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/11.jpg)
Hauptanwendung: Tor Browser
![Page 12: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/12.jpg)
Tor going Mainstream
![Page 13: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/13.jpg)
Tor going Mainstream
![Page 14: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/14.jpg)
Unsere Geschichte
![Page 15: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/15.jpg)
PW17
![Page 16: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/16.jpg)
![Page 17: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/17.jpg)
Camilo Rueda López (CC BY-ND 2.0)
https://www.flickr.com/photos/kozumel/2228603119
![Page 18: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/18.jpg)
Vereinsziele[...]
Betrieb kostenlos nutzbarer technischer Infrastruktur zum Schutz der Privatsphäre im Internet für die Öffentlichkeit.
[...]
![Page 19: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/19.jpg)
Vereinsziele[...]
● Förderung und Erforschung der IT Sicherheit genannter Software.
● Erfahrungsaustausch im praktischen Betrieb und Umgang
[...]
![Page 20: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/20.jpg)
![Page 21: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/21.jpg)
Vorbereitungen für Tor Relays: Transparenz● Reverse DNS Records
● “Exit Notice HTML Page”
● WHOIS
![Page 22: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/22.jpg)
DNS PTR Records
![Page 23: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/23.jpg)
Exit
![Page 24: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/24.jpg)
RIPE DB / WHOIS
![Page 25: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/25.jpg)
Tor Exit Relay Infrastruktur
● Server auf dedizierter Hardware
● Exclusive Verwendungals Tor Relay
● Initiale Exit Policy minimal: 80+443
● 10G Uplink
![Page 26: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/26.jpg)
Tor Exit Relay Infrastruktur● BGP Announcement: /24 IPv4 +/48 IPv6
Prefix + Monitoring (BGP Hijacks)
● DNSSEC, QNAME Minimization, Local Root Zone
● Auf der Wunschliste: RPKI ROAs
![Page 27: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/27.jpg)
Tor Exit Relay Infrastruktur
● Abuse Handling– Ticket System (PGP und 2FA Support)
![Page 28: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/28.jpg)
Ergebnisse
![Page 29: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/29.jpg)
Netzwerk Traffic / Monat
![Page 30: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/30.jpg)
Netzwerk Traffic / Monat
Erster Tor Exitgeht online
Erster Tor Exitgeht online
![Page 31: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/31.jpg)
>16 Petabyte TrafficExit+Non-Exit Traffic (01.03.2018 - 01.05.2019)
![Page 32: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/32.jpg)
42 Mbit/s je Watt Stromverbrauch
![Page 33: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/33.jpg)
Exit Traffic Verteilung (Zielport)(Daten unserer Exit Relays vom April 2019)
![Page 34: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/34.jpg)
Abuse Mailbox Statistiken(23.08.2018-30.04.2019)
● 579 Emails davon
0
5
10
15
20
25
30
35
40
An
teil
in
%
![Page 35: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/35.jpg)
Abuse Mailbox StatistikenCERT.at Emails (37%)
![Page 36: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/36.jpg)
Kontakte mit Behörden(23.08.2018-30.04.2019)
● Insgesamt: 3– 2x Bundeskriminalamt, C4 (AT)– 1x Norwegen
![Page 37: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/37.jpg)
Fazit● Fast ausschließlich automatisierte Abuse Emails
● Abuse Email Aufkommen in Relation zur Trafficmenge gering
● Behördenkontakte unkompliziert (es war bereits bekannt was Tor ist)
● Geringer laufender Aufwand nach Setup
![Page 38: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/38.jpg)
“Bad Relay” Detection
![Page 39: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/39.jpg)
Was ist ein “Bad Relay”?● Sniffing Exit Relays (Zugangsdaten)● Sybil Angriff● v2 .onion sammelnde HSDirs, DHT Attacks● Aktive MITM Angriffe
– TLS, sslstrip, SSH – Manipulation von Bitcoin / .onion Adressen– JavaScript Injection (Cryptominer)
● Non-Exiting Exit● DNS Manipulation
![Page 40: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/40.jpg)
Detection Tool: exitmap● Exitmap
https://github.com/NullHypothesis/exitmap
Research von: Philipp Winter et al.
![Page 41: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/41.jpg)
Detection Tools/Datenquellen● Tool: HoneyConnector
● CollecTor https://metrics.torproject.org/collector.html
● stem (Tor Python Bibliothek)https://stem.torproject.org/
● Onionoo (Relay Metadaten der letzten 7 Tage)https://metrics.torproject.org/onionoo.html
![Page 43: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/43.jpg)
Tor Tipps für Security AnalystInnen
![Page 44: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/44.jpg)
IP Adress Listen (Feeds und IOCs)
● Outbound (z.B. Malware download, C&C Kommunikation)
● Inbound
![Page 45: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/45.jpg)
Beobachtetes Problem I
● Verwendung von 3. Party “Exit Listen” mit geringer Datenqualität
Beispiel: www.dan.me.uk● Lösung: Authoritative Quellen verwenden
(metrics.torproject.org)
Achtung: IPv6 (noch) nicht enthalten (!)
![Page 46: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/46.jpg)
Problem II
● Tor Relay Exit Flag vs. Exit Position
"Exit" -- A router is called an 'Exit' iff it allows exits to at least one /8 address space on each of ports 80 and 443.
![Page 47: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/47.jpg)
Problem II
● Tor Relay Exit Flag vs. Exit Position
● Lösung: Exit Policy ist ausschlaggebend
![Page 48: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/48.jpg)
Problem III
● Fehlende Kennzeichnung von Tor IPs in IOC Listen
![Page 49: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/49.jpg)
![Page 50: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/50.jpg)
![Page 51: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/51.jpg)
Plausibilitätsprüfung● Handelt es sich um eine IP Adresse mit Tor Bezug? (Relay oder
Exiting IP?)● Outbound: Hatte der Relay zum Verbindungszeitpunkt das
Guard Flag? Ging die Verbindung zum ORPort des Relays? Sind Relay IPs hardcodiert?
● Gab es Verbindungen vor dem “first_seen” Timestamp des Relays? (onionoo Feld)
● Inbound: Erlaubte die Exit Policy die Verbindung (zum Zeitpunkt der Verbindung)?
● Wichtig: Es gibt keine (komplett) False-Negative freien Exit Listen.
![Page 52: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/52.jpg)
Empfehlungen● Integriere “Tor-Awareness” in deine Tools
● Verwende authoritative Datenquellen
● Kennzeichne Tor IP Adressen explizit in IOC Listen (idealerweise mit Relay Fingerprint + Timestamps)
![Page 53: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/53.jpg)
Fragen?
Twitter: @applied_privacy
https://appliedprivacy.net
![Page 54: Tor Infrastruktur Betrieb Erfahrungsbericht · Erfahrungsaustausch im praktischen Betrieb und Umgang ... CERT.at Emails (37%) Kontakte mit Behörden (23.08.2018-30.04.2019) ... Gab](https://reader034.vdocuments.net/reader034/viewer/2022052014/602bf39bd51b592c8b3745a6/html5/thumbnails/54.jpg)
Unsere DNS Resolver mit DoH/DoT Support
https://doh.appliedprivacy.net/query
dot1.appliedprivacy.net