Bloquer les visiteurs du réseau Tor

Dans cet article nous allons voir comment bloquer des visiteurs provenant du réseau Tor sur son serveur (cet article provient de notre Newsletter cybersécurité spéciale Guyane. C'est une manipulation en cybersécurité qui reste basique, mais du fait du nombre important d'adresses IP à bloquer, cela peut poser des difficultés. Nous allons partir du principe que vous avez un serveur Linux possédant iptables.

Si vous rencontrez des difficultés & ou ne savez pas comment procéder, n'hésitez pas à contacter notre agence de cybersécurité présente en Guyane et France (Haute-Savoie)

Fonctionnement de base

Afin que l'ensemble des lecteurs puissent effectuer cette manœuvre, nous avons choisi la technique la plus simple et universelle. Iptables va nous permettre de bloquer certaines adresses IP correspondant au réseau Tor. Un script va permettre d'automatiser le processus.

Création des règles iptables

Rappelons qu'iptables est un pare-feu très commun sur les serveurs Linux. L'élaboration des règles sur de multiples IP est très chronophage sans passer par des scripts. Vous pouvez taper les commandes suivantes :

Suppression des règles existantes

iptables -F
iptables -X
                    

Création des nouvelles règles

iptables -N torlist
iptables -A INPUT -j torlist

Élaboration du script

Pour automatiser les taches de récupération de la liste, mais aussi l'élaboration des règles de pare-feu. Ces taches sont parfois rébarbatives et ce script devrait tout simplifier. Il est à placer dans un répertoire de votre choix, là où vous souhaitez stocker votre liste de serveur Tor.

sudo nano scriptor.sh
sudo chmod +x scriptor.sh

Copiez-collez le script suivant. Dans la dernière ligne, modifiez le chemin menant à la liste (dans mon exemple il s'agit du chemin /home/torlisting/torlist).

#!/bin/bash
##############################################
# Script pour blocage TOR (Iptables) #
##############################################
# Vérifie que l'on est en Root
if [[ $EUID -ne 0 ]];
then
    echo "Les privilèges administrateur sont nécessaires"
exit 1
fi
TOR_FILE_URL="https://www.dan.me.uk/torlist/"

# On télécharge la liste des IP du réseau Tor
wget --quiet $TOR_FILE_URL -O torlist

# Gestion des doublons
iptables -F torlist > /dev/null
while read ip
do
    iptables -A torlist -s $IP -j DROP > /dev/null
done < /home/torlisting/torlist

Son fonctionnement et plutôt limpide :

• Il vérifie que vous avez les droits d''administrateur
• Il télécharge la liste des serveurs Tor à bloquer
• Il élabore les règles iptables avec les IP de la liste

Automatisation

Il est possible par une "tache cron" de rendre cette opération automatique et quotidienne. Pour cela vous pouvez taper les commandes suivantes :

sudo crontab -e

Et ajouter la ligne suivante :

00 10 * * * sudo /home/torlisting/scriptor.sh > /dev/null 2>&1

Cela fera en sorte que le script que vous avez créé s'exécute quotidiennement à 10h.

Vous pouvez vérifier à tout moment si l'ajout des règles est effectif dans iptables grâce à la commande suivante :

sudo iptables -L -n

Conclusion

Il est intéressant de voir cette opération comme une première étape de la sécurisation de votre serveur. Elle permet d'empêcher l'anonymisation des attaquants par le réseau Tor. Attention, cela n'indique en rien que votre serveur est intégralement sécurisé, vous vous êtes simplement prémuni contre un axe d'attaque possible.

N'hésitez pas à contacter notre agence de cybersécurité présente en Guyane et France (Haute-Savoie), nous nous ferons un plaisir de vous répondre et de vous aider à sécuriser votre SI !