tor browser exit

[gollakolls]

hallo folks

haben folgende frage

wie kann ich über die windows firewall verhindern das mein tor browser als relay oder exit node genutzt werden kann unabhängig davon was jemand im torcc file eingetragen hat?

grüßen

gollakolls

 

[alter_Bekannter]

Schritt 1 wäre nicht jeden Benutzer als Admin rumpimmeln lassen, denn sonst kann der im Zweifel immer einfach deine Beschränkungen zuerst aufheben.

Damit hast du dann auch gleich automatisch einige weitere Probleme gelöst, zum Beispiel war es nach meiner Erfahrung nicht ohne weiteres möglich unter Windows überhaupt irgendwelche eingehenden Verbindungen ohne Adminrechte abzufangen.

Als nächstes musst du dir klar werden was du willst, dann kannst du anschließend ALLES andere systematisch unterbinden, andere saubere Lösungen gibt es nicht. Die unsauberen taugen nichts weil sich da wenns doof läuft jeder Depp gleich fertige Exploits zusammengooglen kann.

NAT schützt NICHT automtisch vor allem von außen, NAT ist per Spezifikation entgegen landläufigem Glauben kein wirksamer Schutzmechanismus. Siehe "Hole Punching", daher müssen die vorherigen Schritte unbedingt beachtet werden.

 

[Rakorium-M]

Erstmal: Die im Tor-Browser integrierte Tor-Version ist standardmäßig kein Relay, und damit auch kein exit node.

Wenn du davon ausgehst, dass deine Nutzer ernsthaft die torrc editieren, um einen Exit Node aufzusetzen, musst du wohl sämtliche eingehenden Verbindungen blockieren. Die tor.exe des Tor-Browsers zu beschränken reicht da nicht, immerhin könnte man sich dann auch die Relay-Version von Tor runterladen und die nutzen...

 

[Shinigami]

Der aktuelle Tor-Browser bekommt meines Wissens die Funktion für Relay und Exit-Node gar nicht mehr mitgeliefert, das muss extra installiert werden.

 

[bevoller]

Was spricht eigentlich dagegen, zumindest ein Relay-Node zu betreiben? Außer eine gehörige Portion Egoismus vielleicht.

 

[Kugelfisch]

Damit hast du dann auch gleich automatisch einige weitere Probleme gelöst, zum Beispiel war es nach meiner Erfahrung nicht ohne weiteres möglich unter Windows überhaupt irgendwelche eingehenden Verbindungen ohne Adminrechte abzufangen.

Das ist so nicht korrekt, unter Windows können Prozesse von normalen Benutzern genau wie unter GNU/Linux und anderen modernen Betriebssystemen an Ports > 1024 gebunden werden. Allerdings lässt sich das durch eine Firewall-Regel, welche eingehende Verbindungen standardmässig ablehnt/verwirft leicht unterdrücken, was in aktuellen Windows-Versionen mindestens die Standardeinstellung ist, wenn als Netzwerkstandort 'Öffentlicher Ort' ausgewählt wird.

Das Unterdrücken sämtlicher eingehender Verbindungen ist wie bereits korrekt erwähnt wurde der einzig zuverlässige Weg, den Betrieb eines Relays oder einer Exit-Node zu verhindern; eine Differenzierung zwischen dem Relay- und dem Exit-Node-Betrieb ist dann jedoch nicht möglich, und auch andere Anwendungen, welche eingehende Verbindungen annehmen wollen, sind von dieser Restriktion betroffen.

 

[alter_Bekannter]

Da war ich mir in der Tat auch nicht sonderlich sicher nur mein erster Versuch war gescheitert, macht Windows da einen Unterschied für UDP?

 

[gollakolls]

Das Unterdrücken sämtlicher eingehender Verbindungen ist wie bereits korrekt erwähnt wurde der einzig zuverlässige Weg, den Betrieb eines Relays oder einer Exit-Node zu verhindern; eine Differenzierung zwischen dem Relay- und dem Exit-Node-Betrieb ist dann jedoch nicht möglich, und auch andere Anwendungen, welche eingehende Verbindungen annehmen wollen, sind von dieser Restriktion betroffen.

danke für die vielen antworten !!!!

heisst also solange die firewall so wie im anhang konfiguriert is und der tor browser nicht in der der liste der zugelassenen programme ist kann kein relay / exit genutzt werden?

 

[alter_Bekannter]

Ja wie denn?
Wie viele Fälle von spontanene Entscheidungen die Halbleiter einfach mal so selbständig treffen hast du außerhalb von Filmen wie "Nr 5 lebt" verzeichnen können?

Damit schaltest du daher ziemlich viel ab, halt alles was nicht 100% von innen motiviert ist.
Stellt sich hatl immer noch die Frage vor wem du dich schützen möchtest, theoretisch kann ein Nutzer immer noch ne Menge Unsinn machen, die meisten Standard P2P Lösungen werden so allerdings nur noch eingeschränkt funktionieren. Absolut sicher ist nur eine Whitelist, was ist dein Ziel?

 

[Kugelfisch]

heisst also solange die firewall so wie im anhang konfiguriert is und der tor browser nicht in der der liste der zugelassenen programme ist kann kein relay / exit genutzt werden?

Interessant wäre, wie dein öffentliches Profil konfiguriert ist. Es bietet sich dort für eingehende Verbindungen die Einstellung `Alle blockieren` an. Ausserdem ist gemäss Übersicht auf deinem System auch ein Netzwerk im `Privaten Profil` konfiguriert, denn dieses Profil ist ebenfalls aktiv.



Abgesehen davon hilft das selbstverständlich nur, wenn der Benutzer, vor dem du dich schützen möchtest, keine administrativen Rechte hat und sich diese auch nicht verschaffen kann. Insbesondere bei physischem Zugriff auf das System ist es trivial, das Kennwort eines Administrator-Benutzerkontos zu löschen und damit administrative Rechte zu erhalten; in diesem Fall müsstest du den Paketfilter vor dem nicht vertrauenswürdigen System anwenden, eine Konfiguration des Systems kann in diesem Fall nicht zuverlässig schützen.

Stellt sich hatl immer noch die Frage vor wem du dich schützen möchtest, theoretisch kann ein Nutzer immer noch ne Menge Unsinn machen, die meisten Standard P2P Lösungen werden so allerdings nur noch eingeschränkt funktionieren. Absolut sicher ist nur eine Whitelist, was ist dein Ziel?

Das wäre in der Tat interessant zu erfahren.