#12 Uf si te contara, hasta se me conectan al exploit-db a ver que pueden encontrar.
Respecto a los patrones de tráfico, si, prácticamente se conectan siempre a los mismos sitios, pero igualmente los logs se guardan en base de datos (no en ficheros) y además lo tenemos que tener así por ley (no me preguntes que apartado de la ley en concreto porque no tengo ni puta idea, seguramente algo de la LSSI, pero lo que mandan los jefes va a misa).
Carga y bastante, pero en cuestiones de seguridad no puedes racanear en HW, por eso tenemos montado un cluster (4 nodos squid + 4 nodos para análisis de la red).
Ventajas: navegan a toda castaña
Desventajas: no pueden hacer todo lo que quieran (aunque tienen mucha libertad, solo se bloquea porno y warez).
#8 Mira que bien, así que unos cuantos cabroncetes se me deben estar conectando con el nuevo protocolo. Pues nada, haremos un script que cada vez que detecte una conexión cifrada a una ip no conocida, se conecte, haga el handshake, y si el contenido no es html o xml se bloquea la conexión y se me manda un mail. Seguidamente se comprueba y si es Tor telefonazo al jefe.
Además que también se puede añadir una regla que impida la conexión directa por ip (que en realidad es lo que hace Tor con el proxy, no consulta entradas DNS), y si alguien se tiene que conectar a una ip en concreto que me lo diga y se añade a la lista.
#2 yoma 
