Форум системных администраторов

IT => Networks => Тема начата: youtee от 10 октября 2018, 02:27:09

Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: youtee от 10 октября 2018, 02:27:09
Итак, всем привет! Помогите, кто чем может! Цель - максимально анонимизироваться, спрятаться и зашифроваться, насколько это возможно, не используя аппратное шифрование.
ТЗ: имеется 3 компьютера. Нужно организовать 3 рабочих места с максимальной анонимностью и шифрованием.
Теперь распишу, как мне это видится.
1) подключение к интернету.
Будет использован ЮСБ модем с симкой на дропа с комнатной антенной усилителем, подключенный к вифи роутера. Сеть будет скрытая. Помогите определиться с моделью роутера! Хочу роутер на 5 Гигагерц (а надо ли?), с поддержкой альтернативных прошивок openwrt или ddwrt стоимостью порядка 3 т.р., из вариантов, которые присмотрел, это acher c59 (не уверен, что альтернативные прошивки поддерживаются) и asus ac51u. На роутере будет поднят ВПН клиент (а это безопасно? или лучше подключаться клиентами непосредственно с каждой рабочей машины, обрезав все подключения, кроме "через впн"?), который будет стучать на сервер где-нибудь в Панаме (а надо ли это), купленном в одном из сервисов из гугла. Есть ли там какие-то нюансы по супер-грамотной настройке впн сервера, или будет достаточно запусть скрипт по поднятию впн сервера wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh?
2) операционки на компах.
В качестве хоста будет использоваться виндовс 7 с выключенным вифи адаптером. Будет поднята виртуалка, хранящаяся на зашифрованном контейнере, с операционкой lubuntu. Непосредственно с нее будут идти все рабочие процессы. Как ее дополнительно анонимизировать? Какие сервисы выключать, что шифровать и т.д.? К этой виртуалке будет подключен вифи юсб адаптер, который будет коннектиться к роутеру из п.1. Т.е. сети между хостом и виртуалкой не будет. Опять же вопрос по впн клиенту, где его лучше поднимать? На каждой рабочей станции или на роутере?
3) хранение информации.
В плане шифрование домашних папок каждого компьютера. Это первое. Второе - все данные (логины, пароли и т.д.) планирую разместить на удаленном сервере, допустим там, где будет поднят впн сервер, под каждого из 3 пользователей на сервере с впн будет расшарена папка, которую он будет монтировать к рабочей машине на lubuntu по sshfs (вроде так протокол называется). Эту папку, вероятно, надо тоже зашифровать с лубунты-клиента? Сможет ли в этом случае, в теории, хостер получить доступ к файлам, хранящимся в этой зашифрованной папке?

Достаточно ли анонимно и безопасно выглядит подобная структура приватной сети? Может что-то добавить или поправить?
П.С. пентагоны взламывать не планирую, детское порно и подобную жесть, распространять тоже.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Triangle от 10 октября 2018, 10:00:05
Хотите ответов, дайте реальное ТЗ. Начните с определения основного фактора угрозы, поясню проще от кого Вы защищаетесь.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: youtee от 11 октября 2018, 00:54:23
Вероятней всего, спецслужбы и прочие надзорные органы. Основная цель мероприятия - снизить доказательную базу в случае самых плохих раскладов.
Хранить инфу и прочую бухгалтерию на удаленном впс меня отговорили, посоветовав хранить все на твердотельниках с готовностью смыть в унитаз в случае чего.
Теперь остались вопросы: куда лучше натянуть впн: в роутер или на каждую рабочую машину? ВПС под впн в какой стране и в какой конторе можно взять?
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Triangle от 11 октября 2018, 07:12:56
При таком раскладе не хранить локально ничего. вообще ничего. Даже в интернет не выходить, это не шутка, это речь о шифрованном туннеле до хоста вне юрисдикции тех кто вас будет брать за жопу, а уже с того хоста выходите в интернет и ещё один шифрованый туннель до сервера, который опять же на хосте вне юрисдикции, где будет стоять терминальный сервер. А на самих рабочих машинах? Винда, белая, честная, а вот туда куда надо загрузка с лайв дистрибутива, ручной ввод по памяти данных подключения. Любые иные способы, особенно с готовностью смыть в унитаз это смешно. И да, терморектальным криптоанализом не брезгуют иногда и надзорные органы, которым вы по памяти вспомните и напишете всё что было и что не было.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Mornind от 11 октября 2018, 19:53:17
и ещё один шифрованый туннель до сервера, который опять же на хосте вне юрисдикции
Причем, вне юрисдикции в том числе органов той страны, в которой находится первый хост
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Triangle от 11 октября 2018, 22:52:34
А ну это само собой.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: sirarthur от 12 октября 2018, 13:23:22
Основная цель мероприятия - снизить доказательную базу в случае самых плохих раскладов.
В случае таких раскладов никто вам не даст ничего смыть.
Видимо опыта участия в таких мероприятиях в качестве подопытных еще нет.

Приходят вежливые люди. в количестве человек 10-15.  Охране на входе предъявляют удостоверение и ствол. Один остается на входе - остальные идут в офис.
Двое у стойки ресепшн пресссуют юриста конторы - остальные расходятся по кабинетам - всех вежливо просят убрать руки от клавиатур, оставить мобильные телефоны на столе и вообще выйти в коридор.
Выясняют "а где у вас тут сисьадмин?" ах вон там. спасибо.
Визит к админу - "покажите пожалуйста вашу серверную".
7 минут - все сотрудники в коридоре.

И это еще вежливый расклад.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Triangle от 12 октября 2018, 13:42:29
это еще вежливый расклад.
Невероятно вежливый...  :)))
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Retif от 12 октября 2018, 14:13:34
это еще вежливый расклад.
Невероятно вежливый...  :)))

Ну в общем да, бывает в пол лицом кладут сразу.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: youtee от 17 октября 2018, 05:02:20
Цитировать
В случае таких раскладов никто вам не даст ничего смыть.
Офис постоянно закрыт на внутреннюю щеколду, находится не в офисном здании.

Цитировать
Ну в общем да, бывает в пол лицом кладут сразу.
См. выше, вероятно, будет некоторое время на ликвидацию железа
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Triangle от 17 октября 2018, 08:51:00
youtee, Я вам другой сценарий расскажу, который лицезрел лично на одной халтурке. Привозят меня утром рано с барахлом на объект(сеть переделать надо было), выходим мы из машины, а нам навстречу двое в гражданском, меня просто остановили, а вот того кто меня привез, гражданин такой то... будете сотрудничать со следствием вам зачтется, открывайте пожалуйста дверку, нашим сотрудникам надо войти.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Retif от 17 октября 2018, 09:28:15
Офис постоянно закрыт на внутреннюю щеколду, находится не в офисном здании.
Бугага, обходится элементарно. Посылают засланца в гражданском, он туда легально проходит, придерживает дверь, ломятся люди в масках.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: miskam от 17 октября 2018, 11:39:25
В случае таких раскладов никто вам не даст ничего смыть.
Видимо опыта участия в таких мероприятиях в качестве подопытных еще нет

Нормальное шифрование с аппаратным ключом, ключ уничтожается ответственным лицом (ни фига не админом).
Дубликаты у директора/хозяин в домашнем сейфе/гараже/etc.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: shurutov от 17 октября 2018, 12:04:06
miskam, при всём моём неуважении к соответствующим структурам, навыки оперативной работы они не растеряли. Поэтому вот это вот, то, о чём ты говоришь, им известно. Со всеми вытекающими.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Mornind от 17 октября 2018, 23:21:11
это вот им известно
Совершенно не удивлюсь, если кто-то из них уже эту темку просматривает  :trollface:
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Triangle от 18 октября 2018, 00:33:03
Да я не удивлюсь если у топикстартера лейтенантские погоны и горит план.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: shurutov от 18 октября 2018, 09:44:06
Triangle, вот кстати, да, запросто может быть. Эта, таво! Товарищи администрация! Для углубленного и всестороннего рассмотрения и обсуждения поднятых авторов вопросов предлагаю перенести тему в курилку. Ибо вот. Там ей самоё место.
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: youtee от 05 ноября 2018, 01:13:03
В общем, на данный момент пришел к выводу, что трафф впн надо обрезать через iptables
Подскажите пожалуйста, какие политики нужно прописать в этом фаерволле, чтобы трафф в интернет с рабочей машины мог уходить только через опенвпн, а в случае обрыва соединения, никто и ничто в интернет попасть не могло? 3 недели гуглю, не могу нагуглить
Название: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.
Отправлено: Mornind от 05 ноября 2018, 17:08:40
какие политики нужно прописать в этом фаерволле, чтобы трафф в интернет с рабочей машины мог уходить только через опенвпн
Это не про фаервол.
То, что Вы описываете, делается маршрутизацией