Форум системных администраторов
IT => Networks => Тема начата: youtee от 10 октября 2018, 02:27:09
-
Итак, всем привет! Помогите, кто чем может! Цель - максимально анонимизироваться, спрятаться и зашифроваться, насколько это возможно, не используя аппратное шифрование.
ТЗ: имеется 3 компьютера. Нужно организовать 3 рабочих места с максимальной анонимностью и шифрованием.
Теперь распишу, как мне это видится.
1) подключение к интернету.
Будет использован ЮСБ модем с симкой на дропа с комнатной антенной усилителем, подключенный к вифи роутера. Сеть будет скрытая. Помогите определиться с моделью роутера! Хочу роутер на 5 Гигагерц (а надо ли?), с поддержкой альтернативных прошивок openwrt или ddwrt стоимостью порядка 3 т.р., из вариантов, которые присмотрел, это acher c59 (не уверен, что альтернативные прошивки поддерживаются) и asus ac51u. На роутере будет поднят ВПН клиент (а это безопасно? или лучше подключаться клиентами непосредственно с каждой рабочей машины, обрезав все подключения, кроме "через впн"?), который будет стучать на сервер где-нибудь в Панаме (а надо ли это), купленном в одном из сервисов из гугла. Есть ли там какие-то нюансы по супер-грамотной настройке впн сервера, или будет достаточно запусть скрипт по поднятию впн сервера wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh?
2) операционки на компах.
В качестве хоста будет использоваться виндовс 7 с выключенным вифи адаптером. Будет поднята виртуалка, хранящаяся на зашифрованном контейнере, с операционкой lubuntu. Непосредственно с нее будут идти все рабочие процессы. Как ее дополнительно анонимизировать? Какие сервисы выключать, что шифровать и т.д.? К этой виртуалке будет подключен вифи юсб адаптер, который будет коннектиться к роутеру из п.1. Т.е. сети между хостом и виртуалкой не будет. Опять же вопрос по впн клиенту, где его лучше поднимать? На каждой рабочей станции или на роутере?
3) хранение информации.
В плане шифрование домашних папок каждого компьютера. Это первое. Второе - все данные (логины, пароли и т.д.) планирую разместить на удаленном сервере, допустим там, где будет поднят впн сервер, под каждого из 3 пользователей на сервере с впн будет расшарена папка, которую он будет монтировать к рабочей машине на lubuntu по sshfs (вроде так протокол называется). Эту папку, вероятно, надо тоже зашифровать с лубунты-клиента? Сможет ли в этом случае, в теории, хостер получить доступ к файлам, хранящимся в этой зашифрованной папке?
Достаточно ли анонимно и безопасно выглядит подобная структура приватной сети? Может что-то добавить или поправить?
П.С. пентагоны взламывать не планирую, детское порно и подобную жесть, распространять тоже.
-
Хотите ответов, дайте реальное ТЗ. Начните с определения основного фактора угрозы, поясню проще от кого Вы защищаетесь.
-
Вероятней всего, спецслужбы и прочие надзорные органы. Основная цель мероприятия - снизить доказательную базу в случае самых плохих раскладов.
Хранить инфу и прочую бухгалтерию на удаленном впс меня отговорили, посоветовав хранить все на твердотельниках с готовностью смыть в унитаз в случае чего.
Теперь остались вопросы: куда лучше натянуть впн: в роутер или на каждую рабочую машину? ВПС под впн в какой стране и в какой конторе можно взять?
-
При таком раскладе не хранить локально ничего. вообще ничего. Даже в интернет не выходить, это не шутка, это речь о шифрованном туннеле до хоста вне юрисдикции тех кто вас будет брать за жопу, а уже с того хоста выходите в интернет и ещё один шифрованый туннель до сервера, который опять же на хосте вне юрисдикции, где будет стоять терминальный сервер. А на самих рабочих машинах? Винда, белая, честная, а вот туда куда надо загрузка с лайв дистрибутива, ручной ввод по памяти данных подключения. Любые иные способы, особенно с готовностью смыть в унитаз это смешно. И да, терморектальным криптоанализом не брезгуют иногда и надзорные органы, которым вы по памяти вспомните и напишете всё что было и что не было.
-
и ещё один шифрованый туннель до сервера, который опять же на хосте вне юрисдикции
Причем, вне юрисдикции в том числе органов той страны, в которой находится первый хост
-
А ну это само собой.
-
Основная цель мероприятия - снизить доказательную базу в случае самых плохих раскладов.
В случае таких раскладов никто вам не даст ничего смыть.
Видимо опыта участия в таких мероприятиях в качестве подопытных еще нет.
Приходят вежливые люди. в количестве человек 10-15. Охране на входе предъявляют удостоверение и ствол. Один остается на входе - остальные идут в офис.
Двое у стойки ресепшн пресссуют юриста конторы - остальные расходятся по кабинетам - всех вежливо просят убрать руки от клавиатур, оставить мобильные телефоны на столе и вообще выйти в коридор.
Выясняют "а где у вас тут сисьадмин?" ах вон там. спасибо.
Визит к админу - "покажите пожалуйста вашу серверную".
7 минут - все сотрудники в коридоре.
И это еще вежливый расклад.
-
это еще вежливый расклад.
Невероятно вежливый... :)))
-
это еще вежливый расклад.
Невероятно вежливый... :)))
Ну в общем да, бывает в пол лицом кладут сразу.
-
В случае таких раскладов никто вам не даст ничего смыть.
Офис постоянно закрыт на внутреннюю щеколду, находится не в офисном здании.
Ну в общем да, бывает в пол лицом кладут сразу.
См. выше, вероятно, будет некоторое время на ликвидацию железа
-
youtee, Я вам другой сценарий расскажу, который лицезрел лично на одной халтурке. Привозят меня утром рано с барахлом на объект(сеть переделать надо было), выходим мы из машины, а нам навстречу двое в гражданском, меня просто остановили, а вот того кто меня привез, гражданин такой то... будете сотрудничать со следствием вам зачтется, открывайте пожалуйста дверку, нашим сотрудникам надо войти.
-
Офис постоянно закрыт на внутреннюю щеколду, находится не в офисном здании.
Бугага, обходится элементарно. Посылают засланца в гражданском, он туда легально проходит, придерживает дверь, ломятся люди в масках.
-
В случае таких раскладов никто вам не даст ничего смыть.
Видимо опыта участия в таких мероприятиях в качестве подопытных еще нет
Нормальное шифрование с аппаратным ключом, ключ уничтожается ответственным лицом (ни фига не админом).
Дубликаты у директора/хозяин в домашнем сейфе/гараже/etc.
-
miskam, при всём моём неуважении к соответствующим структурам, навыки оперативной работы они не растеряли. Поэтому вот это вот, то, о чём ты говоришь, им известно. Со всеми вытекающими.
-
это вот им известно
Совершенно не удивлюсь, если кто-то из них уже эту темку просматривает :trollface:
-
Да я не удивлюсь если у топикстартера лейтенантские погоны и горит план.
-
Triangle, вот кстати, да, запросто может быть. Эта, таво! Товарищи администрация! Для углубленного и всестороннего рассмотрения и обсуждения поднятых авторов вопросов предлагаю перенести тему в курилку. Ибо вот. Там ей самоё место.
-
В общем, на данный момент пришел к выводу, что трафф впн надо обрезать через iptables
Подскажите пожалуйста, какие политики нужно прописать в этом фаерволле, чтобы трафф в интернет с рабочей машины мог уходить только через опенвпн, а в случае обрыва соединения, никто и ничто в интернет попасть не могло? 3 недели гуглю, не могу нагуглить
-
какие политики нужно прописать в этом фаерволле, чтобы трафф в интернет с рабочей машины мог уходить только через опенвпн
Это не про фаервол.
То, что Вы описываете, делается маршрутизацией