Автор Тема: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.  (Прочитано 4576 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн youtee

  • Новичок
  • *
  • Сообщений: 4
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Местный
Итак, всем привет! Помогите, кто чем может! Цель - максимально анонимизироваться, спрятаться и зашифроваться, насколько это возможно, не используя аппратное шифрование.
ТЗ: имеется 3 компьютера. Нужно организовать 3 рабочих места с максимальной анонимностью и шифрованием.
Теперь распишу, как мне это видится.
1) подключение к интернету.
Будет использован ЮСБ модем с симкой на дропа с комнатной антенной усилителем, подключенный к вифи роутера. Сеть будет скрытая. Помогите определиться с моделью роутера! Хочу роутер на 5 Гигагерц (а надо ли?), с поддержкой альтернативных прошивок openwrt или ddwrt стоимостью порядка 3 т.р., из вариантов, которые присмотрел, это acher c59 (не уверен, что альтернативные прошивки поддерживаются) и asus ac51u. На роутере будет поднят ВПН клиент (а это безопасно? или лучше подключаться клиентами непосредственно с каждой рабочей машины, обрезав все подключения, кроме "через впн"?), который будет стучать на сервер где-нибудь в Панаме (а надо ли это), купленном в одном из сервисов из гугла. Есть ли там какие-то нюансы по супер-грамотной настройке впн сервера, или будет достаточно запусть скрипт по поднятию впн сервера wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh?
2) операционки на компах.
В качестве хоста будет использоваться виндовс 7 с выключенным вифи адаптером. Будет поднята виртуалка, хранящаяся на зашифрованном контейнере, с операционкой lubuntu. Непосредственно с нее будут идти все рабочие процессы. Как ее дополнительно анонимизировать? Какие сервисы выключать, что шифровать и т.д.? К этой виртуалке будет подключен вифи юсб адаптер, который будет коннектиться к роутеру из п.1. Т.е. сети между хостом и виртуалкой не будет. Опять же вопрос по впн клиенту, где его лучше поднимать? На каждой рабочей станции или на роутере?
3) хранение информации.
В плане шифрование домашних папок каждого компьютера. Это первое. Второе - все данные (логины, пароли и т.д.) планирую разместить на удаленном сервере, допустим там, где будет поднят впн сервер, под каждого из 3 пользователей на сервере с впн будет расшарена папка, которую он будет монтировать к рабочей машине на lubuntu по sshfs (вроде так протокол называется). Эту папку, вероятно, надо тоже зашифровать с лубунты-клиента? Сможет ли в этом случае, в теории, хостер получить доступ к файлам, хранящимся в этой зашифрованной папке?

Достаточно ли анонимно и безопасно выглядит подобная структура приватной сети? Может что-то добавить или поправить?
П.С. пентагоны взламывать не планирую, детское порно и подобную жесть, распространять тоже.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7121
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Хотите ответов, дайте реальное ТЗ. Начните с определения основного фактора угрозы, поясню проще от кого Вы защищаетесь.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн youtee

  • Новичок
  • *
  • Сообщений: 4
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Местный
Вероятней всего, спецслужбы и прочие надзорные органы. Основная цель мероприятия - снизить доказательную базу в случае самых плохих раскладов.
Хранить инфу и прочую бухгалтерию на удаленном впс меня отговорили, посоветовав хранить все на твердотельниках с готовностью смыть в унитаз в случае чего.
Теперь остались вопросы: куда лучше натянуть впн: в роутер или на каждую рабочую машину? ВПС под впн в какой стране и в какой конторе можно взять?
« Последнее редактирование: 11 октября 2018, 02:18:19 от youtee »

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7121
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
При таком раскладе не хранить локально ничего. вообще ничего. Даже в интернет не выходить, это не шутка, это речь о шифрованном туннеле до хоста вне юрисдикции тех кто вас будет брать за жопу, а уже с того хоста выходите в интернет и ещё один шифрованый туннель до сервера, который опять же на хосте вне юрисдикции, где будет стоять терминальный сервер. А на самих рабочих машинах? Винда, белая, честная, а вот туда куда надо загрузка с лайв дистрибутива, ручной ввод по памяти данных подключения. Любые иные способы, особенно с готовностью смыть в унитаз это смешно. И да, терморектальным криптоанализом не брезгуют иногда и надзорные органы, которым вы по памяти вспомните и напишете всё что было и что не было.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Mornind

  • Пользователь
  • **
  • Сообщений: 93
  • Рейтинг: 0
  • Пол: Мужской
    • nik-bmp
    • morntweet
    • Просмотр профиля
  • Откуда: Санкт-Петербург
и ещё один шифрованый туннель до сервера, который опять же на хосте вне юрисдикции
Причем, вне юрисдикции в том числе органов той страны, в которой находится первый хост

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7121
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
А ну это само собой.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Основная цель мероприятия - снизить доказательную базу в случае самых плохих раскладов.
В случае таких раскладов никто вам не даст ничего смыть.
Видимо опыта участия в таких мероприятиях в качестве подопытных еще нет.

Приходят вежливые люди. в количестве человек 10-15.  Охране на входе предъявляют удостоверение и ствол. Один остается на входе - остальные идут в офис.
Двое у стойки ресепшн пресссуют юриста конторы - остальные расходятся по кабинетам - всех вежливо просят убрать руки от клавиатур, оставить мобильные телефоны на столе и вообще выйти в коридор.
Выясняют "а где у вас тут сисьадмин?" ах вон там. спасибо.
Визит к админу - "покажите пожалуйста вашу серверную".
7 минут - все сотрудники в коридоре.

И это еще вежливый расклад.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7121
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
это еще вежливый расклад.
Невероятно вежливый...  :)))
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9055
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
это еще вежливый расклад.
Невероятно вежливый...  :)))

Ну в общем да, бывает в пол лицом кладут сразу.

Оффлайн youtee

  • Новичок
  • *
  • Сообщений: 4
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Местный
Цитировать
В случае таких раскладов никто вам не даст ничего смыть.
Офис постоянно закрыт на внутреннюю щеколду, находится не в офисном здании.

Цитировать
Ну в общем да, бывает в пол лицом кладут сразу.
См. выше, вероятно, будет некоторое время на ликвидацию железа

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7121
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
youtee, Я вам другой сценарий расскажу, который лицезрел лично на одной халтурке. Привозят меня утром рано с барахлом на объект(сеть переделать надо было), выходим мы из машины, а нам навстречу двое в гражданском, меня просто остановили, а вот того кто меня привез, гражданин такой то... будете сотрудничать со следствием вам зачтется, открывайте пожалуйста дверку, нашим сотрудникам надо войти.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9055
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Офис постоянно закрыт на внутреннюю щеколду, находится не в офисном здании.
Бугага, обходится элементарно. Посылают засланца в гражданском, он туда легально проходит, придерживает дверь, ломятся люди в масках.

Оффлайн miskam

  • Начинающий
  • *
  • Сообщений: 46
  • Рейтинг: 1
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Новосибирск
В случае таких раскладов никто вам не даст ничего смыть.
Видимо опыта участия в таких мероприятиях в качестве подопытных еще нет

Нормальное шифрование с аппаратным ключом, ключ уничтожается ответственным лицом (ни фига не админом).
Дубликаты у директора/хозяин в домашнем сейфе/гараже/etc.

Оффлайн shurutov

  • Постоялец
  • ***
  • Сообщений: 326
  • Рейтинг: 3
  • Пол: Мужской
    • mshurutov@jabber.ru
    • Просмотр профиля
  • Откуда: СССР
miskam, при всём моём неуважении к соответствующим структурам, навыки оперативной работы они не растеряли. Поэтому вот это вот, то, о чём ты говоришь, им известно. Со всеми вытекающими.
С уважением,
Шурутов Михаил.

Оффлайн Mornind

  • Пользователь
  • **
  • Сообщений: 93
  • Рейтинг: 0
  • Пол: Мужской
    • nik-bmp
    • morntweet
    • Просмотр профиля
  • Откуда: Санкт-Петербург
это вот им известно
Совершенно не удивлюсь, если кто-то из них уже эту темку просматривает  :trollface: