Добрый Всем день, вот и я решил написать свою статью о безопасности, на форуме по счету уже наверное @#$@#$-какая, но это мой взгляд на сетевую безопасность.
Для начала надо знать как мы выходим в сеть.
1-й пункт это Dial-Up и ADSL. для пользователя разница только в скорости.
2-й пункт Локальная сеть, немного сложностей если шлюз не поддерживает сокс.
3-й пункт GPRS (не самый удачный способ соединения (SkyLink получше будет), GPRS и спутниковый канал.
Если с первым пунктом все ясно, со вторым надо будет искать способ работать с прокси, NAT еще пройдет, но если стоит что то типа SQUID то лучше поискать другой способ выхода в сеть. В третьем случае есть особенности .Во первых там может не работать VPN, а только OpenVPN. Трубки лучше брать Samsung или Siemens (у Сименсов только не А серии там GPRS только в 6Х появился), GPRS у Samsung в бюджетных моделях побыстрее чем у Siemens будет (класс 10 у Samsung X100 против класс 8 Siemens C55) (у нас стоят одинаково, да и при работе через спутник это пох так как исходящий канал широкий не нужен), зато с Сименсами проблем с прошивкой и сменой IMEI легче, весь софт написан, опробован, и описан (но не всем нужна эта смена IMEI). Что бы огорчить любителей абсолютной анонимности могу добавить что вычисление точности местонахождения абонента GSM (GPRS) достигает нескольких метров в городе и несколько десятков метров за городом (если только город не в тайге), при этом особой разницы нет в том какой тип связи ты используешь (GSM или CDMA) и при этом там так же все мониторится.
Работа со спутниковым каналом заслуживает отдельного разговора. Данный тип связи бывает односторонний и двусторонний, то есть в 1-м случае через спутник ты только принимаешь данные а отправляешь как тебе удобней и дешевле, то во 2-м ты и получаешь и отправляешь данные через спутник – цена?, работать будешь только на инет. Поэтому рассмотрим 1-й вариант. Исходящий канал(запрос данных) обычно идет GPRS, прием через спутник. За отдельную плату (порядка 10 уе в год ) тебе выделят отдельный IP, там также поддерживаются соксы и прокси. По скорости и цене в регионах ему нет равных – 100-200$ ты получаешь практически выделенную линию, что в некоторых деревнях воспринимается как магия.
Далее личная сетевая безопасность, она состоит из двух частей. Безопасности основной машины (через которую идет выход в сеть, она же шлюз), и безопасности виртуальных систем с которых ведется основная работа.
Начнем с безопасности основной машины.
По традиции основными защитниками остаются фаерволл и прокси. И на мой взгляд VPN (OpenVPN), так как СОРМ еще никто не отменял, и то что у провайдера есть фильтр на ключевые слова уже аксиома лет наверное 10. И никто не даст гарантии что в фильтре нет слов – энролл, картон, VISA etc.
Далее прокси. Есть соксы, у них есть реальное преимущество в том что через них можно пропустить любое соединение и HTTP/HTTPS прокси - с ними легче работать через браузер (опера например соксы не держит, а соксификаторы иногда не представляется возможным использовать, например когда работаешь в инет-кафе или просто не хочешь заморачиваться).
Используя VPN можно не морочиться с цепочкой проксей (если конечно не Пентагон ломаешь), так как это тормозит сеть.
И из-за особенностей работы с виртуальными машинами необходимо поставить соксификатор системы (программ много, например Permeo Security Driver).
Далее безопасность виртуальных систем.
Виртуальные машины надо иметь как минимум две. Одна для работы, другая для операций с деньгами.
Не буду объяснять надобность для работы VMWARE, так как каждый поймет, что существует антифрод, а он может заставить шоп, платежную систему, не работать при отключенной JAVA, ActiveX, или просто не выдают того что они эти дела используют и что тогда? Бросать или может стоит позволить им делать то что они должны . Для этого надо знать на что эти системы способны. А они могут сделать все. Но только с машиной на которой они запущены, поэтому если работать из VMWARE или с компа подключенного через шлюз, то можно обезопасить себя от возможных последствий, скрипты и апплеты могут пробить внутренный IP, языки системы, версию браузера, OS и другие переменные. Это все можно обойти соответственными настройками OS, но IP адрес от апплета не спрячешь, остается только дать ему тот адрес который серверу ничего не скажет, а это может быть только IP из разряда адресов для локальной сети (при условии что есть только этот адрес, так как если есть еще и реальный IP то апплет выдаст и его поэтому в систему должен быть только IP локальной сети), а этого можно сделать только если комп не подключен напрямую к сети (или другой комп, или VMWARE, а 2-й комп есть не у всех , да и просто места на столе может не хватать, поэтому VMWARE наиболее подходящий способ). Но тут встает другая проблема, а что если апплет запросит прямое соединение, не через браузер, не через прокси, тогда апплет спалит IP шлюза, то есть твой IP, но тут можно попробовать соксифицировать всю систему (основную , то есть шлюз), то есть если апплет запросит соединение то , один хер OS отправит его через прокси, или сокс, а так как там могут содержаться только данные виртуальной системы то серверу это ничего не даст. То есть абсолютно безопасный серфинг, который не палится никакими апплетами и скриптами.
Вторую машину надо использовать для операций с электронный валютой – WMZ, WMR, Bitcoin etc. Последнее особенно важно, историй о том как стянули WebMoney уже предостаточно. Поэтому надо знать как тырят деньги (соц инженерию не рассматриваем), обычно протроянивают твою машину или ломают, но этого можно избежать. На VMWARE ставят любую OS (предпочитаю *nix, так что бы из них что то достать нужно больше знаний и опыта, а другими словами меньше шансов нарваться. Так как те кто реально могут такие дела ломать обычно с мелочью не связываются им нужны реальные денежные темы, а не кто то у кого есть 10 бачей на счету), но можно и Винду. Для того что бы с хост машины не пролезли (если ее протроянят то она в одной сети с виртуалкой), фаерволим (что бы сплойтом или червяком не пробили) и шифруем файловую систему (что бы файлы VMWARE с хост машины не разобрали), устанавливаем сертификат WebMoney Light (под *nix klassik не работает, а под виндой спалит процессы и если там есть vmware то твой киппер залочат) и в сеть оттуда лазим только на light.webmoney.ru и bitcoin, так как троев там точно нет можно спать спокойно, если есть опасение что узнают пароль к сертификату в виртуальной машине его можно вводить через виртуальную клавиатуру Windows. Вот так отсасывают кейлоги.
Ну и наконец не забываем чистить хистори и куки, бо чревато.
Вот основные средства того что бы не спалить свою анонимность и сберечь свои деньги.
Я уверен что я затронул не все аспекты безопасности, про некоторые не знал, про что то забыл. Поэтому прошу добавить к статье что то своё.
Для начала надо знать как мы выходим в сеть.
1-й пункт это Dial-Up и ADSL. для пользователя разница только в скорости.
2-й пункт Локальная сеть, немного сложностей если шлюз не поддерживает сокс.
3-й пункт GPRS (не самый удачный способ соединения (SkyLink получше будет), GPRS и спутниковый канал.
Если с первым пунктом все ясно, со вторым надо будет искать способ работать с прокси, NAT еще пройдет, но если стоит что то типа SQUID то лучше поискать другой способ выхода в сеть. В третьем случае есть особенности .Во первых там может не работать VPN, а только OpenVPN. Трубки лучше брать Samsung или Siemens (у Сименсов только не А серии там GPRS только в 6Х появился), GPRS у Samsung в бюджетных моделях побыстрее чем у Siemens будет (класс 10 у Samsung X100 против класс 8 Siemens C55) (у нас стоят одинаково, да и при работе через спутник это пох так как исходящий канал широкий не нужен), зато с Сименсами проблем с прошивкой и сменой IMEI легче, весь софт написан, опробован, и описан (но не всем нужна эта смена IMEI). Что бы огорчить любителей абсолютной анонимности могу добавить что вычисление точности местонахождения абонента GSM (GPRS) достигает нескольких метров в городе и несколько десятков метров за городом (если только город не в тайге), при этом особой разницы нет в том какой тип связи ты используешь (GSM или CDMA) и при этом там так же все мониторится.
Работа со спутниковым каналом заслуживает отдельного разговора. Данный тип связи бывает односторонний и двусторонний, то есть в 1-м случае через спутник ты только принимаешь данные а отправляешь как тебе удобней и дешевле, то во 2-м ты и получаешь и отправляешь данные через спутник – цена?, работать будешь только на инет. Поэтому рассмотрим 1-й вариант. Исходящий канал(запрос данных) обычно идет GPRS, прием через спутник. За отдельную плату (порядка 10 уе в год ) тебе выделят отдельный IP, там также поддерживаются соксы и прокси. По скорости и цене в регионах ему нет равных – 100-200$ ты получаешь практически выделенную линию, что в некоторых деревнях воспринимается как магия.
Далее личная сетевая безопасность, она состоит из двух частей. Безопасности основной машины (через которую идет выход в сеть, она же шлюз), и безопасности виртуальных систем с которых ведется основная работа.
Начнем с безопасности основной машины.
По традиции основными защитниками остаются фаерволл и прокси. И на мой взгляд VPN (OpenVPN), так как СОРМ еще никто не отменял, и то что у провайдера есть фильтр на ключевые слова уже аксиома лет наверное 10. И никто не даст гарантии что в фильтре нет слов – энролл, картон, VISA etc.
Далее прокси. Есть соксы, у них есть реальное преимущество в том что через них можно пропустить любое соединение и HTTP/HTTPS прокси - с ними легче работать через браузер (опера например соксы не держит, а соксификаторы иногда не представляется возможным использовать, например когда работаешь в инет-кафе или просто не хочешь заморачиваться).
Используя VPN можно не морочиться с цепочкой проксей (если конечно не Пентагон ломаешь), так как это тормозит сеть.
И из-за особенностей работы с виртуальными машинами необходимо поставить соксификатор системы (программ много, например Permeo Security Driver).
Далее безопасность виртуальных систем.
Виртуальные машины надо иметь как минимум две. Одна для работы, другая для операций с деньгами.
Не буду объяснять надобность для работы VMWARE, так как каждый поймет, что существует антифрод, а он может заставить шоп, платежную систему, не работать при отключенной JAVA, ActiveX, или просто не выдают того что они эти дела используют и что тогда? Бросать или может стоит позволить им делать то что они должны . Для этого надо знать на что эти системы способны. А они могут сделать все. Но только с машиной на которой они запущены, поэтому если работать из VMWARE или с компа подключенного через шлюз, то можно обезопасить себя от возможных последствий, скрипты и апплеты могут пробить внутренный IP, языки системы, версию браузера, OS и другие переменные. Это все можно обойти соответственными настройками OS, но IP адрес от апплета не спрячешь, остается только дать ему тот адрес который серверу ничего не скажет, а это может быть только IP из разряда адресов для локальной сети (при условии что есть только этот адрес, так как если есть еще и реальный IP то апплет выдаст и его поэтому в систему должен быть только IP локальной сети), а этого можно сделать только если комп не подключен напрямую к сети (или другой комп, или VMWARE, а 2-й комп есть не у всех , да и просто места на столе может не хватать, поэтому VMWARE наиболее подходящий способ). Но тут встает другая проблема, а что если апплет запросит прямое соединение, не через браузер, не через прокси, тогда апплет спалит IP шлюза, то есть твой IP, но тут можно попробовать соксифицировать всю систему (основную , то есть шлюз), то есть если апплет запросит соединение то , один хер OS отправит его через прокси, или сокс, а так как там могут содержаться только данные виртуальной системы то серверу это ничего не даст. То есть абсолютно безопасный серфинг, который не палится никакими апплетами и скриптами.
Вторую машину надо использовать для операций с электронный валютой – WMZ, WMR, Bitcoin etc. Последнее особенно важно, историй о том как стянули WebMoney уже предостаточно. Поэтому надо знать как тырят деньги (соц инженерию не рассматриваем), обычно протроянивают твою машину или ломают, но этого можно избежать. На VMWARE ставят любую OS (предпочитаю *nix, так что бы из них что то достать нужно больше знаний и опыта, а другими словами меньше шансов нарваться. Так как те кто реально могут такие дела ломать обычно с мелочью не связываются им нужны реальные денежные темы, а не кто то у кого есть 10 бачей на счету), но можно и Винду. Для того что бы с хост машины не пролезли (если ее протроянят то она в одной сети с виртуалкой), фаерволим (что бы сплойтом или червяком не пробили) и шифруем файловую систему (что бы файлы VMWARE с хост машины не разобрали), устанавливаем сертификат WebMoney Light (под *nix klassik не работает, а под виндой спалит процессы и если там есть vmware то твой киппер залочат) и в сеть оттуда лазим только на light.webmoney.ru и bitcoin, так как троев там точно нет можно спать спокойно, если есть опасение что узнают пароль к сертификату в виртуальной машине его можно вводить через виртуальную клавиатуру Windows. Вот так отсасывают кейлоги.
Ну и наконец не забываем чистить хистори и куки, бо чревато.
Вот основные средства того что бы не спалить свою анонимность и сберечь свои деньги.
Я уверен что я затронул не все аспекты безопасности, про некоторые не знал, про что то забыл. Поэтому прошу добавить к статье что то своё.
Last edited:
