Автор Тема: Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.  (Прочитано 1000 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн youtee

  • Юзер
  • *
  • Сообщений: 3
  • Karma: +0/-0
    • Share Post
Итак, всем привет! Помогите, кто чем может! Цель - максимально анонимизироваться, спрятаться и зашифроваться, насколько это возможно, не используя аппратное шифрование.
ТЗ: имеется 3 компьютера. Нужно организовать 3 рабочих места с максимальной анонимностью и шифрованием.
Теперь распишу, как мне это видится.
1) подключение к интернету.
Будет использован ЮСБ модем с симкой на дропа с комнатной антенной усилителем, подключенный к вифи роутера. Сеть будет скрытая. Помогите определиться с моделью роутера! Хочу роутер на 5 Гигагерц (а надо ли?), с поддержкой альтернативных прошивок openwrt или ddwrt стоимостью порядка 3 т.р., из вариантов, которые присмотрел, это acher c59 (не уверен, что альтернативные прошивки поддерживаются) и asus ac51u. На роутере будет поднят ВПН клиент (а это безопасно? или лучше подключаться клиентами непосредственно с каждой рабочей машины, обрезав все подключения, кроме "через впн"?), который будет стучать на сервер где-нибудь в Панаме (а надо ли это), купленном в одном из сервисов из гугла. Есть ли там какие-то нюансы по супер-грамотной настройке впн сервера, или будет достаточно запусть скрипт по поднятию впн сервера wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh?
2) операционки на компах.
В качестве хоста будет использоваться виндовс 7 с выключенным вифи адаптером. Будет поднята виртуалка, хранящаяся на зашифрованном контейнере, с операционкой lubuntu. Непосредственно с нее будут идти все рабочие процессы. Как ее дополнительно анонимизировать? Какие сервисы выключать, что шифровать и т.д.? К этой виртуалке будет подключен вифи юсб адаптер, который будет коннектиться к роутеру из п.1. Т.е. сети между хостом и виртуалкой не будет. Опять же вопрос по впн клиенту, где его лучше поднимать? На каждой рабочей станции или на роутере?
3) хранение информации.
В плане шифрование домашних папок каждого компьютера. Это первое. Второе - все данные (логины, пароли и т.д.) планирую разместить на удаленном сервере, допустим там, где будет поднят впн сервер, под каждого из 3 пользователей на сервере с впн будет расшарена папка, которую он будет монтировать к рабочей машине на lubuntu по sshfs (вроде так протокол называется). Эту папку, вероятно, надо тоже зашифровать с лубунты-клиента? Сможет ли в этом случае, в теории, хостер получить доступ к файлам, хранящимся в этой зашифрованной папке?

Достаточно ли анонимно и безопасно выглядит подобная структура приватной сети? Может что-то добавить или поправить?
П.С. пентагоны взламывать не планирую, детское порно и подобную жесть, распространять тоже.

 

Оффлайн black_beard

  • Юзер
  • *
  • Сообщений: 43
  • Karma: +3/-0
  • Пол: Мужской
    • Share Post
Ну если прям заморачиваться, яб еще подумал о https://tails.boum.org
Fedora 25/Cinnamon

Оффлайн NiX

  • IS Group
  • сисадми́н
  • *
  • Сообщений: 677
  • Karma: +42/-0
  • Пол: Мужской
    • Share Post
А цель данного мероприятия какова?
От кого потенциально защищаемся?

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Ты сам на половину вопросов ответил, на счёт хранения паролей и ключей копни vault...
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

Оффлайн NiX

  • IS Group
  • сисадми́н
  • *
  • Сообщений: 677
  • Karma: +42/-0
  • Пол: Мужской
    • Share Post
тогда уж, вместо lubuntu, лучшеуж tails заюзать https://en.wikipedia.org/wiki/Tails_(operating_system), если в тех. детали анонимности не углубляться)

Оффлайн youtee

  • Юзер
  • *
  • Сообщений: 3
  • Karma: +0/-0
    • Share Post
Цитировать
Ну если прям заморачиваться, яб еще подумал о https://tails.boum.org
Если в лубунте нет принципиальных "но", которые могут помешать, предпочту остаться на ней
Цитировать
От кого потенциально защищаемся?
Потенциально от спецслужб и прочих надзорных органов! Цель данных мероприятий снизить потенциальную доказательную базу в случае пи3деCA.
Цитировать
Ты сам на половину вопросов ответил, на счёт хранения паролей и ключей копни vault...
От идеи хранения инфы на удаленке я отказался. Теперь остались вопросы: куда натягивать впн: в роутер или на каждую рабочую машину? И какой страны взять впс под впн и в какой конторе?

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Ищи любую страну, где тебя устроят юридические обязательства этой конторы к отношению той страны где она находится. На каждую машину можно поставить, для каждой машины выписать свой профиль в настройках vpn сервера.

Оффлайн youtee

  • Юзер
  • *
  • Сообщений: 3
  • Karma: +0/-0
    • Share Post
В общем, на данный момент пришел к выводу, что трафф впн надо обрезать через iptables
Подскажите пожалуйста, какие политики нужно прописать в этом фаерволле, чтобы трафф в интернет с рабочей машины мог уходить только через опенвпн, а в случае обрыва соединения, никто и ничто в интернет попасть не могло? 3 недели гуглю, не могу нагуглить

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8788
  • Karma: +121/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Настрой на своем маршрутизаторе VPN, в случае если производйет обрыв соединение, у всех пропадет интернет (если кратко)


xx
Защита отдельных компьютеров в корпоративной сети

Автор Black Jack

3 Ответов
1352 Просмотров
Последний ответ Сентябрь 05, 2018, 08:50:49 am
от aknet
moved
Перенесено: Защита отдельных компьютеров в корпоративной сети

Автор sysadmin

0 Ответов
4 Просмотров
Последний ответ Июнь 06, 2018, 09:14:21 pm
от sysadmin
xx
Сдаю в аренду Ipv4 сетки от/24 до /21

Автор almo73

9 Ответов
1489 Просмотров
Последний ответ Сентябрь 06, 2019, 05:13:00 pm
от almo73
xx
Советы по выбору роутера для beeline

Автор criptid

3 Ответов
734 Просмотров
Последний ответ Апрель 22, 2017, 11:46:32 pm
от sysroman