Добрый Всем день , вот и я решил написать свою статью о безопасности , на форуме по счету уже наверное @#$@#$-какая , но это мой взгляд на сетевую безопасность .
Для начала надо знать как мы выходим в сеть .
1-й пункт это Dial-Up и ADSL . для пользователя разница только в скорости .
2-й пункт Локальная сеть , немного сложностей если шлюз не поддерживает сокс .
3-й пункт GPRS (не самый удачный способ соединения (SkyLink получше будет)), GPRS и спутниковый канал .
Если с первым пунктом все ясно , со вторым надо будет искать способ работать с прокси , NAT еще пройдет , но если стоит что то типа SQUID то лучше поискать другой способ выхода в сеть .В третьем случае есть особенности .Во первых там может не работать VPN , а только OpenVPN . Трубки лучше брать Samsung или Siemens (у Сименсов только не А серии там GPRS только в 6Х появился) , GPRS у Samsung в бюджетных моделях побыстрее чем у Siemens будет (класс 10 у Samsung X100 против класс 8 Siemens C55) (у нас стоят одинаково, да и при работе через спутник это пох так как исходящий канал широкий не нужен) , зато с Сименсами проблем с прошивкой и сменой IMEI легче , весь софт написан , опробован , и описан (но не всем нужна эта смена IMEI ) . Что бы огорчить любителей абсолютной анонимности могу добавить что вычисление точности местонахождения абонента GSM(GPRS)достигает нескольких метров в городе и несколько десятков метров за городом (если только город не в тайге) , при этом особой разницы нет в том какой тип связи ты используешь (GSM или CDMA) и при этом там так же все мониторится .
Работа со спутниковым каналом заслуживает отдельного разговора . Данный тип связи бывает односторонний и двусторонний , то есть в 1-м случае через спутник ты только принимаешь данные а отправляешь как тебе удобней и дешевле, то во 2-м ты и получаешь и отправляешь данные через спутник – цена ? , работать будешь только на инет . Поэтому рассмотрим 1-й вариант . Исходящий канал(запрос данных) обычно идет GPRS , прием через спутник . За отдельную плату (порядка 10 уе в год ) тебе выделят отдельный IP , там также поддерживаются соксы и прокси . По скорости и цене в регионах ему нет равных – 100-200$ ты получаешь практически выделенную линию , что в некоторых деревнях воспринимается как магия .
Далее личная сетевая безопасность , она состоит из двух частей . Безопасности основной машины (через которую идет выход в сеть , она же шлюз) , и безопасности виртуальных систем с которых ведется основная работа .
Начнем с безопасности основной машины .
По традиции основными защитниками остаются фаерволл и прокси . И на мой взгляд VPN(OpenVPN) , так как СОРМ еще никто не отменял , и то что у провайдера есть фильтр на ключевые слова уже аксиома лет наверное 10 . И никто не даст гаранитии что в фильтре нет слов – энролл , картон , V I S A etc /
Далее прокси . Есть соксы , у них есть реальное преимущество в том что через них можно пропустить любое соединение , и HTTP/HTTPS прокси - с ними легче работать через браузер (опера например соксы не держит , а соксификаторы иногда не представляется возможным использовать , например когда работаешь в инет-кафе или просто не хочешь заморачиваться ).
Используя VPN можно не морочится с цепочкой проксей (если конечно не Пе нта гон ломаешь ) , так как это тормозит сеть .
И из-за особенностей работы с виртуальными машинами необходимо поставить соксификатор системы (программ много , например Permeo Security Driver ) .
Далее безопасность виртуальных систем .
Виртуальные машины надо иметь как минимум две . Одна для работы , другая для операций с деньгами
Не буду обьяснять надобность для работы VMWARE , так как каждый поймет , что существует антифрод , а он может заставить шоп , платежную систему , не работать при отключенной JAVA , ActiveX , или просто не выдают того что они эти дела используют и что тогда ? бросать , или может стоит позволить им делать то что они должны . Для этого надо знать на что эти системы способны . А они могут сделать все . Но только с машиной на которой они запущены , поэтому если работать из VMWARE , или с компа подключенного через шлюз , то можно обезопасить себя от возможных последствий , скрипты и апплеты могут пробить внутренный IP , языки системы , версию браузера , OS и другие переменные . Это все можно обойти соответственными настройками OS , но IP адрес от апплета не спрячешь , остается только дать ему тот адрес который серверу ничего не скажет , а это может быть только IP из разряда адресов для локальной сети (при условии что есть только этот адрес , так как если есть еще и реальный IP то апплет выдаст и его поэтому в систему должен быть только IP локальной сети), а этого можно сделать только если комп не подключен напрямую к сети (или другой комп , или VMWARE , а 2-й комп есть не у всех , да и просто места на столе может не хватать , поэтому VMWARE наиболее подходящий способ). Но тут встает другая проблема , а что если апплет запросит прямое соединение , не через браузер , не через прокси, тогда апплет спалит IP шлюза , то есть твой IP , но тут можно попробовать соксифицировать всю систему (основную , то есть шлюз) , то есть если апплет запросит соединение то , один хер OS отправит его через прокси , или сокс , а так как там могут содержаться только данные виртуальной системы то серверу это ничего не даст. То есть абсолютно безопасный серфинг , который не палится никакими апплетами и скриптами .
Вторую машину надо использовать для операций с электронный валютой – WMZ , WMR , E-Gold etc . Последнее особенно важно , историй о том как стянули WebMoney уже предостаточно . Поэтому надо знать как тырят деньги (соц инженерию не рассматриваем) , обычно протроянивают твою машину , или ломают , но этого можно избежать . На VMWARE ставят любую OS (предпочитаю *nix , так что бы из них что то достать нужно больше знаний и опыта , а другими словами меньше шансов нарваться . Так как те кто реально могут такие дела ломать обычно с мелочью не связываются им нужны реальные денежные темы , а не кто то у кого есть 10 бачей на счету) , но можно и Винду . Для того что бы с хост машины не пролезли (если ее протроянят то она в одной сети с виртуалкой),фаерволим (что бы сплойтом или червяком не пробили) и шифруем файловую систему ( что бы файлы VMWARE с хост машины не разобрали ), устанавливаем сертификат WebMoney Light (под *nix klassik не работает , а под виндой спалит процессы и если там есть vmware то твой киппер залочат)и в сеть оттуда лазим только на light.webmoney.ru и E-Gold.com , так как троев там точно нет можно спать спокойно , если есть опасение что узнают пароль к сертификату в виртуальной машине его можно вводить через виртуальную клавиатуру Windows (Вот так отсасывают кейлоги) .
Ну и наконец не забываем чистить хистори и Куки , бо чревато .
Вот основные средства того что бы не спалить свою анонимность и сберечь свои деньги.
Я уверен что я затронул не все аспекты безопасности , про некоторые не знал , про что то забыл. Поэтому прошу добавить к статье что то свое .
Права на статью принадлежат её автору. Перепечатка, использование отдельных частей и т.д. в личных целях на других ресурсах разрешена только с устного соглашения автора.
Copyright © 2006 xploser