Изучение уязвимостей электронных систем.
 
key programming immo tools emergency start device программаторы ключа заводилки Кодграббер штатных охранных систем, toyota, lexus, subaru.

Вернуться   Изучение уязвимостей электронных систем > В помощь фрикеру > Безопасность

Безопасность Личная безопасность в сети. Шифрование, прокси и тд.

Ответ
 
Опции темы
Старый 12.04.2015, 15:26   #1
Соня12
случайно влез
 
Регистрация: 12.04.2015
Сообщений: 1
Поблагодарил: 0
Поблагодарили 3 раз(а) в 1 сообщении
Соня12 стоит на развилке
По умолчанию Строим защищённую систему на основе TOR и I2P из песочницы

Тема не моя, нашел на сайте хабрахабр, была придумана и выложена любезным пользователем Raegdan.
С легкостью реализовал ее и пользуюсь себе в удовольствие, когда лишний раз не хочется светить себя в сети. У кого появится вопросы по реализации, пишите в теме или в лс подскажу, так как тем кто не знает ubuntu будет не просто.
Вот собственно и она:

Строим защищённую систему на основе TOR и I2P из песочницы

Введение

В этом посте я попробую расписать по шагам о том, как построить защищённую систему для безопасного приёма, передачи, хранения и обработки конфиденциальных и иных опасных данных. Ни для кого не секрет, что сейчас различные лица и организации пытаются удушить свободу как самого интернета, так и его пользователей, и зачастую им это удаётся. Поэтому сейчас мы попробуем соорудить небольшую, но прочную крепость внутри нашего компьютера.

На провокации вида «при помощи такой системы можно слить гостайну врагу» я отвечаю сразу: при помощи ядерных ракет можно не только устроить конец света, но и отогнать или расколоть угрожающий нашей планете астероид.

Что нам потребуется?

Во-первых, это компьютер достаточной производительности с большим объёмом оперативной памяти. Его операционная система значения не имеет, поскольку устанавливаемое на него ПО кроссплатформенно. Ну, разве что, за исключением экзотических или совсем уж древних ОС.
Во-вторых, программное обеспечение. Я перечислю его в порядке, в котором оно потребуется в построении системы:

TrueCrypt
VirtualBox (качать с официального сайта пока не торопитесь)
Ubuntu. Я делал на версии 11.10 x86, поскольку 12.04 на тот момент не было.
TOR
I2P


Обращаю внимание, что всё вышеперечисленное ПО имеет открытый код. Это очень важно, поскольку эти программы — ядро нашей безопасности, и какая-нибудь проприетарная закладка могла бы очень дорого обойтись.

Начнём!

Для того, чтобы защитить данные от прямого захвата жёсткого диска, нам необходимо их зашифровать. Для этого мы будем использовать утилиту TrueCrypt.

Создадим с её помощью зашифрованный том, хранящийся в файле. Можно создать и на разделе, но, на мой взгляд, это менее удобно.

Создавать ли скрытый том? Вопрос неоднозначный. Эта фича предназначена для использования в Англии, где невыдача паролей при конфискации ПК сама по себе является преступлением. В то же время в России такой законодательной нормы нет, а использование скрытого раздела съедает полезный объём диска. Я создавать скрытый раздел не стал.

Размер раздела выберем на своё усмотрение. Лично я выбрал 50 ГБ.

Алгоритм шифрования — я выбрал AES. Во-первых, ему доверяют американские военные для защиты высших грифов секретности, а во-вторых, он аппаратно ускоряется новыми процессорами Intel и TrueCrypt имеет поддержку этого ускорения.

Далее всё стандартно: придумываем сложный и длинный пароль, генерируем энтропию хаотичными движениями мыши и создаём раздел. Тип раздела обязательно должен быть NTFS, поскольку в нём будут храниться большие файлы.

Далее нам потребуется виртуальная машина. Всё, что мы оберегаем — будет храниться в ней.
Связано это с тем, что:

работа в основной ОС оставляет в различных местах разнообразные следы;
если основная ОС проприетарна (не буду показывать пальцем) — в ней не исключено наличие закладок;
прикладное ПО в основной ОС тоже подпадает под предыдущее требование (вспомним PunkBuster, EULA которого позволяет сканировать жёсткий диск пользователя).


Мы будем использовать VirtualBox, но не основной дистрибутив, а портативный. Скачаем инсталлятор на заранее примонтированный шифрованный диск, запустим и скачаем поддерживаемый дистрибутив Бокса посредством самой утилиты. Далее утилита распакует его и настроит на портативность.

Создадим в Боксе машинку с двумя жёсткими дисками: одним — на 8-10 ГБ и вторым на всё оставшееся место, разумеется, расположив оба на шифрованном диске. Пройдёмся по настройкам, поставим сеть в NAT и настроим остальное по своему вкусу — особо критичного там ничего нет. Подключим образ Убунты (который, надеюсь, уже скачался) в качестве дисковода.

Запускаем машину и начинаем установку ОС. При разбиении дисков поступим примерно так: разместим на первом, маленьком, корень и своп, а на большом — /home. Все данные мы будем хранить в /home. Таким образом, разделение системы и данных происходит между разными файлами жёстких дисков Бокса. Далее всё выполняем по своему вкусу.

Установилось! Теперь начинаем настройку.

Идея заключается в том, чтобы оставить прямой доступ в сеть только двоим избранным — маршрутизаторам TOR и I2P.

Сначала ставим TOR из их собственного репозитория (в официальном версия может быть устаревшей) по инструкции с официального сайта. Потом поставим и I2P, опять же из собственного PPA-репа разработчиков — инструкция.

Обратим внимание, что TOR сам по себе предоставляет только SOCKS5-прокси, и его поддержка есть не во всех программах. Поэтому установим Polipo — свободный HTTP-прокси:
sudo apt-get install polipo

Настроим его:
sudo nano /etc/polipo/config

Добавим в него строчку:
proxyPort = 8118

Ниже раскомментируем (или подправим, если что-то не так):
socksParentProxy = "localhost:9050"
socksProxyType = socks5

Сохраним. Перезапустим Полип:
sudo service polipo restart

Теперь настроим I2P:
sudo nano /etc/default/i2p

Включим запуск в качестве демона:
RUN_DAEMON="true"

Заодно видим в файле имя пользователя, от которого работает маршрутизатор — у меня это i2psvc
Сохраняем.
Запускаем: sudo service i2p start

Теперь узнаем пользователя, от которого работает TOR:
lsof -c tor
У меня это debian-tor.

И теперь — самое вкусное: рубим доступ в сеть всему, что не TOR и не I2P. Ещё раз — всему.
Вот готовый скрипт iptables-restore, только проверьте ещё раз имена пользователей.
Общая политика DROP, разрешён доступ всем на локалхост, I2P и TOR — во внешнюю сеть.
sudo nano /etc/iptables.up.rules

Содержимое:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [0:0]
-A OUTPUT -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m owner --uid-owner debian-tor -j ACCEPT
-A OUTPUT -m owner --uid-owner i2psvc -j ACCEPT
COMMIT

Откроем файл настройки сети:
sudo nano /etc/network/interfaces

Допишем команду загрузки правил:
pre-up iptables-restore < /etc/iptables.up.rules

У меня выглядит так:
auto lo
iface lo inet loopback
pre-up iptables-restore < /etc/iptables.up.rules

Поскольку управление сетью у меня идёт посредством network-manager — интерфейса eth0 в файле нет. Правила прописываются при поднятии лупбэка, но разницы нет, поскольку эти правила едины для всех интерфейсов.

Загрузим правила в iptables. Можно перезапустить сеть, но мы сделаем так:
sudo iptables-restore < /etc/iptables.up.rules

Готово! Крепость построена, ров вырыт, лучники на стенах выставлены. Но мы ещё не раздали пропуска её жителям! Исправим.
Для доступа во внешний интернет лучше применять TOR, HTTP-интерфейс которого у нас на 8118 порту.
nano ~/.bashrc

Допишем в конец:
export http_proxy="
Соня12 вне форума   Ответить с цитированием
Старый 12.04.2015, 15:38   #2
VivaLaCuba
гость
 
Аватар для VivaLaCuba
 
Регистрация: 31.01.2015
Адрес: Тверь
Сообщений: 139
Поблагодарил: 241
Поблагодарили 136 раз в 68 сообщениях
VivaLaCuba скоро станет знаменитым(-ой)
По умолчанию

Где то это уже было... Не давно...


Si ambulavero in valle umbrae mortis, non timebo mala, quoniam tu mecum es
VivaLaCuba вне форума   Ответить с цитированием
Старый 13.06.2015, 02:52   #3
B52
случайно влез
 
Аватар для B52
 
Регистрация: 13.06.2015
Сообщений: 7
Поблагодарил: 0
Поблагодарили 2 раз(а) в 1 сообщении
B52 стоит на развилке
По умолчанию

I2p скорость очень лайтовая

TOR более менее подходит, за исключением выходной ноды, которую нужно шифроват ssh

Вообщем юзайте wi-fi или модемы, системную самоуничтожающуюся по команде/паролю ось Linux на ней truecrypt+vpn+tor+ssh если скорость не ахти, то tor+ssh
B52 вне форума   Ответить с цитированием
Старый 13.06.2015, 23:13   #4
Chef
гость
 
Аватар для Chef
 
Регистрация: 31.10.2010
Адрес: Где то в России
Сообщений: 180
Поблагодарил: 57
Поблагодарили 33 раз в 28 сообщениях
Chef стоит на развилке
По умолчанию

Люди те кто в теме прошу дать ответы:
1. Как завернуть ВЕСЬ трафик в никсах/окнах в впн?
2. Как правильно завернуть пусть даже свой впн в тор?
3. Как защитить свой трафик в выходной ноде?
За ранее благодарен
Chef вне форума   Ответить с цитированием
Старый 19.06.2015, 01:49   #5
g3d
гость
 
Аватар для g3d
 
Регистрация: 03.01.2010
Сообщений: 246
Поблагодарил: 654
Поблагодарили 28 раз в 19 сообщениях
g3d стоит на развилке
По умолчанию

Кто что думает про последнюю версию TrueCrypt и насчёт источника [Ссылки могут видеть только зарегистрированные пользователи. ] ?


Каждый сам выбирает, как Жизнь эту проЖить.
g3d вне форума   Ответить с цитированием
Старый 19.06.2015, 03:09   #6
Coroller
начинающий фрикер
 
Регистрация: 15.05.2011
Адрес: с компа друга
Сообщений: 971
Поблагодарил: 64
Поблагодарили 349 раз в 241 сообщениях
Coroller скоро станет знаменитым(-ой)Coroller скоро станет знаменитым(-ой)
По умолчанию

Смотря какую версию называть "последней".
7.2 использовать нельзя, она скомпрометирована.
Предыдущие релизы - можно смело, прошёл аудит.
трукрипт.cz позиционируется как "будущее от энтузиастов проекта", посмотрим что получится.
Coroller вне форума   Ответить с цитированием
Старый 19.06.2015, 03:51   #7
g3d
гость
 
Аватар для g3d
 
Регистрация: 03.01.2010
Сообщений: 246
Поблагодарил: 654
Поблагодарили 28 раз в 19 сообщениях
g3d стоит на развилке
По умолчанию

Цитата:
Сообщение от Coroller Посмотреть сообщение
Смотря какую версию называть "последней".
7.2 использовать нельзя, она скомпрометирована.
Предыдущие релизы - можно смело, прошёл аудит.
трукрипт.cz позиционируется как "будущее от энтузиастов проекта", посмотрим что получится.

А что скажешь про источник [Ссылки могут видеть только зарегистрированные пользователи. ] ?

И ещё вопрос, как можно проверить надёжность этой программы ?


Каждый сам выбирает, как Жизнь эту проЖить.
g3d вне форума   Ответить с цитированием
Старый 19.06.2015, 03:59   #8
slammii
Заблокирован
 
Регистрация: 15.05.2015
Сообщений: 14
Поблагодарил: 13
Поблагодарили 6 раз в 3 сообщениях
slammii стоит на развилке
По умолчанию

[Ссылки могут видеть только зарегистрированные пользователи. ]
slammii вне форума   Ответить с цитированием
Ответ

Метки
защищенная система


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Шимм на основе MSRv007 Campbells Пластиковые карты 0 20.08.2014 22:48
посоветуйте систему Сергей1 Новички 2 11.03.2014 21:42
Голландский флюс на основе конопли Radiovor Флейм 11 07.03.2011 21:09
ПРАВИЛО ТОРГОВЛИ НА ПОСТОЯННОЙ ОСНОВЕ kruzenshtern Барахолка 0 03.07.2010 19:12
кодграббер на основе RXQ1 REM Охранные системы 14 01.11.2006 23:41


Текущее время: 07:45. Часовой пояс GMT +4.


Перевод: zCarot