Здравствуйте. Предисловие: Мы - небольшая узкоспециализированная фирма, которая держится на постоянных клиентах. Находимся в рядовом бизнес-центре в Москве. В череде последних непонятных событий и при их анализе мы обнаружили утечку информации в виде сниффинга со стороны нашего провайдера, предоставляющего услуги доступа в интернет в нашем БЦ. Естественно, все это дело вовремя прикрыли и никаких доказательств нет, просто догадки. Но уверенность в том, что информационным шпионажем в пользу другой фирмы конкретно занимался наш "мини-провайдер" сомнений нет. Проблема: Нет возможности сменить провайдера. Нужно защитить свой канал. Наше решение: OpenVPN, PPTP-VPN мы отмели как варианты сразу на первоначальном этапе. Так же мы отмели вариант покупки доступа у аналогичных сервисов. Остановились на реализации Socks-5 + SSL. Требуется : легкость в развертывании, сжирание минимум ресурсов на размещаемом хосте, самая дешевая площадка для размещения. Сейчас сидим просто из-под соксов. Может кто подсказать готовое решение, его цену со всеми производными и пример внедрения\настройки? Заранее спасибо. PS я спрашивал этот вопрос на многих "специализированных" форумах, - у меня сложилось ощущение, что там сидят лишь мужички в пиджачках и протирают свою джинсы. ни одного норм ответа, одна вода. обратился поэтому к вам, к практикам. PPS в общем - поднять шифрованный сокс-сервер при минимальных затратах максимально быстро.
Самое последнее, что нужно интернет-оператору - это сливать сниффинговый траффик кому бы то ни было. Хотя, они знают что доказать что-то невозможно, целенаправленным снятием информации они без чьего-то заказа заниматься не будут. Мое решение: 1. 1.1 синхронный спутниковый интернет, арабский интернет-провайдер 1.2 зашифрованный канал VPN\OpenVPN, предоставляемый от провайдера 2. спутниковый телефон Турайя 2.1 комлпект доступа по спутниковому каналу в Интернет, аналогично синхронному доступу + мобильность 3. спутниковая тарелка 3.1 исходящий канал завязан на зашифрованном VPN\OpenVPN соединении через 3G до сервера провайдера 3.2 получение информации через спутник по зашифрованному каналу (видимо, это дополнительная услуга, которая оплачивается отдельно) Защита от недоброжелателей стопроцентная, если не жалко денег и ставится приоритет на безопасность от сниффинга провайдерами на территории РФ. Хотя... Может быть элементарно тупого сисадмина уволили и тот решил отомстить? И никакого тут "черного сниффинга" нет. Вы уточните пожалуйста, а то паранойя, знаете, вещь излечимая. А если это не подтвердилось, обычный SSH сойдет. P.S. А от кого скрываться хотите, господа? Я считаю, что коэффициент "красноты" среди подобных сервисов, что вы предложили, чуть менее, чем 100%. Я искренне надеюсь, что вы не "достали" кого-то из очень высокопоставленных людей.
Блэкберри, вроде взрослый парень, а иногда такую чушь несешь… Какой интернет-оператор? Там же написали, что это внутридомой оператор, т.е. некая мелкая контора, которая реселлит канал от магистралов ТОЛЬКО внутри ОДНОГО здания, и имея какие то корыстные цели его снифает (возможно с целью передачи интересующей инфы конкурентам). Во вторых — какая в задницу Турайя? Вы что хотите чтобы ребята разорились? Крайне медленная скорость, и стоит огромных денег… Ребята же не в Сибири в конце концов… OpenVPN идеальное решение для них. Только поднять надо на своем серваке, за рубежом.
Поддерживаю. Покупаете сервер где нибудь в Нидерландах, там подымаете OpenVPN сервер и выходите в сеть через него.
Не надо расценивать все мои сообщения предельно серьезно, у меня такое чувство юмора. Что касается вашего вопроса, вы правильно опредложили использовать OpenVPN. Помимо этого, существует другая альтернатива - зашифрованный канал SSH. Кроме того, если объемы передаваемого траффика малые, можно воспользоваться 3G, GPRS, Wi-Fi, радиоканал. Сумма для этого понадобится небольшая, за исключением радиотарелки, которая может стоить 20 тыс. руб.
Человек пришел просить сюда помощи и совета, а не чтобы его повеселили вашими шутками VPN будет проще и правильнее для них, чем SSH. А физический канал роли не играет. Речь в данной задаче идет только о его шифровании. Поэтому доп затраты типа тарелки и прочей фигни считаю неуместными. ТС — если нужна помощь, пишите в личку, помогу чем смогу.
Не очень понятны причины отказа от VPN, поэтому трудно предлагать альтернативу, возможно SSH+Socks5. Поднимаете SSH на своем сервере за пределами локалки (хоть дома поставьте), и туннелируете через него траффик на внешний Socks (AllowTcpForwarding yes). Через вашего проовайдера пойдет шифрованный и сжатый траффик. Клиентом можно использовать Putty. plink.exe -v -C -2 -N -A -l loginSSH -pw passwSSH -L localhost:1080:IpSocksortSocks IpSSH Работаете через сокс=localhost:1080 Чтобы не настраивать каждое приложение на работу через сокс, удобно завернуть траффик через Proxifier. Поднять и настроить SSH не сложно (под Windows тоже нормально работает), статей много, проблем не будет По теме (первое, что попалось): http://with.in/bezopasnyj-syorfing-kak-obojtis-bez-vpn/ http://www.opennet.ru/tips/info/1691.shtml http://microsin.ru/content/view/413/43/ http://www.oszone.net/7390/SSH_Server_Windows_Server_2008 http://www.proxy-base.org/f71/statya_podnimaem_dualssh-4314-2.html
Вон Дудаев (или кто-то из высокопоставленных боевиков, не помню точно кто) все скрывался год-другой,шифровался, а потом решил позвонить по спутниковому телефону - в итоге очень быстро получил ракетой в сраку от истребителя. Так что спутниковый телефон не во всех аспектах безопасен даже касательно этого топика.
Благодарю вас за столь подробные и дельные ответы. Я не ошибся с форумом). Насколько мне известно, отказ от ВПНа связан с невозможностью поднять его на ВПС\ВДС (как говорит наш системный администратор). Проанализировав все варианты, мы поняли, что рентабельнее впс+ссш тунеллирование и проксифаер, чем впн+дедикейтед сервер. При этом не проигрывается ни капли эффективности, криптостойкость (если можно так выразиться) канала остается неизменной. Это в действительности является правдой?
Что касается технической стороны вопроса, то SSH использует симметричное шифрование передаваемого потока данных с использованием алгоритмов AES, Blowfish и TripleDES (3DES). OpenVPN же юзает библиотеку OpenSSL, которая умеет шифровать с помощью алгоритмов Blowfish, Camellia, DES, RC2, RC4, RC5, IDEA, AES. Думаю, что в рамках поставленной вами задачи безопасности любого из этих решений будет более чем достаточно. Тем более, если вас не будет напрягать на каждой машине заставлять весь софт работать через проксифаер. Что же касается финансовой стороны вопроса, то OpenVPN действительно нельзя поднять на VPS/VDS, потому что при настройке его используются возможности ядра, в которое вам никто залезть не даст… Таким образом подытожим: OpenVPN — это более «правильно», но дороже (надо дедик покупать), SSH — это более «коряво», но дешевле. Как то так
2 VernonCody С замечанием согласен, просто к слову вспомнилось. 2 question Какой смысл того, что вы сейчас сидите просто через соксы? Насколько известно, трафик внутри socks остается не зашифрованным, или я что-то перепутал? Поскольку вы не хотите использовать OpenVPN, PPTP-VPN, могу посоветовать вам следующее нехитрое и до безобразия простое решение: - купите VS или VPS (думаю для вашего случая VPS подойдет) - установите на VPS Radmin server, настройте его соответствующим образом с точки зрения секьюрности. - подключайтесь с вашего офисного компа через Radmin Viewer к вашему VPS и все необходимые действия в интернете выполняйте через Radmin c VPS. Для кого-то вышенаписанное прозвучит может быть диковато, но : - я сомневаюсь в том что люди, которые вам противодействуют, смогут расшифровать трафик пропушенный через Radmin между вашим офисным компом и VPS. - аргумент # 2 – взял с самого сайта разрабочиков: “Высочайший уровень безопасности Radmin работает в режиме защиты данных, при котором все передаваемые данные, изображения экрана, перемещение курсора и сигналы клавиатуры надёжно защищены по стандарту AES. Секретный ключ генерируется случайным образом для каждого подключения. Для аутентификации пользователей в Radmin может быть использована либо система безопасности Windows с поддержкой активных директорий (Active Directory) и протокола Kerberos, либо собственная система безопасности Radmin с индивидуальными правами доступа для каждого пользователя и защищенной аутентификацией по логину и паролю. Дополнительно таблицы IP-фильтрации позволяют разрешить доступ только для определенных хостов и подсетей.” По-моему дешево и сердито. Идею я вам подкинул, захотите – реализуете.
