защита трафика внутри сети

Discussion in 'Linux, Freebsd, *nix' started by huntercs16, 18 Jan 2015.

  1. huntercs16

    huntercs16 Member

    Joined:
    7 Oct 2013
    Messages:
    154
    Likes Received:
    15
    Reputations:
    6
    Если подключить шифрованный VPN, достаточно ли это чтобы нельзя было перехватить трафик внутри локальной сети?
    Если сеть правильно настроена, возможно перехват трафика при подключении нового компа в сетевую розетку?
     
  2. yoweb

    yoweb Banned

    Joined:
    17 Jun 2013
    Messages:
    120
    Likes Received:
    2
    Reputations:
    0
    в linux openvpn канал нужно запускать от root.
     
  3. huntercs16

    huntercs16 Member

    Joined:
    7 Oct 2013
    Messages:
    154
    Likes Received:
    15
    Reputations:
    6
    yoweb
    У меня внутри mint впн подключился от пользователя.
    А где лучше брать надежный vpn с сертификатами, безопасностью и не очень дорого?
     
  4. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    Внутри локалки даже при наличии VPN можно перехватить трафик, проблема только в его расшифровке.
     
  5. yoweb

    yoweb Banned

    Joined:
    17 Jun 2013
    Messages:
    120
    Likes Received:
    2
    Reputations:
    0
    huntercs16, свою vps'ку арендовать в европе.
    через iptables закрыть все порты на vps.
    ключи сгенерить можно самому на 2048kb.
    шифрование канала поставить на 512kb.

    расшифровать его не реально будет, если openvpn v2 будет запущен от root, а не от nobody пользователя. для этого нужно будет использовать ручную настройку конфигурационного файла.
    ZodiaX
    только взлом локального ПК и просмотр (сниффинг) трафика до его шифровки, т.е. на локальном пк. Если opevpn канал запущен от root, расшивровать его не получится.
     
    #5 yoweb, 19 Jan 2015
    Last edited: 19 Jan 2015
  6. huntercs16

    huntercs16 Member

    Joined:
    7 Oct 2013
    Messages:
    154
    Likes Received:
    15
    Reputations:
    6
    чем принципиально шифрование под рутом отличается от пользовательского, ведь можно же и пользователю настроить соединение впн?
    Сколько нужно арендовать впн под 20 компов?
    Не будет проблем с безопасностью если на всех компьютерах одинаковые ключи от одного ip?
     
    #6 huntercs16, 20 Jan 2015
    Last edited: 20 Jan 2015
  7. yoweb

    yoweb Banned

    Joined:
    17 Jun 2013
    Messages:
    120
    Likes Received:
    2
    Reputations:
    0
    тем что если рутанут локальный пк, то получат доступ к процессу nobody,
    если рутанут и процесс будет от рута, тогда не смогут прервать openvpn соединение, и даже вмешаться в него, потому что openvpn процесс и взлом, будут оба от рута.
     
  8. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    Проще на одном компе на входе развернуть openvpn сервер для коннекта оставшихся 19, а на выход уже если так хочется арендовать vpn.
    Это почему? Прибить процесс, имея рута, не составляет проблем.
     
  9. huntercs16

    huntercs16 Member

    Joined:
    7 Oct 2013
    Messages:
    154
    Likes Received:
    15
    Reputations:
    6
    Насколько небезопасно когда на 1 впн куча компов из локальной сети?
    Есть выделенный сервер на Centos 6. Может на нем можно поднять впн на все компьютеры?
     
  10. yoweb

    yoweb Banned

    Joined:
    17 Jun 2013
    Messages:
    120
    Likes Received:
    2
    Reputations:
    0
    безопасно если от рута работают openvpn каналы на локальном пк, и на главном vps сервере. Но и чтобы на основном vps сервер, нужно чтобы все что можно было закрытоо iptables, так как даже еси тужа зальют вирь, он просто не сможет сделать коннект, так как iptables будет блокировать любые соединения. Засланный на основной vps вирь просто будет вхолостую включен.

    прибить процесс рута не получится, так как для этого нужно рутануть ПК.
    а если просто закинуть вирь на linux, то он не сможет подняться выше НЕпривилигированного пользователя,а значит к root-процесс он не сможет "прибить", а вот nobody (стандартный по умолчанию пользователь openvpn), вирус может проснифать openvpn канал, так как openvpn так же как вирь работают от НЕпривилигированного пользователя.
     
    #10 yoweb, 20 Jan 2015
    Last edited: 20 Jan 2015
  11. huntercs16

    huntercs16 Member

    Joined:
    7 Oct 2013
    Messages:
    154
    Likes Received:
    15
    Reputations:
    6
    Насколько безопасно будет идти траффик в локальной сети если поставить на шлюз впн с любым алгоритмом шифрования? Траффик внутри сети будет защищен от перехвата?
     
  12. yoweb

    yoweb Banned

    Joined:
    17 Jun 2013
    Messages:
    120
    Likes Received:
    2
    Reputations:
    0
    безопасно, при отключенном flash и javascript в браузере, ну и пару моментов.