Анонимность и безопасность ч2 – Роутер (шлюз)
Доброго времени суток. В этой части рассмотрим очень уязвимую виртуальную машину, которая соединяет домашнюю сеть с глобальной. Правильная настройка ее крайне важна. Для начала создадим виртуальную машину второго поколения. В моем случае я выделил 1Гб ОЗУ в динамическом режиме (если % потребления ОЗУ виртуальной машины уменьшается, то гипервизор уменьшает размер памяти на данную ВМ), 1 ядро процессора, 2 сетевых адаптера. Теперь нужно определится с операционной системой внутри ВМ. Я сторонник Микрософта, изучаю ОС серверные и десктопные, поэтому и буду устанавливать windows. И уверен, что windows, будет лучше оптимизирована под гипервизор hyper-v, ведь оба эти производители – Микрософт.
Я выбрал windows 8 одну из первых редакций, ссылки приводить не стану, может это будет расценено неожиданным для меня образом. Скачать можно с торрент трекеров. Итак, почему именно эта система? Я подбирал систему основываясь на потреблении памяти и функционале. Перепробовав все системы windows’a я остановился именно на ней. Скажите, что она старая и более уязвимая нежели недавно вышедшая 10ка 1909, или необходимо устанавливать только серверную ос? Это не так, ведь, эта система нужна только для маршрутизации трафика. Она не будет иметь открытые порты, к ней не будут подключатся удаленно и тд.
С системой разобрались, теперь преступим к настройке. В первую очередь нужно отключить не нужные службы – защитник, брандмауэр, также автоматическое обслуживание (Win + R => taskschd.msc; Microsoft=>Windows=>TaskScheduler=>Regular Maintance=>Отключить), защиту системы(свойства системы),в настройках электропитания отключить спящие и ждущие режимы.
Далее создаем нового пользователя (с паролем, пароль у административной учетки тоже должен быть). Оставляем его с обычными правами.
Теперь перейдем к настройкам сетевых интерфейсов. В свойствах нужно оставить только tcp\ip4.
Самое важное – это файервол. Из всех вендоров я остановился на Agnitum outpost firewall. Он имеет довольно тонкую настройку. Из соображений безопасности нужно разрешить трафик только определенным приложениям, а все остальное заблокировать. Следует знать, трафик могут генерировать как приложения, так и сама система. Трафик, созданный самой системой, называется низкоуровневым, так как, нету конкретного приложения что его генерирует.
Их нужно заблокировать, для этого есть целый ряд правил.
Я выбрал все протоколы в графе тип IP-протокола. В удаленном и локальном адресах указал весь интернет. На скрине правила для исходящего трафика, такие же нужно сделать и для входящего.
И еще два правила, которые вписал для самоуспокоения.
Теперь установим необходимые программы для маршрутизации трафика. Нам понадобится прокси сервер. Я выбираю ccproxy. Нам нужно поднять прокси сервер на адаптере, который смотрит во внутрь домашней сети.
Для этого приложения нужно определенные правила. Доступ к прокси серверу нужно разрешить с определенных ip.
Правила для исходящего трафика также нужно написать. Есть два варианта развития:
- Если вы в последующей цепочки используете впн, следует разрешить только айпи адрес впн сервера.
- Если тор, нужно разрешить всем айпи адресам с портов 9001. Но тут на ваше усмотрение.
Также стоит настроить проактивную защиту, которая контролирует любую активность других программ. С этой настройкой следует быть осторожней, если ползунок выкрутить на максимум, то система загрузится, но рабочий стол не появится, будет блокирован winlogon.
Есть выход. Нужно для начала выкрутить ползунок на максимум и выставить автоматическое создание и обновление правил. Некоторое время нужно потратить на правила. После правила вернуть в «ручной режим»
Не стоит забывать про UAC.
В следующей статье поговорим про следующие цепья в звене - роутерах.
Последнее редактирование: 13.10.2019
Доброго времени суток. В этой части рассмотрим очень уязвимую виртуальную машину, которая соединяет домашнюю сеть с глобальной. Правильная настройка ее крайне важна. Для начала создадим виртуальную машину второго поколения. В моем случае я выделил 1Гб ОЗУ в динамическом режиме (если % потребления ОЗУ виртуальной машины уменьшается, то гипервизор уменьшает размер памяти на данную ВМ), 1 ядро процессора, 2 сетевых адаптера. Теперь нужно определится с операционной системой внутри ВМ. Я сторонник Микрософта, изучаю ОС серверные и десктопные, поэтому и буду устанавливать windows. И уверен, что windows, будет лучше оптимизирована под гипервизор hyper-v, ведь оба эти производители – Микрософт.
Я выбрал windows 8 одну из первых редакций, ссылки приводить не стану, может это будет расценено неожиданным для меня образом. Скачать можно с торрент трекеров. Итак, почему именно эта система? Я подбирал систему основываясь на потреблении памяти и функционале. Перепробовав все системы windows’a я остановился именно на ней. Скажите, что она старая и более уязвимая нежели недавно вышедшая 10ка 1909, или необходимо устанавливать только серверную ос? Это не так, ведь, эта система нужна только для маршрутизации трафика. Она не будет иметь открытые порты, к ней не будут подключатся удаленно и тд.
С системой разобрались, теперь преступим к настройке. В первую очередь нужно отключить не нужные службы – защитник, брандмауэр, также автоматическое обслуживание (Win + R => taskschd.msc; Microsoft=>Windows=>TaskScheduler=>Regular Maintance=>Отключить), защиту системы(свойства системы),в настройках электропитания отключить спящие и ждущие режимы.
Далее создаем нового пользователя (с паролем, пароль у административной учетки тоже должен быть). Оставляем его с обычными правами.
Теперь перейдем к настройкам сетевых интерфейсов. В свойствах нужно оставить только tcp\ip4.
Самое важное – это файервол. Из всех вендоров я остановился на Agnitum outpost firewall. Он имеет довольно тонкую настройку. Из соображений безопасности нужно разрешить трафик только определенным приложениям, а все остальное заблокировать. Следует знать, трафик могут генерировать как приложения, так и сама система. Трафик, созданный самой системой, называется низкоуровневым, так как, нету конкретного приложения что его генерирует.
Их нужно заблокировать, для этого есть целый ряд правил.
Я выбрал все протоколы в графе тип IP-протокола. В удаленном и локальном адресах указал весь интернет. На скрине правила для исходящего трафика, такие же нужно сделать и для входящего.
И еще два правила, которые вписал для самоуспокоения.
Теперь установим необходимые программы для маршрутизации трафика. Нам понадобится прокси сервер. Я выбираю ccproxy. Нам нужно поднять прокси сервер на адаптере, который смотрит во внутрь домашней сети.
Для этого приложения нужно определенные правила. Доступ к прокси серверу нужно разрешить с определенных ip.
Правила для исходящего трафика также нужно написать. Есть два варианта развития:
- Если вы в последующей цепочки используете впн, следует разрешить только айпи адрес впн сервера.
- Если тор, нужно разрешить всем айпи адресам с портов 9001. Но тут на ваше усмотрение.
Также стоит настроить проактивную защиту, которая контролирует любую активность других программ. С этой настройкой следует быть осторожней, если ползунок выкрутить на максимум, то система загрузится, но рабочий стол не появится, будет блокирован winlogon.
Есть выход. Нужно для начала выкрутить ползунок на максимум и выставить автоматическое создание и обновление правил. Некоторое время нужно потратить на правила. После правила вернуть в «ручной режим»
Не стоит забывать про UAC.
В следующей статье поговорим про следующие цепья в звене - роутерах.
Последнее редактирование: 13.10.2019