Dobry den. Chcem sa spytat jednu vec. U nas v obci je jeden poskytovatel internetoveho pripojenia, ktory zacina poskytovat internet cez optiku. Rychlost je na obec super, ale... Pred par rokmi spravil znamemu taku vec, ze ked mu zapajal internet, dal mu cely jeho pocitac zdielat vsetkym v sieti a vsetci videli do jeho pocitaca, (do jeho fotiek...) bez toho, aby o tom vedel, lebo sa pocitacom samozrejme nerozumie. Dozvedel sa o tom az u znameho v susednej obci. Nedavno som pocul podobnu vec, ked u kamosa riesili nejaky problem a pocas toho mu hovoril, hej vidim ze teraz pozeras toto a teraz toto... Je mozne nastavit, aby komunikacia bezala cely cas sifrorvane aj ked si budem zobrazovat obycajne nieSSL stranky ? Pouzivam Lubuntu a PCLinuxOS s LXDE.
Sifrovanie
Sekcia: Komunita
26.03.2015 | 09:47
Radovan Prokop
Devuan (XFCE, 64bit, nonsystemd..... )
Používateľ
Pre pridávanie komentárov sa musíte prihlásiť.
Nejako spustit ssh vo svojom vlasnom pocitaci a cez neho ist na net ? DNNSEC asi nie, neviem....
cez VPNku nema nikto sancu nikto zistit kde surfujes - teda okrem serveru kam sa VPN-kou pripajas. Napr.
https://www.overplay.net/vpn.php
Kedze od neho mi pojde kabel do mojho pocitaca, tu VPN-ku by som si mal vytvorit vo svojom PC ako virtualnu a tak cez nu nejak...? Lebo ak sa cez neho budem napajat na VPN, on to vie prelomit, myslim aj MITM utok je na tom zalozeny, ze podvrhuje SSL certifikaty.... Alebo je to inak ?
Tak pristupuj na net cez Tor.
no to je vyhra...
Keď ti robia optické pripojenie, predsa ich vôbec nemá čo zaujímať tvoj počítač. Mal by si dostať NTU (prevodník), ktorý optický signál z patchkordu prevedie na Ethernet a Router, ktorý si sám nakonfiguruješ. Či?
Nemam sajnu ako sa to robi....
Nevieš nakonfigurovať obyčajný router?
Myslis v tom routery nastavit VPN ?
Nie, mário vraví že keď ti montujú optiku tak privedú optický kábel do prevodníka - či už k tebe domov alebo niekde na chodbe (pokiaľ by si býval v bytovke) a z toho prevodníka ide ethernet klasický do nejakého tvojeho osobného routra ktorý by ti mal robiť neaké to DHCP a tak pod. Čiže tým chcel povedať že ich nemá čo zaujímať tvoja LAN.
Dajme tomu, ze byvam v obycajnom rodinnom dome, on ku mne natiahne kabel + krabicky a na konci budem mat LAN kabel, ktory strcim do mojho PC. Ked sa budem pytat na akukolvek stranku, napr. https://www.banka.sk on vie ze konkretne ja sa pytam na tuto stranku a vie mi podvrhnut SSL certifikat a odchytavat tak moje data ?
Ja sa spýtam takto. Ako pristupuješ teraz na https://banka.sk?
Máš nejakého ISP ktorý ti dáva tak isto net ako to bude v prípade optiky len sa zmení to že pred routrom tvojím budeš mať prevodník a samozrejme aj rýchlosť bude lepšia.
Teraz mam net cez orange a tam nepredpokladam, ze by ma sledovali az tak... Ale viete ako to chodi na dedine, vsetci chcu vediet o vsetkom....
Každý ISP má možnosť ťa nejakým spôsobom sledovať a je len na ňom či sa k tomu odváži alebo nie. Každopádne si minimálne môžeš zabezpečiť vnôtornú sieť aby ti tam nemal ako vkĺznuť.
Stačí nejaký MikroTik malý nakonfigurovať ako FW a budeš mať LAN pod kontrolou. Pokiaľ ide o šifrované spojenie von tak hore ktosi písal o VPN. To sú zvyčajne ale platené vecičky.
Radovan, ešte otázka. Z tvojej reakcie sa mi zdá, že doteraz si router nepoužíval. Tak či netak?
Hej, doteraz to bolo len jednoduche zadanie prihlasovacich udajov k internetu od T-com alebo Orange do klasickych modemov. Raz som nastavoval nejaky switch, ale slo to automaticky samo, len som zmenil admin hesla. Citam o tom kopu, ale kym to nemam rucne odskusane, tak je to pre mna spanielska...
Aha, tak na MikroTik zabudneme :)
Teraz máš nejaký DSL router asi čo? Ten by sa dal nakonfigurovať aj ako bežný router. O aký typ sa jedná?
No panic. Konverter ťa v podstate nemusí zaujímať, tam sa u providera končí jeho rozhranie (WAN) a za routerom začína tvoje rozhranie (LAN). Zvyčajne ponúkajú niekoľko typov routerov. V kažnom prípade obsahujú návody popísané jasne a zrozumiteľne a zvyčajne sa konfigurujú cez Web browser. Pre úplné lamy (ako ja napr.) je k dispozícií pomocník, ktorý ťa prevedie cez štandardnú konfiguráciu, ktorá ti zabezpečí štandardnú bezpečnosť tvojej LAN. Riadne si najprv prečítaj návod, daj si pivo a zvládneš to pravou zadnou.
Problém tvojho prvého známeho s tvojou otázkou nesúvisí. Keď bol blbý, a dal si pichnúť lacný routr s otvorenou wifi, tak si mal na svoj počítač dať firewall. A ted druhý mal tiež nesúvisiacu poznámku o šifrovanej vpn. Tá mu v tomto prípade nepomôže.
V dnešnej dobe sa už robia routre čo naraz poskytujú dve siete. Jedna je pre domáceho kde sa vidí počítač s tabletom, smartfónom, naskom, televízorom, bezpečnostnou kamerou a chladničkou. Druhá je pre hostí a v nej sa navzájom nevidia ani hostia, ale môžu si pozrieť interfernet. Len také routre nestoja dvacku. Viac k tomu neni čo dodať.
Stiahol som zo stranky https://addons.mozilla.org/sk/firefox/addon/dnssec-validator/ ( viac: http://www.nic.cz/page/741/dnssec-validator/ ) dnnsec validator a nainstaloval som ho do firefoxu (je aj pre Chrome). Ked pojdem napr. na stranku www.root.cz ukaze mi pekne zeleny kluc podla navodu. Ak idem na linuxexpres.cz ostane kluc sivy, kedze stranka nema podporu DNNSEC. Chcem sa spytat, ak by poskytovatel ISP podvrhoval SSL certifikat, kluc by na stranke www.root.cz ostal oranzovy alebo cerveny.... Bolo by to takto mozne overovat, ci niekto nepodvrhuje SSL a neodpocuva spojenia ?
Nie. Podvrhnutie SSL pri HTTPS (a SSH, poprípade iných služieb fungujúcich pod SSL) sa dá overiť len ak aplikácia pozná správny kľúč a vie ho overiť. Správnosť kľúčov obvvykle overujú certifikačné autority, alebo koncové body pomocou iného média. Takže ak neveríš samozvanej CA, tak si môžeš zavolať napríklad do redakcie ROOT.CZ a vypýtať si od nich podpis kľúča aby si si bol istý. Ak nebola konekcia nakazená cez MITM a nepodvrhli náhodou aj telefónne číslo na nej uvedené. Zneužívanie podvrhovania certifikátov nezodpovednými certifikačnými službami pre HTTPS bolo veľa krát rozoberané, a je škoda o tom hovoriť. Spoliehanie sa na CA bez overenia postranným kanálom je len falošným pocitom bezpečia.
A DNSSEC? Ten slúži podvrhnutiu IP adresy, nie proti odposluchu. DNSSEC len podpisuje DNS záznamy.
PS: Aj Ti niekto naimportuje do tvojho konta vlastnú CA, tak Ti môže podvrhovať certifikáty za behu.
http://www.milan-knizek.net/cms/ssh-pres-http-proxy-nastaveni-tunely/
To mu moc nepomôže. Prvý problém mal s absenciou firewallu kde desktopy v tých pradávnych dobách nevedeli že nejaký firewall existuje. A druhý problém bol klasický MITM kde počas diagnostiky odchytával servisák požiadavky HTTP. Tento návod od pána Knížka je na urobenie ľahkého odvaru šifrovanej VPN, a odsunutie odposluchu domov. To je vhodné ak sa človek pripája s NB z verejných nechránených sietí (Free WiFi), ale problém s MITM to neodtsráni, len ho presunie domov kde môžu človeka odpočúvať úradovia aj bez prokurátora. Na niečo podobné existujú doplnky typu HTTPS enerywhere ktoré otestujú či je stránka dostupná aj cez HTTPS a z nešifrovanej HTTP prepnú na HTTPS. Toto tiež nie vždy pomôže.
Ale to je jedno. Keďže v pôvodnej požiadavke boli len nejasné spomienky, tak je zbytočné dávať rady ako to vyriešiť. Nie je čo.
http://www.soom.cz/clanky/887--SSH-Tunelovani-zakladni
A tiez Tails http://www.root.cz/clanky/softwarova-sklizen-20-5-2015/
No u nás sa o Tails písalo viac krát.
A aky mas nazor na http://www.soom.cz/clanky/887--SSH-Tunelovani-zakladni
Kto? V príspevku na ktorý reagujem si reagoval sám na seba.
A tunelovanie aj s kadejakými VPN a podobnými technológiami vhodnymi na bezpečné spojenie pooddelovaných počítačov ktoré sú nastavené tak aby ich nevidel nik (okrem servra)? Pôvodná otázka bola len o tom, že jeden BFU nemal firewall a druhému nastavil spolubydlo proxy na ovládnutý stroj. Také niečo sa nerieši technológiami VPN ale oddelením strojov s citlivými údajmi od okolitého sveta, a zabezpečením tak, aby hociktorý okoloidúci nemohol meniť nastavenia.
Byt si predsa zamykáš, tak prečo si nezamykať počítač v ktorom sú kópie osobných dokladov, informácie potrebné na prístup do banky, citlivé fotky hore prdelkou na dečke, ....