id: Гость   вход   регистрация
текущее время 12:42 25/11/2017
Автор темы: butteff, тема открыта 17/01/2016 22:37 Печать
Категории: инфобезопасность, политика, защита сети, атаки, спецслужбы, человек посередине
https://www.pgpru.com/Форум/UnixLike/КакЗащититьсяОтMITMВLinux
создать
просмотр
ссылки

Я столкнулся с попытками рейдерства, некоторые факты указывают на то, что мой трафик прослушивается.
В связи с этим хочу защититься.


1. Достаточно ли начать использовать шифрованный VPN или нет?
2. При установлении VPN соединения с сервером, будут ли перехвачены и использованы ключи при уже имеющимся MITM или нет?
3. Могут ли подсунуть вместе с обновлениями троян или руткит? Т.е. могут ли подороге подменить пакеты в apt?
4. Как убедиться, что обновление действительно есть и что это именно то обновление? (где данные о ключах, md5sum?)
5. У меня ubuntu, вроде как SELinux должен уже там быть в ядре, верно? Я думал поставить что-то еще,вроде apparmor, но выглядит так, что ядро будет старым. Что из дополнительной защиты стоит постаить?
6. Если трояны уже есть, как их можно обнаружить? пробовал сканировать через clamav, chkrootkit, rkhunter – все вроде ок. Есть ли еще способы?


Какие еще есть способы или советы?



 
Комментарии
— SATtva (18/01/2016 09:32)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046

Если нет гарантии, что среда обоих оконечных узлов безопасна, то нет, недостаточно. VPN обеспечивает защиту трафика только в процессе его передачи. Не может быть никакой гарантии безопасности, если противник имеет доступ к любому из оконечных хостов или к ключам.


Если передавать ключи по небезопасному каналу связи, то будут.


Отсюда и дальше по ссылкам. И вообще, читайте форум — Ваши вопросы тривиальны, обсуждались десятки раз.


Нет, по умолчанию он не установлен, в отличие как раз от AppArmor. Со своим текущим уровнем забудьте о SELinux, Вы не сможете с ним работать.


В общем случае, нет — только установка чистой ОС на новое чистое железо.


Читать форум. Много и долго.
— butteff (18/01/2016 16:05)   профиль/связь   <#>
комментариев: 2   документов: 2   редакций: 0
Если передавать ключи по небезопасному каналу связи, то будут.


Мне прислали их на новую почту по потенциально безопасному каналу.
Я их установил в систему для VPN соединения.
Когда я соединяюсь каждый раз, издома, то канал этот, как мне кажется, под сормом, т.е. с MITM, эти ключики ловятся и все шифрование зря? Как сделать сам момент соединения безопасным? Никак?
— SATtva (18/01/2016 16:21)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046

Они были зашифрованы с помощью PGP и подписаны PGP-ключом отправителя, отпечаток которого Вы получили непосредственно от него? Если нет, то вряд ли данный канал можно считать безопасным.


Если VPN-ключ был получен безопасным образом, то противник на канале связи не может осуществить MITM, оставаясь необнаруженным: при попытке вклиниться в канал, легитимные контрагенты не смогут согласовать секретные параметры соединения (противник не знает ключ и не сможет аутентифицироваться на этапе согласования параметров). Максимум, что сможет сделать противник — это выполнить DoS-атаку.
— butteff (18/01/2016 16:41)   профиль/связь   <#>
комментариев: 2   документов: 2   редакций: 0
противник не знает ключ и не сможет аутентифицироваться на этапе согласования параметров). Максимум, что сможет сделать противник


Простите мою некомпетентность. Это последний вопрос. Я получил сертификат пользователя, сертификат ЦС и личный ключ. Когда я соединяюсь, разве нельзя при наличии MITM схватить ключи, затем использовать их для соединения с сервером VPN?

Т.е. вот есть Я, есть V (vpn) и есть M (MITM).
Я начинаю соединение, M берет ключи. Затем M соединяется, используя эти ключи с V. Т.е. M подсоединился к V успешно. Затем после этого уже соединяется M cо мной, дублируя трафик, выступая в роли некоего прокси сервера. Возможно ли это или нет?

Ну или чтобы не надоедать Вам своими глупыми вопросами, что именно можно погуглить?
Я понимаю, что Вы советовали почитат ьфорум, я почитаю, но конкретно для удовлетворения этих знаний, что нужно освоить?

Спасибо.
— SATtva (18/01/2016 17:34)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046

Участники VPN-соединения не передают никакие ключи по открытому каналу. Они согласовывают общий секретный ключ (например, по протоколу Диффи-Хэллмана), аутентифицируясь друг перед другом с помощью сертификатов, подписанных доверенной стороной (ЦС). Если сертификат ЦС получен надёжным образом, то противник не сможет навязать собственные параметры соединения, ему для этого потребуется взломать закрытый ключ ЦС или кого-либо из участников.
— pgprubot (20/01/2016 03:53, исправлен 20/01/2016 03:53)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

По умолчанию, если вы не можете сами себе квалифицированно объяснить, какую пользу вам даст VPN по сравнению с Tor'ом, лучше использовать Tor. Это имеет ещё и тот плюс, что решение на основе Tor'а (TBB) проще в развёртывании и использовании для массового пользователя. К тому же, для особо параноящих есть Live ОС Tails с Tor'ом на бору.



Только если ключи украдены или атакующий в сговоре с теми, кто владеет ключом подписи пакетов. Защититься от этого позволяет перенаправление всего трафика в сеть через Tor. В этом случае атакующий не сможет подсунуть нужный пакет нужному пользователю, и ему придётся инфицировать пакет для всех. А если он инфицирован для всех, шансы на раскрытие подмены значительно повышаются.



Проще не убеждаться, а воспользоваться методом из предыдущего пункта. Вообще, все обновления должны быть на сайте дистрибутива. На веб-странице пакетов ищете вас интересующий пакет по вам удобным критериям. Потом заходите на его страницу. Вот пример для SSH-сервера. Справа будут ссылки с информацией об обновлениях. На тему подписей, и как это внутри устроено, можете почитать это и это.

— SATtva (20/01/2016 10:50)   профиль/связь   <#>
комментариев: 11514   документов: 1035   редакций: 4046
Совет использовать Tor справедлив, если топикстартер использует VPN для обеспечения анонимности, а не по прямому назначению — для безопасного соединения двух хостов/сетей. Из постановки вопросов этот момент не совсем ясен.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3