Biztonság Road Warrior-oknak
(konfigurációs fájl minták hozzáadása) |
|||
| 23. sor: | 23. sor: | ||
=== OpenVPN-szerver beállítása === |
=== OpenVPN-szerver beállítása === |
||
Kulcsgenerálás, konfigurációs fájl írása, stb. |
Kulcsgenerálás, konfigurációs fájl írása, stb. |
||
| + | |||
| + | local <server_ip> |
||
| + | port 1194 |
||
| + | mode server |
||
| + | proto udp |
||
| + | dev tap |
||
| + | ca ca.crt |
||
| + | cert server.crt |
||
| + | key server.key |
||
| + | dh dh1024.pem |
||
| + | server 10.8.0.0 255.255.255.0 |
||
| + | ifconfig-pool-persist ipp.txt |
||
| + | push "redirect-gateway def1 bypass-dhcp" |
||
| + | push "dhcp-option DNS <dns_ip1>" |
||
| + | push "dhcp-option DNS <dns_ip2>" |
||
| + | ;client-to-client |
||
| + | keepalive 10 120 |
||
| + | tls-auth ta.key 0 |
||
| + | comp-lzo |
||
| + | user nobody |
||
| + | group nogroup |
||
| + | persist-key |
||
| + | persist-tun |
||
| + | status openvpn-status.log |
||
| + | verb 3 |
||
=== OpenVPN-kliens beállítása === |
=== OpenVPN-kliens beállítása === |
||
| 32. sor: | 57. sor: | ||
=== IPv6 over OpenVPN === |
=== IPv6 over OpenVPN === |
||
Kényelmi szolgáltatás vagy a jövő előfutára? |
Kényelmi szolgáltatás vagy a jövő előfutára? |
||
| + | |||
| + | interface tap0 |
||
| + | { |
||
| + | AdvSendAdvert on; |
||
| + | IgnoreIfMissing on; |
||
| + | MaxRtrAdvInterval 60; |
||
| + | prefix <ipv6_addr>/<prefix_length> |
||
| + | { |
||
| + | AdvOnLink on; |
||
| + | AdvAutonomous on; |
||
| + | }; |
||
| + | }; |
||
| + | |||
== A háttértár tartalmának titkosítása == |
== A háttértár tartalmának titkosítása == |
||
A lap 2010. november 15., 16:42-kori változata
Írta: Áshin László, 2010.11.10.
Ez az oldal arról szól, hogy mit tehetünk biztonságunk növelése érdekében, ha noteszgépünkkel utazunk a nagyvilágban.
Tartalomjegyzék |
1 Probléma
Az ember hajlamos nem kellőképpen mérlegelni asztali és hordozható számítógépei közti, azok alapvető mivoltából következő különbségeket. Ezek a különbségek konkrétan:
- hordozható géppel utazva internetezéskor esetleg megkérdőjelezhető megbízhatóságú vezeték nélküli hálózatokat veszünk igénybe, adatainkat lehallgathatják;
- a hordozható gép könnyebben elveszíthető, ellopásának veszélye jelentősebb;
- a hordozható gép fokozott mértékben van kitéve fizikai sérülésnek.
A felhasználók többsége ezen aspektusokba nem is gondol bele, vagy pedig lustaságból nem foglalkozik a kérdéssel, azonban egy a listában szereplő esemény bekövetkezése után gyakran már késő bármit is tenni. Tehát a hangsúlyt a megelőzésre kell fordítani.
2 Megoldás
A felsorolt problémák megelőzésére léteznek ésszerű intézkedések. A következő alpontok ezeket ismertetik.
2.1 A hálózati kapcsolat titkosítása
Ha nyílt vagy gyenge titkosítású kapcsolaton csatlakozunk. Javaslat: OpenVPN.
2.1.1 A javasolt elrendezés
Egy ábra magyarázattal a szerver gép szükségességéről.
2.1.2 OpenVPN-szerver beállítása
Kulcsgenerálás, konfigurációs fájl írása, stb.
local <server_ip> port 1194 mode server proto udp dev tap ca ca.crt cert server.crt key server.key dh dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS <dns_ip1>" push "dhcp-option DNS <dns_ip2>" ;client-to-client keepalive 10 120 tls-auth ta.key 0 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log verb 3
2.1.3 OpenVPN-kliens beállítása
Kulcs átvitele, konfigurációs fájl írása VAGY NetworkManager.
2.1.4 Tűzfal beállítások
Mit kell átengedni, hogy azért még működjön is a dolog.
2.1.5 IPv6 over OpenVPN
Kényelmi szolgáltatás vagy a jövő előfutára?
interface tap0
{
AdvSendAdvert on;
IgnoreIfMissing on;
MaxRtrAdvInterval 60;
prefix <ipv6_addr>/<prefix_length>
{
AdvOnLink on;
AdvAutonomous on;
};
};
2.2 A háttértár tartalmának titkosítása
Ha a gépet megkaparintja valaki. Itt lenne egy link a meglévő fájlrendszer titkosítós szócikkre. Egy mondat a swap titkosításáról, illetve ennek furmányosságáról, ha hibernálni is szeretnénk tudni.
2.3 Titkosítás alkalmazásszinten
Csak felhívnám a figyelmet a HTTPS és a PGP használatára. Ha a VPN épp nem aktív és/vagy megfigyelik a VPN szerver forgalmát, akkor ez még megvédhet.
3 Hiányosságok
- titkosítatlan adatforgalom tiltása - mi legyen amíg a VPN inaktív?
4 Tapasztalatok
Pár szóban a gyakorlati használatról.
