Biztonság Road Warrior-oknak

A Unix/Linux szerverek üzemeltetése wikiből
A lap korábbi változatát látod, amilyen Kodest (vitalap | szerkesztései) 2010. november 15., 16:42-kor történt szerkesztése után volt.

Írta: Áshin László, 2010.11.10.

Ez az oldal arról szól, hogy mit tehetünk biztonságunk növelése érdekében, ha noteszgépünkkel utazunk a nagyvilágban.

Tartalomjegyzék

1 Probléma

Az ember hajlamos nem kellőképpen mérlegelni asztali és hordozható számítógépei közti, azok alapvető mivoltából következő különbségeket. Ezek a különbségek konkrétan:

  • hordozható géppel utazva internetezéskor esetleg megkérdőjelezhető megbízhatóságú vezeték nélküli hálózatokat veszünk igénybe, adatainkat lehallgathatják;
  • a hordozható gép könnyebben elveszíthető, ellopásának veszélye jelentősebb;
  • a hordozható gép fokozott mértékben van kitéve fizikai sérülésnek.

A felhasználók többsége ezen aspektusokba nem is gondol bele, vagy pedig lustaságból nem foglalkozik a kérdéssel, azonban egy a listában szereplő esemény bekövetkezése után gyakran már késő bármit is tenni. Tehát a hangsúlyt a megelőzésre kell fordítani.

2 Megoldás

A felsorolt problémák megelőzésére léteznek ésszerű intézkedések. A következő alpontok ezeket ismertetik.

2.1 A hálózati kapcsolat titkosítása

Ha nyílt vagy gyenge titkosítású kapcsolaton csatlakozunk. Javaslat: OpenVPN.

2.1.1 A javasolt elrendezés

Egy ábra magyarázattal a szerver gép szükségességéről.

2.1.2 OpenVPN-szerver beállítása

Kulcsgenerálás, konfigurációs fájl írása, stb. 

local <server_ip>
port 1194
mode server
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS <dns_ip1>"
push "dhcp-option DNS <dns_ip2>"
;client-to-client
keepalive 10 120
tls-auth ta.key 0
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

2.1.3 OpenVPN-kliens beállítása

Kulcs átvitele, konfigurációs fájl írása VAGY NetworkManager.

2.1.4 Tűzfal beállítások

Mit kell átengedni, hogy azért még működjön is a dolog.

2.1.5 IPv6 over OpenVPN

Kényelmi szolgáltatás vagy a jövő előfutára? 

interface tap0
{
  AdvSendAdvert on;
  IgnoreIfMissing on;
  MaxRtrAdvInterval 60;
  prefix <ipv6_addr>/<prefix_length>
  {
    AdvOnLink on;
    AdvAutonomous on;
  };
};


2.2 A háttértár tartalmának titkosítása

Ha a gépet megkaparintja valaki. Itt lenne egy link a meglévő fájlrendszer titkosítós szócikkre. Egy mondat a swap titkosításáról, illetve ennek furmányosságáról, ha hibernálni is szeretnénk tudni.

2.3 Titkosítás alkalmazásszinten

Csak felhívnám a figyelmet a HTTPS és a PGP használatára. Ha a VPN épp nem aktív és/vagy megfigyelik a VPN szerver forgalmát, akkor ez még megvédhet.

3 Hiányosságok

  • titkosítatlan adatforgalom tiltása - mi legyen amíg a VPN inaktív?

4 Tapasztalatok

Pár szóban a gyakorlati használatról.

A lap eredeti címe: „http://unixlinux.tmit.bme.hu/index.php?title=Biztons%C3%A1g_Road_Warrior-oknak&oldid=4417
Személyes eszközök