Biztonság Road Warrior-oknak
Írta: Áshin László, 2010.11.10.
Ez az oldal arról szól, hogy mit tehetünk biztonságunk növelése érdekében, ha noteszgépünkkel utazunk a nagyvilágban.
Tartalomjegyzék |
1 Probléma
Az ember hajlamos nem kellőképpen mérlegelni asztali és hordozható számítógépei közti, azok alapvető mivoltából következő különbségeket. Ezek a különbségek konkrétan:
- hordozható géppel utazva internetezéskor esetleg megkérdőjelezhető megbízhatóságú vezeték nélküli hálózatokat veszünk igénybe, adatainkat lehallgathatják;
- a hordozható gép könnyebben elveszíthető, ellopásának veszélye jelentősebb;
- a hordozható gép fokozott mértékben van kitéve fizikai sérülésnek.
A felhasználók többsége ezen aspektusokba nem is gondol bele, vagy pedig lustaságból nem foglalkozik a kérdéssel, azonban egy a listában szereplő esemény bekövetkezése után gyakran már késő bármit is tenni. Tehát a hangsúlyt a megelőzésre kell fordítani.
2 Megoldás
A felsorolt problémák megelőzésére léteznek ésszerű intézkedések. A következő alpontok ezeket ismertetik.
2.1 A hálózati kapcsolat titkosítása
Ha nyílt vagy gyenge titkosítású kapcsolaton csatlakozunk. Javaslat: OpenVPN.
2.1.1 A javasolt elrendezés
Egy ábra magyarázattal a szerver gép szükségességéről.
2.1.2 OpenVPN-szerver beállítása
Kulcsgenerálás, konfigurációs fájl írása, stb.
# Szerverként konfiguráljuk ezt az OpenVPN példányt. mode server # A szerver az itt megadott ip címen fogja várni a kliensek csatlakozását. local <server_ip> # A szerver a következő udp vagy tcp porton fog figyelni. port 1194 # Kiválaszthatjuk, hogy udp vagy tcp végezze a szállítási réteg feladatát. proto udp # Az alagutazást adatkapcsolati (tap) vagy hálózati (tun) rétegbe konfigurálhatjuk. dev tap # A kiadott tanúsítványok aláíró szervezet tanúsítványa. ca ca.crt # A szerver tanúsítványa. cert server.crt # A szerver privát kulcsa. key server.key # Előre konfigurált Diffie-Hellman paramétereket tartalmazó fájl. dh dh1024.pem # Virtuális helyi hálózatunk ip tartománya. server 10.8.0.0 255.255.255.0 # A kiosztott ip címek perzisztens tárolására szolgáló fájl. ifconfig-pool-persist ipp.txt # A kliens default route-ja lesz az OpenVPN kapcsolat. push "redirect-gateway def1 bypass-dhcp" # DNS szervereket állítunk be a kliensek számára. push "dhcp-option DNS <dns_ip1>" push "dhcp-option DNS <dns_ip2>" # Engedélyezhetjük, hogy a kliensek egymást is elérhessék - természetesen a szerveren keresztül. # (Alapértelmezetten ez nincs így.) ;client-to-client # Kapcsolatfenntartó, ping jellegű üzenetek küldözgetése 10 másodpercenként, # bontás érzékelése két perc szünet elteltével. keepalive 10 120 # TLS autentikációs kulcs (0: szerver, 1: kliens) tls-auth ta.key 0 # LZO tömörítés engedélyezése. comp-lzo # A szerver processz felhasználója és csoportja. user nobody group nogroup # A privilégiumok eldobása után esetlegesen elérhetetlenné váló erőforrások elérésének tiltása. persist-key persist-tun # Naplózás engedélyezése és bőbeszédűségének beállítása. status openvpn-status.log verb 3
2.1.3 OpenVPN-kliens beállítása
Kulcs átvitele, konfigurációs fájl írása VAGY NetworkManager.
2.1.4 Tűzfal beállítások
Mit kell átengedni, hogy azért még működjön is a dolog.
2.1.5 IPv6 over OpenVPN
Kényelmi szolgáltatás vagy a jövő előfutára?
interface tap0
{
AdvSendAdvert on;
IgnoreIfMissing on;
MaxRtrAdvInterval 60;
prefix <ipv6_addr>/<prefix_length>
{
AdvOnLink on;
AdvAutonomous on;
};
};
2.2 A háttértár tartalmának titkosítása
Ha a gépet megkaparintja valaki. Itt lenne egy link a meglévő fájlrendszer titkosítós szócikkre. Egy mondat a swap titkosításáról, illetve ennek furmányosságáról, ha hibernálni is szeretnénk tudni.
2.3 Titkosítás alkalmazásszinten
Csak felhívnám a figyelmet a HTTPS és a PGP használatára. Ha a VPN épp nem aktív és/vagy megfigyelik a VPN szerver forgalmát, akkor ez még megvédhet.
3 Hiányosságok
- titkosítatlan adatforgalom tiltása - mi legyen amíg a VPN inaktív?
4 Tapasztalatok
Pár szóban a gyakorlati használatról.
