Актуальный вопрос про безопасность

Приветствую всех.

Дело значит вот в чем, сижу я в районной сетке, организованой посредством VPN-а. Траффик, сами понимаете, у меня повыше среднего, и вот дошел до меня слух (из вполне надежного источника) что местный админ стал проявлять ко мне нездоровый интерес.

Анамнез:
Операционка: WinXP SP2
Подключение: VPN+Squid
Админ: Нехороший

Задача: показать любопытному админу фак, максимально просто и эффективно

Ресурсы:
есть свой выделеный сервер

Плиз хелп.

Подымай VPN или OpenVPN на серваке или заюзай сервис , у себя добавляешь новое подключение для второго VPN .И как обычно сначала запускаешь первый , потом второй, он накроет весь твой траффик и любопытный админ нечего не сможет узнать.

Я так и собирался, собственно. Но вот прослышал про SSH-туннелирование, правда в суть его пока не проник , поэтому и решил спросить совета.

у меня такое же практически подключение
а что вообще админы могут увидеть? что я посещаю порно-сайты?
так их все посещают!
трафа сжираю 3гб в месяц, что также неочень много...хочешь качать музыку и фильм, подключись к другому провайдеру

Хм... а у меня вот главный админ локальной сети спрашивал недавно, чего он неправильно сделал, что у него 21 порт - фтп в апаче неработает...
Вот я думаю, стоит мне заморачиваться защитой от местной сети или можно ограничиться фаерволом на запрет всех лок. ресурсов сети?

Burroughs писал:

у меня такое же практически подключение а что вообще админы могут увидеть? что я посещаю порно-сайты? так их все посещают!

Ну, во-первых ниша у меня не мейнстримная, для некоторых это "извращения". Во-вторых, процентов 80 логинов/паролей до сих пор шлются открыто, так что опасность существует не на бумаге.

ibiz писал:

Хм... а у меня вот главный админ локальной сети спрашивал недавно, чего он неправильно сделал, что у него 21 порт - фтп в апаче неработает... Вот я думаю, стоит мне заморачиваться защитой от местной сети или можно ограничиться фаерволом на запрет всех лок. ресурсов сети?

Я тоже не чесался долгое время. А вот теперь что-то неуютно себя почувствовал. Тот-же твой админ "спеца" приведет помочь - и хуй знает что он там увидит, и что сделает. Ы?

Dragon VPN в мир поверх твоего и непарся. Если админам будет интересно где ты лазиеш - рубанут маскарад, и удп - и будеш сам через их прокси ходить.

Dragon писал:

Я тоже не чесался долгое время. А вот теперь что-то неуютно себя почувствовал. Тот-же твой админ "спеца" приведет помочь - и хуй знает что он там увидит, и что сделает. Ы?

В целом у меня все полностью легально (доры сейчас в законе)...
Ну занимаешься ты адалтом и что... ты же не на территории РФ занимаешься этим, верно?

shako писал:

Dragon VPN в мир поверх твоего и непарся. Если админам будет интересно где ты лазиеш - рубанут маскарад, и удп - и будеш сам через их прокси ходить.

Плиз по рюсски. Кстати, никто мне так сущность SSH-туннелинга пока не объяснил, а тут вроде есть нюансы. Типа, если туннель падает - ты это замечаешь, а если VPN слетает - хуй. Потенциальная дырка в безопасности.

И еще я понять не могу: у меня ведь типа 2 IP - внутренней сетки (который X_FORWARDED_FOR), и реальный, который я получаю от локального VPN-а по DHCP. Сложностей со вторым VPN-ом over этой конструкции разве не будет?

ibiz писал:

В целом у меня все полностью легально (доры сейчас в законе)... Ну занимаешься ты адалтом и что... ты же не на территории РФ занимаешься этим, верно?

Понимаешь, есть мнение, что если логи провайдера _МОГУТ_ подтвердить твою порнографическую нечистоплотность, то при определенных обстоятельствах (у отдела К тоже план есть) у тебя при обыске могут найти несколько компактов с ДП.

Вот ты нашей "милиции" доверяешь? Особенно в пункте "чистые руки" (с) Ф.Э. Дздержинский.

Dragon писал:

Понимаешь, есть мнение, что если логи провайдера _МОГУТ_ подтвердить твою порнографическую нечистоплотность, то при определенных обстоятельствах (у отдела К тоже план есть) у тебя при обыске могут найти несколько компактов с ДП. Вот ты нашей "милиции" доверяешь? Особенно в пункте "чистые руки" (с) Ф.Э. Дздержинский.

Не не не, постой, если ты никому "крутому" дороги непереходил, то ради выполнения "плана" никто тебе подкидывать компакты с ДП небудет, ибо недокажут что твои без отпечатков пальцев, что на компакте практически невозможно неоставить...
Как бы в управлении К работают такие же люди, и они не очень многим отличаются от нас.
P.S. Приглашали меня работать в ФСО, был блат по устройству с перспективой пойти в информатический центр (это не где ловят всяких цпшников, а где связь правительственную организовывают), отказался из-за маленькой з\п

ibiz писал:

Не не не, постой, если ты никому "крутому" дороги непереходил, то ради выполнения "плана" никто тебе подкидывать компакты с ДП небудет, ибо недокажут что твои без отпечатков пальцев, что на компакте практически невозможно неоставить... Как бы в управлении К работают такие же люди, и они не очень многим отличаются от нас.

Они не отличаются в плане того, что очень ленивые. Но время от времени им приходится делать какие-то телодвижения. Если никто "крутому " дорогу не перешел и нет заказа, если фишеров мало и на отчет нехватает, то они начинают шевелиться. И в первую голову они дергают с подконтрольных провайдеров инфу на самых траффоемких кексов. Не конторы, конечно, а "индивидуалов" как правило. (Сноска: уважаемые коллеги, юр. лицо зачастую может вас избавить от многих неприятностей)

Ну, а далее по тексту, тебе приходит повестка или заказное письмо (та-же повестка), ты как дурак приходишь (потому что там обычно пишут "свидетель"), а потом ты узнаешь как быстро районный прокурор может переквалифицировать дело и выдать санкцию на обыск. От "свидетеля" до "подозреваемого" один шаг, а там и диски найдут.

P.S. Все это бред больного воображения, к действительности отношения не имеет

Dragon писал:

P.S. Все это бред больного воображения, к действительности отношения не имеет

Оффтопик: Научный термин - параноя

ibiz писал:

Оффтопик: Научный термин - параноя

Она самая. Не принимайте мои слова всерьез.

Кстати, VPN или SSH-туннель очень актуальны. Мы, параноики, существа очень ранимые. Очень нужна ложная иллюзия защищенности.

Dragon писал:

Она самая. Не принимайте мои слова всерьез. Кстати, VPN или SSH-туннель очень актуальны. Мы, параноики, существа очень ранимые. Очень нужна ложная иллюзия защищенности.

+ анонимности
ВПН штука полезная, я и неспорю по этому поводу ;)

Юзай OpenVPN.
Если админы поставят прокси и всё закроют, то повесишь себе на хост OpenVPN на 443 порт и коннектиться будешь через их проксю.
SSH туннелирование по большому счёту тоже самое, только менее удобно для пользователя.

Только перед тем, как будешь устанавливать OpenVPN можно ещё озаботиться, чтобы на IP адресе, куда ты будешь коннектиться не было твоих сайтов "извращенских".

Ну а вообще нет предела паранойе.

ghood писал:

Юзай OpenVPN. Если админы поставят прокси и всё закроют, то повесишь себе на хост OpenVPN на 443 порт и коннектиться будешь через их проксю. ... Только перед тем, как будешь устанавливать OpenVPN можно ещё озаботиться, чтобы на IP адресе, куда ты будешь коннектиться не было твоих сайтов "извращенских". Ну а вообще нет предела паранойе.

Гран мерси. Оценил, сколько возможностей хватило. Кстати, а не имеет ли смысл VPN заранее на 443 порт настраивать? Во избежание лишних телодвижений.

У паранойи нет начала и конца. Она - наше все.

А пробовал принять меры предосторожности в реале? Выпить много пива с админом (женой админа), например?

Еще хорошо помогает какая-нибудь провокация. Я как-то поставил на один из своих служебных компов клавиатурного шпиона - был через несколько дней вознагражден любопытными логами

Петр Кроликов писал:

А пробовал принять меры предосторожности в реале? Выпить много пива с админом (женой админа), например? Еще хорошо помогает какая-нибудь провокация. Я как-то поставил на один из своих служебных компов клавиатурного шпиона - был через несколько дней вознагражден любопытными логами

Иногда лучше быть в тени или быть белым и пушистым, но никак не пить пиво с женой админа, можно навлечь на себя внимание сильное

ibiz писал:

Иногда лучше быть в тени или быть белым и пушистым, но никак не пить пиво с женой админа, можно навлечь на себя внимание сильное

"Жена админа вне подозрений". Все равно админ наверняка на работе целыми днями

А может не всё так страшно?.. С нашими-то реалиями

Invite писал:

А может не всё так страшно?.. С нашими-то реалиями

Оффтопик:
Уработался с настройкой роутеров

Dragon писал:

вот прослышал про SSH-туннелирование

Привет

недавно поставил я софт bitvise Tunnelier http://www.bitvise.com/download-area.html

Отличная штука если у тебя есть свой дедик.

Настраивается елементарно,

Заполняешь адресс, логин, пасс дедика (у меня стоит freebsd),
на вкладке C2S Fwding вписуешь:
Listen 127.0.0.1
list. port 9999
destination host - хост прокси
destination port - порт прокси

Можешь еще активировать сжатие трафа - zlib на вкладке SSH.

После это настраиваешь все свои браузеры, аськи и тд на проксю с адрессом localhost:9999
и весь траф, что идет на этот порт, пиздует на твою прокю через шифрованный канал.

Все, используй на здоровье.

Петр Кроликов писал:

А пробовал принять меры предосторожности в реале? Выпить много пива с админом (женой админа), например?

Я с прежним пил. От него и информация.
А нынешний - мутный, "Характер скверный, не женат"

Петр Кроликов писал:

Еще хорошо помогает какая-нибудь провокация. Я как-то поставил на один из своих служебных компов клавиатурного шпиона - был через несколько дней вознагражден любопытными логами

А точнее?