منتشرشده در android، configuration، pfsense، vpn، wireguard، فیلتر شکن

Truism: انجام حق امنیت ، ظلم و ظریف است برای سرسختی.

نگرانی: من تاکنون ارتباطی بین 2 رایانه با استفاده از کلیدهای RSA / SSH یا گواهینامه ها برقرار نکرده ام ، در زندگی من. از نظر واقعي ، من از اين نظريه بسيار آگاه هستم ، و بيشتر مراحل ضرب و شتم در نوشتن هاي امنيتي را خوانده ام ، اما براي اهداف عملي ، من هنوز هم يكي از سرسختي ها هستم (فعلاً).

نتیجه گیری: قدم به قدم به قدردانی کمک می کنم ، بنابراین من راه اندازی Wireguard را به درستی انجام می دهم ، و همچنین شروع به یادگیری "صحیح" و اعتماد به نفس برای اتصالات آینده می کنم (خواه گواهینامه باشند یا مبتنی بر کلید باشند – SSH ، 802.1X ، گواهینامه های وب HTTPS ، و غیره).

من سعی کرده ام این اصل را رعایت کنم که آنچه را که نمی توانم به اندازه کافی بدانم تا با خیال راحت با امنیت انجام دهم ، حداقل سعی می کنم از آن جلوگیری کنم و به صورت ناامن انجام ندهم.

LAN gateway – روتر نرم OPNSense FreeBSD را اجرا می کند (چنگال pfSense که روی HardenedBSD کار می کند ، مشتق سخت شده FreeBSD است ، بنابراین می توانم از آنالوگ pfSense استفاده کنم و در صورت لزوم همان عملکرد را در معدن پیدا کنم). NIC های جداگانه ای برای شبکه سیمی و بی سیم وجود دارد. تقریباً تمام ترافیک بی سیم از طریق شبکه LAN مسدود شده است ، بنابراین من می توانم یک پورت را برای ترافیک "دستگاه قابل اعتماد" باز کنم و سپس دسترسی آن را با توجه به حداقل نیازها محدود کنم (کمکی برای این کار نیست).

Wifi AP – NIC wifi روتر توسط اترنت به یک روتر WIFI OpenWRT متصل می شود. از آنجا که تقریباً به شبکه LAN دسترسی پیدا کرده ایم (روتر پینگ NIC و رسیدن به یک سرور پرینتر جدا شده IP / پورت) و فقط می توانید به WAN برسید ، در حال حاضر هیچ امنیتی در این مورد وجود ندارد (من مشکلی ندارم در حال اجرا یک شبکه wifi باز که در آن هستم ؛ من همچنین یک گره خروج tor tor عمومی را در یک IP روی LAN اجرا می کنم.

خدمات شبکه – DHCP4 و Unbound (حل کننده) روی روتر. خدمات AD / Directory وجود ندارد. هیچ گواهینامه / CA / RSA در حال حاضر به جز آنهایی که بطور خودکار ایجاد شده برای روتر / سرور پرونده WebUI و غیره ایجاد نشده است. ورود به سیستم مبتنی بر گذرواژه (امیدوارم یاد بگیرید + یک روز آن را تعمیر کنید!).

تلفن همراه – LineageOS 16 را اجرا می کند ( Android Pie) با MicroG (جایگزینی بسته خدمات FOSS Google). می خواهم به 802.1X منتقل شویم اما باز هم ، فاقد آگاهی از گواهینامه یا روند راه اندازی کلید درست انجام شده است.

نرم افزار VPN – به نظر می رسد وایرلس کاملاً مناسب با شرایط من است – من از حمل و نقل عمومی استفاده زیادی می کنم ، و وجود دارد قطع اتصال متناوب و اتصال کوتاه مدت بسیار زیاد است ، بنابراین یک FOSS VPN که به پیکربندی کمتری نیاز دارد ، خودکار از تنظیم تونل سازی مناسب استفاده می کند ، به نظر می رسد که به خوبی شناخته شده است و برای اتصال مجدد سریع طراحی شده است ، اما برای من بهتر از ، مثلاً OpenVPN است ، گرچه من مطمئن هستم

VPN endpoint / IP – VPN روی روتر OPNSense خاتمه می یابد ، بنابراین دستگاه Wifi باز مسئله ای نیست. LAN از 192.168.0.0/16 استفاده می کند ، با 192.168.0.1/20 برای روتر ، استاتیک ، DHCP و کلیه دستگاه های غیر VPN اختصاص یافته است. بنابراین می توانم از 192.168.32.0/24 برای هر دستگاه متصل به VPN استفاده کنم.

دامنه Broadcast – من می خواهم که سطح OSI سطح 2 پخش شود نه فقط سوئیچینگ ، من فکر می کنم * این معمولی است با VPN اما نه مطمئن؟ من انتظار ندارم که پخش شود تا شبکه را سیل بزند:)

  1. SSH / FTP / SMB / RDP / ADB بیش از TCPIP و شاید جریان رسانه ها بین تلفن و دستگاه های LAN. اگر بتوانم به جای انتظار برای خانه و استفاده از USB / SDCard ، از WiFi (در صورت وجود) استفاده کنم ، سریعتر حرکت می کند.
  2. تونل VPN برای مسیریابی کلیه ترافیک شبکه تلفن از طریق LAN هنگام فاصله. از خانه هنگام استفاده از شبکه های وای فای ناشناخته
  3. انتقال برخی از عملکردها از تلفن به LAN (به عنوان مثال: تقویم / یادداشت ها / فید از طریق یک وب سرور مبتنی بر LAN بجای محلی به عنوان برنامه های تلفنی).
  4. با اطمینان بیشتر ، انجام مشابه

بخش بزرگی از راه اندازی کلید / گواهینامه در مورد "چقدر امن / سخت شده است که می خواهید آن را انجام دهید؟" برای ساده تر کردن این مسئله ، فرض کنید "به اندازه کافی سخت است که احتمالاً 15 سال دیگر نگران نباشم" ، غیر از پرداختن به هر نوع رأی عمومی (که برای رفع آنها به نویسندگان نرم افزار واگذار می کنم). برای پردازش دقیق تر در هر دو تلفن + LAN ، قدرت پردازنده زیادی را تصور کنید ، و تقریباً سطح تصدی را بجای امنیت در منزل LAN برای جنبه VPN در نظر بگیرید. به معنای ، من می خواهم شروع به یادگیری این کار درست انجام دهم ، حتی اگر ابتدا patchwork / piecemeal باشد (من می خواهم از "هیچ نکته ای در انجام کارها جلوگیری کنم ، زیرا وجود رهایی جدی تر است").

بنابراین من خوشحالم که از RSA 4096 استفاده کردم نه 2048 یا الگوریتم های شدید اما ایمن پردازنده. در صورت نیاز به گواهینامه ، ترجیح می دهم مراحلی ایجاد کنم که یک CA واسطه ای ایجاد کند تا بتوانم CA سطح عالی خود را کاملاً آفلاین نگه دارم. اگر گزینه های سخت افزاری اضافی وجود داشته باشد که یک متخصص امنیتی وجدان مثلاً مدیر عامل / CFO یک تجارت کوچک و متوسط ​​را انتخاب کند ، این مربوط به نوع سطح من خواهد بود.

تلفن همراه – در کل من می خواهم با آن رفتار کنم. قابل اعتماد AFAIK من تاکنون مشکلی امنیتی با آن یا یک برنامه ناامن نداشته ام ، و به نوعی اجتناب ناپذیر است که نیاز دارم تا حدودی به آن اعتماد کنم. من همچنین می توانم قوانینی را برای جلوگیری از استفاده محدود اما در روتر یا در سرورهای اصلی خود تنظیم کنم ، به گونه ای که ظرفیت محدودی برای استفاده / آسیب و دسترسی ریشه ای به هر وسیله حتی اگر مورد سوء استفاده قرار بگیرد.

اتصال / تونل – من فقط با WPA2 / PSK احساس راحتی نمی کنم. من می خواهم اگر روشی برای انجام آن وجود داشته باشد ، از طریق برخی از احراز هویت متقابل ، از دستگاه مورد انتظار واقعی آن اطمینان حاصل کنم. از این رو حتی در جایی که من به شبکه اعتماد داشته باشم ، در خانه ، دوست ندارم فقط از طریق WPA2 متصل شوم ، بلکه فقط از طریق VPN ، حتی اگر قصد دارم از طریق تلفن خود از طریق روتر خانگی خود به شبکه LAN دسترسی پیدا کنم ، نیستم.

عدم توجه به راه اندازی صحیح + فرآیندهای امنیتی / اقدامات خوب برای این – زیر را ببینید. من فکر می کنم این ، و تهدیدات ناشی از آن ، خطر اصلی است. من به خصوص فکر می کنم ، اگر LAN را به یک دستگاه باز کنم ، من به طور بالقوه آن را برای همه باز کرده ام ، بنابراین باید اطمینان داشته باشم که فقط به بهترین شکل ممکن آن را به آن دستگاه باز می کنم ، و نه بهترین حالت. به دیگران. من فکر می کنم این بزرگترین خطر و انگیزه سوال است.

نگران "ناشناخته های ناشناخته" خودم هستم.

من نمی دانم چه کلیدها یا گواهینامه هایی ممکن است نیاز داشته باشم ، و نه چگونه آنها را بطور صحیح تولید کنم. نوشتن نامه هایی وجود دارد اما یک حرکت خوب شروع و پایان ندارد که احساس راحتی می کنم. اصولاً چه نرم افزاری + دستوراتی را برای استفاده توصیه می کنید؟ چه عملی برای تنظیمات / گزینه های CLI / پیکربندی مورد استفاده برای تولید آنها چیست؟ چه تنظیمات .conf را باید در سرور / مشتری Wireguard در نظر بگیرم؟

من همچنین نمی دانم که در صورت ایجاد هر کلید / پرونده برای تولید بر روی یک دستگاه "امن" شناخته شده ، و در صورت ایجاد هر گونه فایل ، باید ذخیره شود. هوایی / آفلاین. من فکر می کنم این بسیار ساده است.

بنابراین آنچه من امیدوار هستم دستور العمل گام به گام برای اولین بار برای من است. کمی شبیه به این –

"از بسته X یا Y در BSD استفاده کنید. این گزینه های مهم سوئیچ / پیکربندی هستند. از رمز عبور استفاده کنید (یا از آنها استفاده نکنید). این دستورات برای اجرای روی بسته X یا این دستورات هستند. روی بسته Y. 3 پرونده / کلید ایجاد می شود. این یکی را در اینجا قرار دهید و یکی را در آنجا مخفی کنید. این یکی را روی سیستم هوایی یا USB USB پنهان کنید. سرور / سرویس گیرنده Wireguard را تنظیم کنید. با این گزینه های اضافی تنظیم کنید. "

من می خواهم از بسته های CLI مانند OpenSSL (از قبل نصب شده) و نه عملکرد GUI داخلی روتر ، برای تولید هر کلید / گواهی استفاده کنم ، زیرا این امر به من کمک می کند تا در آینده صلاحیت بیشتری داشته باشم.

امیدوارم که اگر این کار را داشته باشم. این حق ، من کاملاً چیزهایی را که لازم دارم ، یاد می گیرم تا سایر اتصالات (گواهی | خصوصی + کلید عمومی) مانند 802.1X و SSH را به درستی انجام دهم ، هم بین دستگاه های تلفن همراه و هم با پل OpenWRT و بین دستگاه های LAN ، و همچنین در راه گرفتن RADIUS یا سایر AAA در بعضی مواقع برای سخت کردن شبکه داخلی در راه خود قرار داشته باشید.

تگ ها: