Виртуальные сети

Discussion in 'Безопасность и Анонимность' started by Lolinas, 9 May 2021.

  1. Lolinas

    Lolinas Member

    Joined:
    20 Oct 2019
    Messages:
    106
    Likes Received:
    37
    Reputations:
    6
    (Наверное, эта статья станет неким дополнением к статье «Развертывание “анонимной цепочки” любой сложности на Hyper-V»)
    С точки зрения безопасности стоит разделять сеть на несколько подсетей – внутренняя, внешняя и смешанная. В свою очередь внутренняя тоже может делится (в зависимости от необходимости). Все это делается для минимизации рисков, если какая-то виртуальная машина будет заражена вирусом либо захвачена злоумышленником.
    - К внешней отнесем те машины, которые будут выходить в интернет напрямую. Они являются более уязвимы по умолчанию, ведь соединены с модемом и могут иметь внешний ip адрес. Такая сеть должна быть изолирована от хостовой машины и любой другой виртуальной машины, которая не является роутером для этой сети.
    - К внутренним отнесем машины, которые не имеют выхода в интернет или в другую «смешанную сеть». Например, хранение паролей keepass, и любой другой важной информации на виртуальной машине.
    - К смешанным отнесем те машины, которые не могут напрямую (через основной шлюз) выйти в интернет, но выходят в него через роутеры.
    Создать виртуальную сеть довольно легко. Количество сетей зависит от количества экранируемых зон. У каждого их может быть разное число

    [​IMG]

    Это не означает, что для каждой машины должна быть своя сеть. На скриншоте выше показаны группы сетей, которыми пользуются мои виртуальные машины. Для достижения полной экранировки браузеров от приложений, мы разделили трафик между несколькими машинами (вконтакте отдельно, ютуб отдельно, торрент и т.д.). Также нужно разделить и сети. Если мы соединим все эти машины в одну сеть, то подвергаем себя еще неким совпадениям, а именно, одной и той же подсети на нескольких сервисах

    [​IMG]

    В браузере webrtc способен узнать локальные ip. Его можно и нужно отключать (в firefox еще не известно, какие есть способы добычи информации про локальные ip кроме webrtc). Если к примеру, взять браузер хром или мессенджер телеграмм, вайбер; их функции сбора данных скорей всего будут включать полную информацию про сетевые подключения виртуальной машины на которой они установлены. И помешать такому сбору данных будет скорей всего невозможна. Суть анонимности – смешаться с толпой и не выделятся всеми возможными способами. А вот имея две локальные сети 192.168.10.0 и 192.168.0.0 – это очень сильно сужает круг лиц из всего мира, которые используют точно такие же сети, с такой операционной системой, браузером и разрешением экрана.
    Рассмотрим на примере простого пользователя интернета. Он не занимается фильтрацией своего трафика, подменой ip через впн’ы, а просто использует настройки по умолчанию. Интернет поступает в дом на модем, патом через nat передает его на компьютер. Модем (роутер) состоит в двух сетях, с одной стороны провайдер, а с другой сам пользователь. Самая частая комбинация октетов для модема 192.168.1.1 либо 192.168.0.1, а для пользователя последний октет обычно имеет двойку. Поэтому и виртуальные сети нужно подгонять под такие шаблоны.
    На своем примере покажу расстановку сетей на ключевых виртуальных машинах. Машина Wan имеет 3 сетевые карты

    [​IMG]

    Две первые сетевые карты принимают трафик от других машин и отсылают его в интернет через третий адаптер, который подключен к модему (репликация). Далее идут роутеры, их не будем рассматривать, там все происходит аналогичным образом: один адаптер принимает трафик на прокси сервер. Затем пропускает трафик последовательно или параллельно через тор. Тор в свою очередь подключается к интернету через другой адаптер. Если говорить простыми словами, то имеем три роутера. Трафик идет от третьего роутера ко второму, и потом к первому последовательно. Трафик от третьего к первому никак пойти не сможет, так как эти роутеры находятся в разных подсетях. Рассмотрим конечную машину, на которой крутится браузер с вк

    [​IMG]

    Основная сеть тут 192.168.1.0, а 192.168.10.0 вспомогательная, и используется только для удаленного управления этой машиной (vnc). Если взять другую машину, то там будет аналогичная ситуация

    [​IMG]

    Как видим, эти обе машины (wan и forum) якобы находятся в одной подсети и имеют одинаковые ip (192.168.1.2). Но это не так, ведь название сетей разные, а значит они никак не пересекаются.
    В этих двух случаях машины с адресами 192.168.1.1 принимают трафик. Для вк одна, а для форума другая машина. Разумеется, на скриншотах мы видим некое сходство в название сети vnc network (192.168.10.0). Такого лучше не иметь, но это нужно мне для упрощения работы с машинами.
    С браузерами разобрались, теперь рассмотрим мессенджеры. Не известно какую информацию собирает телеграмм, но предположим, что он в курсе какое у нас железо. Мы создали сетевое подключение, которое нечем не примечательно, и тут возникает дилемма. А как насчёт процессора? Ведь его нельзя виртуализировать. Можно изменить количество ядер, уменьшить мощность на ядро, но он будет иметь одинаковое название как на виртуальной машине, так и на реальной. Если наш процессор достаточно уникален, например, xeon первого поколения (E5-2630L), то при использовании viber’а, либо whatsapp процессор также будет доступен для сбора информации о железе. И не важно, запустим мы его на реальной машине хоста либо на виртуальной, этого же хоста. Всю эту деятельность можно связать воедино с помощью уникальности процессора. Некоторые мессенджеры можно запускать прямо из браузера, это очень сильно помогает. Ведь браузер firefox пока что не может читать железо, на котором установлен (либо может, но мы об этом не знаем). Поэтому использование «браузерной» версии мессенджера дает больше анонимности чем десктоп версия.
    Есть еще некие настройки самых адаптеров. Дело в то по умолчанию установлено много разрешений на сетевую деятельность операционной системе. И появляются некие нежелательные моменты. Такие как случайное открытие шары с хостовой машины или подключение к интернету миную цепочки проксей. Все это может быть последствием настроек «по умолчанию» для сетевых карт. Чтобы трафик ходил по сети на другие машины (не широковещалки) нужна «карта». Называется она таблицей маршрутизации, в ней указываются все маршруты

    [​IMG]

    Запуская любое сетевое приложение (браузер) трафику некуда идти. Ведь маршрут не установлен. За него отвечает «основной шлюз» в настройке самого сетевого подключения

    [​IMG]

    Имея пустой эту строку мы себя полностью защитим от нежелательного трафика (это не панацея и на некоторых машинах все же нужно ставить файервол). Также нужно убрать остальные галочки в подключении и оставить только необходимые

    [​IMG]

    Всю связь осуществляем через прокси сервер (ccproxy) и проксификатор (proxifier)
    vk.com/id58924119​
     
Loading...