боярышник
Пользователь
- Сообщения
- 71
Доброго времени суток. В этой части рассмотрим очень уязвимую виртуальную машину, которая соединяет домашнюю сеть с глобальной. Правильная настройка ее крайне важна. Для начала создадим виртуальную машину второго поколения. В моем случае я выделил 1Гб ОЗУ в динамическом режиме (если % потребления ОЗУ виртуальной машины уменьшается, то гипервизор уменьшает размер памяти на данную ВМ), 1 ядро процессора, 2 сетевых адаптера. Теперь нужно определится с операционной системой внутри ВМ. Я сторонник Микрософта, изучаю ОС серверные и десктопные, поэтому и буду устанавливать windows. И уверен, что windows, будет лучше оптимизирована под гипервизор hyper-v, ведь оба эти производители – Микрософт.
Выберем windows 8 одну из первых редакций, ссылки приводить не стану, может это будет расценено неожиданным для меня образом. Скачать можно с торрент трекеров. Итак, почему именно эта система? Я подбирал систему основываясь на потреблении памяти и функционале. Перепробовав все системы windows’a, остановился именно на ней. Скажите, что она старая и более уязвимая нежели недавно вышедшая 10ка 1909, или необходимо устанавливать только серверную ос? Это не так, ведь, эта система нужна только для маршрутизации трафика. Она не будет иметь открытые порты, к ней не будут подключатся удаленно и тд.
С системой разобрались, теперь преступим к настройке. В первую очередь нужно отключить не нужные службы – защитник, брандмауэр, также автоматическое обслуживание (Win + R => taskschd.msc; Microsoft=>Windows=>TaskScheduler=>Regular Maintance=>Отключить), защиту системы(свойства системы),в настройках электропитания отключить спящие и ждущие режимы.
Далее создаем нового пользователя (с паролем, пароль у административной учетки тоже должен быть). Оставляем его с обычными правами.
Теперь перейдем к настройкам сетевых интерфейсов. В свойствах нужно оставить только tcp\ip4
/attachments/84934/
/attachments/84935/
Самое важное – это файервол. Из всех вендоров я остановился на Agnitum outpost firewall. Он имеет довольно тонкую настройку. Из соображений безопасности нужно разрешить трафик только определенным приложениям, а все остальное заблокировать. Следует знать, трафик могут генерировать как приложения, так и сама система. Трафик, созданный самой системой, называется низкоуровневым, так как, нету конкретного приложения что его генерирует
/attachments/84936/
Этот трафик нужно заблокировать, для этого есть целый ряд правил
/attachments/84937/
Выберем все протоколы в графе тип IP-протокола. В удаленном и локальном адресах указал весь интернет. На скриншоте правила для исходящего трафика, такие же нужно сделать и для входящего
/attachments/84939/
/attachments/84938/
И еще два правила, которые напишем для самоуспокоения
/attachments/84940/
/attachments/84941/
Теперь установим необходимые программы для маршрутизации трафика. Нам понадобится прокси сервер. Рассмотрим ccproxy. Нам нужно поднять прокси сервер на адаптере, который смотрит во внутрь домашней сети
/attachments/84942/
Для этого приложения нужно определенные правила. Доступ к прокси серверу нужно разрешить с определенных ip
/attachments/84943/
Правила для исходящего трафика также нужно написать. Есть два варианта развития:
- Если вы в последующей цепочки используете впн, следует разрешить только айпи адрес впн сервера.
- Если тор, нужно разрешить всем айпи адресам с портов 9001. Но тут на ваше усмотрение.
Также стоит настроить проактивную защиту, которая контролирует любую активность других программ. С этой настройкой следует быть осторожней, если ползунок выкрутить на максимум, то система загрузится, но рабочий стол не появится, будет блокирован winlogon, ведь для него нету написанного правила
/attachments/84944/
Есть выход. Нужно для начала выкрутить ползунок на максимум и выставить автоматическое создание и обновление правил. Некоторое время нужно потратить на правила. После правила вернуть в «ручной режим»
/attachments/84945/
Не стоит забывать про UAC
/attachments/84946/
В следующей части поговорим про промежуточные звенья в цепи - роутерах
Выберем windows 8 одну из первых редакций, ссылки приводить не стану, может это будет расценено неожиданным для меня образом. Скачать можно с торрент трекеров. Итак, почему именно эта система? Я подбирал систему основываясь на потреблении памяти и функционале. Перепробовав все системы windows’a, остановился именно на ней. Скажите, что она старая и более уязвимая нежели недавно вышедшая 10ка 1909, или необходимо устанавливать только серверную ос? Это не так, ведь, эта система нужна только для маршрутизации трафика. Она не будет иметь открытые порты, к ней не будут подключатся удаленно и тд.
С системой разобрались, теперь преступим к настройке. В первую очередь нужно отключить не нужные службы – защитник, брандмауэр, также автоматическое обслуживание (Win + R => taskschd.msc; Microsoft=>Windows=>TaskScheduler=>Regular Maintance=>Отключить), защиту системы(свойства системы),в настройках электропитания отключить спящие и ждущие режимы.
Далее создаем нового пользователя (с паролем, пароль у административной учетки тоже должен быть). Оставляем его с обычными правами.
Теперь перейдем к настройкам сетевых интерфейсов. В свойствах нужно оставить только tcp\ip4
/attachments/84934/
/attachments/84935/
Самое важное – это файервол. Из всех вендоров я остановился на Agnitum outpost firewall. Он имеет довольно тонкую настройку. Из соображений безопасности нужно разрешить трафик только определенным приложениям, а все остальное заблокировать. Следует знать, трафик могут генерировать как приложения, так и сама система. Трафик, созданный самой системой, называется низкоуровневым, так как, нету конкретного приложения что его генерирует
/attachments/84936/
Этот трафик нужно заблокировать, для этого есть целый ряд правил
/attachments/84937/
Выберем все протоколы в графе тип IP-протокола. В удаленном и локальном адресах указал весь интернет. На скриншоте правила для исходящего трафика, такие же нужно сделать и для входящего
/attachments/84939/
/attachments/84938/
И еще два правила, которые напишем для самоуспокоения
/attachments/84940/
/attachments/84941/
Теперь установим необходимые программы для маршрутизации трафика. Нам понадобится прокси сервер. Рассмотрим ccproxy. Нам нужно поднять прокси сервер на адаптере, который смотрит во внутрь домашней сети
/attachments/84942/
Для этого приложения нужно определенные правила. Доступ к прокси серверу нужно разрешить с определенных ip
/attachments/84943/
Правила для исходящего трафика также нужно написать. Есть два варианта развития:
- Если вы в последующей цепочки используете впн, следует разрешить только айпи адрес впн сервера.
- Если тор, нужно разрешить всем айпи адресам с портов 9001. Но тут на ваше усмотрение.
Также стоит настроить проактивную защиту, которая контролирует любую активность других программ. С этой настройкой следует быть осторожней, если ползунок выкрутить на максимум, то система загрузится, но рабочий стол не появится, будет блокирован winlogon, ведь для него нету написанного правила
/attachments/84944/
Есть выход. Нужно для начала выкрутить ползунок на максимум и выставить автоматическое создание и обновление правил. Некоторое время нужно потратить на правила. После правила вернуть в «ручной режим»
/attachments/84945/
Не стоит забывать про UAC
/attachments/84946/
В следующей части поговорим про промежуточные звенья в цепи - роутерах