- 27
- 2
- 6 Май 2020
Доброго времени суток. В этой части рассмотрим очень уязвимую виртуальную машину, которая соединяет домашнюю сеть с глобальной. Правильная настройка ее крайне важна. Для начала создадим виртуальную машину второго поколения. В моем случае я выделил 1Гб ОЗУ в динамическом режиме (если % потребления ОЗУ виртуальной машины уменьшается, то гипервизор уменьшает размер памяти на данную ВМ), 1 ядро процессора, 2 сетевых адаптера. Теперь нужно определится с операционной системой внутри ВМ. Я сторонник Микрософта, изучаю ОС серверные и десктопные, поэтому и буду устанавливать windows. И уверен, что windows, будет лучше оптимизирована под гипервизор hyper-v, ведь оба эти производители – Микрософт.
Выберем windows 8 одну из первых редакций, ссылки приводить не стану, может это будет расценено неожиданным для меня образом. Скачать можно с торрент трекеров. Итак, почему именно эта система? Я подбирал систему основываясь на потреблении памяти и функционале. Перепробовав все системы windows’a, остановился именно на ней. Скажите, что она старая и более уязвимая нежели недавно вышедшая 10ка 1909, или необходимо устанавливать только серверную ос? Это не так, ведь, эта система нужна только для маршрутизации трафика. Она не будет иметь открытые порты, к ней не будут подключатся удаленно и тд.
С системой разобрались, теперь преступим к настройке. В первую очередь нужно отключить не нужные службы – защитник, брандмауэр, также автоматическое обслуживание (Win + R => taskschd.msc; Microsoft=>Windows=>TaskScheduler=>Regular Maintance=>Отключить), защиту системы(свойства системы),в настройках электропитания отключить спящие и ждущие режимы.
Далее создаем нового пользователя (с паролем, пароль у административной учетки тоже должен быть). Оставляем его с обычными правами.
Теперь перейдем к настройкам сетевых интерфейсов. В свойствах нужно оставить только tcp\ip4
Самое важное – это файервол. Из всех вендоров я остановился на Agnitum outpost firewall. Он имеет довольно тонкую настройку. Из соображений безопасности нужно разрешить трафик только определенным приложениям, а все остальное заблокировать. Следует знать, трафик могут генерировать как приложения, так и сама система. Трафик, созданный самой системой, называется низкоуровневым, так как, нету конкретного приложения что его генерирует
Этот трафик нужно заблокировать, для этого есть целый ряд правил
Выберем все протоколы в графе тип IP-протокола. В удаленном и локальном адресах указал весь интернет. На скриншоте правила для исходящего трафика, такие же нужно сделать и для входящего
И еще два правила, которые напишем для самоуспокоения
Теперь установим необходимые программы для маршрутизации трафика. Нам понадобится прокси сервер. Рассмотрим ccproxy. Нам нужно поднять прокси сервер на адаптере, который смотрит во внутрь домашней сети
Для этого приложения нужно определенные правила. Доступ к прокси серверу нужно разрешить с определенных ip
Правила для исходящего трафика также нужно написать. Есть два варианта развития:
- Если вы в последующей цепочки используете впн, следует разрешить только айпи адрес впн сервера.
- Если тор, нужно разрешить всем айпи адресам с портов 9001. Но тут на ваше усмотрение.
Также стоит настроить проактивную защиту, которая контролирует любую активность других программ. С этой настройкой следует быть осторожней, если ползунок выкрутить на максимум, то система загрузится, но рабочий стол не появится, будет блокирован winlogon, ведь для него нету написанного правила
Есть выход. Нужно для начала выкрутить ползунок на максимум и выставить автоматическое создание и обновление правил. Некоторое время нужно потратить на правила. После правила вернуть в «ручной режим»
Не стоит забывать про UAC
В следующей части поговорим про промежуточные звенья в цепи - роутерах
Выберем windows 8 одну из первых редакций, ссылки приводить не стану, может это будет расценено неожиданным для меня образом. Скачать можно с торрент трекеров. Итак, почему именно эта система? Я подбирал систему основываясь на потреблении памяти и функционале. Перепробовав все системы windows’a, остановился именно на ней. Скажите, что она старая и более уязвимая нежели недавно вышедшая 10ка 1909, или необходимо устанавливать только серверную ос? Это не так, ведь, эта система нужна только для маршрутизации трафика. Она не будет иметь открытые порты, к ней не будут подключатся удаленно и тд.
С системой разобрались, теперь преступим к настройке. В первую очередь нужно отключить не нужные службы – защитник, брандмауэр, также автоматическое обслуживание (Win + R => taskschd.msc; Microsoft=>Windows=>TaskScheduler=>Regular Maintance=>Отключить), защиту системы(свойства системы),в настройках электропитания отключить спящие и ждущие режимы.
Далее создаем нового пользователя (с паролем, пароль у административной учетки тоже должен быть). Оставляем его с обычными правами.
Теперь перейдем к настройкам сетевых интерфейсов. В свойствах нужно оставить только tcp\ip4
Самое важное – это файервол. Из всех вендоров я остановился на Agnitum outpost firewall. Он имеет довольно тонкую настройку. Из соображений безопасности нужно разрешить трафик только определенным приложениям, а все остальное заблокировать. Следует знать, трафик могут генерировать как приложения, так и сама система. Трафик, созданный самой системой, называется низкоуровневым, так как, нету конкретного приложения что его генерирует
Этот трафик нужно заблокировать, для этого есть целый ряд правил
Выберем все протоколы в графе тип IP-протокола. В удаленном и локальном адресах указал весь интернет. На скриншоте правила для исходящего трафика, такие же нужно сделать и для входящего
И еще два правила, которые напишем для самоуспокоения
Теперь установим необходимые программы для маршрутизации трафика. Нам понадобится прокси сервер. Рассмотрим ccproxy. Нам нужно поднять прокси сервер на адаптере, который смотрит во внутрь домашней сети
Для этого приложения нужно определенные правила. Доступ к прокси серверу нужно разрешить с определенных ip
Правила для исходящего трафика также нужно написать. Есть два варианта развития:
- Если вы в последующей цепочки используете впн, следует разрешить только айпи адрес впн сервера.
- Если тор, нужно разрешить всем айпи адресам с портов 9001. Но тут на ваше усмотрение.
Также стоит настроить проактивную защиту, которая контролирует любую активность других программ. С этой настройкой следует быть осторожней, если ползунок выкрутить на максимум, то система загрузится, но рабочий стол не появится, будет блокирован winlogon, ведь для него нету написанного правила
Есть выход. Нужно для начала выкрутить ползунок на максимум и выставить автоматическое создание и обновление правил. Некоторое время нужно потратить на правила. После правила вернуть в «ручной режим»
Не стоит забывать про UAC
В следующей части поговорим про промежуточные звенья в цепи - роутерах
vk.com/id58924119