УМННБJ, ЯХВ. Войти !bnw Сегодня Клубы

Когда увидел Whonix, разбил лицо руками. Вообще, встала перед глазами та картинка с пионерами изготавливающими кумыс.
Вот нахуя две виртуальных машины, да ещё в другой дрочиться, с тормозами ебать себе мозг, когда можно в ВМ установить линукс в котором поднимается тор/i2p/vpn/ssh-tunnel/teredo, включается форвардинг, настраиваются цепочки в iptables/ebtables где пакеты фильтруются/проксируются. На самом "гипервизоре" настраивается виртуальный адаптер от ВМ, который заводится в виртуальную сеть, в которую смотрит один адаптер виртуальной машины. Второй адаптер виртуальной машины бриджуется с физической сетевухой, задаётся ему адрес. На самом гипервизоре, в настройках физического адаптера вообще убирается ip адрес (для линукса), или отключается поддержка протоколов ipv4, ipv6, сети майкрософт и прочей хуйни, соответственно для винды. Таким образом трафик из реальной системы заворачивается в виртуальную машину, а из неё идёт через сбриджованный с физической сетевухой интерфейс.
Всё! Никакой дрочи с двумя ВМ. Основная система полностью заворачивается через ВМ, +к этому можно ВМ настроить таким образом, чтобы в ней менялся "внешний" ip адрес, TTL (вообще, признаю - ебанизм и может не иметь смысла) , для создания мозгоёбли для тех кто попытается что-то сделать извне.

#79HABA / @hongweibing / 3938 дней назад

Не сморел whonix, но всё очевидно. Есть сложные приложения, работающие с потенциально опасными данными из внешнего мира, которые мы хотим анонимизировать. Поскольку всегда есть вероятность, что контроль над системой, в которой они выполняются, перейдёт в чужие руки после эксплоита, их не следует запускать в той же системе, в которой хранится ценная информация; следовательно, нужен физически отдельный компьютер или виртуальная машина (вариант для бедных, данные всё равно проходят через хост и могут с ним что-то сделать). Если мы ставим средство анонимизации в ту же самую систему, чужой код получает те же возможности работы с сетью, что есть у этого средства, а также возможность влиять на работоспособность его самого и, возможно, каких-то удалённых компонентов. Следовательно, средство анонимизации должно быть внешним по отношению к анонимизируесой системе, которая, в идеале, общается с ним по валидируемому протоколу через прокси-сервер, осуществляющий проверку и запись действий, либо использует предоставленный тупой туннель без возможности что-то с ним сделать. С другой стороны, все описанные предосторожности касаются самого средства анонимизации в полной мере, поэтому запускать его в системе, содержащей ценные данные, нельзя точно так же. Отсюда получаем две отдельных системы для двух звеньев цепочки, лучше, если не делящие сеть с личной системой вообще. Защита от сетевого обмена методом удаления IP-адреса — это шик, конечно. Ещё можно на корпус защитную раскраску нанести.
#79HABA/RQQ / @ceyt / 3938 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.