Gå til innhold

Fins det en grei open source brannmurdistro med IKEV2-klient?


Anbefalte innlegg

Helt standard VMWare Player. :roll: Og ja, det er ikke det sikreste som fins, men hackere har en tendens til å gå på de målene som er interessante. En helt vanlig, privat ip-adresse pleier ikke å være det. For ikke å snakke om at 99 % av hacking av pc-er foregår ved at folk åpner vedlegg, klikker på dumme linker osv. Det er jo ikke aktuelt her, for denne virtuelle maskinen vil aldri bli brukt til noe som helst annet enn å dele en VPN-kobling med den maksinen som skal være på NordVPN.

 

Selvsagt er det tryggere og bedre med en eller annen Nux eller lignende, men Windows kan jeg. Bortsett fra selvsagt akkurat å få en IKEv2-tunnell i gang, det var noe nytt. Men hvis det er mulig, vil det nok uansett ta mindre tid enn jeg ville brukt på et fullt oppsett med Strong Swan osv. og så er det jo uhyre enkelt å skille klientmaskinen fra nett uten VPN fordi når det er VPN-tunnelen som er delt, og ikke det vanlige nettverkskortet, funker det bare når VPN er tilkoblet. Som sagt tildigere, funker det greit med Windows 7, men det kunne vært greit med et mindre fotavtrykk. Og hvis jeg fikk til XP, er det 1,5 gig diskplass, minimalt med prosessorressurser og 256 RAM.

Lenke til kommentar
Videoannonse
Annonse

Helt standard VMWare Player. :roll: Og ja, det er ikke det sikreste som fins, men hackere har en tendens til å gå på de målene som er interessante.

Til en viss grad kan man vurdere sikkerheten til forskjellige virtualiseringer, basert på tidligere "knekk", men også på hvor mye som tilbys for nåværende funksjonelle brudd.

Dvs., hvor mye som tilbys for et sikkerhetsbrudd for TOR-browseren, for eksempel.

Tror det var 100k USD, sist jeg sjekket.

 

I alle tilfeller, og nå forespeiler jeg dessverre litt arbeidslogg-tråden min under "brukerbidrag", valg av OS er av avgjørende betydning for videre sikkerhetsvurdering.

 

Windows er ikke sikkert. Ei heller Mac.

Lenke til kommentar

Sikkerhet er relativt. Det er vel ikke noe som er sikkert. Spørsmålet er i praksis om det er sikkert NOK for det maskinen skal brukes til og de dataene man har. Det som kan være følsomt, har jeg offline (disker i hotswap som bare settes inn når det skal brukes). De dataene som er på maskinene til ethvert tidspunkt, er ting det ikke ville plage meg å se satt opp som plakat på nærbutikken. Og nå legger jo alle uansett inn alle hemmelighetene sine på Facebook og Instagram... ;) (Der jeg ikke er.) Men å spørre deg om hva som er sikkert nok er selvagt som å spørre en Lamborghini-selger om en Golf GTi er rask nok. ;)

  • Liker 1
Lenke til kommentar

Eller for så vidt å spørre meg om ikke en 750 holder. Da ser jeg bare på deg fra min R1... ;)

 

Men altså, er det noen her som vet hvordan man setter opp IKEv2 på XP? Ellers begynner å lure på om det er mer bry enn det er verdt. Vista fins ikke (det er som Gergovia for Majestix), så da må jeg vel holde meg til 7.

Lenke til kommentar

Forøvrig vil jeg gjerne tilføye at påstanden "Det er vel ikke noe som er sikkert", ikke egentlig medfører riktighet.

 

Man KAN oppnå sikkerhet - det er bare det at det krever litt egen-innsats, og vilje til å benytte alternative rammeverk for operativsystemer.

 

Som jo stor-drifts-maskinparkene kjører på idag.

Lenke til kommentar

Vel, jeg har hørt folk si at alt kan hackes, hvis man bare legger nok i det. Men jeg får tro deg på ditt ord, du veit jo en del. :rofl:

 

Ellers har jeg for moro skyld satt opp pfSenese med OpenVPN for å se om det var noen forskjell fra det og til å bruke Windows-programmet til NordVPN, og det var det altså ikke. Den gir meg en nedlasting på rundt 20 og en opplasting på 30. Med en Windows IPSec/IKEv2-tunnel får jeg nedlasting på 36 og opplasting på 37. Og dette er på 40/40 fiber, så det er tydelig at OpenVPN av en eller annen grunn er tregere i seg selv, det er ikke bare implementeringer av det i NordVPNs Windows-program som er dårlig. Snåle greier...

Lenke til kommentar

Vel, jeg har hørt folk si at alt kan hackes, hvis man bare legger nok i det. Men jeg får tro deg på ditt ord, du veit jo en del. :rofl:

Nei, men bare for å plinge litt i bjella om at de ikke trenger å drite seg ut.

Er behjelpelig jeg, for all del modafugas, men kom med et godt spørsmål først.

 

Ellers har jeg for moro skyld satt opp pfSenese med OpenVPN for å se om det var noen forskjell fra det og til å bruke Windows-programmet til NordVPN, og det var det altså ikke. Den gir meg en nedlasting på rundt 20 og en opplasting på 30. Med en Windows IPSec/IKEv2-tunnel får jeg nedlasting på 36 og opplasting på 37. Og dette er på 40/40 fiber, så det er tydelig at OpenVPN av en eller annen grunn er tregere i seg selv, det er ikke bare implementeringer av det i NordVPNs Windows-program som er dårlig. Snåle greier...

Livet er for kjipt.

 

Men ok, du kan kanskje kjøre dette litt over tid?

Lenke til kommentar

 

Tja, i dette tilfellet vil jeg heller si at å bruke et OS som ikke har fått sikkerhetsoppdateringer på 8 år på noe som er koblet til nettet er som å bruke fiskegarn som dusjforheng: "Det er kanskje ikke så tungt, men gud som du må rydde etterpå" ;)

Jeg er til opplysning sikkerhets-oppdaterings-ignostiker: Jeg tror ikke på at "sikkerhets"-"oppdateringer" på noen måte hjelper dem som faktisk trenger dem.

 

Derfor kjører jeg også flat pedal på datasikkerhet, som jeg kommer til å legge ut om i arbeidsloggen.

 

 

Jeg vet ikke hva du mener med "dem som faktisk trenger dem", men selv uten tinfoliehatt og med en sunn dose pragmatisme er det direkte tullete å gjøre noe annet enn å fraråde bruk av programvare* som ikke får oppdateringer på klienter som står koblet mot internett. Selvfølgelig vil det ikke redde deg fra alt, og selvfølgelig kan man ta masse andre forhåndsregler om man vil styrke sikkerheten til et system eller nettverk, men gode oppdateringsrutiner være en del av ethvert gjennomtenkte oppsett.

 

* Hovedsaklig programvare som lytter på porter, noe OS-et selvfølgelig gjør.

 

Helt standard VMWare Player. :roll: Og ja, det er ikke det sikreste som fins, men hackere har en tendens til å gå på de målene som er interessante. En helt vanlig, privat ip-adresse pleier ikke å være det. For ikke å snakke om at 99 % av hacking av pc-er foregår ved at folk åpner vedlegg, klikker på dumme linker osv. Det er jo ikke aktuelt her, for denne virtuelle maskinen vil aldri bli brukt til noe som helst annet enn å dele en VPN-kobling med den maksinen som skal være på NordVPN.

 

Dette er direkte feil. Sett opp en Raspberry Pi med standard Raspbian på nett og den er kompromittert på minutter (standard brukernavn og passord). Har du en server stående med ssh, elendig passord og ingen fail2ban er det bare et spørsmål om (begrenset) tid før noen har tilgang. Script sømfarer internett kontinuerlig etter sårbare enheter de kan legge til botnettet sitt. Folk (eller i det minste proxiene deres) fra Sør-Korea, Russland, Taiwan og Vietnam har prøvd å komme seg inn på én av serverne jeg administrerer bare de siste 15 minuttene. Det finnes mange historier om upatchede (gjerne med eldre versjoner av OS-et) Windowsmaskiner som blir eid etter bare noen minutter ut mot nett. Det er etter min mening uansvarlig å plassere maskiner med utdatert OS ut mot nett når man har alle forutsetninger for å vite bedre. Igjen, jeg snakker ikke om å utsette Windows update med en uke, men når det har gått årevis uten oppdateringer så er det en risiko for en selv, og ikke minst for andre.

  • Liker 2
Lenke til kommentar

..og med en sunn dose pragmatisme er det direkte tullete å gjøre noe annet enn å fraråde bruk av programvare* som ikke får oppdateringer på klienter som står koblet mot internett. Selvfølgelig vil det ikke redde deg fra alt, og selvfølgelig kan man ta masse andre forhåndsregler om man vil styrke sikkerheten til et system eller nettverk, men gode oppdateringsrutiner være en del av ethvert gjennomtenkte oppsett.

 

* Hovedsaklig programvare som lytter på porter, noe OS-et selvfølgelig gjør.

Vi er ikke uenige på dette punktet. På noen måte.

 

Det er etter min mening uansvarlig å plassere maskiner med utdatert OS ut mot nett når man har alle forutsetninger for å vite bedre. Igjen, jeg snakker ikke om å utsette Windows update med en uke, men når det har gått årevis uten oppdateringer så er det en risiko for en selv, og ikke minst for andre.

Jeg kan ikke uttrykke min hjertens mening sterkere enn å si at om både du og jeg var homoer, så hadde jeg begravd kuken min så langt nede i ræva di at den som kunne ha trukket den opp, hadde blitt kronet kongen av britannia.

 

Uansett, ja, "angrepsoverflate" er et begrep som folk nå begynner å fatte.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...