Computerbeveiliging - Hoe je bad guys buiten de deur houdt

2 routers, 1 tor, i2p, yacy,e.d-pc, 1 mail, chat, dns-pc, 1 hoofdpc en wifi. wat is wijs

05-01-2015, 12:52 door Anoniem, 9 reacties
Ik wil graag tor, i2p, yacy e.d. draaien, maar wil dit niet vanaf het netwerk van mijn hoofdpc.
Er zijn dan te veel verbindingen voor mij om zeker te weten dat alles pluis is.

Ik wil daarom werken met 2 locale netwerken, waarvan eentje veilig en privaat verkeer betreft, nl, hoofdpc, chat, mail en dns, en het andere lokale netwerk onveilig verkeer betreft, tor, i2p, yacy e.d., wifi.

Ik weet alleen niet wat verstandiger is, dat ik het onveilige netwerk direct aan de wan kant zet, en daarachter het veilige netwerk plaats,
of juist dat ik het veilige netwerk direct aan de wan kant zet, en daarachter het onveilige netwerk plaats.

Hoe configureer ik dit het meest optimaal zodat een eventuele uitbraak geisoleerd blijft.
Reacties (9)
05-01-2015, 13:36 door Anoniem
Door 2 bakkies aan de muur te hangen, één via de kabel en één via DSL bijvoorbeeld?

Natuurlijk is het ook goed mogelijk om 2 verschillende netwerken op hetzelfde IP te knallen.
Maar buiten de risico's waar je je al van bewust bent, lijkt het me ook belangrijk dat je 'secure' verkeer niet op al te veel zwarte lijstjes terecht komt. Dat laatste is zo goed als onvermijdelijk als je exit-nodes gaat draaien namelijk...

Ik werk al jaren met 2 aansluitingen, en dat bevalt prima ;)
05-01-2015, 19:55 door Anoniem
Ik heb helaas maar 1 ip (en wil geen 2de internet betalen)
1 vd netwerken zal dus door de ander heenmoeten gaan, en beide situaties lijken me niet het gewenste resultaat opleveren.
indien het onvertrouwde netwerk direct op wan zit, kan men mn dns rerouten, maar als ik het onbetrouwbare netwerk achter het betrouwbare netwerk plaats, gaat alle verkeer alsnog door mn vertrouwde netwerk heen.
(volgens mij heb ik een derde router nodig.. of niet?)
05-01-2015, 23:14 door Sisko
Ik weet niet wat voor hardware je gebruikt ?
Maar kijk eens naar VLAN.
06-01-2015, 03:48 door Anoniem
Hi, waarom koop je geen switch en zet die achter je router, en koopt een aparte tweede hans of nieuwe pc erbij?

Dan heb je gewoon twee aparte machine's, achter een IP, en je kunt met beide alle twee op internet.

Een switch is niet zo duur, en ook een tweede hans PC kost niet veel.

Super simpel toch?

Touwens wat je bedoel je met onveilig i.v.m. Tor en I2P?

En waarom geen Tor browser bundle op de PC voor Tor? En Dooble voor I2P verkeer?
http://www.hacker10.com/computer-security/dooble-privacy-internet-browser-encrypts-browsing-data/

Zo heb je namelijk twee stukjes aparte software (browsers) waarmee je alles kan.
En Yacy is gewoon een soort van zoekmachine, zie niet in wat hier onveilig aan is, en ook in het geval van Tor
snap ik het even niet helemaal.

Waar ben je eventueel bang voor? Of wat wil je precies berijken?

Er zijn genoeg veilige open-source applicaties die prima op een PC kunnen.
Sterker nog Tor, I2P en Yacy zijn zelfs veiliger kwa backdoor's en dergelijke.

Draai je bijvoorbeeld Windows, tja wat versta je dan onder veilig, en hoever wil je gaan met een en ander?
06-01-2015, 09:32 door Anoniem
Ik gebruik routers met openwrt en ddwrt, dus die kunnen inderdaad vlans aan, ik kende het niet,
maar is dat echt wel zo veilig als fysiek gescheiden netwerken, of is het zo lek als, .. openwrt?

Vooralsnog neig ik inderdaad naar de conclusie dat voor een veilige scheiding van netwerken, ik 3 routers nodig heb.
1tje direct aan de wan zonder services, en 2 in een boomstructuuur daaronder, eentje veilig, eentje niet.
06-01-2015, 11:05 door Anoniem
Gezien enkele reacties ben ik niet duidelijk genoeg geweest over welke hardware ik gebruik, en welke software ik van plan ben te gebruiken, en wat ik wil bereiken.

Ik heb dus 1 IP,
2 hardwarematige routers, eentje draait openwrt, de ander draait ddwrt. (evt heb ik nog wel wat oudere routers en switches in de kast).
ik heb
1 hoofdpc, (vertrouwd verkeer)
1 arm-debian minipc die mijn mail, chat, en dns doet (vertrouwd verkeer)
1 arm-debian minipc die een torserver draait (geen exitnode), een i2p server en een yacy server. (onvertrouwd verkeer)

Mijn hoofdpc en de eerste minipc maken in principe alleen verbindingen die ik expliciet heb toegestaan, en dat is daarom dus vertrouwd verkeer.

Die tweede minipc zal enorm veel verbindingen maken die ik ten eerste zeer moeilijk op veiligheid in kan schatten, en die het ook nog eens extreem lastig maken om overige verbindingen ervan te onderscheiden en te micromanagen. (ik beheer in principe alle individuele verbindingen voor zover dat haalbaar is)

En de vragen waar ik mee zit zijn dus,
- Als ik het onveilige netwerk achter het veilige netwerk plaats, hoe veilig is dan nog mijn veilige netwerk?
- Als ik het onveilige netwerk voor het veilige netwerk plaats(wankant), klopt het dan dat ik altijd het risico loop dat ze in mijn eerste router hebben kunnen komen en daar de boel redirecten? en kan ik dat voorkomen?

Maar zoals ik in mijn vorige reactie al aangaf, ik denk dat ik gewoon 3 routers nodig heb, en dat router 1 dan wan is, en router 2 en 3 het veilige en onveilige netwerk.

Zou zoiets met vlan mogelijk zijn? en is dat veilig? scheelt me weer 10 watt als ik de derde achterwege laten kan.
06-01-2015, 17:58 door Sisko
Zoals ik al eerder aangaf zou ik gebruik maken van VLAN.

Als voorbeeld:

Modem ISP (Bridge) --> Router --> (LAG) --> Switch --> VLAN Subnet 1 en VLAN Subnet 2

VLAN Subnet 1: 192.168.0.0/24 --> hoofdpc (192.168.0.10) en arm-debian minipc (192.168.0.11)

VLAN Subnet 2: 192.168.10.0/24 --> arm-debian minipc (192.168.10.10)

Dmv. je firewall kan je beide VLAN subnetten prima gescheiden houden.

Ook scheelt dit 2 routers en voorkom je NAT over NAT
13-01-2015, 21:00 door Anoniem
Sommige routers zoals Frtizbox ondersteunen 2 gescheiden wlans: een guest wlan met alleen Internet en een intern home wlan waar je b.v. je NAS op kan aansluiten. Je kan dan het guest wlan gebruiken voor je "onveilige" verkeer.

Als je je hoofd pc schoon wil houden start dan vanaf een tails image op dvd, zelfs intern geheugen wordt gewist na iedere sessie. Met tails kun je tor en i2p gebruiken, yacy weet ik niet maar misschien biedt tails alternatieven vinden.
14-01-2015, 12:01 door Anoniem
Ik dacht dat zo'n vlan niet voor beveiliging bedoeld was en zo lek als een mandje is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.