Domácí server jako ochrana proti šmírování typu PRISM

[Petr.Stehlik]

Jenom taková odbočka, jak to provést jednoduše u sebe doma:
Splňuju požadavek veřejné IP adresy a myslím si, že můj upload je dostatečný pro mé potřeby konektivity pak-
1. Koupím router, na kterém rozjedu OpenWRT
2. Nastavím na něm správně firewall
3. Nastavím na něm správně OpenVPN v režimu tap
4. Koupím si HW na server, rozjedu na něm třeba to Ubuntu a nainstaluju a nakonfiguruju si na něm co chci
5. Opět nastavím správně firewall, tentokrát přesměrování portů
6. A teď to důležité- veškeré spojení (cloud, synchronizace, vzdálená plocha atd.) jde po LAN adresách. Zvenku se připojíš přes VPN do LAN. =šifrované spojení na všechny strany. Jenom si musíš dávat pozor na SW, kterým to provádíš.

Souhlasím a potvrzuji, snad až na 5. bod (druhý firewall) - nevidím nutnost přesměrovávání portů, pokud veškerý provoz probíhá díky VPN v LAN.

Ještě bych rád dodal, že mám prakticky přesně takto udělanou domácí síť, ale NEpoužívám to, protože třeba jen nastavit VPN v Androidu s CM 10.1 si kvůli bezpečnosti vynutí zadávání odemykacího hesla po každém probuzení obrazovky mobilu - a to je něco TAK opruzujícího, že raději VPN nemám vůbec, domů se nepřipojuji a data nahrávám do PRISM cloudu (GDrive).

Je nutno přiznat si, že dodržet bezpečnost v celém řetězci není jednoduché. Jakmile přejdeme na šifrování a klíče, je problém zabezpečit mobilní zařízení proti zneužití či krádeži, když má klíče v sobě. U notebooku to ještě jde, ten se používá dávkově (jednou za čas po delší dobu) a má velkou klávesnici pro pohodlné zadání dlouhého master/login hesla, ale u mobilů, které se používají prakticky neustále (a přitom se mezitím neustále zamykají) a zároveň nemají rozumný způsob bezpečného zadání dlouhého hesla je to ještě dost nedořešené.

[Pan Tau]

Bod 5 je špatně napsaný, myslel jsem tím firewall na routeru. Poprvé nastavíš global a až po spuštění serveru porty.

Na mobilech je to ošemetné, ale řešení by bylo v podobě zrušení certifikátu při krádeži (tuto skutečnost nemám přímo ověřenou, ale myslím, že to tak jde udělat). Prostě jako když si necháš zablokovat kreditní kartu. Problém bych spíše viděl v tom, co vlastně google o tomto spojení pak ví?

Jinak k právní věci TOR- mám si na to založit nové téma, nebo mě nasměrujete zde? díky

[Petr.Stehlik]

Bod 5 je špatně napsaný, myslel jsem tím firewall na routeru. Poprvé nastavíš global a až po spuštění serveru porty.

pořád nevidím nutnost přesměrování portů (kterých portů?), když jsi v LAN.

Na mobilech je to ošemetné, ale řešení by bylo v podobě zrušení certifikátu při krádeži (tuto skutečnost nemám přímo ověřenou, ale myslím, že to tak jde udělat). Prostě jako když si necháš zablokovat kreditní kartu.

Doba mezi krádeží mobilu a možností revokovat certifikát na straně serveru je nenulová (např. si představ ztrátu mobilu na letišti, kterou zjistíš, až po startu 12hodinového letu), a v tu dobu jsi zranitelný mnohem víc, než když ti někdo šlohne kreditku (která se dá navíc proti tomu připojistit).
Jinými slovy, revokace certifikátu není cesta, musí se zajistit, že se cizinec nikdy ani nepřipojí k VPN, i kdybych si jen odskočil na minutu na WC a nechal mobil na stole.

Problém bych spíše viděl v tom, co vlastně google o tomto spojení pak ví?

nechápu? O kterém spojení a co google? Nejspíš to ale nebude důležité, viz výše.

Jinak k právní věci TOR- mám si na to založit nové téma, nebo mě nasměrujete zde? díky

Nové, ale nečekej užitečnou odpověď, protože nakonec vždy rozhoduje názor v ITC obvykle nekvalifikovaného soudce.

[Pan Tau]

pořád nevidím nutnost přesměrování portů (kterých portů?), když jsi v LAN.

Je nutno směrovat alespoň jeden a to pro VPN na device.

Jinými slovy, revokace certifikátu není cesta, musí se zajistit, že se cizinec nikdy ani nepřipojí k VPN, i kdybych si jen odskočil na minutu na WC a nechal mobil na stole.

Gesto na odemykací obrazovce mi přijde jako celkem účinné dočasné zabezpečení. Je to ergonomické a přesto těžké na uhodnutí.

nechápu? O kterém spojení a co google? Nejspíš to ale nebude důležité, viz výše.

Android dělá google, iOS Apple, Win MS -americké firmy. Jako opensource z toho nejlépe vychází google, ale nakolik mu věříš při provozování nějaké činnosti je na tobě.

nakonec vždy rozhoduje názor v ITC obvykle nekvalifikovaného soudce.

Nechci, aby došlo až na soud. Nejdříve by mne mohl kontaktovat ISP- něco ve stylu "z vaší IP bylo provedeno blabla..." a teď co jim mám poslat jako odpověď, aby to bylo v souladu se zákonem ČR? Ohledně embedded linků, odkazů už mají Piráti celkem jasno a stačí tak zkopírovat pár univerzálních odstavců. Ohledně TOR mi tohle zatím v ČR chybí.

[Petr.Stehlik]

Gesto na odemykací obrazovce mi přijde jako celkem účinné dočasné zabezpečení. Je to ergonomické a přesto těžké na uhodnutí.

Gesto odkoukám na tři metry a u zapomenutého telefonu ho vidím podle mastné stopy na displeji. A je k zbláznění ho kreslit třeba když narychlo potřebuju něco vyfotit, nebo mám volnou jen jednu ruku (tehdy nenakreslím nic).

Jako opensource z toho nejlépe vychází google, ale nakolik mu věříš při provozování nějaké činnosti je na tobě.

Aha, narážíš na to, že i VPN může být kompromitováno na úrovni operačního systému. Toho se nebojím, používám CyanogenMod.

nakonec vždy rozhoduje názor v ITC obvykle nekvalifikovaného soudce.

Nechci, aby došlo až na soud. Nejdříve by mne mohl kontaktovat ISP- něco ve stylu "z vaší IP bylo provedeno blabla..." a teď co jim mám poslat jako odpověď, aby to bylo v souladu se zákonem ČR? Ohledně embedded linků, odkazů už mají Piráti celkem jasno a stačí tak zkopírovat pár univerzálních odstavců.

I tady se ale stále čeká, co na to řekne soud. To máš skoro jako s copyleft licencemi - taky se neví, jestli (v ČR) platí.
Založ si ten TOR dotaz, ale nečekej zázraky. Máme tu sice pár právníků, ale i kdyby ti někdo poradil, stejně nakonec přidá svůj disclaimer, kterým to celé popře.

[Ales.Sura]

MO vlákno průběžně sleduje, dejte vědět, až dojdete k přípravě plánu něčeho realizovatelného.

No, to my se určitě ozveme.

[Ales.Sura]

Uvazoval jsem v souvislosti s PRISM o masivnejsim pouzivani sifrovanych e-mailu, problem vsak je presvedcit lidi, aby kvuli jednomu podivinovi zavadeli nejake obskursni veci (par klicu, plugin, ...) az jsme zacali pracovat na sluzbe: clovek napise zpravu, ktera sice lezi na serveru, ale je zasifrovana, posle mail cloveku, se kterym si chce psat - tam je odkaz, k preceni zpravy je zapotrebi heslo, to se predava na bazi - 'jmeno hospody, kde jsme byli minuly patek', po precteni lze zpravu ze serveru jednoduse odstranit. Navic je cely system anonymni, pouze id zprav a hesla - samozrejme s vecnym problemem distribuce klicu.

No, s kryptováním emailů je trochu problém. Je to už nějaký čas, kdy jsem si s tím hrál. Jakmile jsem ale takové emaily začal posílat, tak neznalým této problematiky začaly v klientech vyskakovat různé varovné hlášky, takže často radši email smazali, aby se náhodou nenakazili nějakým tím virem.
Opět si myslím, že poslání emailu z jednoho domácího serveru na druhý přes šifrované spojení by to řešilo. Technicky bych to viděl na emailový server s doménou (nutná veřejná a pokud možno statická IP adresa). Připojení přes VPN. Upřímně email, kalendář a kontakty vidím jako základ toho co by měl zde zmiňovaný server obsahovat. Zbylé části může alespoň zpočátku převzít samostatný domácí router, samostatný domácí NAS, apod. Možná ani není dobrý nápad integrovat všechno do "jedné krabice". Jakmile by se pak server porouchal, tak je člověk naráz bez všech dat, konektivity, emailů, atd.

[Petr.Stehlik]

Představa, že všichni budou se všemi spojeni přes VPN (aby emaily šly po celou dobu šifrované) je úsměvná - to je v podstatě o vybudování nové sítě uvnitř Internetu, někdo by musel řídit adresní rozsahy, doménová jména a další. To nevím, jestli by šlo decentralizovaně.

Jinak bych se přimlouval za korektní výrazy - "kryptovaný email" je zřejmě barva nějak spojena s hrobkou (kryptou), nechci raději ani vědět jak. Ale šifrovaný e-mail si už představit dokážu.

[Petr.Nemecek]

Spousta lidí server z různých důvodů nebude chtít mít doma, možná by spíš stálo za úvahu nějaké řešení, které se dá snadno outsourcovat - někdo (volný trh) mi poskytne železo s nějakou zárukou dostupnosti a spolehlivosti a já si na tom spustím svůj "pirate-node". Třeba vytvořit nějakej prefabrikovanej image, kterej by si člověk snadno nahrál na nějakou VPSku a jen lehce dokonfiguroval. Nebude to samozřejmě tak neprůstřelný co se týče bezpečnosti, ale pořád by to byl obrovskej pokrok a hlavně by to bylo daleko víc user frienly.

Daj se samozřejmě vymyslet i věci jako kombinace domácího serveru a té VPSky a spousta dalších vychytávek, ale tam narazíme na to, že asi nikdo nemáme po ruce tým nudících se programátorů.

Na zabezpečený posílání zpráv můžete zkusit http://bitmessage.org , otestovaný to nemám, ale vypadá to zajímavě.

[Ales.Sura]

Dám ještě připomínky k tomu padu (tučně):

Díky za připomínky! Příště klidně dělej změny rovnou do toho PADu, ať to nemusím přepisovat. Nynější připomínky jsem tam přidal.

4x ethernet ports (GLAN or 100Mb/s) 1 Gb/s ports are minimum for proper LAN transfer

100Mb/s je dostačující i na stream FullHD videa. Kopírování dat sice tak rychlý nebude, ale pokud by byla nějaká platforma se 100Mb/s výrazně levnější než Gbit, tak bych to neřešil.

processor? (many manufactures in order to be easily replace by another platform in case of need), memory? Intel pentium with integrated GPU should do the job

Řešení od Intelu jsou dobrý, ale Intel bude mít brzny na x86 platformu monopol, protože se AMD z tohoto trhu bude (minimálně částečně) stahovat. Ideální by tak byla otevřená architektura ARM. Kromě otevřenosti by mohla nabídnout i výrazně nižší spotřebu a cenu. Teď už jen nalézt "to správné železo." Bohužel ARM není tolik univerzální jako x86 a hledání hardware není nic moc (alespoň jak jsem se po něčem vyhovujícím poohlížel).

Includes possibility of additional remote synchronization with encrypted storage like Mega NEVER! that solution is direct access to your data, remove that line please

Data na Mega jsou šifrovaná a šifrování probíhá na straně klienta. Mám též smíšené pocity z toho, že by byly data ještě na vzdáleném úložišti, ale bylo to uvedeno jako možnost, která by zachránila data v případě totální destrukce serveru.

Optional software
Print server? USB length is max +-10m
VoIP with SIP support? This you can have on every PC
Bookmarks? Can not imagine the meaning of this line
Passwords? Can not imagine the meaning of this line, but never storage passwords unencrypted!

Tahle sekce jsou spíše výmysly navíc. Ostatně celý dokument je spíše brainstorming a obsahuje tak všechno možné. Ve finále z tohoto seznamu věci spíše ubydou než aby přibývaly.
- Print server může být i wifi. Každopádně není většinou problém ani mít tiskárnu poblíž serveru připojenou pomocí USB.
- VoIP by sice mohl být softwarový, ale původně to bylo zamýšleno jako hardware - tj. telefonní konektor RJ11, ale to už bychom toho asi chtěli opravdu moc
- Bookmarks - řešení ve stylu XMarks, aby se bookmarky neválely u 3-tí strany
- Passwords - např. KeePass