LINUX.ORG.RU
решено ФорумAdmin

невидимая передача корпоративной сети

 , ,


0

1

возможно ли как то передать трафик из одного роутера через интернет в другой так, чтоб ни один администратор не смог это увидеть? думаю реализовать это дело через OpenVPN bridge настроенном на роутере с 4G модемом и прошивкой OpenWRT, уже практически понял что и как, но боюсь увидят это дело, есть возможность забрать рабочую машину с работы, машина в домене и стоит Secret.Net

Ответ на: комментарий от mihey84s

есть программы типа tcpdump, wireshark, можешь погуглить, которые смотрят пакеты в сети и есть комплексы типа pfsence. то есть любая активность в сети может быть отфильтрована и замечена.

вопрос в другом - что делать с этой активностью и насколько это критично. твои пакеты могут перехватить и в случае злых корпоративных правил сразу вызвать на ковер, без расшифровки. если это какой то промышленный шпионаж, может быть будут пытаться расшифровать. зависит от задач и критичности

chenbr0 ()
Ответ на: комментарий от chenbr0

пакет будет все равно видно, так что нет - нельзя

Можно попытаться спрятать трафик в задержки между пакетами – много не влезет, но и видно будет не очень.

DonkeyHot ★★★★★ ()
Ответ на: комментарий от rupert

Тю, у меня в институте на незарегистрированную Wi-Fi точку пришли со сканером, а уж нагрузку на вычмощности и электросеть найти вообще не проблема. На кластерах рядом поиском мамкиных майнеров так вообще чуть ли не специальные люди занимались.

t184256 ★★★★★ ()

возможно ли как то передать трафик из одного роутера через интернет в другой так, чтоб ни один администратор не смог это увидеть?

Можно. Последовательность действий:
1. Узнаем любимые напитки админов от точки A до точки B
2. Закупаемся ими
3. Заносим пункт 2 админам , тут главное не ошибиться в хопах(любимых напитках). Пытаемся подружиться с админами на каждой точке.
4. Если пункт 3. выполнен, профит. «ни один администратор» не увидит.
5. Не забыть регулярно повторять пункты 1-3. А то адмимы могут «прозреть».

anc ★★★★★ ()

чтоб ни один администратор не смог это увидеть?

какой именно администратор? Корпоративный или провайдерский?

Можешь между корпоративным роутером и провайдерским вкорячить свой, который будет пропускать через себя весь трафик и дублировать его через альтернативный канал (lte) к тебе на сервер.

Если тебе просто скрыться от рабочено firewall/анализатора трафика, то sstp или stunnel должно быть достаточно

anonymous ()

Маловато подробностей. Телепат из меня не очень, увы.

Но предложу элементарный способ маскировать трафик - запили на конечном роутере SMTP, возьми самую обычную почту(хоть тот же гмейл, не помяни всуе), зашифруй сообщение\файл на локалхосте, прокинь это на почту(черновик создай), а с почты отправь на SMTP роутера, после чего сотри следы. Можешь потом сделать вид, что переписывался с кем-то очень важным.

Если почту у вас не банят(что крайне маловероятно), то способ покатит даже при использовании корпоративной почты - никто из-за такой мелочи не полезет копать почтовый сервер, это 100%.

Это если надо аккуратно перекинуть информацию налево и\или иметь возможность вести переписку.

Если нужно прокинуть именно постоянное соединение и тем более VPN - сразу забудь, оно светится как новогодняя ёлка, лучше тогда не париться да запускать сразу Tor Browser Bundle - оно из коробки опрокидывает >95% недоNATов. Ессно тор кидай через приватные мосты, которые запрашивал дома, а на конечном роутере пили скрытосервис - никто по пути перехватить не сможет, даже сам Админ Сотого уровня, да и факт использования тора не будет установлен - мосты эти непубличные и хорошо умеют маскироваться под https. Но, конечно, будет светиться факт обмена пакетами с непонятными айпи.

А через тор уже можно почти что угодно прокинуть, в том числе и VPN, и SMTP. И да - всё это легко влезет на роутер с openWRT, а вместо TBB можно использовать просто демон тора, опять же запущенный на самом роутере.

Если есть связь с вышками опсоса мимо рабочей сети - никто никак не запалит, кроме самого опсоса. Админы не боги - они манипулируют лишь тем, что находится в их прямом подчинении, и я сильно сомневаюсь, что у ваших админов есть фальшивые mitm базовые станции - подобное оборудование стоит миллионы.

В лучшем случае у вас там глушат мобильную сеть, а вообще и это едва ли, ибо с таким никто кроме военных и органов из трёх букв не заморачивается. Но одно можно сказать точно: будь уверен, узнают про слив информации - непременно пойдут к опсосу, а там уже варианты разные бывают: контора сотрудничает с опсосами или с МВД на короткой ноге - привет паяльник, нет - значит только ныть и и останется.

Но, ессно, если будешь использовать тор поверх сети опсоса, то никто ничего не докажет, однако опасаться всё равно стоит - наверняка ты станешь единственным умником в логах у опсоса, который именно в этот момен внезапно решил выйти в сеть и начать обмен пакетами с подозрительными айпишниками, да ещё мимо всяких DNS, напрямую.

Однако же, если есть возможность шуметь по-полной, то можно просто завернуть на локалхость noisy script https://github.com/1tayH/noisy - при грамотной настройке вычленить из общей каши что-то полезное будет довольно сложно.

Можешь упаковать этот скрипт в скомпилированный исполняемый файл, через конечный роутер с его SMTP отправить это себе с подменой адреса отправителя на адрес своего шефа, а в теле письма напористым тоном написать: «А ну живо запустил это, а то сокращу!!!» и т.п., тут уж сам соображай.

Как запустил исполняемый файл - так можешь обнаглеть насколько угодно, потом абсолютно всё можно будет списать на то, что ты дурачок. Отдрючат за нарушение ИБ, но ты легко съедешь, ибо не верблюд же по факту.

Но это всё красивые слова, становящиеся рабочими вариантами лишь тогда, когда ваш локальный админ либо законченный лентяй и размазня, либо не получал приказа вводить настоящее военное положение в конторе.

Потому как если получал, то уже забил куда надо нужные права доступа, выкрутил политики безопасности на максимум и оформил белый список - тут хоть в лепёшку разбейся, не прошёл адресок по белому списку и конец затее.

НО, сети не были бы сетями, если не состояли бы из дырок более, чем наполовину, образуя весьма примечательное решето.

И на данный момент у нас есть огромная такая, старая и сильно заржавевшая дыра в OSI, а имя ей - DNS.

Покуда он остаётся одновременно и голым нешифрованным трафиком, и основным(иногда единственным) способом разрешения имён - всегда можно будет прокинуть через него полноценную(но ОЧЕНЬ медленную) связь.

Никакие правила тут не помогут, ибо блокировать DNS вот так просто сегодня никто не станет.

Тут можно было бы расписать подробностей на много строчек, но сообщение уже и без этого большое, так что просто оставлю ссылки для ознакомления(да и сомневаюсь я, что у вас всё настолько жёстко зарегулировано):

https://github.com/yarrick/iodine https://github.com/iagox86/dnscat2 http://www.spy-soft.net/dns-tunneling/

SM5T001 ()

изи. Выдергиваешь сетевой кабель из компа, втыкаешь свисток, передаешь данные куда надо, выдергиваешь свисток, вставляешь кабель. Никто ничего не увидит. Недоступность компа в сети объяснишь шваброй уборщицы.

v9lij ★★★★★ ()