Возможна ли загрузка по сети через впн?

Скорей нет. Даже ipxe такому не научили. Да и сейчас uefi.

Но vpn до ядра не очень и нужен, https хватает. Перестраховщики же просто раздадут usb-токены с неизвлекаемым ключем и загрузочным разделом.

это должна быть слишком умная сетевая карта со своим процессором

Чисто теоретически такое возможно. Особенно если выкинуть pxe и взять UEFI сетевой стек.

Смотря как понимать. Для PXE код берется из прошивки, но исполняется на CPU, вроде. Хотя там ограничения, но а сейчас принято через uefi делать, а там хоть ikev2.

спасибо , попинаю uefi

мой внутренний параноик хочет оставить товарища майора без доказательной базы.
что бы по факту в деле фигурировал - «компьютер разобранный без жёсткого диска» - 1(одна) штука
что бы даже не спрашивали

я имел ввиду что имея компьютер без накопителей но с подключением к интернету загрузить систему с НЕ локального сервера , по шиырованному каналу.
UEFI HTTPS Boot вроде похож , надо почитать

ЮСБ токен может дать много лет тюрьмы при плохом раскладе , если не имеет встроенного пиропатрона.

ЮСБ токен может дать много лет тюрьмы при плохом раскладе

Разве? Их же вполне легально можно в магазинах купить.

Поставь ты впереди железку, которая имеет доступ по VPN и прокидывает L2 туда же. И можно будет грузиться. Ну, может, не совсем так, как ты хотел, но всё же.

Это можно сделать в виде EFI приложения, загружаемого с флешки.

В любом случае, VPN туннель должен быть на роутере, другой железки.

В теории можно, но DHCP надо все равно локальный настраивать, а уже в отдаваемом пейлоаде прописывать удаленные адреса. Или у тебя VPN в tap режиме, и DHCP на другой стороне живет?

Вообще PXE я плохо знаю, не довелось настраивать. А вот просто убутом по tftp/nfs грузануться никаких проблем, только шлюз прописать и IPшники.

Возможна ли загрузка по сети через впн?

Да, если ты впн поднимешь на маршрутизаторе к которому подключен хост с PXE. Кстати так проще всего и «кошернее».

Или у тебя VPN в tap режиме, и DHCP на другой стороне живет?

у меня еще никак.
я мамкин какер ..

Да, если ты впн поднимешь на маршрутизаторе к которому подключен хост с PXE

я понимаю , так уже можно сделать.

я хочу «вещь в себе» , когда перезагрузив компьютер с uefi и зайдя в биос , через пять минут буду иметь свою систему , со своей почтой и гидрой например.

а при перезапуске запускалась бы старая система.

помню раньше было можно нарушить настройки биоса написав пару байт в определенную область.

сейчас еще так можно?

мой внутренний параноик хочет оставить товарища майора без доказательной базы.

Подожди, ты вот это вот пишешь на ЛОР с собственной фоткой на аватарке.

Ты живешь в стране, в которой есть основания опасаться товарища майора. Пишешь на сервере, находящемся в той самой стране.

По-моему, ты или позер, или провокатор.

Одно не отменяет другого, все с этого начинали ;)

По-моему, ты или позер, или провокатор

две ошибки в ваших рассуждениях.
во первых , может я просто не умён , а не позёр или провокатор.
и я не собираюсь предпринимать никаких незаконных действий.

во вторых , с местом жительства тоже непорядок , или вы по правилу «город по умолчанию» предположили что я из Москвы?

по делу есть что сказать?

Страна по умолчанию, а не город.

По-делу — две юсб-флешки. На одной загрузчик и метаданные LUKS для другой флешки, зашифрованной полностью. Никакой сети.

с флешками да , можно по разному делать , спасибо.

Одного этого треда хватит для доказательной базы и экспертного вердикта. /thread

https://software.intel.com/en-us/blogs/2019/08/06/network-boot-in-a-zero-trus...

Ну да, намерение скрыть и уничтожить улики будет доказано, остальным могут и пренебречь.

Тут главное чтобы он ЛОР и ЛОРовчан за собой как помобников не потащил…

Потому осуждаем и призываем граждан соблюдать законы стран, где они проживают.

Описанного мало для сокрытия самого факта загрузки из «неположенного места».

Если задача — загрузить достоверный, проверенный payload в возможно злонамеренной сети, то достаточно и цифровой подписи. Если нельзя, чтобы видели, какие байтики по сети летят, можно и зашифровать.

Но товарищ майор и так будет видеть, что пакеты ходили в сеть, признанную экстремисткой приговором какого-нибудь нижнезадрищенского районного суда. Так что в ситуации с тоталитарным государством, преследующих граждан за мыслепреступления, это тупо не канает.

От товарищей майоров используется обмен информацией через оставленные в дуплах деревьев шифрованные флешки, стеганография в фотках котиков и прочая. Сокрыть целую систему или компьютер не получится, кроме того, товарищ майор увидит, что ты сокрываешь улики, после чего просто запытает тебя или подложит тебе наркотики.

Потому осуждаем и призываем граждан соблюдать законы стран, где они проживают

вснепременно , я же просто интересовался подробностями UEFI 2.5 технологии.

я же даже более , интересуюсь с целью улучшения компьютерной безопасности .

можно весь офис сделать без дисков , все на сервере с резервным копированием.

обмен информацией через оставленные в дуплах деревьев шифрованные флешки

есть сайт с замурованными в стенах флешками.
https://en.m.wikipedia.org/wiki/USB_dead_drop

в возможно злонамеренной сети

zero trust network boot

выше ссылку положил.
там говорят что надо шифровать.

шифрованное соединение к безимянному VPS может и остаться незамеченным.

а компьютер скрывать не надо , надо просто не оставить никаких следов на нем.

при включении системы пишешь немного мусора в настройки биоса , сторожевой пес который следит что есть зашифрованное соединение с сервером , при обрыве перезагружает компьютер.
и по комбинации клавишь ...
при загрузке комп пишет ошибка контрольной суммы , загруженны значения по умолчанию , и загружается виндовс ХР с одноклосниками и вирусами.

начиная с uefi 2.5 умеет https boot
спасибо , вроде нашёлся ответ.

я хочу «вещь в себе»

сейчас еще так можно?

Используй для этого: - iPXE

iPXE is the leading open source network boot firmware. It provides a full PXE implementation enhanced with additional features such as:

• boot from a web server via HTTP
• boot from an iSCSI SAN
• boot from a Fibre Channel SAN via FCoE
• boot from an AoE SAN
• boot from a wireless network
• boot from a wide-area network
• boot from an Infiniband network
• control the boot process with a script

Сокрыть целую систему или компьютер не получится, кроме того, товарищ майор увидит, что ты сокрываешь улики

Как 12 лет отработавший в ISP, скажу так, что самое простое что делают по «просьбе органов, это зеркалирование трафика на канальном оборудовании оператора, лично сам делал такой „дропер“ трафика для органов. „Потциент“ даже и не в курсе что весь его трафик зазрекалирован и дампится.

Так что стеганография или флешки в дуплах хороший вариант, хуже конечно чем юзать инет в общественных местах.

„Потциент“ даже и не в курсе что весь его трафик зазрекалирован и дампится.

шифрованный трафик же для этого и существует , нет?
или ключ тоже зазеркалится?

Используй для этого: - iPXE

Ок , спасибо , но это значит перепрошивать сетевую карту.

для бездиского офиса можно заморочится ,

это значит перепрошивать сетевую карту

Есть сетевые с возможностью установки на них микросхему, попадались такие с DIP панелью, как раз именно для сетевой загрузки, модель сейчас уже не вспомню.

шифрованный трафик же для этого и существует , нет?

Приходил «запрос» ( в виде телефонного звонка тех.директору) из соответствующего отдела в органах, и передавали контактный номер. Далее я звонил контакту, и он мне присылал письмо с айпишником «жертвы» и адресом фтп органов. Делали полный дамп трафика, далее сливали его на указанный фтп, что они там с ним делали дальше я не в курсе, иногда писылали маску, типа дамп по такой маске ( в основном на почту), сдампленную почту в архив, архив на фтп. Меньше всего с ними хотелось общаться.

я имел в виду что даже имея мой трафик , что бы его расшифровать же нужны ключи , их закрытая часть.

поправьте меня если я не правильно понимаю.

от меня к серверу трафик шифруется открытым ключом сервера.
от сервера ко мне моим открытым ключом.

перехват же ничего не даст ...

пойду почитаю про криптографию

перехват же ничего не даст ...

Шифрованный трафик - это уже как минимум повод чтобы придти к вам с постановлением об обыске с последующим изъятием всех носителей с вашими же ключами. Дальше все расшифровать имея на руках оба ключа - не проблема.

и так , завершив полный круг мы приходим к zero trust network boot

при котором обыск ничего не даст , комп выключается при открытии входной двери

при котором обыск ничего не даст

сорян не хочу вступать в полемику, мне не интересна эта тема, описал то что было.