Защита домашней сети

Что посоветуете почитать по теме впн и защиты сетей?

Обширная тема, это отдельное направление в ВУЗе, так то) Смотря какая конфигурация сети и что за железо эту сеть держит. Базовое понимание работы TCP/IP и файервола, как минимум.

хочу ютуб смотреть с телефона в любой точке города

250р за VPS на базе убунты + openvpn, не благодари)

По сурикате и остальным упомянутым вопросам не подскажу.

да, верю) я снова сразбегу влетел в очередное интересное болото) железо предполагается i3 4130 памяти гигов 6-8. а по впс, да, знаю про это. но тут впн может и для облака пригодиться. есть желание по максимуму его задействовать.

1. облако это резервировании каналов связи, питания, вычислительных узлов и узлов хранения. Тазик с хренолоджи это не облако. Это тазик с хенолоджи, который шумит, сосет (и не только пыль) и в конце пути отправляется в страну вечной охоты со всеми данными, которые на нем хранились. Иногда выпуская при этом белый дым.

2. «отдельный тазик для каждой задачи» - в эпоху, когда VTx/VTd есть даже в ультрабюджетных селеронах - непонятно.

3. «криптоускоритель» в виде AES-NI есть в описанных выше ультрабюджетных селеронах моложе 10 лет.

4. в плане «защиты сетей» - нормально закрытый файервол вне конкуренции.

1. совсем все так плохо? вроде все же свой рейд там собирается.
2. ну, тут больше как развивающий момент) чтоб в случае аварии/необходимости откинуть запоротое звено цепи. а так да, проксмокс тоже хотел пощупать, но пока остановило, что надо нормальный проц, а не текущий захудалый i3. или вообще двухголовую сборку.
3. да, видел упоминание этой инструкции. но раз уж попала такая игрушка в руки, то и желание задействовать есть) да и характеристики вроде недурные (2.5 гигабита прожёвывает)
4. это что-то из стана циско/зюксель?

вроде все же свой рейд там собирается.

Raid is not a backup (c)

1 ) И как рейд спасает от отключения электричества? (или сдохшего БП) оборванного единственного аплинка? (или сдохшей сетевухи) Облако - оно про катастрофоустойчивость. а тазик - это тазик. Им можно пользоваться но нельзя называть его облаком, потому что от облака в нем - только немного белого дыма в БП.

2. откинуть запоротую виртуалку несравненно проще, чем физический тазик в лапшеподобной конфигурации без всяких пуппетов-терраформов.

3. скорость в 2.5гбпс - огонь огнище. при аплинке в целый гигабит (скорее меньше раз в 10) - особенно актуальна, да. Но ни ругать ни хвалить железку не могу. не пользовался.

4. это что-то из области INPUT DROP.

это что-то из стана циско/зюксель?

Необязательно. Раз речь идет о просто обучении и интересе (тем более есть отдельная тачка), могу посоветовать начать с Kerio Control и поиграться с ним. Более серьезный уровень - cisco/mikrotik.

1. ну, ибп есть) сетевухи в запасе тоже) а так да, про настоящие облачные сервисы согласен в плане устойчивости от всякого ахтунга.
2. а если помрет матуха? тут сразу все сервисы гибнут. палка о двух концах, вроде и удобно, а если что-то сдохнет, то все и разом.
3. домашний инет 100 мегабит))) прогресс до нашего райончика дойдет еще не скоро) да и тут момент разгрузки цп от работы шифрования был важен, чтобы камень своим занимался, а эта игрушка именно шифрованием
4. т.е определить для себя перечень входов с портами, а остальное в перманентный блок?

понял, спасибо, будем посмотреть. циксу 5505 на работе одолжил, никак руки не дойдут пощупать) так пока все с врт копаюсь

само собой)

Вообще чтобы не городить огород, согласен с комментатором выше - лучше все-таки виртуализация. Если железо позволяет, то стоит попробовать EVE-NG.

eve-ng

о, что-то новое) будем посмотреть)

5505 - это ASA а не циска. (сложная шутка, несмешная) И если уже есть ASA, то зачем нужен отдельный криптоускоритель? (который еще и мимо асы протащить надо, и смысла от асы с её файерволом становится исчезающе мало)

Ну и проводить эксперименты на стенде - правильнее, легче и безболезненнее, чем на живой домашней сети, когда отвалившееся что-то мешает пить пиво и смотреть сериальчик. (мультики и смузи, кофе и музыка, на выбор.)

Поэтому - забыть про сурикату, криптоакселератор, хренолоджи и асу. Оставить работающий провайдерский роутер и не чинить то, что не сломалось. рядом поставить ворованный esxi, старый Hyperv-V, новый проксмокс или просто линукс с либвиртом, и учиться, как работает сеть.

сиску потом вернуть надо) но может быть куплю потом свою. тут именно хочется пощупать всё и вся (типа попытка саморазвития и компенсация того, что не дали в универе в свое время)

тут именно хочется пощупать всё и вся

Драмкружок, кружок по фото, а мне еще и петь охота, И за кружок по рисованью тоже все голосовали.

Простите, не удержался.

момент разгрузки цп от работы шифрования был важен, чтобы камень своим занимался, а эта игрушка именно шифрованием

1. прочитать из памяти 8 байт, положить их в регистр, дернуть что-то из aes-ni, забрать 8 байт из регистра.

2. прочитать из памяти 8 байт, передать их в драйвер железки, который скопирует их в железку, которая положит их в регистр, дернет что-то из собственной реализации aes, отдаст это назад в драйвер, который передаст это в софт. Хорошо, если все эти «прочитать, забрать» будут по DMA, плохо, если будут в юзерспейсе, с десятками переключений контекста.

что-то мне подсказывает, что второй вариант не будет быстрее первого на консьюмерском елезе. (не учитывая, конечно, граничных случаев с оффлоадингом вообще всего на сетевуху)

Кстати, а там не надо случайно какие-то лицензии для неё покупать? модули и лицензии на эти модули? подписки? (тут в частности будет интересовать IDPS)

suricata просто складывает события в файл. Вручную ж ты не будешь просматривать его…

Есть готовое решение - SELKS. Ставится либо «вразрыв», тогда можно блокировать хосты подозрительные автоматом, либо отдельно, а трафик зеркалировать с порта роутера (его внутреннего коммутатора).

П.с. Т.к. внутри elasticsearch, то требует прилично RAM.

О, что-то новенькое и симпатичное) спасибо) Кстати, если в разрыв ставить, тогда и сетевки надо охлаждать наверное?

Вот это верное понимание.

Первое, тебе нужно скачать модуль сетевой защиты на основе ИИ, лучше всего подходит проект pirola. Грузишь, запускаешь, там включаешь переключател net sec done. И все работает.

с этого места поподробнее) по названию не смог найти)

Ты понимаешь, что хреноложи - одна большая дыра в безопасности?

Даже микротиковский роутерос безопасней: он хоть тоже целиком закрыт, но в отличии от сабжа безальтернативно не приколочен к копративным сервисам, без которых им пользоваться или неудобно или тупо невозможно.

Ну, как сказать, я её по приколу поставил вообще) да и на вид симпатичная игрушка) тогда на что смотреть лучше? freenas?

Резервирование это не только хорошо, надежно но и плохо и ненадежно.

Обсуждение вопросов надёжности и безопасности без внятной модели угроз бессмысленно и контрпродуктивно.

Любой раид может сдохнуть, но для этого есть резервное копирование

от вех не спасешься) тут просто домашнее «облако» для фоточек с телефона и прочего. лишь бы не хакнули и не пошифровали) а бесперебойник есть на случай шалостей электрики.