- 27
- 2
- 6 Май 2020
Доброго времени суток. В этой части поговорим про трафик, генерируемый различными приложениями, основными из них браузер и мессенджер. Мой метод основан на том, что необходимо экранировать трафик друг от друга. Много кто сидит в соц. сетях, ютубе, торрент трекерах и тд. Необходимо разделить этот трафик. Каждый браузер должен быть на отдельной ВМ с жесткими правилами. К примеру, я сижу в вк, и у меня правила в proxifier прописаны только для вк
Для ютуба похожие правила
Нужно понимать, что не все запросы нужны для приложения. Некоторые из них для рекламы, обновления и телеметрии. К примеру, для вайбера нужно заблокировать такие запросы в proxifier как:
*.update.viber.com; *.ads.viber.com; *.market.viber.com.
Что мы имеем в итоге? Посещение сайтов, которые запущенные на разных машинах и имеют разные ip. Не секрет, что сайты введут логи, и в каждом логе вы будете под другой личностью. Нужно не иметь точек соприкосновения между сайтами. Это также защитит другие ВМ, если одна из них будет скомпрометирована злоумышленником.
Теперь поговорим по поводу торрентов. Торренты не следует гонять на трафике тор, это не рекомендуют делать разработчики, так как это засоряет сеть. Их можно перенаправлять на впн, однако, нечего страшного если он пойдет через ваш реальный ip. У торрента есть два вида трафика, один из них идет на трекер, для технической информации, а другой для скачивания непосредственно файлов. И именно второй трафик нужно посылать через реальный ip. Как это сделать?
В target host написаны адреса трекеров, с которых вы качаете. Их и нужно пробрасывать через виртуальные роутеры. Остальной трафик торрента делаем напрямую
Под ip адресом 192.168.9.1 находится шлюз для торрентов, он аналогичен шлюзу ext. Он также подключается к модему провайдера и имеет немного отличительные настройки файервола.
В первой части я писал, что хост (гипервизор) не должен иметь доступа не к одной сети. Ну это в идеале. В противном случае есть вероятность того, что хост может быть скомпрометирован (к примеру, вам нужно где-то хранить скачанные торренты, в таком случае у ВМ должен быть доступ к шаре на хосте). Также можно хранить торренты в виртуальной машине.
Для ютуба похожие правила
Нужно понимать, что не все запросы нужны для приложения. Некоторые из них для рекламы, обновления и телеметрии. К примеру, для вайбера нужно заблокировать такие запросы в proxifier как:
*.update.viber.com; *.ads.viber.com; *.market.viber.com.
Что мы имеем в итоге? Посещение сайтов, которые запущенные на разных машинах и имеют разные ip. Не секрет, что сайты введут логи, и в каждом логе вы будете под другой личностью. Нужно не иметь точек соприкосновения между сайтами. Это также защитит другие ВМ, если одна из них будет скомпрометирована злоумышленником.
Теперь поговорим по поводу торрентов. Торренты не следует гонять на трафике тор, это не рекомендуют делать разработчики, так как это засоряет сеть. Их можно перенаправлять на впн, однако, нечего страшного если он пойдет через ваш реальный ip. У торрента есть два вида трафика, один из них идет на трекер, для технической информации, а другой для скачивания непосредственно файлов. И именно второй трафик нужно посылать через реальный ip. Как это сделать?
В target host написаны адреса трекеров, с которых вы качаете. Их и нужно пробрасывать через виртуальные роутеры. Остальной трафик торрента делаем напрямую
Под ip адресом 192.168.9.1 находится шлюз для торрентов, он аналогичен шлюзу ext. Он также подключается к модему провайдера и имеет немного отличительные настройки файервола.
В первой части я писал, что хост (гипервизор) не должен иметь доступа не к одной сети. Ну это в идеале. В противном случае есть вероятность того, что хост может быть скомпрометирован (к примеру, вам нужно где-то хранить скачанные торренты, в таком случае у ВМ должен быть доступ к шаре на хосте). Также можно хранить торренты в виртуальной машине.
vk.com/id58924119
Последнее редактирование:
