Jak ukryć / zanonimizować / obronić komputer w wrogich sieciach?

11

Łączę się z wieloma otwartymi sieciami. Jestem dość ostrożny w stosunku do domu VPN dla wszystkiego, co ważne, ale to nie jest tak naprawdę moje zamieszanie. Laptop obsługuje kilka usług (nfs, dev dev server, samba, avahi).

Nie tylko nie chcę, żeby ludzie w otwartych sieciach łączyli się z tymi usługami, niektórzy z nich (samba i avahi) są wyjątkowo zdzirani i reklamują się wszędzie na innych komputerach.

Nie chcę też, aby nazwa mojego komputera była dostępna w miejscach publicznych. Już zmieniam losowe adresy MAC, aby właściciele hotspotów nie mogli codziennie śledzić, dokąd zmierzam. Tak, czasami jestem dość paranoikiem.

Czy jest jakiś sposób, aby powstrzymać komunikację tych usług (w obie strony) w dowolnej sieci, która nie jest w domu?

Oli
źródło

Odpowiedzi:

7

To brzmi jak praca na dramatyczną przerwę , Iptables!

Możesz upuszczać pakiety dla tych usług, używając łańcucha OUTPUT, i możesz użyć łańcucha INPUT, aby zablokować ludziom komunikację z tymi usługami, jednocześnie pozwalając sobie na komunikację z nimi (np. Poprzez adres zwrotny).

Istnieje wiele stron z instrukcjami i dokumentacją na temat konfigurowania Iptables, więc nie będę tutaj wchodził w szczegółowe informacje.

Jeff Welling
źródło
6

Jestem prawie pewien, że hotspoty Wi-Fi uzyskują nazwę hosta za pośrednictwem klienta DHCP komputera, który znajduje się dhclientw systemie Linux.

Myślę, że dzięki odpowiednim sendopcjom dhclient.confLinux może powiedzieć serwerowi DHCP punktu dostępowego Wi-Fi o dowolnej nazwie hosta.

Jednak napisanie krótkiego skryptu, aby wybrać losową nazwę z pliku, a następnie wykonać hostnamepolecenie może być łatwiejsze. Jeśli to zrobisz, przeszukałem sieć w poszukiwaniu dobrej listy domyślnych nazw hostów i wybrałem stamtąd. Nazwa hosta w dziennikach DHCP hotspotu Wi-Fi, która wygląda jak „FJkhKDFJGH $ K% ^ FH ^ KJDFHKHDFKJHDF” będzie wyróżniać się wśród wszystkich nazw hostów „Marlene-PC” i „My_Laptop”.

Również wybierając losowe adresy MAC, spróbuj wybrać z puli rzeczywistych urządzeń, które pojawiają się w laptopach. Nie ustawiaj adresu MAC na czysto losowy adres MAC lub adres routera Cisco lub czegoś oczywiście fałszywego. To jeszcze bardziej przyczyni się do twojej ciemności.

@Jeff Welling ma rację iptables. Nie jest trudno stworzyć kilka reguł łańcuchowych INPUT, które opuszczają cały ruch przychodzący, chyba że IP twojego interfejsu przychodzącego to IP twojego połączenia domowego lub w określonym przez ciebie zakresie (użyj whoisna własnym IP, aby uzyskać podsieć twojego ISP).

LawrenceC
źródło