GNU/Linux >> Linux Esercitazione >  >> Linux

Implementazione dell'air-gap per l'uso del personal computer

Mi concentrerò solo su alcuni problemi con il tuo approccio:

  • Il sistema non sicuro scrive il CD e quindi può manomettere sia i dati sul CD che il formato del CD, ovvero il file system.
  • Questo CD viene quindi letto dal sistema sicuro (air-gap) e montato lì. Il montaggio viene eseguito all'interno del kernel (ovvero l'accesso a livello di sistema) e in passato c'erano dei bug in quest'area.
  • Non importa se esiste un malware esistente che dirotta questo processo. Con la tua configurazione miri maggiormente all'area della difesa da attacchi mirati e lì conta solo se tale malware potrebbe essere sviluppato. E penso che questo non dovrebbe essere troppo difficile.

Inoltre, mentre si crittografa la posta in uscita sulla macchina con air gap, è necessario decrittografare la posta in arrivo sulle macchine non sicure, perché altrimenti non è possibile trasformarle in testo normale come si desidera. Ciò significa che le informazioni decrittografate e probabilmente sensibili sono disponibili sulla macchina non sicura. Se invece trasferisci le e-mail in arrivo crittografate alla macchina con air-gap, devi occuparti degli allegati (possibili dannosi) lì.

E, mentre i consigli sui prodotti sono fuori tema (ma li hai richiesti):non consiglierei alcuna distribuzione Linux generica. Vai almeno per qualcosa di rafforzato con Grsecurity o vai semplicemente con OpenBSD. Sono più focalizzati sulla sicurezza in base alla progettazione e sulla sicurezza in profondità rispetto a Linux.


Puoi usare amodem ( https://github.com/romanz/amodem ) al posto del supporto write-once. È abbastanza veloce su cavo audio schermato. Funziona anche su RF, ma non è il tuo bisogno. Invia solo dal computer di gate e ricevi solo sul computer con gap. Se necessario, cambia questa impostazione.

Evita i formati di file che possono essere cattivi (la maggior parte dei file multimediali) e usa solo archivi per i quali hai firme GPG/PGP valide sul computer con gap. Non eseguire amodem come utente privilegiato, eseguilo solo come utente creato appositamente per quel programma.

Amodem stesso è gestibile da compilare con alcuni trucchi di rafforzamento (non sono un esperto), ma almeno statico, PIE e aggiungi un po 'di controllo grsec/PaX e apparmor. Se davvero serio, inseriscilo in un chroot con solo i dispositivi assolutamente necessari in /dev. Nell'operazione simplex, non può far trapelare dati al computer di invio.


C'è un grosso difetto nel tuo sistema:la sicurezza fisica. La tua macchina a vuoto d'aria è sicura solo finché la tieni d'occhio. Se MAI lo lasci da solo, qualcuno può entrare, installare quello che vuole e andarsene di nuovo senza che tu ne sia più saggio. Le macchine con gap d'aria nelle agenzie di zuppa alfabetica sono sotto costante sorveglianza. La cosa migliore che potresti fare è MAI far sapere a nessuno che avevi un computer air-gap che hai già detto a tutto il mondo... scusa amico, per te è già finita...


Linux
  1. Come utilizzo Ansible e anacron per l'automazione

  2. Usa anacron per un crontab migliore

  3. 13 domande per un architetto quantistico

  4. Linux:esistono delle GUI per Linux che non utilizzano X11?

  5. Esiste un'alternativa per JTS TestBuilder su Linux?

Usa WPScan per scansionare WordPress alla ricerca di vulnerabilità su Kali

Come utilizzare Avidemux per l'editing video

Sei casi d'uso pratici per Nmap

Esiste un client OneDrive per Linux?

MX Linux 17 Una distribuzione Linux facile da usare per i noob

Interfaccia a nastro per GTK e Qt