Ma gandeam io zilele trecute cum faci sa nu se mai uite toti taranii in traficul tau si mi-a venit in cap o idee de business. Da cum n-am bani, o s-o zic aci, poate citeste careva si face un ban cinstit.<\/p>\n
Eu ma asteptam ca se uita unii si altii in ce mai face lumea pe internet, dar nu ma asteptam sa se uite chiar in tot. Si asta ma enerveaza, nu c’ar fi secret ce scriu pe facebook sau pe blog, da mi se pare de cacat sa fiu spionat non-stop.<\/p>\n
Si io ca io, ca astia de spioneaza ciordesc informatiile care li se pare utile si le dau la ai lor sa le foloseasca in scopuri comerciale. Contracte, mailuri confidentiale si alte cele.<\/p>\n
Super planul: oferirea unui serviciu de VPN de tip Hub & Spoke intre companii. Deja exista implementata treaba asta in companii (in alea cu multe branch-uri), acum nu trebuie decat facuta intre companii.<\/p>\n
Cum functioneaza treaba: un 3rd party face tunele IPSec cu cei interesati de securitate. Tunelul este doar intre gateway-uri. peste acest tunel “point-to-point” se baga GRE si peste GRE faci un mic OSPF\/BGP in care clientul isi anunta ce e ar trebui protejat la el (sa zicem subnetul definit ca DMZ ca ala de obicei are adrese IP publice).<\/p>\n
Un al doilea client face acelasi lucru, al treilea la fel si tot asa. Si primesc inapoi de la fiecare ce prefixe trebuie rutate peste VPN.<\/p>\n
Daca ajungi la o masa critica, atunci pentru business, internetul nu este decat o teava opaca pentru taranii care vor sa se uite in trafic dupa informatii pe care sa le poata folosi in scopuri nu tocmai utile sau legale.<\/p>\n
Avantajul la un setup din asta e ca si daca una din companiile care participa in acest super Hub & Spoke e una sub acoperire a unei agentii de spionaj e degeaba, ca tot ce primeste sunt niste prefixe, nimic mai mult, nu poate trimite trafic aiurea sau sa primeasca trafic care nu trebuie.<\/p>\n
Dezavantajul tehnic la jucaria asta e ca o sa ai foarte multe prefixe in tabela de rutare.<\/p>\n
In toata ideea asta exista doua challenge-uri non-tehnice:<\/p>\n
Tunelele sunt create cu certificate digitale, iar 3rd party pune la dispozitia clientilor o autoritate de certificare cu care doar semneaza CSR-urile, astfel incat sa nu existe suspiciune ca poate folosi in vreun fel cheile private pentru alt ceva. Si evident PFS activat la IPSec.<\/p>\n
Singura premisa e ca NSA sau alta agentie de spionaj n-a gasit cum sa decripteze AES.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ma gandeam io zilele trecute cum faci sa nu se mai uite toti taranii in traficul tau si mi-a venit in cap o idee de business. Da cum n-am bani, o s-o zic aci, poate citeste careva si face un ban cinstit. Eu ma asteptam ca se uita unii si altii in ce mai face … Continue reading anti snooping<\/span>