Ringkesan Mingguan Sedheng #5 (9 – 16 Agustus 2019)

Kita krungu tembung "keamanan nasional" sawayah-wayah, nanging nalika pamrentah wiwit ngawasi komunikasi kita, ngrekam tanpa anggepan sing bisa dipercaya, basis hukum lan tanpa tujuan sing jelas, kita kudu takon dhewe: apa dheweke pancen nglindhungi keamanan nasional utawa apa padha nglindhungi dhewe?

- Edward Snowden

Digest iki dimaksudaké kanggo nambah kapentingan Komunitas ing masalah privasi, kang, ing cahya saka acara paling anyar dadi luwih relevan tinimbang sadurunge.

Ing agenda:

       Penggemar saka komunitas panyedhiya Internet sing didesentralisasi "Medium" nggawe mesin telusur dhewe
       Medium wis nggawe wewenang sertifikasi anyar, Medium Global Root CA. Sapa sing bakal kena pengaruh owah-owahan kasebut?
       Sertifikat keamanan kanggo saben omah - carane nggawe layanan sampeyan dhewe ing jaringan Yggdrasil lan ngetokake sertifikat SSL sing bener

Elinga - apa "Medium"?

Sedheng (eng. Sedheng - "perantara", slogan asli - Aja takon privasi sampeyan. Njupuk maneh; uga ing basa Inggris tembung medium tegese "penengah") - panyedhiya Internet desentralisasi Rusia sing nyedhiyakake layanan akses jaringan Bird gratis.

Jeneng lengkap: Medium Internet Service Provider. Kaping pisanan proyek iki disusun minangka Jaringan mesh в Kab.Kolomna Kab.

Dibentuk ing April 2019 minangka bagean saka nggawe lingkungan telekomunikasi mandiri kanthi menehi akses menyang pangguna pungkasan menyang sumber daya jaringan Yggdrasil liwat nggunakake teknologi transmisi data nirkabel Wi-Fi.

Informasi liyane babagan topik: "Kabeh sing sampeyan pengin ngerti babagan Medium panyedhiya Internet terdesentralisasi, nanging wedi takon"

Penggemar saka komunitas panyedhiya Internet sing didesentralisasi "Medium" nggawe mesin telusur dhewe

Asli online Bird, sing digunakake panyedhiya layanan Internet desentralisasi Medium minangka transportasi, ora duwe server DNS dhewe utawa infrastruktur kunci umum - Nanging, perlu kanggo ngetokake sertifikat keamanan kanggo layanan jaringan Medium ngrampungake loro masalah kasebut.

Napa sampeyan butuh PKI yen Yggdrasil metu saka kothak menehi kemampuan kanggo encrypt lalu lintas antarane kanca-kanca?Ora perlu nggunakake HTTPS kanggo nyambung menyang layanan web ing jaringan Yggdrasil yen sampeyan nyambungake liwat router jaringan Yggdrasil sing mlaku sacara lokal.

Pancen: transportasi Yggdrasil padha protokol ngidini sampeyan nggunakake sumber daya kanthi aman ing jaringan Yggdrasil - kemampuan kanggo nindakake serangan MITM rampung tilar.

Kahanan kasebut owah banget yen sampeyan ngakses sumber daya intranet Yggdarsil ora langsung, nanging liwat simpul perantara - titik akses jaringan Medium, sing dikelola dening operator.

Ing kasus iki, sapa sing bisa kompromi data sing dikirim:

1. Operator titik akses. Cetha yen operator saiki titik akses jaringan Medium bisa nguping lalu lintas sing ora dienkripsi sing ngliwati peralatan kasebut.
2. penyusup (wong ing tengah). Sedheng duwe masalah sing padha Masalah jaringan Tor, mung gegayutan karo input lan node penengah.

Iki kaya apa

kaputusan: kanggo ngakses layanan web ing jaringan Yggdrasil, gunakake protokol HTTPS (level 7 model OSI). Masalahe yaiku ora bisa ngetokake sertifikat keamanan asli kanggo layanan jaringan Yggdrasil liwat cara normal kayata Ayo Encrypt.

Mula, kita nggawe pusat sertifikasi dhewe - "Medium Global Root CA". Sebagéyan gedhé layanan ing jaringan Sedheng ditandatangani dening sertifikat keamanan ROOT saka wewenang sertifikasi penengah Medium Domain Validation Secure Server CA.

Kemungkinan kompromi sertifikat ROOT saka panguwasa sertifikasi, mesthi, dianggep - nanging ing kene sertifikat luwih perlu kanggo konfirmasi integritas transmisi data lan ngilangi kemungkinan serangan MITM.

Layanan jaringan medium saka operator sing beda-beda duwe sertifikat keamanan sing beda-beda, kanthi cara siji utawa liyane sing ditandatangani dening otoritas sertifikasi root. Nanging, operator ROOT CA ora bisa nguping babagan lalu lintas sing dienkripsi saka layanan sing wis ditandatangani sertifikat keamanan (pirsani "Apa CSR?").

Wong-wong sing kuwatir babagan safety bisa nggunakake sarana minangka perlindungan tambahan, kayata PGP и padha.

Saiki, infrastruktur kunci umum saka jaringan Medium nduweni kemampuan kanggo mriksa status sertifikat nggunakake protokol kasebut OCSP utawa liwat nggunakake C.R.L..

Njaluk menyang titik

Pangguna @NXShock wiwit ngembangake mesin telusur kanggo layanan web sing ana ing jaringan Yggdrasil. Aspek penting yaiku kasunyatan manawa penentuan alamat IPv6 layanan nalika nindakake telusuran ditindakake kanthi ngirim panjaluk menyang server DNS sing ana ing jaringan Medium.

TLD utama yaiku .ygg. Umume jeneng domain duwe TLD iki, kanthi rong pangecualian: .isp и .gg.

Mesin telusuran lagi dikembangake, nanging panggunaane wis bisa ditindakake saiki - mung ngunjungi situs web search.medium.isp.

Sampeyan bisa mbantu pangembangan proyek, kanthi nggabungake pembangunan ing GitHub.

Medium wis nggawe wewenang sertifikasi anyar, Medium Global Root CA. Sapa sing bakal kena pengaruh owah-owahan kasebut?

Wingi, tes umum babagan fungsi pusat sertifikasi Medium Root CA rampung. Ing pungkasan tes, kesalahan ing operasi layanan infrastruktur kunci umum didandani lan sertifikat root anyar saka otoritas sertifikasi "Medium Global Root CA" digawe.

Kabeh nuansa lan fitur PKI dianggep - saiki sertifikat CA anyar "Medium Global Root CA" bakal ditanggepi mung sepuluh taun sabanjure (sawise tanggal kadaluwarsa). Saiki sertifikat keamanan ditanggepi mung dening panguwasa sertifikasi penengah - contone, "Medium Domain Validation Secure Server CA".

Kaya apa rantai kepercayaan sertifikat saiki?



Apa sing kudu ditindakake supaya kabeh bisa digunakake yen sampeyan pangguna:

Amarga sawetara layanan nggunakake HSTS, sadurunge nggunakake sumber daya jaringan Medium, sampeyan kudu mbusak data saka sumber daya intranet Medium. Sampeyan bisa nindakake iki ing tab Riwayat browser sampeyan.

Iku uga perlu nginstal sertifikat anyar pusat sertifikasi "Medium Global Root CA".

Apa sing kudu ditindakake supaya kabeh bisa digunakake yen sampeyan dadi operator sistem:

Sampeyan kudu nerbitake maneh sertifikat kanggo layanan sampeyan ing kaca kasebut pki.medium.isp (layanan mung kasedhiya ing jaringan Sedheng).

Sertifikat keamanan kanggo saben omah - carane nggawe layanan sampeyan dhewe ing jaringan Yggdrasil lan ngetokake sertifikat SSL sing bener

Amarga tuwuhing jumlah layanan intranet ing jaringan Sedheng, perlu kanggo ngetokake sertifikat keamanan anyar lan ngatur layanan supaya padha ndhukung SSL wis tambah.

Wiwit Habr minangka sumber teknis, ing saben pencernaan anyar, salah sawijining item agenda bakal mbukak fitur teknis infrastruktur jaringan Medium. Contone, ing ngisor iki ana instruksi lengkap kanggo nerbitake sertifikat SSL kanggo layanan sampeyan.

Conto bakal nuduhake jeneng domain domain.ygg, sing kudu diganti karo jeneng domain layanan sampeyan.

Langkah 1. Nggawe kunci pribadi lan parameter Diffie-Hellman

openssl genrsa -out domain.ygg.key 2048

Banjur:

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Langkah 2. Nggawe panjalukan teken sertifikat

openssl req -new -key domain.ygg.key -out domain.ygg.csr -config domain.ygg.conf

Isi file domain.ygg.conf:

[ req ]
default_bits                = 2048
distinguished_name          = req_distinguished_name
x509_extensions             = v3_req

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = RU
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Moscow Oblast
localityName                = Locality Name (eg, city)
localityName_default        = Kolomna
organizationName            = Organization Name (eg, company)
organizationName_default    = ACME, Inc.
commonName                  = Common Name (eg, YOUR name)
commonName_max              = 64
commonName_default          = *.domain.ygg

[ v3_req ]
subjectKeyIdentifier        = hash
keyUsage                    = critical, digitalSignature, keyEncipherment
extendedKeyUsage            = serverAuth
basicConstraints            = CA:FALSE
nsCertType                  = server
authorityKeyIdentifier      = keyid,issuer:always
crlDistributionPoints       = URI:http://crl.medium.isp/Medium_Global_Root_CA.crl
authorityInfoAccess         = OCSP;URI:http://ocsp.medium.isp

Langkah 3. Kirim panjalukan sertifikat

Kanggo nindakake iki, nyalin isi file kasebut domain.ygg.csr lan paste menyang kolom teks ing situs pki.medium.isp.

Tindakake pandhuan sing kasedhiya ing situs web, banjur klik "Kirim". Yen sukses, pesen bakal dikirim menyang alamat email sing sampeyan nemtokake ngemot lampiran ing wangun sertifikat sing ditandatangani dening panguwasa sertifikasi penengah.

Langkah 4. Setel server web sampeyan

Yen sampeyan nggunakake nginx minangka server web, gunakake konfigurasi ing ngisor iki:

berkas domain.ygg.conf ing direktori /etc/nginx/sites-available/

server {
    listen [::]:80;
    listen [::]:443 ssl;

    root /var/www/domain.ygg;
    index index.php index.html index.htm index.nginx-debian.html;

    server_name domain.ygg;

    include snippets/domain.ygg.conf;
    include snippets/ssl-params.conf;

    location = /favicon.ico { log_not_found off; access_log off; }
    location = /robots.txt { log_not_found off; access_log off; allow all; }
    location ~* .(css|gif|ico|jpeg|jpg|js|png)$ {
        expires max;
        log_not_found off;
    }

    location / {
        try_files $uri $uri/ /index.php$is_args$args;
    }

    location ~ .php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php7.0-fpm.sock;
    }

    location ~ /.ht {
        deny all;
    }
}

berkas ssl-params.conf ing direktori /etc/nginx/snippets/

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

add_header Strict-Transport-Security "max-age=15552000; preload";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;

ssl_dhparam /etc/ssl/certs/dhparam.pem;

berkas domain.ygg.conf ing direktori /etc/nginx/snippets/

ssl_certificate /etc/ssl/certs/domain.ygg.crt;
ssl_certificate_key /etc/ssl/private/domain.ygg.key;

Sertifikat sing ditampa liwat email kudu disalin menyang: /etc/ssl/certs/domain.ygg.crt. Kunci pribadi (domain.ygg.key) selehake ing direktori /etc/ssl/pribadi/.

Langkah 5. Wiwiti maneh server web sampeyan

sudo service nginx restart

Internet gratis ing Rusia diwiwiti karo sampeyan

Sampeyan bisa nyedhiyani kabeh pitulungan bisa kanggo panyiapan saka Internet gratis ing Rusia saiki. Kita wis nyusun dhaptar lengkap babagan carane sampeyan bisa mbantu jaringan:

• Marang kanca lan kolega babagan jaringan Medium. Nuduhake referensi menyang artikel iki ing jaringan sosial utawa blog pribadi
• Melu diskusi babagan masalah teknis ing jaringan Medium ing GitHub
• Gawe layanan web sampeyan ing jaringan Yggdrasil lan tambahake menyang DNS saka jaringan Medium
• Angkat sampeyan jalur akses menyang jaringan Medium

Rilis sadurunge:

   Ringkesan Mingguan Sedheng #1 (12 – 19 Jul 2019)
   Ringkesan Mingguan Sedheng #2 (19 – 26 Jul 2019)
   Intisari Mingguan Sedheng #3 (26 Jul - 2 Agustus 2019)
   Ringkesan Mingguan Sedheng #4 (2 – 9 Agustus 2019)

Maca uga:

Kabeh sing pengin ngerti babagan panyedhiya Internet sing didesentralisasi Medium, nanging wedi takon
Mas, kita mateni Internet
Panyedhiya Internet desentralisasi "Medium" - telung sasi sabanjure

Kita ana ing Telegram: @medium_isp

Mung pangguna pangguna sing bisa melu survey. mlebunggih.

Voting alternatif: penting kanggo kita ngerti pendapat saka wong-wong sing ora duwe akun lengkap ing Habré

• ↑

• ↓

7 pangguna milih. 2 pangguna abstain.

Source: www.habr.com