Ma gandeam io zilele trecute cum faci sa nu se mai uite toti taranii in traficul tau si mi-a venit in cap o idee de business. Da cum n-am bani, o s-o zic aci, poate citeste careva si face un ban cinstit.
Eu ma asteptam ca se uita unii si altii in ce mai face lumea pe internet, dar nu ma asteptam sa se uite chiar in tot. Si asta ma enerveaza, nu c’ar fi secret ce scriu pe facebook sau pe blog, da mi se pare de cacat sa fiu spionat non-stop.
Si io ca io, ca astia de spioneaza ciordesc informatiile care li se pare utile si le dau la ai lor sa le foloseasca in scopuri comerciale. Contracte, mailuri confidentiale si alte cele.
Super planul: oferirea unui serviciu de VPN de tip Hub & Spoke intre companii. Deja exista implementata treaba asta in companii (in alea cu multe branch-uri), acum nu trebuie decat facuta intre companii.
Cum functioneaza treaba: un 3rd party face tunele IPSec cu cei interesati de securitate. Tunelul este doar intre gateway-uri. peste acest tunel “point-to-point” se baga GRE si peste GRE faci un mic OSPF/BGP in care clientul isi anunta ce e ar trebui protejat la el (sa zicem subnetul definit ca DMZ ca ala de obicei are adrese IP publice).
Un al doilea client face acelasi lucru, al treilea la fel si tot asa. Si primesc inapoi de la fiecare ce prefixe trebuie rutate peste VPN.
Daca ajungi la o masa critica, atunci pentru business, internetul nu este decat o teava opaca pentru taranii care vor sa se uite in trafic dupa informatii pe care sa le poata folosi in scopuri nu tocmai utile sau legale.
Avantajul la un setup din asta e ca si daca una din companiile care participa in acest super Hub & Spoke e una sub acoperire a unei agentii de spionaj e degeaba, ca tot ce primeste sunt niste prefixe, nimic mai mult, nu poate trimite trafic aiurea sau sa primeasca trafic care nu trebuie.
Dezavantajul tehnic la jucaria asta e ca o sa ai foarte multe prefixe in tabela de rutare.
In toata ideea asta exista doua challenge-uri non-tehnice:
- toata lumea trebuie sa aiba incredere in acel 3rd party care are hub-ul (sau hub-urile)
- hub-ul (hub-urile) trebuie sa fie intr-o tara care nu e prietena cu spionajul asta la tot traficul astfel incat sa nu te trezesti cu mandat ca “suge-o, fa-ne mirror la ce trece prin hub ca asa vrea pula lu unchiu sam sau a reginei sau a lu’ mos craciun”
Tunelele sunt create cu certificate digitale, iar 3rd party pune la dispozitia clientilor o autoritate de certificare cu care doar semneaza CSR-urile, astfel incat sa nu existe suspiciune ca poate folosi in vreun fel cheile private pentru alt ceva. Si evident PFS activat la IPSec.
Singura premisa e ca NSA sau alta agentie de spionaj n-a gasit cum sa decripteze AES.
Obligatory XKCD:
http://xkcd.com/538/
Real solution:
http://tools.ietf.org/html/rfc6434#section-11
Just disregard this paragraph:
” Previously, IPv6 mandated implementation of IPsec and recommended the
key management approach of IKE. This document updates that
recommendation by making support of the IPsec Architecture [RFC4301]
a SHOULD for all IPv6 nodes. ”
IOW: s/SHOULD/MUST/
Buba cu end-to-end encryption e cum faci key management intr-un mod facil. Suport pentru Opportunistic Encryption am vazut doar in FreeS/WAN.
Plus inca sunt foarte multi oameni care sunt mai speriati de IPv6 decat de NSA.
AES sigu e decriptabil, ca altfel nu ar fi un protocol “impus” de americani. E un protocol cunoscut deci decriptabil in timp scurt
Adica ca Tor, cu diferenta ca toti membrii retelei sa fie persoane de incredere, nu? :) (fsvo “trust”).
Ca TOR in sensul de criptare, nu ar fi o problema daca nu sunt de incredere ca nu ajunge tot traficul la toti si nici nu tratezi in mod special traficul venit pe VPN fata de ala normal de “Internet”.
Interesanta ideea, dar cred ca ai nevoie de ceva banuti pentru a face asta