Vous ne spécifiez pas si vous devez vous connecter via l'ordinateur de quelqu'un car vous:
- Vous avez besoin de son système d'exploitation / logiciel, par exemple vous configurez / réparez l'ordinateur de quelqu'un et vous devez récupérer des données sur votre serveur privé.
- Besoin de son matériel (par exemple, vous êtes autorisé à accéder au réseau en fonction de son adresse MAC ou d'autres facteurs qui n'existent que sur le machine que vous souhaitez utiliser.
- Besoin de son réseau (par exemple, vous devez être à l'intérieur de son LAN, mais avec votre propre appareil)
- Vous n'avez pas du tout besoin de son réseau ou de son appareil, il est simplement pratique pour vous d'utiliser leur ordinateur.
La manière optimale de répondre à ces préoccupations est, dans l'ordre inverse:
Cas 4. Apportez votre ordinateur portable / téléphone / tablette et utilisez la connexion 3G / 4G pour accéder à Internet. Terminé.
Cas 3. Apportez votre ordinateur portable, sécurisez-le correctement (antivirus, pare-feu, etc.), branchez-le à leur réseau. Terminé.
Cas 2. Inspectez leur matériel pour tout enregistreur matériel, démarrez votre propre système d'exploitation (une sorte de distribution en direct). Si vous avez manqué l'enregistreur matériel, vous avez le problème.
Cas 1. Aide également avec le cas 2.
-
a) Nécessite un accès administrateur / root.
-
b) Activez le pare-feu, réglez-le en mode paranoïaque strict, autorisez uniquement les connexions à votre serveur cible.
-
c) Changez votre mot de passe d'accès via votre téléphone 3G / 4G en quelque chose de temporaire,
-
d) Accédez au serveur, utiliser 2FA
-
e) supprimer les traces (cookies, tout fichier temporaire pouvant masquer les identifiants, identifiants uniques, tc)
-
f) Rétablissez le mot de passe via votre téléphone 3G / 4G
-
g) Remettez le pare-feu à l'état normal.
Maintenant, le pare-feu peut être compromis également par un rootkit, donc pour plus de paranoïa, ou dans le cas où vous n'obtiendrez pas l'accès Admin / root :
-
a) Construisez votre routeur personnalisé en utilisant Raspberry Pi ou un appareil similaire, ajoutez un port Ethernet supplémentaire à l'aide de l'adaptateur Ethernet2USB. (bien sûr, les professionnels vraiment soucieux de la sécurité auraient de toute façon Linux sur leur ordinateur portable, alors ajoutez simplement le port Ethernet2USB et continuez sans Raspberry.
-
b) Branchez leur ordinateur sur votre Raspberry, obtenez l'adresse MAC, clonez-la de l'autre côté (sortant).
-
c) Configurez un routage strict et un pare-feu sous Linux, autorisez uniquement l'accès à votre serveur et en acheminez un NIC vers un autre.
-
d) Configurez le reniflage MITM et installez votre certificat sur votre serveur sur leur machine. Votre certificat est le certificat MITM, le faux que vous avez généré!
-
e) Procédez comme décrit précédemment dans 1c) et sur.
-
f) Enregistrez tous les octets sanglants qui traversent votre mini-routeur afin de pouvoir les confronter s'ils essaient quelque chose de méchant.
Le raisonnement derrière cette suggestion est que l'ordinateur hôte ne dispose probablement pas de la suite complète d'outils pour attaquer votre compte. Keylogger enregistrera les clés de votre mot de passe temporaire, mais ne pourra pas transmettre les données au méchant assis dans l'autre pièce. Si c'est le cas et tente de pirater votre serveur, toute tentative de piratage sera consignée en texte brut, vous pouvez soit les confronter , soit annuler les dommages (ils ont changé le texte en clair, mais vous avez enregistré le changement! ). Notez que seul votre serveur sera disponible pour leur ordinateur dans le temps critique, donc soit leur ordinateur essaie de pirater en solo, soit rien ne se passera.
J'apprécierais des commentaires sur cette route, si j'ai peut-être manqué quelque chose.