可靠的安全软件可以防止外来软件泄漏隐私数据,但是面对操作系统可能携带的后门则无能为力,为了防止出现这种情况,“气隙”应运而生。
气隙(Air Gap)是一种网络数据安全保护措施,传统的气隙一般指断开与因特网(亦称互联网,Internet)的直接连接,并通过移动驱动器或网阀等办法转移去除网络包外壳信息的数据。通过这种办法,便可以实现防止系统内的任意间谍程序或系统后门外传数据。但是,这种方法过于影响正常个人用户使用,因此并未在个人计算机上广泛使用。
那么,有没有一种折中的方式,保障即使是操作系统后门也无法外传数据,但却能在特定情况下受限制的访问网络呢?答案是:有的。
相信在涉密机关工作过的使用过单位电脑网友们也许都见过电脑网络图标上“无Internet连接”的字样,这意味着尽管电脑连接到了局域网(即所谓的内网),但他并没有与万维网连接,也就自然无法将机密数据外传到外部。形成这种与外界隔绝的内网有几种方式,第一种是真的只有一台独立的交换机,第二种是设置了特定的防火墙规则,而我们今天的气隙系统则是基于第二种方式。
Sandboxie-Plus是一款开源的沙盒类软件,它在最近几个大版本内增加了“沙盒强制代理”的功能,依托于这一功能,我们便可以让沙盒中所有运行的程序使用某一特定代理 而且不同沙盒之间可以有不同的配置。
接下来介绍具体布局。
在路由器处设置防火墙规则,不允许我们的Windows主机直接访问互联网。
然后我们还需要在局域网中设立另一台Linux的Sock5代理服务器。使用Linux单纯是因为它是开源的,相比闭源的Windows来说,至少要安全一丢丢,在路由器中豁免这一服务器访问互联网。然后我们需要为代理服务器设置账户与密码,这在后面有用。
关于Windows主机配置,我们使用Sandboxie-Plus作为容器,新建一个加密沙盒,这样可以使得沙盒之外的进程无法访问沙盒内容,从而保护与互联网联通的数据不外泄到系统。在沙盒配置中打开“代理选项卡”,设置代理选项,将我们的Linux服务器输入其中,并指定其账户和密码。这一步是关键一步,沙盒之外的进程由于没有指定代理服务,而只能连接到局域网。但我们沙盒之内的程序则可以通过经过认证的代理转发来达到间接连接到互联网的效果。为了增强气隙系统的隔离性,我们也可以打开以下设置:
-
防止沙盒外进程访问沙盒化进程。这样可以从进程层面上保护联网程序的安全性,而不被注入来发送在沙盒外构造好的隐私数据包。
-
隐私模式。开启该功能后,除维持应用运行的必要文件外,系统中一切其他文件都会对联网程序(即沙盒内程序)隐藏,这样就可以使即使是受豁免的联网程序也不能够窃取到机密文件。
-
应用联网控制。使用该功能可以限制沙盒中的程序联网,从而仅仅允许某一特定程序联网,增强安全性。
-
启动程序前提示。开启该功能后,在沙盒中创建一个新的进程将会需要弹窗许可,这样可以避免恶意程序或者后门针对Sandboxie通过静默启动程序来外传数据(应用程序联网控制功能能够在一定程度上缓解此问题)
-
防止沙盒内进程截取外界图像。开启该功能后,即使联网的浏览器被恶意程序攻破,浏览器无法通过截屏功能来间接窃取数据。
-
禁止访问系统剪贴板。开启该功能后便可以防止联网程序有意或无意的复制系统中可能涉及机密的剪贴板信息。
-
沙盒防火墙。本功能内建了一个防火墙,可以在端侧随时针对不同沙盒进行防火墙调整,例如我们可以随时仅允许其访问一个网站。
-
沙盒化桌面。这是一个还未推出的内部实验性功能,利用它可以彻底的防止沙盒外进程干扰联网程序的窗口。
综上,在系统本身不直接连接到互联网的情况下,使用Sandboxie-Plus不但可以做到代理的统一修改,而且可以在窗口、进程、文件等方面对联网与禁止联网进程(包括系统本体)进行隔离,在保证方便的同时,又做到了数据安全保障。
但是无论怎样,做好本机基本的恶意软件查杀还是必要的,毕竟我们也无法说准恶意程序会不会修改联网程序的运行文件(在不能接受外界指令的情况下,系统本身就算自带后门也肯定是不可能自动做这种事情的),从而外传数据(但其实只要你有耐心去动态修改沙盒防火墙,这个也基本不成问题)
Move from my personal website:http://www.yeyixiao.com/?id=3
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
