win10+多個 openwrt 路由, 有 socks5 dante server. 配合 sandboxie plus, proxifier 可以做到半 air gap 嗎?

5 天前
 walterdarrell063

思路: 最上的 openwrt 路由 block 了 win10, 但容許 local LAN local LAN 也是 openwrt 路由, 設了 dante socks5 server, 有 username , passwd. 可是 socks5 是明文 packet.

win10 中, 用 ssh tunnel/ stunnel 等等連上 socks5 server, 再用 socks5 上去, 這樣 spyware 就看不到 socks5 的 username, passed.

这是建基於 win10 本身沒有人工智能的情況下。

能當作一個方案嗎? 老美國防部的電腦也不會是 100% 安全。

623 次点击
所在节点    信息安全
12 条回复
walterdarrell063
5 天前
就是說, 建基於 win10 絕大部份時間是可信,
假設 win10 本身"不是"spyware.
yankebupt
5 天前
看不到 socks5 的 password 会影响反向打洞么?比如 spyware 开个 http(s)长链接反向隧道?
也是……全依赖沙盒不爆 0day......不过换成 VM 也好不了多少,万一 CPU 漏洞……而且侧信道什么的……
什么是侧信道?侧信道现在已经很普及了。如果你浏览器不 block tracker,你用沙盒和宿主机访问一个广告 tracker ,大概率判定的是同一个人或者一家人,很可能会根据你沙盒中的行为推断你在宿主机上的一些习惯。虽然没有直接信息泄露,但也可以看作是一种信息泄露。
walterdarrell063
5 天前
@yankebupt 最上的 openwrt 路由 block 了 win10, 但容許 local LAN
walterdarrell063
5 天前
@yankebupt spyware 會知道我設立了那條 SSL tunnel/stunnel ma?
yankebupt
5 天前
你把浏览器和 spyware 分开装在不同的沙盒么?如果浏览器能用 proxifier ,spyware 能读到设定啊
yankebupt
5 天前
你 proxifier 套在沙盒外面?有点懂了,我再想想
yankebupt
5 天前
http 连接是你连对方的 80 (或某些)端口,同时开放一个临时端口接受返回信息,反向隧道就利用这个临时端口。你应该保证 spyware 不能访问网络或者不能像浏览器一样访问网络
yankebupt
5 天前
spyware 如果能劫持已经挂载了 proxifier 的浏览器,就能知道开的那个临时端口是多少(经过多次 map 映射在沙盒里面的那个端口),然后可以劫持那个端口。
所以要么分开关押,要么还是依赖沙盒强度,我觉得
walterdarrell063
5 天前
我也不清楚, 看有沒有高手分享吧。
walterdarrell063
5 天前
@yankebupt 这个可以, 加个 foss 的 simplewall.
walterdarrell063
5 天前
windows 比 linux 好用太多。
即使 win 版,linux 版 chrome 都有,
我都 tmd 不想用 linux.
而事實是, 很多都只有 win 版 e.g. mindmanager.

可我是中國人, 是老美的死对頭的子民。
唯有出此下計。
walterdarrell063
5 天前
@yankebupt 另外, 昨天我已問过 claude 3.5 sonnet 了, 他也主动說了要用 firewall.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1101379

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX