Спасибо за статью. Не совсем понял для чего java устанавливается на сервер? В старом ёжике точно зависимости не было от нее, за это в свое время именно он был выбран, а не openfire…
И еще вопрос по поводу транспортов — вы пользуетесь ими в своем решении? Особенно интересно было бы узнать как сейчас обстоят дела с icq/gtalk/skype?
Да, действительно упустил из виду момент «Yes — My app only needs access to files it creates». Попробовал ваше решение, добавил "# -*- coding: utf-8 -*-" в скипт и установил Setuptools. Но т.к. у меня python ни для чего больше не используется, решил пока остановиться на скрипте dropbox_uploader.
Главное иметь отдельный dropbox аккаунт только для бэкапов, иначе в случае взлома любого из ваших серверов, запороленные бэкапы не представляют ценность, а другая информация из соседних папок может оказаться ценнее пароля на zip архив )
Как и принять тот факт, что абстракция «вредоносность» или «полезность» существуют на уровне человеческого восприятия, процессору все-равно какие инструкции выполнять.
У меня в черновиках лежит статья на тему как доступ к ящику на mail.ru и соц. инженерия сделали «невозможное возможным». Как я могу ее опубликовать, сохранив свое авторство?
Понятно )
На самом деле openvpn очень хорошо использовать для создания распределенной сетевой инфраструктуры любой сложности, с возможностью проксирования, трансляции, обхода сетевых фильтров провайдеров (port 443 + port-share в конфиге этому весьма способствуют). На этом поприще у него нет бесплатных конкурентов. К сожалению отсутствует только функционал доступа через SSL VPN без предустановленного клиента…
Проброс порта через openvpn+squid это как установка photoshop для задачи ресайза фотографий )
Ключи от openvpn не защищеннее от «заваливания у кого-то» ключей от ssh ;)
Просто консольный доступ вы можете очень гибко контролировать через authorized_keys, там указываете from для избранных IP, остальным прикручиваете no-pty. Кроме того sshd нормально через pam привязывается к чему угодно хоть к radius, хоть к tacacs, хоть к AD. OpenVPN в этом плане с его openvpn-plugin-auth-pam более топорный, добиться от него передачи адреса клиента через pam_tacplus так и не получилось.
Доступ SSH у нас разрешен только с избранных адресов IP.
Имеется ввиду доступ к консоли через ssh?
Можно запретить парольную аутентификацию на jump-хосте и открыть доступ к ssh, вместо установки openvpn+squid, тем более, что от последнего вам нужна только функция проксирования )
Для задачи доступа с динамического адреса сотруднику было бы достаточно использовать динамический ssh туннель. В таком случае на промежуточном jump-хосте был бы не нужен ни vpn ни squid, достаточно было бы просто дефолтной установки любой unix системы.
Теперь нам нужно организовать доступ сотрудников к защищенным ресурсам компании через прокси-сервер, установленный на сервер OpenVPN. В этом случае рабочие станции сотрудников с динамическими адресами IP смогут подключаться к ресурсам компании, для которых разрешен доступ с фиксированного адреса IP сервера OpenVPN.
Верно? Т.е. с учетом необходимости squid'а доступ требуется к конкретным http/https/ftp сервисам во внутренней сети из вне?
Как вариант да, только в системах с проприетарными закрытыми кодеками нужно будет либо перед камерой светить измененной картинкой — реалистичность сильно пострадает. Либо ждать реализации от вендора, которая, если появится, будет у всех купивших продукт и ничего революционного в такой технологии ведения переговоров уже не будет :)
Я огромную перспективу вижу в свете массового перехода корпораций на системы видеоконференций, ака Tandberg/Polycom. По опыту их использования все хотят общаться с генеральным директором (первым лицом предприятия) и заказчики и поставщики — доведенная до совершенства подобного рода система позволит уполномоченному лицу (зачастую владеющему вопросом лучше генерального директора) проводить совещания от имени директора с полной иллюзией у участников, относительно того с кем они общаются.
Да, можно доверять дропбоксу. Просто вероятность того, что конкретный ваш файл по какой-то причине оттуда денется больше, чем вероятность того, что куда-то денется доступный всем код и хранящийся в разных местах код.
Но как вы сами ранее сказали:
Правда в хорошей запоминалке с хорошим мастер-паролем дешифрование базы паролей так же практически невероятно.
Поэтому, он у меня даже есть в публичном доступе на gdrive. Да что уж там, вот прикрепляю к этому сообщению — будет еще одно место где хранить.
Если у вас всё ценное лежит только на рабочем компьютере, то видимо да. В противном случае пароли и ключи от других аккаунтов (в широком смысле) — это первое, о чём стоит беспокоиться.
Все ценное и пароли, ИМХО, немного разные понятия, пароли это просто ключ к ценному. Причем этот ключ не должен быть единственным — сюда добавляется двухфакторная авторизация, ограничения по IP и т.п.
Честно, тоже перечитал несколько раз и не понял. Как связано то, с какого компьютера пытаться угадать данные аккаунта? Если в базе паролей хранить пароли от всего, то злоумышленник сразу может выбрать из них то, что ему интересно. Если базы нет — о некоторых ваших аккаунтах он просто не будет знать, и не получит к ним доступ (по крайней мере у вас будет запас времени на смену пароля)
Это относилось к
злоумышленнику ещё придётся отгадывать данные ваших аккаунтов (особенно тех, в которые с этого компьютера не заходят)
Здорово когда под отдельный аккаунт можно иметь отдельный компьютер :) Однако в большинстве случаев кейлоггера достаточно чтобы собрать все ваши учетные данные, пусть даже за достаточно длительный срок. При наличии трояна пароли уже не особо интересуют, т.к. злоумышленник получит доступ к интересующей информации после того как вы собственноручно пройдете все этапы аутентификации и авторизации в защищенной системе.
И еще вопрос по поводу транспортов — вы пользуетесь ими в своем решении? Особенно интересно было бы узнать как сейчас обстоят дела с icq/gtalk/skype?
Сейчас нажал опубликовать и все получилось — habrahabr.ru/post/236357/
Насколько время года (кроме зимы, конечно) критично для проведения таких работ?
На самом деле openvpn очень хорошо использовать для создания распределенной сетевой инфраструктуры любой сложности, с возможностью проксирования, трансляции, обхода сетевых фильтров провайдеров (port 443 + port-share в конфиге этому весьма способствуют). На этом поприще у него нет бесплатных конкурентов. К сожалению отсутствует только функционал доступа через SSL VPN без предустановленного клиента…
Проброс порта через openvpn+squid это как установка photoshop для задачи ресайза фотографий )
Просто консольный доступ вы можете очень гибко контролировать через authorized_keys, там указываете from для избранных IP, остальным прикручиваете no-pty. Кроме того sshd нормально через pam привязывается к чему угодно хоть к radius, хоть к tacacs, хоть к AD. OpenVPN в этом плане с его openvpn-plugin-auth-pam более топорный, добиться от него передачи адреса клиента через pam_tacplus так и не получилось.
Можно запретить парольную аутентификацию на jump-хосте и открыть доступ к ssh, вместо установки openvpn+squid, тем более, что от последнего вам нужна только функция проксирования )
Верно? Т.е. с учетом необходимости squid'а доступ требуется к конкретным http/https/ftp сервисам во внутренней сети из вне?
Все ценное и пароли, ИМХО, немного разные понятия, пароли это просто ключ к ценному. Причем этот ключ не должен быть единственным — сюда добавляется двухфакторная авторизация, ограничения по IP и т.п.
Это относилось к Здорово когда под отдельный аккаунт можно иметь отдельный компьютер :) Однако в большинстве случаев кейлоггера достаточно чтобы собрать все ваши учетные данные, пусть даже за достаточно длительный срок. При наличии трояна пароли уже не особо интересуют, т.к. злоумышленник получит доступ к интересующей информации после того как вы собственноручно пройдете все этапы аутентификации и авторизации в защищенной системе.