С "облачным dns" от mikrotik советую быть предельно осторожным. Он любит отваливаться из-за нагрузки на их сервера, и тогда к серверу вы не подключитесь. Концнепция сама по себе мне нравится и даже сам иногда пользуюсь, но лучше для резерва подключить тот же no-ip либо другого провайдера DDNS. А вот port knocking советую всем, жаль что не все хотят пошевелить пальцами и извилинами 10 минут. Но справедливости ради, оно не всегда удобно и нужно таскать всегда с собой скрипт или клиент.
На самом деле не всегда белый список возможен. Тогда приходится либо городить VPN, либо port knocking. От себя рекомендую и первое и второе. Теперь ваша сеть будет в безопасности а логи чистыми.
upd: если у вас mikrotik то сама судьба говорит что нужно использовать. Если что попрощо - VPN сервер и погнали.
А в чём, собственно, сложность? Создаёте профиль под "государственные" ресурсы, импортируете туда сертификаты и пароли, делаете ярлык в удобном месте и пользуетесь. Дело на 5-10 минут. Переключение между профилями - это переключение между окнами, которые никто и не заставляет закрывать. Как и вкладки внутри профиля. Так что это даже удобнее в том смысле, что вкладки не будут занимать место в основном окне. При желании можна и тему для профиля другую выбрать, чтобы сразу по дизайну видеть где вы сейчас находитесь.
Upd: копируете ярлык и в параметр запуска ярлыка после firefox.exe вписываете -p profilename . Открываете ярлык. Появится мастер работы с профилями, ведь профиля с таки именем нет. Создаёть профиль profilename. Жметё "выход". Теперь при открытии обычного ярлыка будет открываться стандартный профиль, а при открытии модифицированного - "государственный"
Ну, например, он выпущен государственным учреждением или по распоряжению правительства, итд
Имел в виду со стороны программиста а не пользователя.
Вопрос первый: если условный сайт госуслуг открывается нормально с гос. сертификатом установленным в отдельное хранилище, зачем рядовой пользователь будет дёргаться и что-то куда-то доп. ставить?
Т.е. вы имеете в виду, что сертификат уже будет в поставке браузера? Как-то не очень...
Допустим вместо замочка будет висеть гос.флажочек. С одной стороны - если пользователь сидит на госуслугах, это повысит его доверие к такому сайту. Если он сидит на обычно форуме - это позволит ему задаться вопросом, а там ли он находится. Вполне возможно пользователь решит, что и фиг с ним, и это уже его право.
Вот об этом и речь. Государство в промо-роликах будет утверждать что всё нормально и это для защиты. Рядовой пользователь, не сильно понимающий концепцию CA будет верить. Особенно если сам же пользователь по инструкции и установил тот сертификат.
Опять не понял, кому проще создать свой ЦС и кто будет принуждать Mozilla - США (вроде Mozilla там зарегистрированна)? Или условный Китай с Россией?
Тем же USA (они ведь злые и хотят следить) создать фиктивный CA и принудить мозиллу включить их сертификат в доверенные.
не очень понятно зачем принуждать Mozilla, если и так большинство CA находятся в США
Здесь частично согласен. Компрометация существующего CA не должна быть такой же заметной, как добавление фиктивного.
Для исключения потенциального вмешательства в обычные коммуникации - имеет смысл выделить их корневые сертификаты в отдельное хранилище
Для этого есть отдельный профиль браузера со своим хранилищем. Действительно надёжно во всех планах.
практически любое государство по Конституции имеет право на нарушение тайны переписки по решению суда
Прослушать конкретного пользователя или ресурс - да. Контроллировать целый CA и MitM'ить всё до чего руки дотягиваются - ни в коем случае. Во всяком случае сейчас...
Поэтому лучший выход - это задуматься о возможном компромиссе сейчас (когда преимущество на нашей стороне), прежде чем мы окажемся в ситуации, когда условия нам просто продиктуют
Ни в коем случае! В этом вопросе никаких компромиссов быть не должно. Если идти на поводку, то будет
В противном случае такой трафик будет блокироваться на периметре государства
... что уже даже доказано практикой. Если государство обзавелось своим CA - пусть пользователь ставит сертификат куда хочет, но в случае обнаружения злоупотреблений при обновлении браузера сертификат должен быть удалённым из хранилища. Но отдельный флажек в том же профиле - не панацея, ведь узнаете вы о MitM уже по факту соединения с сайтом и передаче данных.
А как вы собираетесь определять, государственный сертификат или не государственный? Ну прилепите вы даже отдельное хранилище, так издатель сертификата в инструкции для пользователей всё равно напишет ставить его в основное. Тем более если государство планирует следить за народом. А если пользователь даже установит сертификат в отдельное хранилище и на сайте будет висеть замочек, то "обычному пользователю" будет объяснено, что это для его же безопасности. Даже если пользователь учует обман, то будет поздно - соединения то уже установились и траффик пошёл.
Собственно, согласен с комментатором выше. Mozilla хоть и не представляет CA, но является корнем доверия. И если для местного правительства так просто принудить CA к сотрудничеству, то не проще ли создать свой CA и принудить к сотрудничеству Mozilla?
Хотел выразить несогласие, но по ходу написания понял что и нечего выражать. Для md5 со скоростью перебора в 50 миллиардов комбинаций вряд ли нужны радужные таблицы, а у тех кто использует что-то более новое скорее всего хэши солёные. Но подозреваю что могут быть кейсы, когда используется несолёный SHA2-512 или что-то еще круче.
А вот лично я за 6-дневную рабочую неделю. А еще лучше за 7-дневную. И по 12-14 часов. Образование тоже не нужно, ведь это всё козни коллективного запада, чтобы дети 11 лет ресурсы прожигали вместо принесения пользы великой стране.
потенциальный противник точно знает что эти объекты заброшены, и он вычеркнул их из списка объектов по которым будут наносится ядерные удары в первую очередь
Как показала практика, потенциальный противник как раз таки ничего не вычеркивает и бункеры с высокой долей вероятности попадут под раздачу первыми.
бензин, алкоголь или табачная продукция
С первым вроде как понятно. А алкоголь и табак не портятся, что даёт возможность в любой момент выменять их на ту же еду или воду. Будут ли они ценными? Подозреваю, что всё будет зависеть от обстановки.
Я даже скажу больше - некоторые из хабровчан прямо здесь, в комментариях, хвастались "помощью" (в т.ч. не совсем гуманитарной) для вооруженных формирований одной страны, которая очень любить возить своих военных на экскурсии в другие страны.
Ибо нормальные системы запускаются в любом режиме загрузки с любого типа разметки и только для MS является проблемой загрузка с гибридной MBR. Та же ubuntu 20 (а может и предыдущие версии тоже) по умолчанию создаёт на диске GPT. Если в будущем приходится переключиться - создаём раздел EFI, ставим туда загрузчик и переключаемся.
Мне видится проблема в том, что для Microsoft слишком много позволено и почему-то мат. платы с завода идут уже с ключами M$ в прошивке. Разве это не решается через Setup mode?
Практически всегда заражение идёт через запуск исполняемого exe/cmd/vbs/макроса в оффисном документе. Распостранение так же либо через експлоиты. Обязательно нужно включить отображение расширений для файлов. Еще малварь распостраняют через уязвимости в том же acrobat, но вроде как реже. А уже медиа и т.п. страшные 0-day експлоиты идут по остаточному принципу. Во всяком случае я об массовых заражениях таким методом не слышал. Обычно "заразный фильм с торрента" - это исполняемый файл и фильмом там даже не пахнет. Для уязвимостей типа eternalblue нужно либо голой жопой торчать в Интернет, либо всё таки запустить вирус на одной из машин. Противодействие - НИКОГДА и ни в коем случае не отключать firewall, а всё что не должно быть доступным снаружи, должно быть им же закрыто. Если речь об предприятии (даже мелком) - разбивать на отдельные подсети всё что можно. Это даст и защиту от зловредов, и уменьшит проблемы при атаках на DHCP/MITM/флуде/петлях и т.д.
Если не ошибаюсь, то L2TP по логину-паролю - протокол без шифрования. Соответственно трафик можно подсматривать и в теории даже блокировать на DPI. Обычно модифицированные прошивки openwrt или padavan имеют нужный функционал либо позволяют поставить нужное из репозитория.
Так то для доступа к ОС нешифрованного накопителя не нужны пароли. Достаточно загрузиться в WinPE, запустить autoruns, выбрать автономную систему и сделать нужные поправки. Либо просто подмонтировать реестр и найти нужную запись, если знаний достаточно. Файлы посмотреть тоже не так чтобы сложно.
С "облачным dns" от mikrotik советую быть предельно осторожным. Он любит отваливаться из-за нагрузки на их сервера, и тогда к серверу вы не подключитесь. Концнепция сама по себе мне нравится и даже сам иногда пользуюсь, но лучше для резерва подключить тот же no-ip либо другого провайдера DDNS. А вот port knocking советую всем, жаль что не все хотят пошевелить пальцами и извилинами 10 минут. Но справедливости ради, оно не всегда удобно и нужно таскать всегда с собой скрипт или клиент.
На самом деле не всегда белый список возможен. Тогда приходится либо городить VPN, либо port knocking. От себя рекомендую и первое и второе. Теперь ваша сеть будет в безопасности а логи чистыми.
upd: если у вас mikrotik то сама судьба говорит что нужно использовать. Если что попрощо - VPN сервер и погнали.
А причём здесь DDNS? Что мешало поставить клиент другого DDNS сервиса на ПК?
А в чём, собственно, сложность? Создаёте профиль под "государственные" ресурсы, импортируете туда сертификаты и пароли, делаете ярлык в удобном месте и пользуетесь. Дело на 5-10 минут. Переключение между профилями - это переключение между окнами, которые никто и не заставляет закрывать. Как и вкладки внутри профиля. Так что это даже удобнее в том смысле, что вкладки не будут занимать место в основном окне. При желании можна и тему для профиля другую выбрать, чтобы сразу по дизайну видеть где вы сейчас находитесь.
Upd: копируете ярлык и в параметр запуска ярлыка после firefox.exe вписываете -p profilename . Открываете ярлык. Появится мастер работы с профилями, ведь профиля с таки именем нет. Создаёть профиль profilename. Жметё "выход". Теперь при открытии обычного ярлыка будет открываться стандартный профиль, а при открытии модифицированного - "государственный"
Есть у меня подозрение, что статья сгенерирована нейронкой. Очень уж по стилю похоже.
Имел в виду со стороны программиста а не пользователя.
Т.е. вы имеете в виду, что сертификат уже будет в поставке браузера? Как-то не очень...
Вот об этом и речь. Государство в промо-роликах будет утверждать что всё нормально и это для защиты. Рядовой пользователь, не сильно понимающий концепцию CA будет верить. Особенно если сам же пользователь по инструкции и установил тот сертификат.
Тем же USA (они ведь злые и хотят следить) создать фиктивный CA и принудить мозиллу включить их сертификат в доверенные.
Здесь частично согласен. Компрометация существующего CA не должна быть такой же заметной, как добавление фиктивного.
Для этого есть отдельный профиль браузера со своим хранилищем. Действительно надёжно во всех планах.
Прослушать конкретного пользователя или ресурс - да. Контроллировать целый CA и MitM'ить всё до чего руки дотягиваются - ни в коем случае. Во всяком случае сейчас...
Ни в коем случае! В этом вопросе никаких компромиссов быть не должно. Если идти на поводку, то будет
... что уже даже доказано практикой. Если государство обзавелось своим CA - пусть пользователь ставит сертификат куда хочет, но в случае обнаружения злоупотреблений при обновлении браузера сертификат должен быть удалённым из хранилища. Но отдельный флажек в том же профиле - не панацея, ведь узнаете вы о MitM уже по факту соединения с сайтом и передаче данных.
А как вы собираетесь определять, государственный сертификат или не государственный? Ну прилепите вы даже отдельное хранилище, так издатель сертификата в инструкции для пользователей всё равно напишет ставить его в основное. Тем более если государство планирует следить за народом. А если пользователь даже установит сертификат в отдельное хранилище и на сайте будет висеть замочек, то "обычному пользователю" будет объяснено, что это для его же безопасности. Даже если пользователь учует обман, то будет поздно - соединения то уже установились и траффик пошёл.
Собственно, согласен с комментатором выше. Mozilla хоть и не представляет CA, но является корнем доверия. И если для местного правительства так просто принудить CA к сотрудничеству, то не проще ли создать свой CA и принудить к сотрудничеству Mozilla?
Немного не согласен. Деньги вы ведь даёте тоже на идею-задачу-дело. Дело знакомого для вас более профитное, чем дело бомжа.
Хотел выразить несогласие, но по ходу написания понял что и нечего выражать. Для md5 со скоростью перебора в 50 миллиардов комбинаций вряд ли нужны радужные таблицы, а у тех кто использует что-то более новое скорее всего хэши солёные. Но подозреваю что могут быть кейсы, когда используется несолёный SHA2-512 или что-то еще круче.
А вот лично я за 6-дневную рабочую неделю. А еще лучше за 7-дневную. И по 12-14 часов. Образование тоже не нужно, ведь это всё козни коллективного запада, чтобы дети 11 лет ресурсы прожигали вместо принесения пользы великой стране.
Как показала практика, потенциальный противник как раз таки ничего не вычеркивает и бункеры с высокой долей вероятности попадут под раздачу первыми.
С первым вроде как понятно. А алкоголь и табак не портятся, что даёт возможность в любой момент выменять их на ту же еду или воду. Будут ли они ценными? Подозреваю, что всё будет зависеть от обстановки.
Понял, что не успевает и придётся таки оставаться в бункере на Земле
Я даже скажу больше - некоторые из хабровчан прямо здесь, в комментариях, хвастались "помощью" (в т.ч. не совсем гуманитарной) для вооруженных формирований одной страны, которая очень любить возить своих военных на экскурсии в другие страны.
Ибо нормальные системы запускаются в любом режиме загрузки с любого типа разметки и только для MS является проблемой загрузка с гибридной MBR. Та же ubuntu 20 (а может и предыдущие версии тоже) по умолчанию создаёт на диске GPT. Если в будущем приходится переключиться - создаём раздел EFI, ставим туда загрузчик и переключаемся.
Мне видится проблема в том, что для Microsoft слишком много позволено и почему-то мат. платы с завода идут уже с ключами M$ в прошивке. Разве это не решается через Setup mode?
Практически всегда заражение идёт через запуск исполняемого exe/cmd/vbs/макроса в оффисном документе. Распостранение так же либо через експлоиты. Обязательно нужно включить отображение расширений для файлов. Еще малварь распостраняют через уязвимости в том же acrobat, но вроде как реже. А уже медиа и т.п. страшные 0-day експлоиты идут по остаточному принципу. Во всяком случае я об массовых заражениях таким методом не слышал. Обычно "заразный фильм с торрента" - это исполняемый файл и фильмом там даже не пахнет. Для уязвимостей типа eternalblue нужно либо голой жопой торчать в Интернет, либо всё таки запустить вирус на одной из машин. Противодействие - НИКОГДА и ни в коем случае не отключать firewall, а всё что не должно быть доступным снаружи, должно быть им же закрыто. Если речь об предприятии (даже мелком) - разбивать на отдельные подсети всё что можно. Это даст и защиту от зловредов, и уменьшит проблемы при атаках на DHCP/MITM/флуде/петлях и т.д.
Оно только под linux работает. У Chrome там собственное хранилище сертификатов. По Win используется системное.
Лучше поздно чем никогда
Если не ошибаюсь, то L2TP по логину-паролю - протокол без шифрования. Соответственно трафик можно подсматривать и в теории даже блокировать на DPI. Обычно модифицированные прошивки openwrt или padavan имеют нужный функционал либо позволяют поставить нужное из репозитория.
А разве это не решается одним пунктом в договоре?
Так то для доступа к ОС нешифрованного накопителя не нужны пароли. Достаточно загрузиться в WinPE, запустить autoruns, выбрать автономную систему и сделать нужные поправки. Либо просто подмонтировать реестр и найти нужную запись, если знаний достаточно. Файлы посмотреть тоже не так чтобы сложно.