Сталкивался раз с веселым интернет провайдером у которого 95% пользователей в системе имели одинаковые логин: пароль сгенирированые сапортом. Пример: gena:gena, kot:kot, и другие сказочные персонажи. Пользователи за частую даже не знали о существовании этих учётных данных так как логин с их домашних IP как у многих провайдеров идет без авторизации. Никаких capche, fail2ban со стороны сервиса реализовано не было. Банальный перебор по словарю за 10 минут возвращал пару сотен учеток. В учетной записи хранилось неприлично много личной информации: ФИО, полный адрес, иногда email, статистика in/out трафика из zabbix, модель телевизора (если было подключено кабельное) и была возможность без подтверждения сменить тариф на более высокий по цене или сменить привязку MAC и тем самым сломать доступ в интернет. Кладезь для домушников и конкурентов. Домушник на основе трафика мог узнать когда хазяева есть дома и когда их — нет, узнать какой ТВ и тариф используется, а это отразит общее финансовое состояние жертвы, а изменение MAC можно было использовать что бы увести системы сигнализации в offline. Ну а конкуренты могли просто пополнить свою базу потенциальных клиентов, да и сделать пакость: всех зашвырнуть на самый дорогой тариф или сломать доступ в интернет сменив MAC. Месяц я ждал пока провайдер откликнется, сначала испугались и затихли. Потом в ВК число случайно столкнулся в переписке с одним из их сотрудников и тот пролобировал эту проблему в верх и ее начали фиксить. Если бы за месяц ничего бы не сдвинулось то на хабре было бы на одну похожую историю больше. Все хорошо что хорошо кончается, но лучше бы иногда оно и не начиналось :)
Так а при чем тут ваши заявления что вы можете делать mitm https к mitm http? И зачем вам редирект на похожий домен когда в L2 сети без client isolation лучше делать спуфинг dns и не выдавать себя? Мало того что вы назвали палку рогаткой o_O, так еще й жизни вам эта атака мало чего даст на нормально настроеные ресурсы которые юзеры посищают активно, ибо 301 редиект http => https на то он и permanent что живет долго в кеше. HSTS живет еще еще дольше :), в основном год, а если ресурс еще й include subdonains и preload, то сам браузер вас не пустит на http. По этому на норм сайты по http никто почти не обращайте за редиректом. И это не догадки, а констатация факта на осноне наблюдий за трафиком. А мобильные приложения вообще ходят по захардкоженым https линкам, никаких http.
Если весь эксплоит заключается в эксплуатации CVE к которым в интернетах уже PoC, то это всеравно не очень интересно. Админом (читайте эникейщиком) школьником и шефом который не понимает за что эти ITшники хотят ЗП как у самого шефа, никого не удишишь. Вот с такого и имеем такие истории.
А кстати по поводу mitm https и его статусе «проверено»: почему я думаю что это ложь?) Может потому что сам поднимал proxy, и mitm без разрыва ca trust переподписи, не проканает. Любой кто откроет https получит alert о недоверенном CA. А transparent ssl proxy кроме sni индикатора, который и так plaintext — больше ничего не покажет об https соединении.
Прочитал целую статью за 4 минуты и это просто ужас, никаких технических деталей, оформление просто ужаснуло. Но больше всего меня убило то что с всеми косяками (открытыми портами служебных сервисов без авторизации, устаревший софт, не спрятан в отдельный vlan или не ограничеными хотя бы по ip, ) автор «безопасник» докапался до lets encrypt сертификата. Это настолько тупо критиковать let's encrypt в 2019 еще й просто основываясь на догадке что они же бесплатные, а значит — хуже платных. Мож вы еще за воздух платите? За частую let's encrypt сертификаты безопсней в 10 раз чем платные. Почему? Да как минимум надёжность сертификата измеряется не его ценой, а: время жизни (меньше — лучше, тут говорить не о чем), поддержка OCSP must staple которую легко включить и 384bit ECDSA вместо 2048bit RSA которые у большинства в CSR висит. Ну и наезды автора на одну машину с докером, догадка автора об dotnet core неоптимизированность на linux полностью не обоснована и в априоре ахтунг. Это поезд, а не дата центр.
Если бы можно было так просто, не рискуя испортить почти 3TiB «очень нужной» почты при миграции с bare metal в виртуальную среду за один вечер, то я бы не танцевал с бубном почти 2 недели с тестовыми прогонами на апдейт
Ну да, так всегда — отсутсвие актуализации версий сервера в длительной перспективе превращает невинные 3 обновы в полный треш. У меня был сервер с Dovecot 1.xx на FreeBSD 10, и нужно было перехать. Обьем почты у меня был на порядок меньше, закончил тем что дал пользователям учетки на новом сервере и запустил IMAP Sync для каждого с старого сервера. С таким обьемом это бы не проконало =(
И почему вы считаете, что зимбра не комильфо, да конечно она требовательна к ресурсам, но взамен обеспечивает стабильность на уровне.
Дело не в том что она там требует по hardware, дело в том что она позволяет и что нет в виду CE в сравнение с более свежими проектами на сегоднешний день. Да и тот же процес переноса и обновлений тоже не очень удобный и зависит от дистрибутива и стороннего софта.
А причем тут вообще бинарники к данным на сервере? Вы ж не бины мигрировали. Да и вообще я на вашем бы месте задумался над тем что zimbra в 2019 как то не очень камильфо (по крайней мере мне так кажется). Есть альтернативы получше, тот же mailcow-dockerized.
Как по мне PEAP куда проще. Ленивые юзеры и с ним умудряются жаловаться на неудобства, что говорить когда даже технически подкованного специалиста задолбает к этому подключаться?
Кула то идти за клиент сертификатом который один на всех и попробуй его отозвать потом… Если у вас Windows среда с DC — поднимите прямо на DC серверах NPSы и сможете не только по человечески безопасную авторизацию проходить но и выдавать VLAN на основе принадлежности User к OU или Group. И машины простаивать не будут и надёжность будет. В догонку Unifi умеет обнаруживать и отсылать алерты об EvilAP по почте. Зачем все усложнять
По IPv6: teredo, серьезно? Я тоже не рад что ipv6 не популизирован в массы. Получить IPv6 в Киеве можно только в ЦОД или через BGP, что для некоторых большой оверхед. Но если и брать вирт адреса IPv6 то хотя бы у лидеров, а не пойми откуда, разверните tunnelbroker.net клиент на шлюзе, не сравнимое преймущество с teredo. Единственное: если вам нужен outgoing smtp server-server с 25 порта: сразу проходите сертификацию в ЛК, без нее он залочен. Заодно получите футболку по почте бесплатно :)
О дефолтных паролях: Даже весьма продвинутые ИТ-специалисты ленятся это делать.
Это не спец, а мамкин админ.
А слабо делать в железе отсутствие дефолтных паролей? Тут есть два варианта: отсутствие пароля, и требование придумать его при инициализации и тут же проверять его надёжность, и второй — рандомный дефолтный пароль на устройство написанный на маршрутизаторе.
Дальше о статье в общем:
Статья проплаченная реклама не более
То о чем писали выше: статья не систематизированная, все в кучу: soho, business.
Автообновление прошивки, где вы такое видели? Это незапланированый даунтайм и риск не понятного окерпичивания что для soho что для business.
UPnP это чистое soho и это не просто плохо: это бекдор который вы ОСОЗНАНО оставляете у себя в сети, поздравляю.
Ваши решения — не решат ничего. Шлюз это уже пограничное устройство в сети — если вы его не умеете настраивать — обратитесь к системному администратору. Если уровень его безопасности или функционал вас не устраивает — замените его. А не городите 20 файрволов которые защищают другие файрволы. Это абсурд товарищи...
Я знаю что такое PoS. Но как трезвый человек я и предположить не мог что Банк будет работать по хардкодным whitelist IP. Wtf? Это треш если смотреть на вопрос с такого ракурса.
Предположим чисто теоритически вы админ этого банка или наоборот клиент не суть важна. Со стороны клиента есть областной или ценральный офис и куча «точек» (у кого 3g, у кого ethernet, у кого wifi-мост, не суть важна). Клиент подключает все «точки» к себе в областной (или ценральный) по VPN который маршрутизирует только трафик к банку через VPN. Таким образом клиент предоставляет банку только IP-аддресс(а если их несколько) от ценрального офиса, а не все статики/динамики всех своих точек. Вопрос закрыт.
Но по факту — это бред, треш и угар. Банк не может требовать такого — пусть делает нормальные публичные интерфейсы, а если требует — бегите в другой банк.
В случае если все это сделано на одной железке. Иначе множатся точки отказа.
В корне с вами не соглашусь — все напрямую наоборот. Если вы не вкурсе что такое High Availability то это системы с несколькими точками выполняющими одну и ту же функцию для отказоустойчивости и балансировки нагрузки.
В итоге рынок захватит тот, кто предложит более простое решение (одну коробку, которая будет просто работать, не втягивая клиента в технические детали этой работы)
Мы живем не в сказке, а в реальном мире. Решения «одна волшебная коробка» и все работает без отказов и без доп. настройки — просто либо лож, либо не гибкое/на дежное решение. Что вы подразумеваете под «клиентом» тоже не ясно. Если вы считаете «клиентом» технического спеца — то мне за вас стыдно. А если конечным «клиентом» считать работника удаленного магазина «касира» — то ему ничего настраивать не нужно. Все «коробки» как и рабочие места подготавливаются в центральном офисе (или где у вас там сидят ИТшники): настраиваются, упаковываются и едут устанавливатся на «точку». На всяк случай перед отправкой — на железках еще в офисе включается «удаленное управление» для кейсов если что то пойдет не так.
VPN сервер для подключения клиентов — 1, может быть с несколькоми IP\шлюзами, а может быть и 2 (например на освнове gw-office.company.com — так можно будет без перенастройки клиентов изменить IP если что)
Радиус сервер — 2 шт внутри приватной сети офиса — например на самих AD DC что бы не плодить сервера с 0 нагрузкой. Если что их слушает только VPN сервер, а не клиенты.
У клиента на его «точку продаж» стоит 1 шлюз аля mikrotik либо что у вас там в распоряжении с IPsec/OpenVPN клиентом. Зачем «шлюз будет встроен в POS»? Это фантастика, причем опасная. Точке нужен доступ в сеть не только для POS (нет?), но и для ПК или что у него там у вас.
Вряд ли кто-то захочет мучиться со сторонним сетевым оборудованием в своей сети
Вот этого я вообще не понял. Что вы пытались сказать этим? Я это могу прочитать только так: «Вряд ли кто-то захочет мучиться с сетевым оборудованием.»
И мой вам ответ: значит вы работаете не на той должности на которой должны, оставьте работу системному администратору.
И белый список здесь будет работать против бизнеса.
В случае таких ситуаций не правильней было бы запастить на каждый pos terminal / точку банка etc каким нибудь маршрутизатором с vpn и авторизацией по radius который вела бы на централизированую базу юзеров типа ldap?
Меня эта фраза тоже улыбнула, но совсем наоборот. За всю свою практику работы обновы windows не сломали ни одного функционала ни на одном из проектов, зато на unix без тестирования на dev env обновлять что либо на major версию чревато всем чем угодно. В windows единственное что было из 2 негативов: 1. Сервера не видел всех обнов, приходилость качать и ставить руками, после этого проблема исщезала. 2. Если начать на новом сервере ставить сруз 150± обнов — скорее всего все помрет на ребуте, ставить лучше "пачками" по 30-40шт
Ребята — утрирование на утрировании…
1>возьмем к примеру openvpn:
Static preshared TLS key — и все. Пока сервер не получит от клиента этот первичный ключ никак реагировать на клиента не будет.
2>whitelist по IP:
как делаю я: пытаюсь понять статика у сотслуживца или нет. Если да или ответ не известен — прикручиваю только 1 ip. Если нет или в дальнейшем ip изменился есть 2 варианта:
2.1 беру инфу по whois asn и добавляю все.
2.2 прошу если есть возможность настроить ddns и вайтлищю ip на основе резолвинга ddns
Сталкивался раз с веселым интернет провайдером у которого 95% пользователей в системе имели одинаковые логин: пароль сгенирированые сапортом. Пример: gena:gena, kot:kot, и другие сказочные персонажи. Пользователи за частую даже не знали о существовании этих учётных данных так как логин с их домашних IP как у многих провайдеров идет без авторизации. Никаких capche, fail2ban со стороны сервиса реализовано не было. Банальный перебор по словарю за 10 минут возвращал пару сотен учеток. В учетной записи хранилось неприлично много личной информации: ФИО, полный адрес, иногда email, статистика in/out трафика из zabbix, модель телевизора (если было подключено кабельное) и была возможность без подтверждения сменить тариф на более высокий по цене или сменить привязку MAC и тем самым сломать доступ в интернет. Кладезь для домушников и конкурентов. Домушник на основе трафика мог узнать когда хазяева есть дома и когда их — нет, узнать какой ТВ и тариф используется, а это отразит общее финансовое состояние жертвы, а изменение MAC можно было использовать что бы увести системы сигнализации в offline. Ну а конкуренты могли просто пополнить свою базу потенциальных клиентов, да и сделать пакость: всех зашвырнуть на самый дорогой тариф или сломать доступ в интернет сменив MAC. Месяц я ждал пока провайдер откликнется, сначала испугались и затихли. Потом в ВК число случайно столкнулся в переписке с одним из их сотрудников и тот пролобировал эту проблему в верх и ее начали фиксить. Если бы за месяц ничего бы не сдвинулось то на хабре было бы на одну похожую историю больше. Все хорошо что хорошо кончается, но лучше бы иногда оно и не начиналось :)
Молчание автора очевидно, он просто лукавит
А кстати по поводу mitm https и его статусе «проверено»: почему я думаю что это ложь?) Может потому что сам поднимал proxy, и mitm без разрыва ca trust переподписи, не проканает. Любой кто откроет https получит alert о недоверенном CA. А transparent ssl proxy кроме sni индикатора, который и так plaintext — больше ничего не покажет об https соединении.
Ну да, так всегда — отсутсвие актуализации версий сервера в длительной перспективе превращает невинные 3 обновы в полный треш. У меня был сервер с Dovecot 1.xx на FreeBSD 10, и нужно было перехать. Обьем почты у меня был на порядок меньше, закончил тем что дал пользователям учетки на новом сервере и запустил IMAP Sync для каждого с старого сервера. С таким обьемом это бы не проконало =(
Дело не в том что она там требует по hardware, дело в том что она позволяет и что нет в виду CE в сравнение с более свежими проектами на сегоднешний день. Да и тот же процес переноса и обновлений тоже не очень удобный и зависит от дистрибутива и стороннего софта.
Для таких созданы policy2allow.
Кула то идти за клиент сертификатом который один на всех и попробуй его отозвать потом… Если у вас Windows среда с DC — поднимите прямо на DC серверах NPSы и сможете не только по человечески безопасную авторизацию проходить но и выдавать VLAN на основе принадлежности User к OU или Group. И машины простаивать не будут и надёжность будет. В догонку Unifi умеет обнаруживать и отсылать алерты об EvilAP по почте. Зачем все усложнять
По IPv6: teredo, серьезно? Я тоже не рад что ipv6 не популизирован в массы. Получить IPv6 в Киеве можно только в ЦОД или через BGP, что для некоторых большой оверхед. Но если и брать вирт адреса IPv6 то хотя бы у лидеров, а не пойми откуда, разверните tunnelbroker.net клиент на шлюзе, не сравнимое преймущество с teredo. Единственное: если вам нужен outgoing smtp server-server с 25 порта: сразу проходите сертификацию в ЛК, без нее он залочен. Заодно получите футболку по почте бесплатно :)
О дефолтных паролях: Даже весьма продвинутые ИТ-специалисты ленятся это делать.
Дальше о статье в общем:
Тоже пробовал слать почту по ipv6 — с подсетей hurricane electric почти что пермабан, вообще ничего не принимают
Далекие люди не будут гуглить как поднять свой VPN, а если все таки нагуглят, то наверное это реально самый простой мануал по настройке VPN сервера.
Далёкие люди не сидят на хабре.
Предположим чисто теоритически вы админ этого банка или наоборот клиент не суть важна. Со стороны клиента есть областной или ценральный офис и куча «точек» (у кого 3g, у кого ethernet, у кого wifi-мост, не суть важна). Клиент подключает все «точки» к себе в областной (или ценральный) по VPN который маршрутизирует только трафик к банку через VPN. Таким образом клиент предоставляет банку только IP-аддресс(а если их несколько) от ценрального офиса, а не все статики/динамики всех своих точек. Вопрос закрыт.
Но по факту — это бред, треш и угар. Банк не может требовать такого — пусть делает нормальные публичные интерфейсы, а если требует — бегите в другой банк.
Мы живем не в сказке, а в реальном мире. Решения «одна волшебная коробка» и все работает без отказов и без доп. настройки — просто либо лож, либо не гибкое/на дежное решение. Что вы подразумеваете под «клиентом» тоже не ясно. Если вы считаете «клиентом» технического спеца — то мне за вас стыдно. А если конечным «клиентом» считать работника удаленного магазина «касира» — то ему ничего настраивать не нужно. Все «коробки» как и рабочие места подготавливаются в центральном офисе (или где у вас там сидят ИТшники): настраиваются, упаковываются и едут устанавливатся на «точку». На всяк случай перед отправкой — на железках еще в офисе включается «удаленное управление» для кейсов если что то пойдет не так.
VPN сервер для подключения клиентов — 1, может быть с несколькоми IP\шлюзами, а может быть и 2 (например на освнове gw-office.company.com — так можно будет без перенастройки клиентов изменить IP если что)
Радиус сервер — 2 шт внутри приватной сети офиса — например на самих AD DC что бы не плодить сервера с 0 нагрузкой. Если что их слушает только VPN сервер, а не клиенты.
У клиента на его «точку продаж» стоит 1 шлюз аля mikrotik либо что у вас там в распоряжении с IPsec/OpenVPN клиентом. Зачем «шлюз будет встроен в POS»? Это фантастика, причем опасная. Точке нужен доступ в сеть не только для POS (нет?), но и для ПК или что у него там у вас.
Вот этого я вообще не понял. Что вы пытались сказать этим? Я это могу прочитать только так: «Вряд ли кто-то захочет мучиться с сетевым оборудованием.»
И мой вам ответ: значит вы работаете не на той должности на которой должны, оставьте работу системному администратору.
Я что то сказал про белый список? facepalm…
В случае таких ситуаций не правильней было бы запастить на каждый pos terminal / точку банка etc каким нибудь маршрутизатором с vpn и авторизацией по radius который вела бы на централизированую базу юзеров типа ldap?
Меня эта фраза тоже улыбнула, но совсем наоборот. За всю свою практику работы обновы windows не сломали ни одного функционала ни на одном из проектов, зато на unix без тестирования на dev env обновлять что либо на major версию чревато всем чем угодно. В windows единственное что было из 2 негативов: 1. Сервера не видел всех обнов, приходилость качать и ставить руками, после этого проблема исщезала. 2. Если начать на новом сервере ставить сруз 150± обнов — скорее всего все помрет на ребуте, ставить лучше "пачками" по 30-40шт
Ребята — утрирование на утрировании…
1>возьмем к примеру openvpn:
Static preshared TLS key — и все. Пока сервер не получит от клиента этот первичный ключ никак реагировать на клиента не будет.
2>whitelist по IP:
как делаю я: пытаюсь понять статика у сотслуживца или нет. Если да или ответ не известен — прикручиваю только 1 ip. Если нет или в дальнейшем ip изменился есть 2 варианта:
2.1 беру инфу по whois asn и добавляю все.
2.2 прошу если есть возможность настроить ddns и вайтлищю ip на основе резолвинга ddns