Сетевые технологии *

Привет, Хабр! Мы в CTI 20 лет строим и тестируем беспроводные сети. Время от времени сталкиваемся с забавными ситуациями, которые показывают серьёзную уязвимость в клиентском Wi-Fi. Причём о некоторых вещах мы узнали только в процессе работы. Всё это совершенно неочевидные мелочи, которые влияют на защиту сети наравне с технологиями.

В этой статье мы делимся историями из практики:

●      как бабушка предотвратила MITM-атаку;

●      как точка доступа, любезно висящая на одном кабеле, могла стать вектором для атаки;

●      как топ-менеджеры своими руками сделали сеть небезопасной;

●      как мы спасали Wi-Fi-сеть на стадионе во время крупного спортивного чемпионата и ловили нарушителя радиоэфира.

Разумеется, мы расскажем, что делать, чтобы аналогичное не случилось в вашем офисе. В финале поделимся нашими best practices, как организовать безопасный беспроводной интернет.

Возможно, этот текст пригодится тем, кто занимается безопасностью корпоративного Wi-Fi или только задумывается, как сделать его более защищённым. И конечно, будем рады вашим историям в комментариях.

В статье «Итоги внутренних пентестов — 2020» от Positive Technologies сообщается, что в 61% внутренних тестирований на проникновение успешно применялась атака Kerberoasting. Это мотивировало меня разобраться в атаке, а также ответить на следующие вопросы: почему Kerberoasting так часто эксплуатируется и какие практики по защите существуют и успешно применяются на текущий момент. 

Перед тем как перейти к сути атаки, полезно получить общее представление о том, как именно устроена проверка подлинности Kerberos.

Проверка подлинности

В проверке подлинности Microsoft по Kerberos участвуют:

Key Distribution Center (KDC) – Центр распространения ключей Kerberos, одна из служб безопасности Windows server. Работает на контроллере домена (DC);

Клиент, который хочет пройти проверку подлинности и получить доступ к сервису;

Сервер, к сервису которого пользователь хочет получить доступ.

Гайд о том, как на практике применить обфускацию, используемую в TOR для обхода DPI или непрозрачных прокси-серверов (причем, не только на уровне провайдера/государства, но и корпоративного уровня) без сильного замедления трафика засчет self-hosted.

Поскольку после прохождения первого чтения обсуждения начались с новой силой, хочу описать свое мнение о творящемся, поскольку всё это топчется прямо по моей больной мозоли. Очень болезненно наблюдать как интернет в России, к строительству которого я всё-таки был причастен последние пару десятилетий, разрывается на куски.

Безусловно, мнение субъективное и могу быть не прав. Хорошо бы...

В 2021 году VPN протокол WireGuard стал настолько популярен в Египте, что удостоился чести пополнить список заблокированных, несказанно “обрадовав” не только клиентов Cloudflare Warp+, Mullvad Wireguard и других коммерческих VPN-провайдеров, но и некоторых пользователей корпоративных VPN. Предварительные исследования показали, что по всей видимости DPI нацелен на WireGuard Handshake Initiate пакеты, которые имеют фиксированный размер (148 байт) и узнаваемую структуру (первые четыре байта UDP пакета [0x01, 0x00, 0x00, 0x00]). Мы постараемся разобраться с особенностями работы DPI по блокировке WireGuard и попробуем ее обойти. Кого заинтересовал - добро пожаловать под кат.

Жил да был один Банк.  В Банке была хорошая профессиональная команда ИТ-служб, но, как это часто бывает, эксплуатационных задач было больше, чем ресурсов для их решения. В результате вычислительная и сетевая инфраструктуры Банка развивались достаточно стихийно, реагируя на запросы бизнеса «здесь и сейчас».

В какой-то момент в Банке осознали, что риски растут, и...

30 апреля 2021 года автор проделал рикролл по своему школьному округу. Это не только моя школа, но и весь школьный городской округ 214 (далее — D214), один из крупнейших школьных округов в Иллинойсе, состоящий из 6 школ, в которых учатся более 11 000 человек.

Подробности рассказываем в этом пятничном посте к старту курса по этичному хакерству.

Предлагаю ознакомиться с ранее размещенными материалами по проекту StarLink (SL):

‣ Часть 35. Проблема StarLink и LEO группировок
‣ Часть 36. Ретроспектива частотных планов
‣ Часть 37. НеДовыход из бета-версии и проблемы с выполнением предзаказов
‣ Часть 38. Новый терминал StarLink UT-2
‣ Часть 39. Эволюция частотных планов StarLink в 2016-2020 годах
‣ Часть 40. Испанский «привет» СтарЛинку

В предыдущей части я рассказывал, почему для ИБ важна валидация маршрутов в ВGP и как каждый клиент сервис-провайдера может обезопасить протоколы маршрутизации с помощью RPKI. 

Но если у вас своя АС с несколькими пирингами, как это бывает у многих банков или ИТ-компаний, то лучшим решением будет внедрить свою валидацию и фильтрацию маршрутов на основе RPKI. И в этом случае прошлой весной вас (и нас) ждал неприятный сюрприз. Широко используемый RPKI-RTR-сервер от RIPE успел получить статус deprecated ☹. Прекратилась разработка и дальнейшая поддержка продукта, с последующим удалением из официального репозитория.

Так что во второй короткой части расскажу, как мы решали проблему с заменой решения и внедряли RPKI на нашем сетевом оборудовании. Покажу на примере Cisco, для которого инструкции от RIPE почему-то нет.

Меня зовут Аксёнов Вячеслав, я старший бэкенд Java/Kotlin разработчик в крупном энтерпрайзе. Однажды я попал на проект, полный микросервисов, в котором за конфигурацию отвечала такая штука как Spring Cloud. Чтобы разобраться как именно это работает я исследовал и прикрутил этот диковенный элемент к одному своему пет проекту. И в этой статье я пошагово покажу как я это сделал

Мы много пишем об оборудовании и инфраструктуре, но до сих пор мало внимания уделяли сервисам, которые получают клиенты Huawei. Сегодня мы расскажем, сколько русскоязычных инженеров работает в поддержке Huawei, что такое Smart NOS, Smart IDC и как наши глобальные центры передают друг другу задачи вслед за Солнцем.

Продолжаю ковырять автоматизацию рутины на сети из Huawei коммутаторов. На этот раз изыскания, которые позволили сократить код в 3 раза, а именно: хосты и команды перенесены в отдельные файлы, пароль и имя пользователя больше не хранятся в открытом тексте. Есть демонстрация запуска скрипта. Детальное описание за кнопкой «Читать далее».

Долгое время беспроводные сети WiFi предполагали наличие кабеля между точками доступа. Даже название «точка доступа» предполагает, что эти устройства работают на уровне доступа для подключения клиентов, а уровень агрегации/распределения уже требует проводной сети. Такую архитектуру было правильней назвать гибридной: проводная + беспроводная.

Однако прогресс не стоит на месте, и по мере развития беспроводной передачи данных наличие проводов уже перестало быть всенепременным условием для построения сети.

Не только смартфоны, планшеты и ноутбуки, но и некоторые сетевые хранилища (NAS), сетевые принтеры, МФУ и другое оборудование уже имеют «на борту» беспроводной интерфейс и готовы подключаться к сети WiFi.

Но можно ли обойтись без проводов? Или хотя бы максимально обойтись без кабельной системы? Об этом читайте в новом цикле наших статей.

В этом посте описывается процесс построения простой топологии сети с использованием информации, полученной с помощью команды "show ip ospf database". Это интересное упражнение, позволяющее понять, как читать информацию, содержащуюся в различных типах LSA, и как они связаны друг с другом, наподобие пазла.

"7 раз отмерь,1 раз отрежь" - гласит известная поговорка.

Если вы следовали нашим советам в предыдущих статьях, вы уже наверняка подготовили наши микросотовые системы к установке, установили и даже произвели настройку. Дело за малым – провести последние проверки с помощью рабочих телефонных трубок и запустить микросоту в полноценное использование.

Думаю, не сильно ошибусь, если скажу, что каждый разработчик программного обеспечения рано или поздно сталкивается с задачей взаимодействия приложений расположенных на удаленных узлах локальной или глобальной сети. В разных проектах мне довелось поработать с DCOM, SOAP, самописным (не моим) rpc-протоколом, использующим связку json+boost.asio. Проблематика коммуникации приложений и процессов мне всегда была интересна. Пытаясь разобраться, как устроены различные механизмы взаимодействия, ставя эксперименты по сериализации данных, со временем, я пришел к решению, о котором хочу рассказать.