Вчера я упомянул, что на VPN-сервере (Mac OS X) нельзя настроить одновременно L2TP VPN Server и Back To My Mac. Подтвержу это скриншотами.
Back To My Mac выключен:
On July 7, 2010,
in Статьи,
by ctrld
On July 6, 2010,
in Статьи,
by ctrld
Администраторам часто приходится работать с серверами удалённо, как по ssh, так и по VNC/RDP/Screen Sharing/Remote Management.
Можно открывать прямой доступ к нужным сервисам, полагаясь на пароли. Можно улучшать безопасность, разрешая доступ на брендмауерах только с определённых доверенных хостов и категорически не допускать внесения в этот список сетей по принципу “Ага, Yota. Ага, у них блок /18. Ага, администратор пользуется Yota. Ага, разрешим доступ со всего блока /18″ (к сожалению, в этом блоке есть сотни зараженных хостов, которые сканируют всё окружающее на предмет дыр, а от дыр не застрахован никто).
Но можно построить составную политику безопасности – для доступа в сеть использовать VPN-шлюз, а уже через VPN можно получить доступ к нужным ресурсам. Это и удобно – доступ можно разрешить из публичного Интернет, и достаточно безопасно при условии нормальной политики паролей.
On June 3, 2010,
in iPhone,
by ctrld
Сегодня наткнулся на обсуждение в ru_mac , вызванная возможностью получения доступа ко всем данным на Linux через библиотеку libimobiledevice. Всё было бы не так грустно, если бы в определённых случаях нельзя было бы получить доступ к iPhone, который заблокирован с помощью PIN-кода (PIN на вход в систему, к PIN-коду SIM-карты это не имеет отношения). Описание уязвимости я прочитал 28.05.2010 в статье ““, но только сейчас решил её проверить.
Развитие подобных тем очень предсказуемо. Появляется информация об уязвимости, какое-то время все её обсуждают, проверяют, и приходят к выводу, что всё в порядке. Затем через пару недель подключаются журналисты, которые на основании “исследований британских исследователей из британского исследовательского института” подымают панику начиная от газет, заканчивая телевидением. Мда…
On May 13, 2010,
in Статьи,
by ctrld
Давно я не писал про преодоление защиты сетей. Наверстываю.
Все разы, когда я ездил за границу, в отелях практически всегда был нормальный доступ по WiFi на базе NAT (в основном через transparent proxy для авторизации, но никаких телодвижений по настройке прокси со стороны клиента не требовалось). Только два раза я натыкался на “тупые” конфигурации – один раз в московском отеле, другой – в Амстердаме. Для работы приходилось прописывать прокси, руководствуясь информацией, полученной на receiption.
Конечно же, ssh через web-прокси не работает. Как назло во втором случае мне было очень нужно попасть на мой сервер. Я собирался выкручиваться путём записи на свой сайт скрипта, обеспечивающего доступ к shell, например, , но мне порекомендовал , утилиту для туннелирования SSH поверх HTTP-прокси. Ею я и воспользовался, за что Andy огромное спасибо.
On December 11, 2009,
in Статьи,
by ctrld
Не знаю, как вы, а я везде на своих личных ресурсах и WiFi-маршрутизаторах перешёл на (8.8.8.8 и 8.8.4.4). К этому меня подтолкнула в том числе и проблема с DNS-серверами Воли (подтвердить это не могу, но какое-то время один из них не ничего резолвил).
Можно долго рассуждать о приватности и о том, что Google делает с запросами. Да, я думаю, что на основании этих запросов строятся модели поведения пользователей, и это явно используется в бизнесе Google. Но в данном случае я отношусь к категории “неуловимых Джо” – мне абсолютно безразлично, что обо мне собирают данные таким образом, так как моя модель поведения в Интернет легальна и не отличается от миллионов других пользователей.
On December 10, 2009,
in Статьи,
by ctrld
Хочу дать немного пищи для ума. Многие пользуются сервисом (я – в том числе) и хранят в нём достаточно много информации. И она бывает достаточно конфиденциальной. Например, это могут быть пароли к каким-то сервисам, лицензионные ключи и много другого, что совсем не предназначено для посторонних глаз.
Разработчики Evernote не альтруисты, и они хотят заработать деньги. Поэтому предлагается бесплатная и платная версии. Подписка на Premium в год стоит $45.
Давайте внимательно посмотрим бесплатная и платная версии сервиса (я цитирую русскую версию):
Вот что получают премиум-пользователи Evernote
- Увеличенный до 500 МБ* в месяц объем загружаемых заметок
- Возможность прикреплять, синхронизировать и получать доступ к любому файлу на всех платформах и устройствах
- Поиск текста в изображениях внутри в PDF
- Усиленную безопасность с применением протокола SSL при входе в систему и передаче данных
- Приоритетное распознавание текста в изображениях
- Приоритетное обслуживание и поддержка
- Отсутствие рекламы
- Другие эксклюзивные возможности — совсем скоро!
On December 10, 2009,
in Статьи,
by ctrld
Предположим типичную для системного администратора задачу – есть сервер где-то в глубине сети, на который нужно попасть, предположим, по http, но консольный lynx/elinks не подходит, а нужен именно Safari/Firefox/Chrome (например, сайт на flash или нужна Java). Причём прямого доступа с ноутбука из Интернет на этот сервер нет, но есть “jumpbox” (сервер, исключительно через который открыт доступ по ssh в закрытую сеть). У меня такая ситуация была, когда нужно было попасть на IP-KVM внутри закрытой firewall’ом сети (я использовал ssl, но здесь для простоты покажу на примере порта 80).
On November 30, 2009,
in Новости,
by ctrld
Как вы знаете, небольшая группа киевлян (в составе двух представителей и меня) посетила . Мероприятие мне понравилось, с удовольствием поучаствую в дальнейших. Кроме этого я после месячного перерыва выпил кофе в Старбаксе. В общем поездка удалась.
On November 19, 2009,
in Статьи,
by ctrld
Вчера сбросил мне небольшую заметку ““, которая с первого взгляда у меня вызвала большое сомнение.
4 ноября компания опубликовала исследование об атаке (Man-in-the-middle) на смартфоны (и iPhone в том числе), подключающиеся в Интернет через публичные точки доступа WiFi.
Ничего нового это исследование не открыло – эти техники известны давно, однако оно обратило внимание на технику обхода шифрации SSL (SSL Bypass). Статья доступна в виде PDF . Уязвимость SSL была продемонстрирована на в феврале 2009. Детальное описание можно посмотреть в презентации Moxie Marlinspike (PDF) ““.
Но, поддавшись первому порыву, посмотрите внимательно на этот доклад. Чтобы атака сработала, клиент должен установить соединение по http (gmail.com), исследователь перехватывает ссылку, на которую переправляет (https://gmail.com) и сам общается с gmail по https, транслируя все данные форм, возвращая “жертве” данные по http. Но если “жертва” пойдёт прямо на “https://gmail.com”, то никакой MITM/SSL Bypass не расшифрует этот трафик. И только закон больших чисел даёт из сотен человек найти одну “жертву”. Исследование – это отличный PR, рассчитанный на обычных людей. Посмотрите на десяток перепечаток новости – в каждой сквозит беспочвенная паника.
Поэтому вместо гипотетического “SSL Bypass” давайте рассмотрим, как провести атаку Man In The Middle.
On November 12, 2009,
in Статьи,
by ctrld
Для параноиков или людей, серьёзно относящихся к безопасности в рамках организации, одним из первых порывов при настройке клиентских операционных систем является отключение возможности подключения внешних носителей информации вроде USB-дисков. На (да, это именно USA National Security Agency, Central Security Service) я обнаружил рекомендацию, как это реализовать. Нужно удалить два kext’а – один для USB, второй – для Firewire:
$ sudo rm -Rf /System/Library/Extensions/IOUSBMassStorageClass.kext/ $ sudo rm -Rf /System/Library/Extensions/IOFireWireSerialBusProtocolTransport.kext/
У пользователей не должно быть прав администратора, иначе они запросто восстановят kext’ы (ладно, обычный пользователь вряд ли восстановит, но более-менее искушённый это сделает без проблем).
Но не забывайте, что при обновлении операционной системы файлы скорее всего появятся, и их нужно удалять регулярно. Вариант – создание стартовых скриптов, проводящих эту операцию при перезагрузке. Ещё один – создание каталогов с особыми правами с такими же именами (не пробовал).
А более правильный вариант – это развёртывание в сети централизованной системы аутентификации и авторизации OpenLDAP на Mac OS X Server. В этом случае в профиле пользователя в Mobility Management можно очень просто запретить использование не только съёмных USB-носителей, но и CD/DVD/etc. Исследование того, как именно это происходит, это тема для отдельной статьи, я пока ответить не могу. Но хочу :-)
