Архіви категорій: Security

Radius + LDAP

Виникло завдання зробити зовнішлю авторизацію через LDAP для сервіса, який її не підтримував, зате підтримував авторизацію через Radius. А у radius’a виявився модуль LDAP.

Тестовий стенд: Debian Linux 11.6 + Freeradius.

Нам знадобляться пакети freeradius-ldap, freeradius-utils (для локального тесту через утиліту radtest).

Читати далі

Suricata: best IDS+IPS

Suricata is an open source network threat detection engine that provides capabilities including intrusion detection (IDS), intrusion prevention (IPS) and network security monitoring. It does extremely well with deep packet inspection and pattern matching which makes it incredibly useful for threat and attack detection.

Читати далі

OpenVPN: multihome или несколько каналов

Сейчас всё чаще сервера подключают сразу к нескольким провайдерам. Поэтому, остро стоит проблема корректной работы сервисов, неважно к какому из каналов сервера вы подключились. У OpenVPN для этого есть несколько “хаков”.

Читати далі

OpenVPN: tls-auth vs tls-crypt

Разница между tls-auth и tls-crypt заключается в том, что, начиная с шага 1, tls-crypt будет шифровать все сообщения с помощью предварительного общего ключа.

Это обеспечивает несколько преимуществ:

  1. Он скрывает инициализацию рукопожатия TLS с сервером OpenVPN. Это полезно в некоторых ситуациях, когда подпись протокола OpenVPN обнаружена и заблокирована.
  2. Это предотвращает атаки отказа в обслуживании TLS. С помощью tls-auth злоумышленник может одновременно открыть тысячи соединений TLS, но не может предоставить действительный сертификат, что приводит к заклиниванию доступных портов. С tls-crypt сервер отклонил бы соединение заранее на шаге 1.
  3. Данные шифруются дважды, один раз с помощью tls-crypt и один раз сессией TLS.

Для более детального “погружения” рекомендую посмотреть это

PS. Заметка не моя, взята на просторах сети.

[FreeBSD] tcpdump IPSec

Если попробовать “прослушать” IPSec трафик, то ничего не выйдет. Но выход всё-таки есть. Вот набор команд, которые позволят это сделать:

sysctl net.enc.in.ipsec_filter_mask=0
sysctl net.enc.out.ipsec_filter_mask=0
ifconfig enc0 up
tcpdump -ni enc0

AQUATONE – ищем поддомены консольно

AQUATONE is a set of tools for performing reconnaissance on domain names. It can discover subdomains on a given domain by using open sources as well as the more common subdomain dictionary brute force approach. After subdomain discovery, AQUATONE can then scan the hosts for common web ports and HTTP headers, HTML bodies and screenshots can be gathered and consolidated into a report for easy analysis of the attack surface.

https://github.com/michenriksen/aquatone/

[openvpn] Аутентификация по Рутокен

В данной статье я рассматриваю Рутокен S.

Вот несколько нюансов, без которых авторизация по токену может не работать:

  • сам конфиг openvpn’a не имеет значения, важно что бы клиентская (серверная не обязательно) часть поддерживала pkcs11 (как минимум версия 2.4.4 под Windows это поддерживат; узнать это можно по выводу openvpn –version : если в выводе есть  enable_pkcs11=yes, значит поддерживает )
  • правильное форматирование токета на момент написания статьи было доступно только из-под Windows (если вы форматировали его из-под других ОС, он может не работать)
  • для работы токена нужна библиотека rtPKCS11ECP.dll, так называемый pkcs11-providers (нужно скачивать отдельно с сайта)
  • сертификат клиента в формате p12, а так же сертификат клиента должен иметь расширение (Extended Key Usage Client Authentication); по-умолчанию, в версии 2.4.4 это уже присутствует

Читати далі

[openvpn] Подмена шлюза для хоста

Не знал как назвать заметку, поэтому опишу суть: есть внешняя подсеть 1.1.1.0/24, которую нужно роутить через VPN. Но вот незадача, в этой же подсети находится сам VPN сервер, поэтому, если мы просто пропишем

push "route 1.1.1.0 255.255.255.0"
Читати далі

Условия для получения pci dss compliant

Ниже будут находится условия, при которых проходит тест на pci dss compliant с оценкой A и выше. Все тесты проводились с использованием ресурса https://www.htbridge.com/ssl/

Примечание.

exim, postfix,dovecot могут получить оценки ниже, чем nginx, потому что не используют OCSP stapling (просто нет соответствующих опций)

Читати далі

web-cканнеры

WhatWeb. Официальный сайт https://whatweb.net

WhatWeb is a next generation web scanner.

WhatWeb recognises web technologies including content management systems (CMS), blogging platforms, statistic/analytics packages, JavaScript libraries, web servers, and embedded devices.

WhatWeb has over 1000 plugins, each to recognise something different. WhatWeb also identifies version numbers, email addresses, account IDs, web framework modules, SQL errors, and more.

Читати далі