Архив рубрики: Безопасность

OpenVPN: multihome или несколько каналов

Сейчас всё чаще сервера подключают сразу к нескольким провайдерам. Поэтому, остро стоит проблема корректной работы сервисов, неважно к какому из каналов сервера вы подключились. У OpenVPN для этого есть несколько «хаков».

Читать далее

OpenVPN: tls-auth vs tls-crypt

Разница между tls-auth и tls-crypt заключается в том, что, начиная с шага 1, tls-crypt будет шифровать все сообщения с помощью предварительного общего ключа.

Это обеспечивает несколько преимуществ:

  1. Он скрывает инициализацию рукопожатия TLS с сервером OpenVPN. Это полезно в некоторых ситуациях, когда подпись протокола OpenVPN обнаружена и заблокирована.
  2. Это предотвращает атаки отказа в обслуживании TLS. С помощью tls-auth злоумышленник может одновременно открыть тысячи соединений TLS, но не может предоставить действительный сертификат, что приводит к заклиниванию доступных портов. С tls-crypt сервер отклонил бы соединение заранее на шаге 1.
  3. Данные шифруются дважды, один раз с помощью tls-crypt и один раз сессией TLS.

Для более детального «погружения» рекомендую посмотреть это

PS. Заметка не моя, взята на просторах сети.

[FreeBSD] tcpdump IPSec

Если попробовать «прослушать» IPSec трафик, то ничего не выйдет. Но выход всё-таки есть. Вот набор команд, которые позволят это сделать:

sysctl net.enc.in.ipsec_filter_mask=0
sysctl net.enc.out.ipsec_filter_mask=0
ifconfig enc0 up
tcpdump -ni enc0

AQUATONE — ищем поддомены консольно

AQUATONE is a set of tools for performing reconnaissance on domain names. It can discover subdomains on a given domain by using open sources as well as the more common subdomain dictionary brute force approach. After subdomain discovery, AQUATONE can then scan the hosts for common web ports and HTTP headers, HTML bodies and screenshots can be gathered and consolidated into a report for easy analysis of the attack surface.

https://github.com/michenriksen/aquatone/

[openvpn] Аутентификация по Рутокен

В данной статье я рассматриваю Рутокен S.

Вот несколько нюансов, без которых авторизация по токену может не работать:

  • сам конфиг openvpn’a не имеет значения, важно что бы клиентская (серверная не обязательно) часть поддерживала pkcs11 (как минимум версия 2.4.4 под Windows это поддерживат; узнать это можно по выводу openvpn —version : если в выводе есть  enable_pkcs11=yes, значит поддерживает )
  • правильное форматирование токета на момент написания статьи было доступно только из-под Windows (если вы форматировали его из-под других ОС, он может не работать)
  • для работы токена нужна библиотека rtPKCS11ECP.dll, так называемый pkcs11-providers (нужно скачивать отдельно с сайта)
  • сертификат клиента в формате p12, а так же сертификат клиента должен иметь расширение (Extended Key Usage Client Authentication); по-умолчанию, в версии 2.4.4 это уже присутствует

Читать далее

[openvpn] Подмена шлюза для хоста

Не знал как назвать заметку, поэтому опишу суть: есть внешняя подсеть 1.1.1.0/24, которую нужно роутить через VPN. Но вот незадача, в этой же подсети находится сам VPN сервер, поэтому, если мы просто пропишем

push "route 1.1.1.0 255.255.255.0"
Читать далее

Условия для получения pci dss compliant

Ниже будут находится условия, при которых проходит тест на pci dss compliant с оценкой A и выше. Все тесты проводились с использованием ресурса https://www.htbridge.com/ssl/

Примечание.

exim, postfix,dovecot могут получить оценки ниже, чем nginx, потому что не используют OCSP stapling (просто нет соответствующих опций)

Читать далее

web-cканнеры

WhatWeb. Официальный сайт https://whatweb.net

WhatWeb is a next generation web scanner.

WhatWeb recognises web technologies including content management systems (CMS), blogging platforms, statistic/analytics packages, JavaScript libraries, web servers, and embedded devices.

WhatWeb has over 1000 plugins, each to recognise something different. WhatWeb also identifies version numbers, email addresses, account IDs, web framework modules, SQL errors, and more.

Читать далее

rssh — разрешить scp/sftp, но не ssh

rssh is a restricted shell for use with OpenSSH, allowing only scp and/or sftp. It now also includes support for rdist, rsync, and cvs. For example, if you have a server which you only want to allow users to copy files off of via scp, without providing shell access, you can use rssh to do that. For a list of platforms on which rssh is known to work, see the Platform Support Page.

Небольшой пример использования можно найти здесь