Категорія: Security

Разница между tls-auth и tls-crypt заключается в том, что, начиная с шага 1, tls-crypt будет шифровать все сообщения с помощью предварительного общего ключа.

Это обеспечивает несколько преимуществ:

1. Он скрывает инициализацию рукопожатия TLS с сервером OpenVPN. Это полезно в некоторых ситуациях, когда подпись протокола OpenVPN обнаружена и заблокирована.
2. Это предотвращает атаки отказа в обслуживании TLS. С помощью tls-auth злоумышленник может одновременно открыть тысячи соединений TLS, но не может предоставить действительный сертификат, что приводит к заклиниванию доступных портов. С tls-crypt сервер отклонил бы соединение заранее на шаге 1.
3. Данные шифруются дважды, один раз с помощью tls-crypt и один раз сессией TLS.

Для более детального “погружения” рекомендую посмотреть это

PS. Заметка не моя, взята на просторах сети.

AQUATONE is a set of tools for performing reconnaissance on domain names. It can discover subdomains on a given domain by using open sources as well as the more common subdomain dictionary brute force approach. After subdomain discovery, AQUATONE can then scan the hosts for common web ports and HTTP headers, HTML bodies and screenshots can be gathered and consolidated into a report for easy analysis of the attack surface.

https://github.com/michenriksen/aquatone/

Не знал как назвать заметку, поэтому опишу суть: есть внешняя подсеть 1.1.1.0/24, которую нужно роутить через VPN. Но вот незадача, в этой же подсети находится сам VPN сервер, поэтому, если мы просто пропишем

push "route 1.1.1.0 255.255.255.0"

Ниже будут находится условия, при которых проходит тест на pci dss compliant с оценкой A и выше. Все тесты проводились с использованием ресурса https://www.htbridge.com/ssl/

Примечание.

exim, postfix,dovecot могут получить оценки ниже, чем nginx, потому что не используют OCSP stapling (просто нет соответствующих опций)

Устанавливаем tor:

# aptitude install tor

Приводим конфиг torrc к такому виду:

rssh is a restricted shell for use with OpenSSH, allowing only scp and/or sftp. It now also includes support for rdist, rsync, and cvs. For example, if you have a server which you only want to allow users to copy files off of via scp, without providing shell access, you can use rssh to do that. For a list of platforms on which rssh is known to work, see the Platform Support Page.

Небольшой пример использования можно найти здесь

Представим ситуацию: есть DPI которая блокирует напрямую соединение с openvpn сервером. Для обхода сооружаем такую схему: аутентифицируемся на прокси и после удачной аутентификации – подключаемся к серверу openvpn. В итоге: на сервер открыт только внешний порт 443 (прокси), а сам сервер openvpn слушает 127.0.0.1:1194.