LINUX.ORG.RU

Что нужно злоумышленнику, что получить доступ?

 ,


1

2

Доброе...

Подскажите пожалуйста, кто в курсе так или иначе)

Как злоумышленник может получить доступ к информации внутри OpenVPN?

Что ему нужно для получения доступа? (В теории? реальные и идеальные злоумышленники).

Условия такие: Ключи хранятся на флешке. Передаются лично, без интернета.

И что может получить/сделать злоумышленник. получив ключ клиента, у которого доступ только на одну страницу.

Все описал примерно... Интересно понять, что реально, а что не очень, с точки зрения взлома. И какие меры можно и не можно применять?)

Просто говорят, что OpenVPN ломают. и получают доступ. а вот как? интересна больше теория, для понимая что меня ждет, если начальство начнет просить увеличивать защиту)

интересен так же идеальный злоумышленник. чтобы сделал он , и чтобы сделал более реальный, хотя может они теперь и равны)

Спасибо.

Плюсую паяльник и физический доступ.

Кстати, удалённый доступ к системе тоже подойдёт. VPN только от MiM защитит.

emulek ()
Ответ на: комментарий от UNiTE

нет, не с его ... со стороны человека, который должен пояснить, где возможные бреши и что можно предпринять для минимизации утечки...

firefedot ()
Ответ на: комментарий от dhameoelin

Физическая пытка - это понятно ...

А что может быть удаленной уязвимостью?

Например злоумышленник узнал ip-адрес к которому идет подключение впн.

Он может узнать открытые порты, а дальше... если у него нет ключей? Он будет просто биться и без толку, только логи засорять или же есть средства? Сами средства не очень интересуют, интересно - есть ли такое что-то, чего стоит опасаться и прочая мания что все могут украсть...

Просто понять хочется, идеальный случай взлома, без ключей на руках. а зная только айпишник или вообще его не зная)

firefedot ()
Ответ на: комментарий от crowbar

ага, как понял - типа кейлогеров...

Следовательно - клиент должен работать только на одном, личном и всегда с собой носимым устройством...*?

Паранойя. но все же ...)

firefedot ()
Ответ на: комментарий от emulek

Это понятно ...

А где можно посмотреть .. точней так... как правильно спросить у поисковика...?

На предмет чего искать?

firefedot ()

Идеальный злоумышленник: zero-day на openvpn, залетаю в твою сеть, zero-day на хосте и я root. Далее смотря что мне от тебя нужно. Что-то украсть прямо сейчас, немного погодя или просто пользоваться твоими ресурсами. Ставлю kernel level rootkit на все твои машины в сети. Тихо пасу всё это, пока ты в блаженном неведении:)

anonymous ()

Любовь и забота. Нежность и человеческое тепло.

darkenshvein ★★★★★ ()
Ответ на: комментарий от anonymous

В кого или во что перелогиниться?))

Если впн маркетинг. то что может быть действительно хорошим решением? Железным - на cisco?

firefedot ()

Тебе выше правильно написали - самая большая опасность для openvpn это протрояненная винда на стороне клиента. Отсюда возможное предложение по повышению безопасности - избавление от винды на клиентской стороне.

nbw ★★★ ()
Последнее исправление: nbw (всего исправлений: 1)

Я бы рассматривал следующие векторы атаки:

  • Физическое воздействие на пользователей сети.
  • Направленная атака на компьютеры пользователей сети (трояны и подобное).
  • Атака полным перебором на ключ.
  • Атака на протокол.
  • Атака на реализацию протокола.
Deleted ()
Ответ на: комментарий от nbw

протрояненная винда на стороне клиента

Не то чтобы это бывает чаще, но никто не мешает на стороне клиента быть убунте с работающим по дефолтному порту ссш по паролям и аккаунтом user/password. Ничуть не лучше протрояненной винды.

sT331h0rs3 ★★★★★ ()
Ответ на: комментарий от Deleted

Перебор ключа по паролю, в случае пароля в 10-20 символов (цифры, буквы и допущенные спец символы) такой перебор будет не быстрый и нужно всегда что был доступ к самому к попытке...

А если идет перебор, то не верные попытки сигналят на сервер и он отзывает и временно блокирует этот сертификат....

Или такой метод не будет работать как своеобразная защита?

И атака на протокол, она как работает?

Что считается тут протоколом SSL? или сам туннель? то есть атакап по заведомо слабым местам программы.так?

firefedot ()
Ответ на: комментарий от nbw

Ага, трояны, кейлогеры - это понятно...

И вариант с клиентом на не винде тоже есть, но как написали. стоит упустить пользователю как написали ниже:

протрояненная винда на стороне клиента

Не то чтобы это бывает чаще, но никто не мешает на стороне клиента быть убунте с работающим по дефолтному порту ссш по паролям и аккаунтом user/password. Ничуть не лучше протрояненной винды.

Но вариант ене с виндой мне нравится, главное на андроид не перейти)

Хотя если сделать ему шлюз основной через впн, то поидее все попытки отправки будут идти не в инет, а туда где шлюз)

То есть, можно подключить впн, и весь трафик щзавернуть через свой сервер и только впн и работа и нужные сервисы ... такая схема тоже будет дырява на случай заражения? или того же андроида(мне кажется андроиды сами по себе могут выдавать все данные ))

firefedot ()

ногти рвать советовали?

CHIPOK ★★★ ()

Что нужно злоумышленнику, что получить доступ?

Взломать тот дырявый китайский роутер, который является openvpn-сервером. И дампить весь трафик.
Воспользоваться очередной дыркой в libssl, благо их каждую неделю находят и далеко не всегда исправляют вовремя.
Ломануть клиента, который скорее всего имеет доступ ко всей сетке. Дампить его трафик и ломать другие хосты участников.
И ещё пачка решений.

что может получить/сделать злоумышленник. получив ключ клиента, у которого доступ только на одну страницу.

OpenVPN очень централизован, даже несмотря на все костыли для связи клиентов напрямую и искусственные ограничения. Любой клиент может попытаться совершить атаку на vpn-сервер изнутри vpn-сети. Для простоты считай что при компрометации абсолютно любого ключа сразу компрометируется вся сетка.

Все описал примерно... Интересно понять, что реально, а что не очень, с точки зрения взлома.

А это всё очень реально, и даже автоматизировано на ботнетах.
OpenVPN — это вообще такое удобное решето, а не защита. OpenVPN — это тот случай, когда лучше передавать коммерческие тайны плейнтекстом, чем привлекать внимание этим vpn'ом.

интересен так же идеальный злоумышленник. чтобы сделал он , и чтобы сделал более реальный, хотя может они теперь и равны)

Твой враг — это ботнет, который отсканит openvpn-порт и начнёт иметь через этот порт всю твою защищенную сетку уже через пару дней после подъёма vpn-сервера. А у твоего клиента с макосью/вендой ключ случайно утечёт в китай.

интересна больше теория, для понимая что меня ждет, если начальство начнет просить увеличивать защиту)

Защита openvpn равна нулю, просто ваша контора пока никому не интересна. Усилить защиту openvpn в два раза — это как умножить два на ноль. Если бы openVPN реально хоть от чего то защищала, то не было бы кучи коммерческих трансконтинентальных vpn-сервисов, не было бы её ежедневных упоминаний в СМИ, не было бы радостных отчетов АНБ о том, что всё vpn на рынке — суть есть полное решето.

И какие меры можно и не можно применять?)

Использовать любые нестандартные решения. port-knocking с клиентов на сервера, geoiptables на vpn-серверах, жесткий fail2ban для всех портов ssh-vpn-и-прочих, snort. Лучше вообще отказаться от openvpn, перейти на cjdns, tinc, etc. Для файлохранилища использовать tahoe-lafs, накодив предварительно webdav-backend, без которого оно не юзабельно.

shahid ★★★★★ ()
Ответ на: комментарий от shahid

Ухты ...

Спасибо огромное...

Есть мне теперь над чем подумать и ведь в кое чем я был прав.

Спасибо...

firefedot ()
Ответ на: комментарий от shahid

Уважаемый, что за страшные сказочки на ночь?

ботнет, который отсканит openvpn-порт и начнёт иметь через этот порт всю твою защищенную сетку уже через пару дней после подъёма vpn-сервера.

Можно хоть один пример?

Ломануть клиента, который скорее всего имеет доступ ко всей сетке.

Так нормальные люди не делают (в смысле, не дают vpn-клиентам с виндой досуп ко всему intranet'у).

при компрометации абсолютно любого ключа сразу компрометируется вся сетка.

"--ccd-exclusive" + firewall спасёт от большей части вышеперечисленных ужасов. И IDS тоже нужно, да.

nbw ★★★ ()
Ответ на: комментарий от firefedot

Можно и совсем без ключей, только с одним публичным сертификатом CA. По логину и паролю. Например. В большинстве руководств и how-to ключи генерят прямо на взятой аренду VDS или vps. К которой есть доступ не только у тебя. Генерить ключи нужно только на своей машине, желательно без доступа в интернет во время генерации и последующего сохранения.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)

Человеческий фактор, друг мой. Это реальная проблема. Вам нужно отвественность размазать на несколько человек, чтобы не один человек им руководил.

pic0 ()

терморектальный криптоанализ сейчас в некоторых странах очень популярен

invokercd ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.