LINUX.ORG.RU
ФорумTalks

Энтепрайзное сесурити

 , ,


1

1

Пятиминутка баттхёрта.

Я думал, верх маразма это незапоминаемые пароли, которые вынужденно хранятся в цифровом виде. Нет. Оказывается, можно в разгар айтишных санкций перевести удалённые рабочие столы на Citrix с гугловской 2FA.

А у вас в компании как с этим? Придерживаетесь открытых стандартов и опенсорса?

★★★

Придерживаетесь открытых стандартов и опенсорса?

Если бы это обеспечивало реальную безопасность - придерживался бы

Original_1 ()
Ответ на: комментарий от Original_1

Ну как реальную. Цитрикс и гугл 2fa отключаются одним кликом корпораций добра или родным РКН. «Немодные» l2tp с ipsec и обычный RDP лишены хотя бы этого недостатка.

yu-boot ★★★ ()

Верх маразма это винду с непорезанным доступом в инет (внешним файрволлом) использовать для чего-то серьёзного. Как там доступ организован уже не так важно.

«Немодные» l2tp с ipsec и обычный RDP лишены хотя бы этого недостатка.

Нужно ssh вместо всего перечисленного. Дальше через него можно пробросить x11/vnc/rdp на выбор, если нужно гуи.

firkax ★★★ ()
Последнее исправление: firkax (всего исправлений: 2 )
Ответ на: комментарий от hateyoufeel

так он повышает % кретинов в компании и лично для себя создает прецедент убегания от проблемы, которая всегда догонит

Syncro ★★★★★ ()
Последнее исправление: Syncro (всего исправлений: 1 )

Tunnel through SSH with Rutoken ECP2/3 или другие криптотокены,

остальное IMHO такое себе, до очередной найденной дыры.

sanyo1234 ()
Ответ на: комментарий от George

Кто занимается этим, говорят не секурно и не энтерпрайзно.

yu-boot ★★★ ()
Последнее исправление: yu-boot (всего исправлений: 1 )
Ответ на: комментарий от firkax

Фаервол порезан по отдельным ip и портам даже внутри организации с запросом доступа у СБ. Винда там, где используется, необходима для работы. Кому не нужно, сидят на убунте/дебиане.

yu-boot ★★★ ()

Что такое google 2fa? Одноразовые тридцатисекундные пароли? Это хоть и носит неофициальное название google authenticator, по факту подойдёт любой OTP клиент, стандарт открытый и предельно простой.

filosofia ()

В экономике тоже есть естественный отбор, не мешай ему

alex1101 ()
Ответ на: комментарий от eternal_sorrow

UDP сквозь SSH, офигительная идея.

UDP для чего?

Но в SSH есть ведь и tun, который может легко туннелировать любой IP трафик, т.е. выше либо равно L3.

https://wiki.archlinux.org/title/VPN_over_SSH

А если тебе приспичит туннелировать L2, то можно пробросить через SSH и OpenVPN в TCP mode с TAP интерфейсами для внутреннего туннеля, эффективность с точки зрения производительности конечно сомнительная, зато вероятно секурно при использовании аппаратного крипто (для аутентификации) с обоих сторон SSH (на клиенте и сервере) :)

sanyo1234 ()
Последнее исправление: sanyo1234 (всего исправлений: 1 )
Ответ на: комментарий от sanyo1234

UDP для чего?

Мало ли для чего. Это ты предлагаешь SSH на замену L2TP и IPSEC.

Но в SSH есть ведь и tun

Я знаю, что есть. Я даже однажды кофигурировал VPN сервер на основе SSH. Я к тому что туннелировать UDP через TCP - сомнительная идея. Вот если бы SSH умел использовать транспорт на основе UDP, тогда другое дело. Почему никто такого ещё не придумал?

eternal_sorrow ★★★★★ ()
Последнее исправление: eternal_sorrow (всего исправлений: 2 )
Ответ на: комментарий от eternal_sorrow

Мало ли для чего. Это ты предлагаешь SSH на замену L2TP и IPSEC.

Вроде не на замену, а как вариант.

Туннель, проброшенный через OpenSSH, имеет свойство регулярно отваливаться в случае вредного провайдера, а без особых настроек даже autossh будет достаточно долго тупить до следующего реконнекта.

sanyo1234 ()
Ответ на: комментарий от eternal_sorrow

Вот если бы SSH умел использовать транспорт на основе UDP, тогда другое дело. Почему никто такого ещё не придумал?

Не важно какой там транспорт. Протокол строго последовательный, так что получится всё равно юзерспейсный TCP.

А зачем туннелировать UDP, сохраняя ему датаграмные артефакты, я тоже не понимаю.

firkax ★★★ ()

можно в разгар айтишных санкций перевести удалённые рабочие столы на Citrix с гугловской 2FA.

google authenticator - просто програмный ota, он не обращается к гуглу.

Citrix - удобная в администрировании self-hosted система для виртуализации поверх Xen.

Не вижу ничего страшного.

У меня 2FA на ssh jump host стоит в дополнение к ключу с паролем.

adn ★★★ ()
Последнее исправление: adn (всего исправлений: 1 )
Ответ на: комментарий от yu-boot

Вот прямо сейчас мой работодатель переходит с собственных серверов ipsec и l2tp для RDP на OpenVPN с 2FA через сторонние сервисы. Потому что l2tp либо ipsec взломали.

olegd ★★★ ()
Ответ на: комментарий от firkax

И? В чём твоя проблем с этим? Для некоторых приложений такое поведение может быть необходимо. Потери пакетов могут не иметь значения, если они не высоки, а предыдущий пакет может быть уже неактуален после получения следующего.

eternal_sorrow ★★★★★ ()
Последнее исправление: eternal_sorrow (всего исправлений: 1 )
Ответ на: комментарий от eternal_sorrow

Не то что бы проблема, но мало кому захочется заморачиваться ради такого редко нужного случая, когда можно просто обернуть всё в потоковый протокол без особых оверхедов. А так данные выгоднее слать сразу большими пакетами, не зависящими от приложения, в том же потоке что и всякую служебную информацию протокола, и терять их этом случае нельзя. Ну и CBC режимы всякие не получится использовать если потерять данные в середине.

firkax ★★★ ()
Ответ на: комментарий от eternal_sorrow

Да, самое то в какой-нить контр-страйк через шифрованный туннель играть. Я предполагал что туннель всё-таки для чего-то серьёзного.

И кстати, если не считать игр на quake / half-life / hl2 движках и их форках - то я совсем не уверен что там UDP массово испольуется.

Статистика игр,в которые я играл, говорит как раз об обратном.

firkax ★★★ ()
Ответ на: комментарий от olegd

Потому что l2tp либо ipsec взломали.

Так взломали скорее всего не ваш IPSEC, а всего лишь сперли ваш ключ, который вы не потрудились спрятать в аппаратном криптотокене? Но виноват конечно же IPSEC :)

sanyo1234 ()
Ответ на: комментарий от sanyo1234

Расследование не завершено, но предполагают, что проблема в ком-то из пользователей с правами админа :)

Поэтому выходит, что сторонние решения безопаснее. Там правила заданы жёстче. И послабления делать нельзя.

olegd ★★★ ()
Ответ на: комментарий от olegd

Поэтому выходит, что сторонние решения безопаснее. Там правила заданы жёстче. И послабления делать нельзя.

Жестче, - это когда ничего серьезного нельзя сделать без подтверждения нескольких Security Officers, как в Nitrokey HSM2.

sanyo1234 ()
Ответ на: комментарий от sanyo1234

Жестче, - это когда ничего серьезного нельзя сделать без подтверждения нескольких Security Officers

Именно.

olegd ★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)