Vlákno názorů k článku Sofistikovaná sabotáž XZ zabrala roky, odhalena byla šťastnou náhodou od Jan Hrach - > Veřejné síťové služby, které by měli používat...
-
Jan HrachStříbrný podporovatel> Veřejné síťové služby, které by měli používat pouze známí uživatelé (jako OpenSSH, IMAP server v malých firmách atd.), by měly být provozovány za VPN.
Jako jo a ne. Takže příště bude backdoor ve VPN serveru? :) Ale ano, bude lepší vystrkovat jen jednu VPN než všechno po částech.
> Na pracovních stanicích používejte OpenSnitch (pouze v Linuxu).
Já to zkoušel, ale bylo to dost peklo nastavit a stejně to pak nefungovalo na věci jako "aplikace si forkla wget".
30. 3. 2024, 23:32 editováno autorem komentáře
-
Já s tou VPN mám taky problém. Když se jako admin potřebuju připojit ke 30 serverům, mám si spustit 30 VPN? Chvíli jsem pracoval v týmu, kde přesně tahle politika byla (vše za VPN) a efektivita práce byla nulová, protože se neustále nahazovaly a shazovali VPN tunely.
Celkem chápu, odkud se tenhle nápad mohl zrodit a i tady na rootu byly zprávičky o tom, že někdo vykradl tu či onu DB, která byla volně přístupná a bez zabezpečení. Jenže odpověď na tohle není "dejte tam VPN". Odpověď na tohle je "zabezpečte si tu DB a pokud to není nutné, tak ji nepouštějte na internet".
-
Typickej devel s jednoduchym vnimanim sveta outsourcovane infrastruktury.
Uz jsi videl pytel nebo slozku s kapsickami ve ktery mas ruzny tokeny, otp appky, specialni cisla, kalkulacky atd? Co firma to jiny system vpn. Casto binarni blob nebo pod tom i sesna na rdp aby videli co presne delas.
A samozrejme co firma to jiny politiky. A kazda firma jeste pouziva ruzne systemy na config management.Pouze na vybrane zakose je mozno mit admin backdoor vpn nebo dostat se pres agenty. Vetsinou nejake startupy kde se bezpecnost a audit logy moc neresi.
1. 5. 2024, 19:44 editováno autorem komentáře
-
Ale to si tak predsa mozete nastavit ze sa dostanete do 'svojej' siete alebo na 'svoj' pocitac cez VPN a odtial uz mozete ist cez 'permanentne' VPNky kam potrebujete.
A jak vám tohle funguje? Tohle jsme řešili někdy kolem roku 2010. Navázané VPN v rámci vyhrazené firemní sítě a zaměstnanci se přihlašují do této sítě. Na papíře krásné.
V praxi je problém se vším. Už třeba jenom adresy. Někdy je na "druhé straně" 10.0.0.0/8. Takže pokud máte 50 firem, 10 z toho používá 10.0.0.0 a jedna pro jistotu rovnou /8, tak jste víte kde. Takto stačí klidně 10 firem a máte vyčerpané 10/8, 192.168/16 a 172.16/12. Do toho pochopitelně ještě doma máte typicky něco z toho. A tento problém jsem já zrovna neměl, protože doma jsem měl veřejky (mám dodnes).
A to se vůbec nebavím o technologiích. Někdo OpenVPN, někdo L2TP, někdo Cisco krabičky (takže ve své serverovně máte 15 cisco krabiček pro 15 vzdálených bodů) a tak dále.
O IPv6 a povinném IPSec nikdo nechtěl slyšet.
Takže: na papíře prostě super
-
Ano bud musite medzi-firemne koordinovat address spaces, alebo pouzit ipv6 (co je podla mna celkom dobre a staci na prepoj nieco dnuka, vid. nizssie).
Potom este pomaha mat bouncer S2S, v DC, ktory translatuje address spaces jednotlivych klientov.
Po case zistite, ze je velmi dobre mat u klienta bouncer/bastion, za vpn samozrejme, kde vam bezi nejaky, ako to ja volam "persistent holder": screen (lol), alebo skor nieco pre dospleych, ako tmux.
Napr. tmux autor siel a specificky pridal podporu direkt servera, takze si tam mozte naspinovat "holder daemony" per user.
Ono zistite, ze mat takto nieco co vam drzi spojenia in-infra je extremne pohodlne. Pad VPN je potom len reconnect. Pripojite sa spat na tmux a mate svoju session v stave ako pred padom.
Napr ja si to automatizujem az na uroven window managera, kolegov to uz ale vtedy vypinalo, plus maju radi gnome. Cize ale ked mi spadne vpn a pripojim sa naspak, tak terminalove okna si pamtaju, ktora session bola kde.
Ale dnes uz robi vlny wiregurad, a medzi ludmi co maju tisice a stotisice strojov zacina byt popularny tailscale. Osobne som proti, lebo cloud (ale vraj mzote bezat aj vlastnu isntance gitlab style), ale dobry koncept, kuknite.
