Category: техника

Контроль-фричество на марше

В продолжение этой темы: если бы мне нужно было сдизайнить сеть типичной компании с нуля, то, думаю, у меня вообще не было бы понятия "корпоративный LAN / вайфай". Был бы Private VLAN, из которого доступ был бы исключительно на VPN gateway (ну или ещё на Интернет, если мы хотим принимать гостей). Любой доступ к внутренним серверам компании - через VPN.

(Что куда лучше 802.1x, который предоставляет аутентификацию, но не защищает от перехвата трафика, его подделки, replay attacks).

Таким образом и любой трафик за пределами серверной комнаты защищён шифрованием, и правила доступа полностью привязаны к юзерской identity и её принадлежностям к разным группам, и user experience одинаковый, где бы юзер не находился - на работе, дома, в кафешке.

А если при этом для аутентификации использовать ключи в чипе TPM, то можно опознавать не только юзера, но и девайс, с которого он подключается, и строить политики по обоим этим критериям. Если какой-то станции нужен доступ для процессов, не связанных с конкретным юзером (скажем, Windows service) - никаких проблем, вводим правило лишь по девайсу. Опять же, ключ неизвлекаемый - им не поделишься, как паролем, его не потеряешь, как смарткарту (только вместе с устройством).

В общем, ye olde plain IP - лишь до VPN-гейта, а поверх - туннель, и между файерволлами - туннели, туннели, сорок тысяч одних туннелей.

Да, и каждый сервер - в собственный VLAN. Чтобы любой трафик через файерволлы тёк.
  • Current Music
    The Sidh - Iridium (https://www.youtube.com/watch?v=amJ_WLmOKS0)
  • Tags
    ,

(no subject)

Снилось, что я то ли читаю статью на Хабре, то ли смотрю видеолекцию - о своеобразном аспекте безопасности. Есть, дескать, для макбуков и айфонов приложение - секретарша Дженни. У Дженни есть много настроек предпочтений владельца, и в том числе такие - когда, кому и как можно вступать с владельцем в физический контакт. Подавалось это как инструмент борьбы с приставаниями на рабочем месте, и поэтому, к примеру, была такая опция: кто и в какие часы может владельцу класть руку на плечо. Скажем, с 08:00 и до 17:00 никому нельзя.

В случае нарушения Дженни мигом сигнализировала куда надо. Такая виртуальная дуэнья.

Ну и дальше шёл рассказ о том, как злоумышленники могут хакнуть бедную Дженни, чтобы владельца (вернее, владелицу) безнаказанно помацать. И как её от тех атак защитить.

Почему-то, несмотря на то, что жила Дженни на эппловских девайсах, её интерфейс был вебным, с табами, как на домашних раутерах. Судя по тому, что там можно было задавать все эти правила доступа на языке SDDL (такая вот нечитабельная хрень), это была админка для продвинутых.

P.S. Похоже, про сны мне есть рассказать куда больше, чем про реальность...

Настройка EAP-TLS на Android

Ещё один компьютерный пост.

Недавно построил WiFi-сетку с аутентикацией по 802.1x, использующую сертификаты для опознания юзеров. В числе прочего, пришлось настраивать для работы с ней устройства на Android – смартфоны и планшетки. Тут-то и выяснилось, что нормального howto, как это сделать, найти не получается – те, которые были, касались сценариев с паролями, а мне от них-то и хотелось избавиться. Потому и решил свести информацию по вопросу в один пост.

Collapse )