Category: техника

(no subject)

А накатите, товарищи, Windows Updates, не поленитесь. Тут у Микрософта уязвимость обнаружилась, потенциально могущая все механизмы безопасности на сертификатах - что проверки подписей запускаемых файлов, что HTTPS - в тыкву превратить.

Причём благодарность за обнаружение они выносли никому иному, как No Such Agency, что на серьёзность ситуации как бы намекает.

Патч для соответственной версии винды можно по ссылке скачать, а можно просто поставить апдейты сниматься.

Кстати, семёрка с сегодняшнего дня всё. Для восьмёрки и Win2012 Микрософт патч не выкатил, так что можно предполагать, что и семёрку эта проблема не затрагивает, но в любом случае лучше с неё на другую ось переползти.
  • Current Music
    Sisters of Mercy - Dominion
  • Tags

Контроль-фричество на марше

В продолжение этой темы: если бы мне нужно было сдизайнить сеть типичной компании с нуля, то, думаю, у меня вообще не было бы понятия "корпоративный LAN / вайфай". Был бы Private VLAN, из которого доступ был бы исключительно на VPN gateway (ну или ещё на Интернет, если мы хотим принимать гостей). Любой доступ к внутренним серверам компании - через VPN.

(Что куда лучше 802.1x, который предоставляет аутентификацию, но не защищает от перехвата трафика, его подделки, replay attacks).

Таким образом и любой трафик за пределами серверной комнаты защищён шифрованием, и правила доступа полностью привязаны к юзерской identity и её принадлежностям к разным группам, и user experience одинаковый, где бы юзер не находился - на работе, дома, в кафешке.

А если при этом для аутентификации использовать ключи в чипе TPM, то можно опознавать не только юзера, но и девайс, с которого он подключается, и строить политики по обоим этим критериям. Если какой-то станции нужен доступ для процессов, не связанных с конкретным юзером (скажем, Windows service) - никаких проблем, вводим правило лишь по девайсу. Опять же, ключ неизвлекаемый - им не поделишься, как паролем, его не потеряешь, как смарткарту (только вместе с устройством).

В общем, ye olde plain IP - лишь до VPN-гейта, а поверх - туннель, и между файерволлами - туннели, туннели, сорок тысяч одних туннелей.

Да, и каждый сервер - в собственный VLAN. Чтобы любой трафик через файерволлы тёк.
  • Current Music
    The Sidh - Iridium (https://www.youtube.com/watch?v=amJ_WLmOKS0)
  • Tags
    ,

(no subject)

Снилось, что я то ли читаю статью на Хабре, то ли смотрю видеолекцию - о своеобразном аспекте безопасности. Есть, дескать, для макбуков и айфонов приложение - секретарша Дженни. У Дженни есть много настроек предпочтений владельца, и в том числе такие - когда, кому и как можно вступать с владельцем в физический контакт. Подавалось это как инструмент борьбы с приставаниями на рабочем месте, и поэтому, к примеру, была такая опция: кто и в какие часы может владельцу класть руку на плечо. Скажем, с 08:00 и до 17:00 никому нельзя.

В случае нарушения Дженни мигом сигнализировала куда надо. Такая виртуальная дуэнья.

Ну и дальше шёл рассказ о том, как злоумышленники могут хакнуть бедную Дженни, чтобы владельца (вернее, владелицу) безнаказанно помацать. И как её от тех атак защитить.

Почему-то, несмотря на то, что жила Дженни на эппловских девайсах, её интерфейс был вебным, с табами, как на домашних раутерах. Судя по тому, что там можно было задавать все эти правила доступа на языке SDDL (такая вот нечитабельная хрень), это была админка для продвинутых.

P.S. Похоже, про сны мне есть рассказать куда больше, чем про реальность...

Настройка EAP-TLS на Android

Ещё один компьютерный пост.

Недавно построил WiFi-сетку с аутентикацией по 802.1x, использующую сертификаты для опознания юзеров. В числе прочего, пришлось настраивать для работы с ней устройства на Android – смартфоны и планшетки. Тут-то и выяснилось, что нормального howto, как это сделать, найти не получается – те, которые были, касались сценариев с паролями, а мне от них-то и хотелось избавиться. Потому и решил свести информацию по вопросу в один пост.

Collapse )