hvostat: Jeeslaya (Default)
Господин Филин aka [livejournal.com profile] rustedowl провёл нагрузочный тест OpenVPN и выяснил крайне любопытную особенность:

Метода тестирования: два компьютера, соединены гигабитным линком (IPerf3 ~950MBit\s), OpenVPN прокинут между ними.
Максимальная скорость сквозь туннель - ровно 107 Mbit\s. При этом скорость одинакова и для cipher AES-256-CBC и для cipher none, то есть от шифрования эта скорость не зависит.
Видимо, это такая архитектурная особенность OpenVPN. "100 мегабит хватит всем" :)

__
hvostat: Jeeslaya (Default)
Задача: сбросить/изменить пароль администратора в Windows 7.
Есть два способа.
1) Воспользоваться тулзой ERD Commander.

Есть нюанс: в некоторых случаях она отказывается работать с отлупом "данная версия параметров восстановления системы несовместима с восстанавливаемой версией windows".
В этом случае переходим ко второму пункту.

2) Грязный хак
1. Вставляем загрузочную флешку/CD с Win 7.
2. Доходим до WinPE
3. Вызываем командную строку
4. Заменяем файлы. Пишем следующее:
copy c:\windows\system32\sethc.exe c:\
5. Затем следующее:
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe
6. Перезагружаем компьютер
7. Нажимаем Shift пять раз, вызывая Sticky Keys. Вместо него вызывается cmd с уровнем доступа "system".
8. Меняем/создаём пароль:
net user User Pa$$w0rd
9. ???
10. PROFIT!!!

__
hvostat: Jeeslaya (Default)
Коллеги, у кого стоит NOD32 - после обновления 13102 (20160229) возникает ложноположительное срабатывание:
HTML/Refresh.BC
JS/ScrInject.B
При попытке открыть/обновить 90% веб-сайтов.

Не надо бледнеть и пить корвалол - никакой троян к вам не пролез - это NOD’овцы накосячили.
На 14:00 29.02.2016 официальное сообщение от техподдержки: "Это проблема с нашей стороны, мы в течении нескольких часов исправим ошибку и выкатим новое обновление".

UPD:
14:40 29.02.2016 - попустило.

__
hvostat: Jeeslaya (Default)
Не так давно я писал, что в Казахстане внедряют собственные корневые сертификаты для перешифровывания траффика.

Тогда вспомнилась фраза: "Дурной пример заразителен".
И таки да, действительно заразителен:
https://meduza.io/news/2016/02/15/v-rossii-sozdadut-gosudarstvennyy-tsentr-po-vydache-ssl-sertifikatov
http://kommersant.ru/doc/2916742

Напомню, со стороны "простого смертного" отслеживать подобные поползновения можно с помощью штепселя "Certificate Patrol" - к сожалению, пока ТОЛЬКО для FireFox - для Chrome пока нет.

Изучайте технологии VPN и стройте свои, закрытые каналы связи в "оффшор". Пока еще это можно. Хе-хе.

_
hvostat: Jeeslaya (Default)
Ни в коем случае не ставьте драйвера/утилиты для работы с eToken на сервера через RDP - от этого службе смарт-карт становится плохо и она прекращает их пробрасывать в удаленные сеансы.

Правильный метод следующий:
1) Ввалится в сервер через консоль Hyper-V, iLo, IMM или подобную.
2) Запустить службы:
SCardSvr "Smart Card"
ScDeviceEnum "Smart Card Device Enumeration Service"
3) Установить метод запуска обеих служб в "automatic"
4) Установить драйверы/утилиты SafeNet / eToken PKI Client
5) ???
6) Profit!!!

Как убедится, что всё сделано правильно:
1) Ввалиться на сервер через RDP
2) Открыть SNAC/ ETPC
3) Кликнуть RMB по "Tokens" и выбрать "Reader Settings" или "Managing readers" в зависимости от клиента.
4) Значения "Set number.... to:" по дефолту должны быть следующими: 2,1

_
hvostat: Jeeslaya (Default)
Аналоговый офф-лайн генератор паролей:
http://www.passwordcard.org/

Это совершенно прекрасно, ящитаю™.

_
hvostat: Jeeslaya (Default)
Весь пользовательский HTTPS-трафик в Казахстане будет с 1 января 2016-го перехватываться и перешифровываться с помощью подставных сертификатов.

Пользователям, в свою очередь, потребуется установить на все свои устройства предоставленный властями корневой сертификат,
который обеспечит прозрачное использование подставных сертификатов (без установки корневого сертификата подставные сертификаты для конкретных сайтов будут считаться недействительными).

https://roem.ru/02-12-2015/214136/kz/

Самая мякотка заключается в том, что в случае использование связки "ресурс+браузер+HSTS", то при подмене сертификата хрен вы попадёте в wiki, twitter, google, facbook и прочее.

PS: А потом (ввиду общего раздолбайства постсоветских госорганов) закрытый ключ от казахсертификата утечёт в сеть, и живые позавидуют мёртвым.

Весело, чё.
_
hvostat: Jeeslaya (Default)
Публикую по просьбам трудящихся. ;)

Задача: усилить безопасность, отказаться от аутентификации по паролю в пользу аутентификации по RSA-ключам.

Решение (для Windows):
1) Загружаем PuttyGen
2) Выбираем параметры:
Type of key: "SSH-2 RSA"
Number of bits: "2048"
3) Жмачим кнопку "Generate"
4) Шевелим мышою для генерирования случайных чисел
5) Пишем коммент "JunOS Key"
6) НЕ задаём пароль
7) Копируем открытый ключ из окна выше:
"ssh-rsa AAAAB3Nz [ ... ] Zow== JunOS Key"
8) Сохраняем файл в надёжное хранилище.

Вваливаемся в роутер:
1) Переходим в режим редактирования конфигурации:
edit
2) Редактируем настройки доступа:
edit system login
3) Добавляем пользователя:
set user Stepan class super-user full-name "Stepan G. Tabooretkin" uid 2003 authentication ssh-rsa "ssh-rsa AAAAB3Nz [ ... ] Zow== JunOS Key"
4) Да, мы всё это серьезно:
commit

Вход в систему:
Запускаем PAgent и "натравливаем" его на наш файл с ЗАКРЫТЫМ ключом, который создавали в шаге 1.

Запускаем Putty:
1) В профиле подключения указываем Connections=> Data => Login details => Auto-login username "Stepan" и сохраняем настройки
2) Нажимаем "Open"
3) ???
4) PROFIT!!!

_
hvostat: Jeeslaya (Default)
Задача: защитить SSH от ебучих китайцев.

Решение:
1) Вваливаемся в CLI
2) Редактируем конфигурацию:
edit system login retry-options
3) Настраиваем:
set tries-before-disconnect 5
// Количество попыток ввода пароля, прежде чем активируется задержка:
set backoff-threshold 2
// Блокируем юзверя на 10 секунд:
set backoff-factor 10
// Время для ввода пароля:
set minimum-time 20
4) Да, это мы всё серьезно:
commit

_
hvostat: Jeeslaya (Default)
Задача: настроить CA, сгенерировать запрос в CA, заполучить сертификат от CA и установить его.

0) Копируем CA-сертификат.
1.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/blackcat-ca.cer blackcat-ca.cer

1.2) Копируем прямо из консоли:
start shell
cd /tmp
vi blackcat-ca.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

2) Вваливаемся в CLI и редактируем конфиг:
edit
3) Создаём профиль CA и указываем, откуда забирать CRL с частотой раз в 48 часов:
set security pki ca-profile blackcat ca-identity hvostat-BLACKCAT-CA revocation-check crl refresh-interval 48 url http://www.хвостат.com/certcrl.crl
4) Указываем интервал времени развёртывания сертификата в 30 секунд:
set security pki ca-profile blackcat enrollment retry 30
5) Указываем интервал времени повторных попыток развёртывания сертификата в 2400 секунд:
set security pki ca-profile blackcat enrollment retry-interval 2400
6) Да, мы всё это серьёзно:
commit
6) Назначаем CA-сертификат на профиль CA:
request security pki ca-certificate load ca-profile BlackCat-CA filename /tmp/blackcat-ca.crt

Выписываем сертификат для HTTPS:
0) Выходим из режима редактирования конфига
1) Генерируем пару открытый-закрытый ключ длиной 2048 бит:
request security pki generate-key-pair certificate-id https-cert size 2048
2) Генерируем запрос в CA:
request security pki generate-certificate-request certificate-id https-cert subject "CN=SRX-07.хвостат.com,OU=IT,O=LongTail LLC,L=Moscow,ST=Moscow,C=RU" domain-name srx-07.хвостат.com digest sha-256
8) Полученный блок запроса в формате Base64 отправляем в CA и забираем оттуда готовый сертификат и записываем его на FTP.
9.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/certnew.cer certnew.cer

9.2) Копируем прямо из консоли:
start shell
cd /tmp
vi certnew.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

10) Загружаем сертификат в криптохранилище:
request security pki local-certificate load certificate-id https-cert filename certnew.cer
11) Редактируем конфиг:
edit
12) Назначаем сертификат, например на https-web-management:
set system services web-management https pki-local-certificate https-cert
13) Да, мы всё это серьёзно:
commit
14) ???
15) Profit!

_
hvostat: Jeeslaya (Default)
Проверяем:
0) Расхождение даты-времени на сервере, CA и клиенте.
1) Находим точку CDP HTTP в сертификате и проверяем её доступность и статус сертификата с помощью команды:
certutil -verify c:\crt\some_cert.crt
В зависимости от результата:
2) Фиксим CDP на CA
3) DNS
4) Канал связи

Если со всем вышеперечисленным у вас полный "фэн-шуй", тогда выполняем следующее:
1) Вваливаемся в regedit на сервере с IIS
2) Находим ветку:
HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\SslBindingInfo
3) Создаём праметр dword32 с названием "DefaultSslCertCheckMode"
4) Проверям дефолтное значение, равное "0".
5) Перезагружаем сервер.
6) ???
7) PROFIT

_
hvostat: Jeeslaya (Default)
Group 2: a modular exponentiation group with a 1024-bit modulus. (Avoid - weak!)
Group 5: a modular exponentiation group with a 1536-bit modulus. (Avoid - weak!)
Group 14: a modular exponentiation group with a 2048-bit modulus.
Group 19: a random 256-bit elliptic curve group.
Group 20: a random 384-bit elliptic curve group.
Group 21: a random 521-bit elliptic curve group.
Group 24: a modular exponentiation group with a 2048-bit modulus and 256-bit prime order subgroup.

_
hvostat: Jeeslaya (Default)
Ситуация: Сотрудник хочет "ходить на работу" удаленно через TSG, с помощью личного компьютера. Аутентифицироваться будет с помощью смарт-карты (токена).
Проблема: Ноутбук с Windows 8.1 home не читает все сертификаты из токена.
Исправить локальные политики безопасности не получится: gpedit.msc в системах "home premium" и "single language" отсутствует.
Исправить значение ключа реестра тоже не получится: ключа просто не существует.

Решение:
1) Создаём пустой текстовый файл.
2) Вписываем туда следующее:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider]
"ForceReadingAllCertificates"=dword:00000001

3) Переименовываем в read_all.reg
4) Импортируем в реестр.
5) Перезагружаем компьютер.
6) ???
7) PROFIT!

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 21 September 2017 17:51
Powered by Dreamwidth Studios