VPN - имитация работы с другого IP

zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 15:11 Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.
У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 15:11 Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.
Что такое ненастоящий тунель?
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

zVlad wrote: 13 Aug 2021 15:30
Flash-04 wrote: 13 Aug 2021 15:11 Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.
Что такое ненастоящий тунель?
нет network connectivity. сервисы доступны только через браузер.
Not everyone believes what I believe but my beliefs do not require them to.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

zVlad wrote: 13 Aug 2021 15:29
Flash-04 wrote: 13 Aug 2021 15:11 Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.
У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?
>>Мой личный сертификат заменял пароль.

You are in trouble. Серьезно. Есть уже немало подтверденных случаев кражи таких сертификатов через malware. Более надежно через 2FA, но сейчас есть тенденция переходить на "виртуальные" токены, что с моей точки зрения фуфло полное. Тоже крадутся.
Формально сертификат лучше пароля, его нельзя подобрать перебором или через словарь.
Not everyone believes what I believe but my beliefs do not require them to.
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 15:32
zVlad wrote: 13 Aug 2021 15:30
Flash-04 wrote: 13 Aug 2021 15:11 Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.
Что такое ненастоящий тунель?
нет network connectivity. сервисы доступны только через браузер.
Или через Citrix? Да есть у нас такое. Но, наши оставили секьюрити end-point для VPN client который дает network connectivity.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

Был Citrix, теперь убрали. У сервера Citrix нашли очень интересные уязвимости :)
Not everyone believes what I believe but my beliefs do not require them to.
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 15:34
zVlad wrote: 13 Aug 2021 15:29
Flash-04 wrote: 13 Aug 2021 15:11 Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.
У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?
>>Мой личный сертификат заменял пароль.

You are in trouble. Серьезно. Есть уже немало подтверденных случаев кражи таких сертификатов через malware. Более надежно через 2FA, но сейчас есть тенденция переходить на "виртуальные" токены, что с моей точки зрения фуфло полное. Тоже крадутся.
Формально сертификат лучше пароля, его нельзя подобрать перебором или через словарь.
Malware еще надо проникнуть на комп. У меня кроме сертификата еще и "токены" использовались. С теми сертификатами я уже давно не хожу - они пропали с сдохшим хардом, а на другие компы с которых я работаю (их три), я поленился их устанавливать.
Да, еще вспомнил для верификации входа также использовался IP address того моего офисного компа, статический адрес. Так что сворованный сертификат не сработал бы.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

>>Malware еще надо проникнуть на комп.

Почитайте новости. На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.
Not everyone believes what I believe but my beliefs do not require them to.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »


zVlad wrote: Да, еще вспомнил для верификации входа также использовался IP address того моего офисного компа, статический адрес. Так что сворованный сертификат не сработал бы.
Ага, на который вы заходите удалённо. Смешно :)
zVlad, опыт показывает, что какие меры безопасности ни ставить, найдётся болт с хитрой резьбой. Вопрос только в стоимости атаки и времени.
Not everyone believes what I believe but my beliefs do not require them to.
null
Уже с Приветом
Posts: 2406
Joined: 09 Jul 2001 09:01

Re: VPN - имитация работы с другого IP

Post by null »

Flash-04 wrote: 13 Aug 2021 15:49 На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.
Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

null wrote:
Flash-04 wrote: 13 Aug 2021 15:49 На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.
Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд
Information security тоже.
Fireeye - это флагман в индустрии information security.
Про хак RSA слышали? Тоже интересная история.
Not everyone believes what I believe but my beliefs do not require them to.
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 15:50 ...

Ага, на который вы заходите удалённо. Смешно :)
....
Ну и что здесь смешного?
Как на основании моей удаленной работой через RDP можно было бы проникнуть на МФ?
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 15:49 >>Malware еще надо проникнуть на комп.

Почитайте новости. На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.
Ну и что там в новостях пишут про хакание МФ?
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 16:11
null wrote:
Flash-04 wrote: 13 Aug 2021 15:49 На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.
Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд
Information security тоже.
Fireeye - это флагман в индустрии information security.
Про хак RSA слышали? Тоже интересная история.
Информационная секьюрити информационной секьюрити рознь. Хакание хаканью тоже рознь.
Когда занимаются только одной частью ИТ полностью игнорируя другую - МФ, то это одно, а когда занимаются всем в комплексе - это другое.
Любая односторнность, а это характернейшая черта современного ИТ, хуже, слабее чем всесторонность, комплексность.
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 16:11
null wrote:
Flash-04 wrote: 13 Aug 2021 15:49 На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.
Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд
Information security тоже.
Fireeye - это флагман в индустрии information security.
Про хак RSA слышали? Тоже интересная история.
Вебсайт Fireeye не знает ни одного из слов: mainframe, zOS, RACF.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »


zVlad wrote:
Ну и что там в новостях пишут про хакание МФ?
Никому не нужны :) наружу их не выпускают, как домашних котов.
Not everyone believes what I believe but my beliefs do not require them to.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

хозяйке на заметку:
https://www.destinationz.org/Community/ ... urvey-Data
BMC’s 2019 Mainframe Survey found that a whopping 77% of large organizations have reported a breach or a potential breach. I guess the question for the other 23% is whether they’ve had a breach but just haven’t spotted it yet! The BMC survey went on to look at ways that organizations can protect themselves. They found that 92% are being audited at least every two years; 33% use external services for mainframe penetration testing; 42% have privileged user monitoring; 26% have a dedicated mainframe security information and event management software (SIEM); and 36% send SIEM data to an enterprise SIEM. IBM’s “Cost of a Data Breach Report” found that it takes 279 days for organizations to identify and contain a breach. They reckoned it takes 206 days to first identify a breach after it occurs followed by an additional 73 days to contain the breach! Maybe an audit every two years isn’t enough?
так что не всё так гладко. Просто об этом не кричат на перекрестках.
Not everyone believes what I believe but my beliefs do not require them to.
User avatar
None of the above
Новичок
Posts: 46
Joined: 07 Aug 2002 05:55
Location: Vancouver, Canada

Re: VPN - имитация работы с другого IP

Post by None of the above »

zVlad wrote: 13 Aug 2021 14:25 А чем этот "только лаптоп" знаменит и так уж важен для удаленной работы? Кроме может быть шифрованием всех данных на диске.
Он знаменит тем, что на нем стоит кастомный VPN клиент (разработанный, как я понимаю, на основе Cisco AnyConnect) настроенный только на подключение к VPV серверу компании и скорее всего ряд сертификатов.
Кроме этого предустановлен ряд специфического софта (клиенты SAP, FDM, POSSE, PRISM SQL и т.п.). Не могу сказать, чтобы очень часто пользовался, но да, бывает нужно иногда.
Это то, что я по крайней мере знаю, а уж чего там еще напихать могли - хз.
Last edited by None of the above on 13 Aug 2021 18:55, edited 1 time in total.
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 17:06
zVlad wrote:
Ну и что там в новостях пишут про хакание МФ?
Никому не нужны :) наружу их не выпускают, как домашних котов.
Не верно, выпускают. Нет никаких причин не выпускать. Наоборот, это даже безопасней выпускать, например, Веб сервер на МФ по сравнению с не-МФ. 3270 терминалы выпускаются и для них есть специальные сегменты (порты) на ОSA картах.
Файрвалы на МФ есть свои, встроенные и работают они как надо. Все есть для этого. Ты просто не знаешь о чем говоришь. Это не наезд, это по-дружески.
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 17:12 хозяйке на заметку:
https://www.destinationz.org/Community/ ... urvey-Data
BMC’s 2019 Mainframe Survey found that a whopping 77% of large organizations have reported a breach or a potential breach. I guess the question for the other 23% is whether they’ve had a breach but just haven’t spotted it yet! The BMC survey went on to look at ways that organizations can protect themselves. They found that 92% are being audited at least every two years; 33% use external services for mainframe penetration testing; 42% have privileged user monitoring; 26% have a dedicated mainframe security information and event management software (SIEM); and 36% send SIEM data to an enterprise SIEM. IBM’s “Cost of a Data Breach Report” found that it takes 279 days for organizations to identify and contain a breach. They reckoned it takes 206 days to first identify a breach after it occurs followed by an additional 73 days to contain the breach! Maybe an audit every two years isn’t enough?
так что не всё так гладко. Просто об этом не кричат на перекрестках.
Ерунда какая-то. Набор слов ни о чем. В документации по OSA есть диаграмма подключения терминалов 3270 из Интернета. Пожалуйста, присоединяйтесь и работайте если надо. Терминал.
WebSphere на zOS гораздо более надежен чем тот же WebSphere на Windows/Linux.
У нас МФ не доступны непосредственно. Это чисто исторический факт, и факт о том как мало знает и хочет наш клиент от МФ. Не более того. Я полагаю во многих других шопах та же картина.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

У нас МФ не доступны непосредственно. Это чисто исторический факт
как web сервисы, я не видел, чтобы они где-либо были доступны. Это уменьшает exposure, а значит и риск в целом. Тем не менее я часто вижу приложения типа MF-терминал в Costco и Canadian Tire. В Costco можно иногда видеть такой терминал без присмотра, хотя наверное ничего ужасного там сделать нельзя.
WebSphere на zOS гораздо более надежен чем тот же WebSphere на Windows/Linux.
надежнее или безопасней? 8) это знаете, две большие разницы!
В дизайне web-приложений столько можно дыр заложить, что никакой zos RACF не спасёт.

Вот кстати о безопасности:
https://www.ibm.com/support/pages/secur ... erver-8501
WebSphere Application Server could allow a remote attacker to hijack a valid user’s session, caused by an error in the Administrative Console. An attacker could exploit this vulnerability to gain privileges of the victim.
Обратите внимание на OS:
Operating system(s):
AIX, HP-UX, IBM i, Linux, Solaris, Windows, z/OS
Дыры есть везде. Просто где-то их больше, а где-то меньше.
Not everyone believes what I believe but my beliefs do not require them to.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

zVlad wrote: 13 Aug 2021 18:54 Файрвалы на МФ есть свои, встроенные и работают они как надо. Все есть для этого. Ты просто не знаешь о чем говоришь. Это не наезд, это по-дружески.
я как раз знаю. :) Влад, почитайте что такое web applicaton security, а то скучно говорить с тем кто предмета не знает.
Not everyone believes what I believe but my beliefs do not require them to.
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

Flash-04 wrote: 13 Aug 2021 19:48
zVlad wrote: 13 Aug 2021 18:54 Файрвалы на МФ есть свои, встроенные и работают они как надо. Все есть для этого. Ты просто не знаешь о чем говоришь. Это не наезд, это по-дружески.
я как раз знаю. :) Влад, почитайте что такое web applicaton security, а то скучно говорить с тем кто предмета не знает.
Я знаю. Но доказываеть ничего не собираюсь.
User avatar
Flash-04
Уже с Приветом
Posts: 63430
Joined: 03 Nov 2004 05:31
Location: RU -> Toronto, ON

Re: VPN - имитация работы с другого IP

Post by Flash-04 »

Ну и ладно
Not everyone believes what I believe but my beliefs do not require them to.
zVlad
Уже с Приветом
Posts: 15320
Joined: 30 Apr 2003 16:43

Re: VPN - имитация работы с другого IP

Post by zVlad »

None of the above wrote: 13 Aug 2021 18:53
zVlad wrote: 13 Aug 2021 14:25 А чем этот "только лаптоп" знаменит и так уж важен для удаленной работы? Кроме может быть шифрованием всех данных на диске.
Он знаменит тем, что на нем стоит кастомный VPN клиент (разработанный, как я понимаю, на основе Cisco AnyConnect) настроенный только на подключение к VPV серверу компании и скорее всего ряд сертификатов.
Кроме этого предустановлен ряд специфического софта (клиенты SAP, FDM, POSSE, PRISM SQL и т.п.). Не могу сказать, чтобы очень часто пользовался, но да, бывает нужно иногда.
Это то, что я по крайней мере знаю, а уж чего там еще напихать могли - хз.
На моей таблет стоит VpnCilla сконфигурированный на точку входа в нашу сеть напрямую. Не все клиенты я смог сконфигурировать для нашей точки входа, но этот смог. Заходишь и запускаешь Microsoft RD. Коннекчюсь к моему офисному десктопу и все дела. Могу запустить эмулятор 3270 и коннектиться к МФ непосредственно. Никакие сертификаты не требуются.

Return to “Вопросы и новости IT”