Security – Weril

Network security: сетевые атаки (kali, yersinia, arpspoof, dns2proxy, mitmproxy, sslsplit, aircrack, dnsmasq, hping3, dnsflood, sockstress)

Kali linux

Легко запускается в virtualbox/vmware
- Скачать можно тут
- kali/kali default username/password
Можно поставить и life образ на flash, например, используя rufus.
Примеры запуска DoS/DDoS атак с использованием hping3, dnsflood в отдельной статье DoS/DDoS
Образ для QEMU, пригодится для GNS3 (доступ через vnc для GUI, ssh для CLI, но нужно включать)

# on KALI
sudo systemctl start ssh # sudo service ssh start
sudo systemctl enable ssh

# on remote
ssh root@172.16.208.130

- default password toor (-> root)
Если есть проблема в работе NetworkManager в Kali Linux (нет апплета, не применяются настройки, падает интерфейс и проч) – лучше всего его снести (застопить, в конфиге /etc/NetworkManager/NetworkManager.conf

Security: IPSec VPN (Theory, Cisco implementations: gre over ipsec, cryptomaps, ezvpn, flexvpn, getvpn)

IPSEC

Все статьи про VPN
- Базовая теория
- DMVPN
- L2VPN
- Remote Access VPN
- IPsec VPN и множественные его реализации, site-to-site VPN (эта статья)
- Пример практической настройки IPSec
  - IPSec VPN на Linux
  - IPSec VPN на Zyxel Keenetic
Хорошая преза на основе Cisco Learning Academy
Базовая настройка IPsec и GRE есть уже даже в CCNA R&S (enterprise)
IPSec используется OSPF/EIGRP для IPv6 в качестве замены md5
IPSec использует поточные алгоритмы шифрования
IPSec очень широко используется в enterprise, ISP, mobile решениях
Уязвим IPsec только IPSec IKEv1 в Aggressive Mode (поэтому лучше использовать MAIN Mode), уязвимость состоит в том, что существует возможность подбора PSK ключа при перехвате трафика Phase 1 посредством инструментов IKE-scan, PSK-crack, Cain и таким образом можно получить доступ к туннелю.

Тестируем сетевые устройства с помощью Stack Integrity Checker (ISIC)

fuzzing так же возможен на базе tcpreplay-edit, scapy, isic, radamsa + curl (скрин)

IP Stack Integrity Checker (ISIC) – набор утилит по тестированию стека tcp-ip без application layer. Им активно пользуются лаборатории по тестированию при тестировании firewall/ips, совместно с BreakingPoint stack scrambler – в основном трафик направляют непосредственно на management интерфейс DUT.

Читать дальше

Security: теория

Пару примеров о том, что детально описано ниже, до огромной статьи.

почему “лычки” в ИБ. всегда были и будут и они важны на примере яндекс облака – сначала говорим о них, потом о фактических мерах, хоть и безусловно хороших, я ниже сохранил только техническую часть, лычки тут

Технический уровень
Чтобы обеспечить конфиденциальность и целостность данных, Yandex Cloud шифрует их на уровне физической инфраструктуры и на уровне Storage Layer.

Установка и использование Dante в качестве сервера Socks5 на Ubuntu 16

Множество вариантов проще описанного ниже – деплой своего прокси/VPN сервера это вариант не для простых пользователей.

В свете огромной вероятности блокировки telegram в ближайшее время возник вопрос в установке и использовании Dante в качестве сервера Socks5 на Ubuntu 16.

Большая часть инфы нагло взята из офф.

Читать дальше

Скрипт на событие логина по SSH

Пришла идея создания скрипта для логгирования события подключения по SSH в таблицу SQL и уведомления о подключении определенных пользователей определенным пользователям:

писать всем пользователям о подключении их самих – сами пользователи знают, когда заходят и заход тогда, когда ты это делать не мог – есть повод обеспокоиться
админу писать о подключении всех пользователей, имеющих права на sudo

В целом логгирование в linux встроено по умолчанию – утилита last показывает полный лог авторизаций с момента создания файла /var/log/wtmp и продолжительность pts, а в lastlog есть информация о последнем подключении.

Настройка Cisco IPsec сервера в Zyxel Keenetic

В связи с полным выпиливанием PPTP из свежих IOS/MACOS потребовался workaround по подключению телефона и макбука к домашнему роутеру. Используя такое подключение можно отказаться от довольно “дрявых” протоколов удаленного доступа вида TeamViewer, прямого RDP (вместо этого подключаемся по RDP из под поднятого IPSEC) и прочих.

Читать дальше

Касперский

Разное

Опыт использования на Mac OS негативный, подробнее
На протяжении десятилетий антивирус Касперского стабильно находится в списках (1,2) лучших антивирусов в мире и это по настоящему круто
Антивир популярен не только в soho сегменте, но и в средних/крупных компаниях – как пример продукт “Kaspersky Endpoint Security”.

TR-069 реклама и дампы

Используя TR-069 и поддерживаемые роутеры по слухам есть возможность часть функционала DPI реализовать прямо на CPE:

1) Добавление рекламы в браузер клиента (может быть полезно в сетях с Free доступом)

2) Снятие pcap дампов прямо с CPE (может быть полезно для диагностики, для слежки скорее нет – юзер же может в любой момент отключить свой девайс)

Работа с Google Authenticator

Использовал Google Authenticator в проекте по аутентификации на базе PHP. Работа с Google Authenticator идет через класс PHPGangsta_GoogleAuthenticator.

По умолчанию при первичной регистрации, происходит генерация QR-кода (я QR-код заменил на ссылку т.к. основные пользователи – мобильные, а не стационарные). В этом коде содержится URL с username, secret, service-name и редирект на приложение по мультифакторной аутентификации.

Читать дальше