Разное сетевое
У Микрософта нашли очередную дыру, и не абы где, а в святая святых, в домен контроллере. В общем, патчим, товарищи, не ленимся.
Там, похоже, читают мой бложик: cтоило обругать Azure Firewall, как в нём появилась именно та фича, которой мне и не хватало. :-) То есть можно указать в качестве destination любое имя, которое резолвится DNS в IP-адрес или ( Read more... )
Там, похоже, читают мой бложик: cтоило обругать Azure Firewall, как в нём появилась именно та фича, которой мне и не хватало. :-) То есть можно указать в качестве destination любое имя, которое резолвится DNS в IP-адрес или ( Read more... )
Смотря кому. :-) Системщику вроде меня, пытающемуся обезопасить организационную сеть, плохо. Частнику, не желающему, чтобы ему государство диктовало, какие сайты смотреть, а какие не, хорошо.
Я ещё предлагал вариант с FakeSNI - по анекдоту про чувака с нервным тиком, который в аптеке спрашивал аспирин, а дёргающийся глаз воспринимали как подмигивание, и ему предлагали презервативы.
Но для этого надо, чтобы и сервер (или CDN) был в заговоре.
По сотне DNS-допросов угадать, куда пойдём сейчас, если они все на одном CDN - ну можно, да.
Цензор может просто подделывать ответ DNS, перенаправляя юзера на свой сервер.
Ключ в DNS теоретически защищается DNSSec-ом.
Хе, так ведь если исходить из такого предположения, зачем тогда вообще сертификаты нужны? Давайте брать публичные ключи сайтов прямо с DNS, и конец делу.
Но ключевое слово "теоретически", конечно. Потому что даже домены первого уровня не все подписаны, а на втором DNSsec, похоже, скорее исключение, чем правило. И даже если ответы подписаны - много ли резолверов, проверяющих подпись? А уж конечные клиенты её и вовсе не проверяют, насколько понимаю.
Кстати, вот красивая атака: https://www.mnemonic.no/blog/introducing-snicat
Да, здорово. Молодцы. :-)
Работает она, насколько понимаю, лишь потому, что файерволлы пытаются быть шибко умными и заполучить серверный сертификат для сверки, прежде чем рубить соединение. Меня, кстати, эта практика у Фортигейта и раньше раздражала - своей непоследовательностью. Потому как CN / SAN проверяем, а как насчёт цепочку доверия проверить? а CRL / OCSP? а как насчёт узнать, в самом ли деле указанный в SNI / CN / SAN хостнейм действительно резолвятся на тот IP, на который соединие открывается?
А вот, кстати, в Azure Firewall этот фокус не проходит - он проверяет SNI и если отсутствует application rule (то есть правило для transparent proxy) c "Action = Allow", то закрывает соединение сразу, с TCP FIN. Проверил сейчас для двух случаев:
- application rule вообще отсутствует,
- присутствует, но "Action = Deny".
В обоих поведение одинаковое.
Reply
Ага. DANE называется.
А степень подписанности у разных доменов верхнего уровня разная. Но DNSSec я не люблю.
Работает она, насколько понимаю, лишь потому, что файерволлы пытаются быть шибко умными и заполучить серверный сертификат для сверки, прежде чем рубить соединение.
Ну а альтернатива - белый список. Но с ним свои проблемы, и если серверы так настроить можно, то рабочие компы - уже так себе.
Reply
А почему, если не секрет?
Reply
Reply
Leave a comment