Разное сетевое

Aug 15, 2020 01:34

У Микрософта нашли очередную дыру, и не абы где, а в святая святых, в домен контроллере. В общем, патчим, товарищи, не ленимся.

Там, похоже, читают мой бложик: cтоило обругать Azure Firewall, как в нём появилась именно та фича, которой мне и не хватало. :-) То есть можно указать в качестве destination любое имя, которое резолвится DNS в IP-адрес или ( Read more... )

cloud, security, computing

Leave a comment

Comments 5

Пунктирно beldmit August 15 2020, 07:54:03 UTC
ESNI не костыль. Но это способ вынудить блокировку только по IP. Мне кажется, это скорее хорошо. Я ещё предлагал вариант с FakeSNI - по анекдоту про чувака с нервным тиком, который в аптеке спрашивал аспирин, а дёргающийся глаз воспринимали как подмигивание, и ему предлагали презервативы.

По сотне DNS-допросов угадать, куда пойдём сейчас, если они все на одном CDN - ну можно, да. Ключ в DNS теоретически защищается DNSSec-ом.

Кстати, вот красивая атака: https://www.mnemonic.no/blog/introducing-snicat

Reply

Re: Пунктирно cat_mucius August 15 2020, 23:41:33 UTC
Мне кажется, это скорее хорошо.
Смотря кому. :-) Системщику вроде меня, пытающемуся обезопасить организационную сеть, плохо. Частнику, не желающему, чтобы ему государство диктовало, какие сайты смотреть, а какие не, хорошо.

Я ещё предлагал вариант с FakeSNI - по анекдоту про чувака с нервным тиком, который в аптеке спрашивал аспирин, а дёргающийся глаз воспринимали как подмигивание, и ему предлагали презервативы.
Но для этого надо, чтобы и сервер (или CDN) был в заговоре.

По сотне DNS-допросов угадать, куда пойдём сейчас, если они все на одном CDN - ну можно, да.
Цензор может просто подделывать ответ DNS, перенаправляя юзера на свой сервер.

Ключ в DNS теоретически защищается DNSSec-ом.Хе, так ведь если исходить из такого предположения, зачем тогда вообще сертификаты нужны? Давайте брать публичные ключи сайтов прямо с DNS, и конец делу ( ... )

Reply

RE: Re: Пунктирно beldmit August 16 2020, 07:43:54 UTC
Хе, так ведь если исходить из такого предположения, зачем тогда вообще сертификаты нужны? Давайте брать публичные ключи сайтов прямо с DNS, и конец делу.

Ага. DANE называется.

А степень подписанности у разных доменов верхнего уровня разная. Но DNSSec я не люблю.

Работает она, насколько понимаю, лишь потому, что файерволлы пытаются быть шибко умными и заполучить серверный сертификат для сверки, прежде чем рубить соединение.
Ну а альтернатива - белый список. Но с ним свои проблемы, и если серверы так настроить можно, то рабочие компы - уже так себе.

Reply

Re: Пунктирно cat_mucius August 16 2020, 12:05:57 UTC
Но DNSSec я не люблю.
А почему, если не секрет?

Reply


Leave a comment

Up