Anonymous
обычный сантехник, который чинил b2b юзеров, сделал в vk.com заметочку, положив туда доменные логин и пароль, которые он использовал для доступа к оборудованию, к рабочей станции, etc.
Anonymous
положил по https, на минуточку.
Anonymous
через 15 минут у него перестала работать учётная запись и к нему пришли на беседу.
Anonymous
через неделю он написал по собственному.
Anonymous
dlp и их резидентные агенты передают всем привет и машут ручкой.
Anonymous
ну и декрипт ssl вместе с генераций сертификатов через собственный предустановленный ca на рабочих станциях тоже.
MOXHATOE
ну и декрипт ssl вместе с генераций сертификатов через собственный предустановленный ca на рабочих станциях тоже.
Ну есть нюансы, mitm ломает ряд приложений
MOXHATOE
Не работают нормально
Anonymous
на дворе шёл 2014, кстати.
Anonymous
или 2015, что ли.
Anonymous
ну да не важно.
Anonymous
в общем, я как был фанатом byod, так до сих пор им и остаюсь.
Anonymous
и то даже в гостевой сети наш firepower после какой-то моей активности внезапно однажды захотел делать мне mitm и для https, в том числе.
Anonymous
пришлось завернуться в ssh/socks5
MOXHATOE
в общем, я как был фанатом byod, так до сих пор им и остаюсь.
Byod + ssl intercept = геморрой
MOXHATOE
и то даже в гостевой сети наш firepower после какой-то моей активности внезапно однажды захотел делать мне mitm и для https, в том числе.
А они туда mitm докрутили? Года три назад не было вообще совсем
Anonymous
ну я точно знаю, что firepower и декриптит https.
Anonymous
https://www.cisco.com/c/en/us/support/docs/security/firesight-management-center/200202-Configuration-of-an-SSL-Inspection-Polic.html
Anonymous
ну вот.
Anonymous
и вот https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-firepower-services/200577-Configure-the-SSL-decryption-on-FirePOWE.html
MOXHATOE
ну я точно знаю, что firepower и декриптит https.
Видимо допилили. Мы из-за отсутствия этого функционала в firepower года три или четыре назад купили чекпойнт.
vitex
Anonymous
ну это нормально. просто пэйлоад через nc в 179 порт шлют, видимо.
Anonymous
https://www.juniper.net/documentation/en_US/junos/topics/reference/mibs/mib-jnx-chas-defines.txt
Anonymous
прям вся история ждунипер в одном файле.
Roman
Roman
MOXHATOE
Но и это уже неплохо
Anonymous
а смартфон-то с корпоративными политиками и анальным зондом.
Anonymous
потому что чувак-то почту хочет читать через exchange.
Anonymous
люблю, когда хорошо продуманный периметр безопасности неодооценивают.
Roman
люблю, когда хорошо продуманный периметр безопасности неодооценивают.
Периметр никак тебя не защитит от утечки чувствительных данных
Anonymous
правильно, поэтому ещё есть экономическая защита и защита физическая.
MOXHATOE
люблю, когда хорошо продуманный периметр безопасности неодооценивают.
Хорошо продуманный периметр безопасности - влажные фантазии ибшников. ) И не более того )
Igor
sec срачи утром в субботу, так-так-так
Roman
Хорошо продуманный периметр безопасности - влажные фантазии ибшников. ) И не более того )
Угу. И надо различать практическую и бумажную безопасность
MOXHATOE
Угу. И надо различать практическую и бумажную безопасность
На бумаге у них всегда все офигеть как хорошо, да. Ну, почти всегда )
Igor
По прогнозу погоды передавали: ожидается усиление в связи с периметрами безопасности
MOXHATOE
Угу. И надо различать практическую и бумажную безопасность
Справедливости ради скажу, что защититься от случайных утечек и дураков, это уже неплохо.
Roman
По прогнозу погоды передавали: ожидается усиление в связи с периметрами безопасности
Возможна буря в стакане
Roman
Справедливости ради скажу, что защититься от случайных утечек и дураков, это уже неплохо.
Ну да, не надо недооценивать человеческую глупость
Roman
Но под таким соусом число купивших dlp будет сильно меньше, а Наталья Касперская - сильно грустнее
MOXHATOE
Но под таким соусом число купивших dlp будет сильно меньше, а Наталья Касперская - сильно грустнее
Ой, все. Люди вон в космос летают, а в бога на небесах все равно верят. Наталье хватит на хлеб
Хтонический
это. Я дебил. Мне надо через джампбокс вытащить наружу порт 80 из внутреннего сервера. По ссш.
Хтонический
но на джампбоксе фаерволом закрыты все порты
Хтонический
кроме ссш
Хтонический
как бы это решать?
Хтонический
Я настроил проксикоманд.
Хтонический
Но когда я делаю со свей машины ssh -L 8888:eve:80 root@eve - я захожу на сервер. Локально порт слушается. но удаленно падаю ошибки - channel 3: open failed: connect failed: No route to host
Хтонический
и открыть в браузере 127.0.0.1:8888 не могу
Хтонический
что я делаю не так?
Хтонический
./.ssh/config:
Хтонический
Host eve
Хтонический
ProxyCommand ssh -W 172.16.16.16:%p джампбокса_адрес
Anonymous
покомпиляли мибы, лять
Anonymous
Failed MIBs: JUNIPER-CHASSIS-DEFINES-MIB (Duplicate symbol found: jnxSlotMX2010 at MIB JUNIPER-CHASSIS-DEFINES-MIB)
Uncel
Классека же
Anonymous
да. уже пофиксил
Anonymous
эти долбодятлы из j кладут не каноничные имена файлов мибов.
Anonymous
стрелял бы.
Anonymous
пришлось for file in (ls); set newname (awk '/DEFINITION/{print $1}' $file); mv $file $newname; end
Anonymous
что им мешает класть каноничные имена, чтобы даже тупой mibdump понял?
Anonymous
вообще, конечно, авторов pysmi надо бить кочергой за собственный формат mib в py -> pyc.
Uncel
Ipsec таки осилили https://github.com/coreos/flannel/blob/master/Documentation/backends.md#ipsec
Anonymous
а нахрена он там?
Anonymous
не, ну серьёзно, нахрена там ipsec?
Uncel
Сисурити
Anonymous
вот если кто-то предложил в neutron ipsec добавить.
Anonymous
сообщество бы охудело и выгнало бы ссаными тряпками его.
Anonymous
а здесь k8s радостно запиливает ipsec в flannel
Uncel
Там большую часть ногами пиздить надо
Anonymous
всеебанулись.jpg
Anonymous
клёво же. скрипт генерирует правильные трапы, похоже.
Anonymous
Anonymous
раз их понимает ловушка :)