Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP"	+/–
Сообщение от opennews (??), 07-Май-24, 11:31
Вниманию публики предложен метод атаки TunnelVision, позволяющий при наличии доступа к локальной сети или контроля над беспроводной сетью, осуществить перенаправление на свой хост трафика жертвы в обход VPN (вместо отправки через VPN, трафик будет отправлен в открытом виде без туннелирования на систему атакующего). Проблеме подвержены любые VPN-клиенты, не использующие изолированные пространства имён сетевой подсистемы (network namespace) при направлении трафика в туннель или не выставляющие при настройке туннеля правила пакетного фильтра, запрещающие маршрутизацию VPN-трафика через имеющиеся физические сетевые интерфейсы... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61130
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от tcpip (??), 07-Май-24, 11:31	+/–
Круто, спасибо за информацию.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

2. Сообщение от Bklrexte (ok), 07-Май-24, 11:31	+/–
Сразу хотелось бы вставить часть комментария с HN: "They also claim that it affects all VPN clients in the headline, yet so many such clients setup firewall rules to block traffic to/from the physical interface as they acknowledge in the write-up. Most of the VPNs that are claiming to hide your identity or where such cloaking is important tend to implement that. I'm sure plenty of setups don't have it enabled by default, but I think it would have been productive to document what percentage of leading personal/commercial and corporate VPN solutions have this enabled by default." Если коротко, то у большинства нормальных VPN клиентов по умолчанию есть firewall, который делает эту атаку невозможной.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #5

3. Сообщение от Аноним (3), 07-Май-24, 11:34	–1 +/–
Не использовать DHCP, а юзать статические IP адреса. Не вариант?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #32, #61, #128

4. Сообщение от Аноним (4), 07-Май-24, 11:35	+6 +/–
А у нас вообще запрещены, так, что не страшно. https://opennet.ru/46944-law
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #18

5. Сообщение от Вирт (?), 07-Май-24, 11:40	+3 +/–
>  то у большинства нормальных VPN клиентов по умолчанию есть firewall, firewall может быть частью ОС, но никак не VPN клиентов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #15, #126

6. Сообщение от Аноним (6), 07-Май-24, 11:41	+/–
Объясните  ̶о̶в̶о̶щ̶у̶ не шарящему в сетях, провайдер может  ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой траффик гоняемый по OpenVPN'у?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #20, #42, #56, #62, #103

7. Сообщение от Аноним (7), 07-Май-24, 11:43	+1 +/–
>Для защиты от атаки можно запретить на уровне пакетного фильтра отправку пакетов, адресованных в VPN-интерфейс, через другие сетевые интерфейсы; блокировать DHCP-пакеты с опцией 121; использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace). Просто отключить DHCP, не?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #63

9. Сообщение от Аноним (7), 07-Май-24, 11:51	+/–
>socket все современные протоколы VPN используют дэйтаграммы, а не TCP. >tun0 для wg0 эта атака тоже должна работать. Фундаментальный дефект дизайна реализации VPN - это их работа через общую таблицу маршрутизации, а не через многоуровневую, где чем раньше пакет обрабатывается таблицей - тем приоритетнее та таблица.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64, #85

10. Сообщение от Аноним (7), 07-Май-24, 11:54	+3 +/–
>Перенаправление осуществляется через выставления серии маршрутов для подсетей с префиксом /1, которые имеют более высокий приоритет, чем применяемый по умолчанию маршрут с префиксом /0 (0.0.0.0/0) Я чайник в сетях, поэтому мне не понятно: 1. почему /0 имеет меньший приоритет, чем /1, но больший, чем /24? 2. А если самим указывать /1 2 раза, то что будет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #17, #65, #72

12. Сообщение от КО (?), 07-Май-24, 12:04	+13 +/–
"при наличии доступа к локальной сети" перестал дальше читать, лол
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #21, #25, #29, #55, #102

13. Сообщение от Аноним (13), 07-Май-24, 12:06	+/–
> Суть атаки в том, что атакующий может запустить свой DHCP-сервер и использовать его для передачи клиенту информации для изменения маршрутизации. Мощно.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (14), 07-Май-24, 12:06	+1 +/–
Не парься, все годные закладки в железе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #70

15. Сообщение от тыквенное латте (?), 07-Май-24, 12:07	–1 +/–
>>  то у большинства нормальных VPN клиентов по умолчанию есть firewall, > firewall может быть частью ОС, но никак не VPN клиентов. нет никакой разницы, с т.з. кода. Грубо говоря, на примере линукса, нет особой разницы что дергает nf_tables, и даже через что... напрямик, или обёртка вокруг libnftnl. Но с точки зрения архитектуры сервисов, разумеется, впечь такой vpn клиент.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

17. Сообщение от MEXAHOTABOP (ok), 07-Май-24, 12:10	+1 +/–
1. При выборе маршрута берется наиболее совпадающий маршрут маска /24 означает что первые 24 бита ip адреса должны совпадать, он будет иметь приоритет над /1 и /0 и тут не написано обратного. 2. tcp протокол сам по своим метрикам выбирает наиболее подходящий маршрут (самый быстрый, или первый инициализированный) если есть 2 интерфейса с одинаковыми роутами
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #22, #73

18. Сообщение от cheburnator9000 (ok), 07-Май-24, 12:15	+/–
Всегда поражался тупостью местных законовыдумывателей, им там хоть раз в голову приходило что исполнять подобные законы может быть запрещено законами в чьей стране юридически находится организация? Эстония, Франция, Греция, Испания, Финляндия и даже Мексика по конституции запрещено персонально ограничивать доступ к интернету. Тупые невежественные скоты с мозгом уровня детского садика. В сильном государстве пошли бы путем разрешения на предоставления услуг связи только после соответствия некоторым критериям, у нас же со входа ногой вышибают дверь - 'запретить'. Если кто читал закон, что там четко написано 'и (или) программы для электронных вычислительных машин, которые используются для обработки и распространения новостной информации в сети "Интернет"', что означает в России давным-давно должны были быть запрещены все веб браузеры, начиная от дефолтного Firefox/Chrome заканчивая Safari на iphone. А именно: >>> 1) не допускать использование сайта и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, которые используются для обработки и распространения новостной информации в сети "Интернет" на государственном языке Российской Федерации, государственных языках республик в составе Российской Федерации или иных языках народов Российской Федерации, на которых может распространяться реклама, направленная на привлечение внимания потребителей, находящихся на территории Российской Федерации, и доступ к которым в течение суток составляет более одного миллиона пользователей сети "Интернет" (далее - новостной агрегатор), в целях совершения уголовно наказуемых деяний, разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, распространения материалов, содержащих публичные призывы к осуществлению террористической деятельности или публично оправдывающих терроризм, других экстремистских материалов, а также материалов, пропагандирующих порнографию, насилие и жестокость, и материалов, содержащих нецензурную брань; (В редакции федеральных законов от 05.12.2022 № 478-ФЗ, от 31.07.2023 № 406-ФЗ) И там много еще всякого подобного высира больного чиновника.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #35, #38, #87

19. Сообщение от Аноним (19), 07-Май-24, 12:17	+1 +/–
провайдер не может. а чел который там работает может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

20. Сообщение от cheburnator9000 (ok), 07-Май-24, 12:19	+1 +/–
Читать шифрованные пакеты да, дешифровывать их нет и никогда не сможет. Замедлять тоже научились, благодаря устройствам выявляющие пакеты OpenVPN.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #127

21. Сообщение от Анониматор (?), 07-Май-24, 12:20	+3 +/–
да пусть даже доступ будет. Современные энтерпрайз давно умеют отсекать неавторизованные DHCP-серверы в локалке на уровне коммутаторов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #28

22. Сообщение от Аноним (7), 07-Май-24, 12:37	+/–
Ничего не понял. 1. Если /24 приоритетнее, чем /0, то почему при врубании VPN с 0.0.0.0/0 всё должно идти через VPN? 2. маршрутизация - это не функция транспортного уровня, а сетевого. За неё отвечает IP. TCP тут вообще никаким боком, тем более что все современные VPN-протоколы основаны либо на UDP, либо на IPSec.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #24

23. Сообщение от Аноним (23), 07-Май-24, 12:40	+/–
причем в url'ах тоже, а еще надо помнить мак шлюза, чтобы арп не подставили, вот тогда.... а нет, и тогда можно похакать все.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

24. Сообщение от Аноним (23), 07-Май-24, 12:42	+/–
> современные VPN-протоколы основаны либо на UDP, либо на IPSec. Бугага, а конечно, чтобы их блокировать удобнее было
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #26

25. Сообщение от Анонимус3000 (?), 07-Май-24, 12:42	+8 +/–
Я сначала также подумал, но, с другой стороны VPN часто рекламируют как способ обеспечить безопасность в публичных Wi-Fi сетях. И для таких сетей атака как раз возможна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #33, #141

26. Сообщение от Аноним (7), 07-Май-24, 12:43    Скрыто ботом-модератором	–1 +/–
Third world problems.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Алкоголизм (?), 07-Май-24, 12:51	+/–
Можно ещё таскать с собой wifi-роутер, который будет подключаться к сети, а сам раздавать целевым устройствам по ethernet/wifi. И проблема считай решена. Своеобразно, правда, но решена.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

28. Сообщение от Аноним (28), 07-Май-24, 12:52	+14 +/–
Вы только сообщите об этом современным энтерпрайз админам, что бы они всё это настроили хоть как-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

29. Сообщение от Аноним (29), 07-Май-24, 12:55	+/–
Это история про провайдеров, когда роутер провайдерский.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #60

32. Сообщение от 1 (??), 07-Май-24, 13:35	+1 +/–
2 чая ... Если получил контроль над DHCP в локалке - так там до VPN-а можно всё украсть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #44

33. Сообщение от Аноним (33), 07-Май-24, 13:37	–6 +/–
В публичных сетях скорее всего пользуешься андроидом, где атака не работает. Если ноут, то правильно для VPN настраивать свою таблицу маршрутизации в ip-route и прибивать к ней клиентов bind-ом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

34. Сообщение от Аноним (33), 07-Май-24, 13:39	+/–
Так тебе просто роутер целиком завернут куда не нужно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #66

35. Сообщение от Аноним (33), 07-Май-24, 13:43	+2 +/–
Тупость это когда от действий страдает придумывающий всё это. В данном случае стадают все остальные. И это специально, и специально написано чтобы под статьи попадало всё чтобы при необходимости статью можно было пришить кому угодно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

36. Сообщение от Banned (?), 07-Май-24, 13:57	+/–
Я вот не понял. VPN зло или DHCP?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

38. Сообщение от Banned (?), 07-Май-24, 14:12	+/–
И в чем проблема? Вот прикрутили бота-модератора помимо админов  и норм на Опеннете - все по закону. Несут владельцы ответственность за писанинку анонимов с браузеров на этом  ресурсе.Я вон даже ник себе правильный написал,настолько я на самом деле пушистый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

40. Сообщение от Tron is Whistling (?), 07-Май-24, 14:48	+2 +/–
А если завесить IPv6 SLAAC или DHCP то та же винда будет считать его и его DNS-серверы приоритетными. Шах и мат. Много мата.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

41. Сообщение от Tron is Whistling (?), 07-Май-24, 14:48	+/–
(да и RA тоже ничего так себе)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

42. Сообщение от Аноним (42), 07-Май-24, 14:56	+/–
Если ты к впн подключаешься напрямую без роутера или через роутер которым управляет провайдер - да, может при желании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

43. Сообщение от Аноним (42), 07-Май-24, 15:00	+1 +/–
ОС которые слепо верят DHCP
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #67

44. Сообщение от Аноним (44), 07-Май-24, 15:43	+/–
Вы не поверите, но не нужно получать контроля над DHCP, достаточно запустить свой dhcp-сервер и все клиенты ваши. В dhcp нет авторизации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #47

46. Сообщение от Аноним (46), 07-Май-24, 16:00	+1 +/–
Для икспердов, которые говорят, мол, DHCP это плохо, кто получит доступ к моей локалке, это всё только если роутер от провайдера  и т.д. — бвспомните про публичные сети (кафе, отели), особенно для тех мест, где иначе доступ к интернету не получить (например, деревня далеко от города). Ещё бывают публичные сети корпоративные, там тоже подвержено. А по поводу DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнее. Или хотя бы про поддержку синхронизации времени по NTP у доверенных источников
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #49

47. Сообщение от 1 (??), 07-Май-24, 16:48	+1 +/–
Не поверю ! Так как у меня в LAN 1 юзверь на 1 VLAN.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #52

48. Сообщение от Аноним (48), 07-Май-24, 17:21	+/–
> DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнее DCHP — атавизм для легаси сетей. Мобильные провайдеры как раз-таки с радостью выкидывают этот хлам и переходят на сингл стэк IPv6 с NAT64/DNS64 для IPv4.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #54, #68

49. Сообщение от Аноним (48), 07-Май-24, 17:23	+/–
> Или хотя бы про поддержку синхронизации времени по NTP у доверенных источников Это вообще никаким боком к DHCP. Источник времени, тем более доверенный, к DCHP никак не относится и без MACSec в данном случае неосуществим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #69

52. Сообщение от Аноним (52), 07-Май-24, 17:40	–1 +/–
... и локалка из одного пентиума-3 1999 года ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

54. Сообщение от Oleg (??), 07-Май-24, 21:08	+/–
Есть ли примеры таких провайдеров в РФ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

55. Сообщение от Аноним (-), 07-Май-24, 21:43	+/–
> "при наличии доступа к локальной сети" > перестал дальше читать, лол А в чем проблема? Допустим у тебя есть роутер с впном, есть праводер которому это все не нравится. Он даст твоему роутеру вон то на WAN - и бай-бай, впн! Аналогично при допустим конекте к публичной точке доступа. Даст она тебе это - и твой пафосный впн аннулирован. Ну и не читай дальше, фигли. С корпоративной точкой доступа и проч такая же фигня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #86

56. Сообщение от Аноним (-), 07-Май-24, 21:45	+/–
> провайдер может  ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой > траффик гоняемый по OpenVPN'у? В определенных условиях и допущениях, как оказывается, таки может попробовать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

57. Сообщение от Аноним (-), 07-Май-24, 21:47	+/–
>> сети, или применять специальные режимы настройки туннелей, использующие пространства имён в >> Linux (network namespace). > Просто отключить DHCP, не? Ты так популярно объяснил почему в моей конфиге эта атака не сработает...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

59. Сообщение от Ivan_83 (ok), 07-Май-24, 22:53	+/–
Мда. А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автомат в подъездном щитке. А другой хулиган может какахами с потолка топить что приведёт к повреждению электроники. И ещё 100500 вариантов из серии "враждабное окружение". DHCP - мастхэв, статика - это для лузеров из прошлого века и p2p линков. В адекватной локалке уже пора бы обзавестись управляемыми коммутаторами хотя бы web smart серии (где всё мышкой через браузер), стоят они не сильно дороже не управляемых, зато там можно все левые DHCP хосты отфильтровать так что они смогут хакать только себя. Там на самом деле куча всяких фишек, включая ARP/ND испекцию, упомянутый выше DHCP screening и тп.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84, #90, #104

60. Сообщение от Ivan_83 (ok), 07-Май-24, 22:55	+2 +/–
Это история про любую локалку со злоумышленном внутри и где комутаторы не фильрую сетевой мусор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

61. Сообщение от Ivan_83 (ok), 07-Май-24, 22:57	+/–
Не вариант, когда у тебя больше двух хостов. А в современном жилье их даже у старушек легко оказывается 3+.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

62. Сообщение от Ivan_83 (ok), 07-Май-24, 22:59	+1 +/–
Чувак, у тебя проблема не техническая а административная. Перехват твоего трафика провайдером должен быть наказуем по закону, если же ты опасаешься за свою шкуру при этом то либо надо менять локацию либо вид деятельности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #96

63. Сообщение от Ivan_83 (ok), 07-Май-24, 23:00	+/–
И бегать настраивать по десяткам девайсов? Лучше купите веб смарт свитч и настройте dhcp sreening.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #75

64. Сообщение от Ivan_83 (ok), 07-Май-24, 23:07	+1 +/–
Это не так работает :) В ОС есть общая таблица маршрутизации. Чем более длинный префикс - тем более приоритетный маршрут. Вот у вас локалка до роутера 192.168.1.0/24, и роутер выдал вам дефолтный 0.0.0.0/0 через себя в инет. Вы запустили впн клиента и он условно добавил маршрут до своего 1.2.3.4/32 через роутер, потом удалил 0.0.0.0/0 через роутер и добавил 0.0.0.0/0 через роутер на том конце впн туннеля. При этом вы всё ещё можете ходить по 192.168.1.0/24 потому что оно более приоритетно. И это правильное поведение. Бывают варианты когда есть галочка типа "блокировать весь траффик мимо впн туннеля", вот она должна добавлять фаервольные правила для фильтрации всего что мимо тунеля. Есть ещё отдельная тема с name spaces в линухе и routing tables во фре. В обоих случаях есть возможность назначить отдельным приложениям свои особенные таблицы маршрутизации. На практике я бы сказал что это специфичная фича и лично я стараюсь такого избегать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #76

65. Сообщение от Ivan_83 (ok), 07-Май-24, 23:11	+1 +/–
Поиск идёт по самому длинному префиксу. Самым приоритетным будет /32, потом /31 и так до /0. /1 менее приоритетный чем /24. Потому что есть p2p линки, там /32 на другом конце и понятно что даже если там 192.168.1.22 хост то нужно к нему ходить именно через отдельный p2p интерфейс а не искать его в локалке где 192.168.1.0/24 куча похожих адресов. Вы не можете добавить в таблицу маршрутизации две одинаковых записи. (там могут быть исключения, кажется бывают разные метрики для одного маршрута, но это не во всех ОС и тема сильно адвансед для того кто спрашивает такое :) ).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #77

66. Сообщение от Ivan_83 (ok), 07-Май-24, 23:13	+2 +/–
Роутер то да, но впн клиент будет за роутером и до него вредные маршруты не дойдут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

67. Сообщение от Ivan_83 (ok), 07-Май-24, 23:15	–1 +/–
Вы же верите электрикам и сантехникам - они вам базовый сервис организуют. Или вы из тех кто дома прежде чем унитазом воспользоватся проверяет его на все возможные подлости? Мне вот интересно, а как вы обезопасиватесь от того что из унитаза может вынырнуть питон и цапнуть вас?) (кейсы из австралии)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #89, #110

68. Сообщение от Ivan_83 (ok), 07-Май-24, 23:16	+/–
Чувак, есть DHCPv6, и есть RA. Они все ни чуть не лучше DHCPv4, просто там IPv6.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #79

69. Сообщение от Ivan_83 (ok), 07-Май-24, 23:18	+/–
Почитайте уже какие опции есть в DHCP. Там не только список DNS, но NTP, SMTP, IRC, WINS, и уже не помню чего ещё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #78

70. Сообщение от Аноним (70), 07-Май-24, 23:19	+/–
Какое удовольствие попариться самому, чтобы попарить закладчиков ммм:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

71. Сообщение от Аноним (70), 07-Май-24, 23:26	+/–
Так вроде при использовании VPN соединение должно быть зашифровано и злоумышленник всё равно ничего не прочтёт? Или я ошибаюсь?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #74

72. Сообщение от OpenEcho (?), 07-Май-24, 23:36	+/–
> почему /0 имеет меньший приоритет чем /1, Потому что это все, что не указанно эксплицитли, /1 - это уже более конретней, значит более приоритетней > но больший, чем /24? С чего это? Чем уже маска, тем конкретней скоп, /24 приоритет выше чем /1 Если гейтов более чем один в подсети, то приоритетность маршрута выбирается тогда не по маске, а по метрике гейтвеев, чем меньше значение метрики, тем  более приоритетный гейтвэй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

73. Сообщение от OpenEcho (?), 07-Май-24, 23:40	+/–
> 2. tcp протокол сам по своим метрикам выбирает наиболее подходящий маршрут (самый быстрый, или первый инициализированный) если есть 2 интерфейса с одинаковыми роутами Т.е. перед тем как выдать ИПшник, ДХЦП еще и скорость мерит ? Или даже гонка, кто первый ? :) Нет, там все значительно проще, если гейтов больше чем один, то приоритет у того, у кого меньше метрика, вот и все
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

74. Сообщение от Ivan_83 (ok), 08-Май-24, 01:39	+1 +/–
Соединение между девасом где клиент и хостом где впн сервер - да. Но суть в том, что впн клиент ставит маршрут 0.0.0.0/0 чтобы загнать весь трафик в туннель. А по DHCP можно заслать пачку /1 маршрутов или даже просто до конкреных хостов/сетей, и тогда есть вероятность что ваше устройство начнёт посылать траффик не через впн туннель а через шлюз который будет указан для /1 такой подсети. У вас же грубо говоря доступ до веб админки роутера не пропадает при подключении впн, а дело в том, что до сети где эта админка обычно есть маршрут вида /24 через интерфейс и он имеет более высокий приоритет чем /0 от впн клиента (или роутера, до впн клиента /0 выдаёт вам дхпп сервер с адресом шлюза - роутером).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

75. Сообщение от Аноним (75), 08-Май-24, 02:27	+/–
Да, настроить 1 раз по десятку устройств, и потом не париться о * упавшем DHCP-сервере * уязвимостей с его стороны * задержке на получение адреса по DHCP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #80

76. Сообщение от Аноним (75), 08-Май-24, 02:38	–1 +/–
Спасибо, понятно. Значит ффтопку эти все VPNы на основе таблиц маршрутизации в ядре, просто используем SOCKS-прокси в нужных приложениях, которые пакеты до VPN сами прокидывают. Всё идёт через прокси, если VPN упал - соединение рвётся, никаких извращённых манипуляций с таблицами маршрутизации. К сожалению UDP так не прокинуть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #81

77. Сообщение от Аноним (75), 08-Май-24, 03:01	+/–
Спасибо за инфу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

78. Сообщение от Аноним (48), 08-Май-24, 03:43	+/–
В DHCP можно произвольную информацию передавать с кастомными номерами опций, лишь бы клиент и сервер оба знали, что с ними делать. Это как раз не проблема. Проблема в том, что проверить подлинность ответов DHCP никак нельзя без криптографии. Поэтому с голым DHCP «про поддержку синхронизации времени по NTP у _доверенных_ источников» можно забыть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #82, #83

79. Сообщение от Аноним (48), 08-Май-24, 03:44	+/–
DHCPv6 — костыль. У RA совершенно другая семантика. В частности, RA позволяет динамически перенастраивать клиентов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

80. Сообщение от Ivan_83 (ok), 08-Май-24, 04:23	+/–
У меня dnsmasq ни разу ни где не падал. А вообще, в локалке может быть куча DHCP серверов одновременно, и можно даже настроить чтобы они резервировали друг друга. Уязвимости у вас в фантазиях. Задержка - где то от 1мс, те на уровне пинга. Но в зависимости от конфига дхцп сервера может быть больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #94

81. Сообщение от Ivan_83 (ok), 08-Май-24, 04:24	+/–
Если у вас сокс5 прокси и впн клиент разные приложения - то будет точно так же как без сокс5.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

82. Сообщение от Ivan_83 (ok), 08-Май-24, 04:30	+/–
1. Клиент в запросе указывает опции которые он хочет. Если сервер передаст лишнее то клиент это проигнорит. А может и вообще дропнет пакет, надо смотреть настройки и реализации. 2. Крипта не нужна. В управляемой сети ответы можно получать только от строго определённых админом хостов подключённых к определённым портам. 3. Есть совсем управляемые сети, где хосту надо пройти авторизацию прежде чем коммутатор его выпустит в общую сеть. На практике такое редко делают, обычно в совсем лютых местах в плане безопасности :) Авторизация там не хуже чем в вифи: пароль или сертификат, но без возможности перехвата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

83. Сообщение от Ivan_83 (ok), 08-Май-24, 04:33	+/–
И да, админ сети может положить на вас с прибором и просто на фаере завернуть все запросы к 123 порту на свой локальный NTP сервер. Аналогично с DNS. Я так иногда делаю и делал. Ещё и 80 в сквид на кеширование и резалку рекламы заворачивал раньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

84. Сообщение от Ivan_83 (ok), 08-Май-24, 04:35	+/–
Теперь ждём от авторов такие новейших открытий как: - DoS атака на DHCP сервер для исчерпания свободных лиз; - WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #101

85. Сообщение от wd (?), 08-Май-24, 04:44	+1 +/–
внезапно wg кладет болт на таблицу маршрутизации и заворачивает пакеты согласно allowed-ips чем люто бесит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

86. Сообщение от penetrator (?), 08-Май-24, 05:43	+/–
а ты посмотри на add-default-route для VPN и для DHCP client в худшем случае, если что-то не так, ты можешь отключить add-default-route для обоих и прописать статически несколько правил к тому же иметь VPN на роутере для цели сокрытия активности и заворачивать ВЕСЬ трафик - сомнительное удовольствие для домашней сетки, не в домашней пусть админы думают зачем им DHCP клиент на пограничном роутере
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #93

87. Сообщение от Бывалый Смузихлёб (ok), 08-Май-24, 07:44	–5 +/–
Просто некоторые мб никогда не взаимодействовали с формальщиной далее чем подписание трудового договора или стопки согласий в поликлинике. Эти законы дают основание, с одной стороны, формально требовать исполнения, а с другой - право и возможность блокировки ресурсов при неисполнении требований. Вдобавок, если все они такие добрые и ограничений не допускающие, как же многие из них запретили для своих жителей доступ к тому же RT ? Тем более, что конституция сама по себе вообще ничего не означает - означают законы и иные акты, регулирующие те самые хотелки, прописанные в конституции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

89. Сообщение от Аноним (89), 08-Май-24, 08:19	+1 +/–
Ага и службе безопасности верим, которая звонит с левого номера (нет), а так верить никому нельзя потому что все врут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

90. Сообщение от 1 (??), 08-Май-24, 09:30	+/–
DHCP - костыль. Использовали бы IPX и не надо было бы никакого DHCP. Опять же без всякой авторизации получать кучу настроек на устройство от того, кто первым откликнулся по сети, такое себе. Вот и приходится извращаться с RADIUS и 801.2x на свитчиках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #99

91. Сообщение от Аноним (91), 08-Май-24, 09:46	+/–
Надо пользоваться Tor over VPN.
Ответить | Правка | Наверх | Cообщить модератору

92. Сообщение от Аноним (92), 08-Май-24, 10:01	+4 +/–
Кто-то просто прочитал инструкцию к DHCP-серверу?) Уровень расследований возрос)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #97

93. Сообщение от Аноним (-), 08-Май-24, 10:12	+1 +/–
> а ты посмотри на add-default-route для VPN и для DHCP client Я обычно не юзаю DHCP - так что на меня этот чит вообще не сработает. Но идея прикольная. > к тому же иметь VPN на роутере для цели сокрытия активности и > заворачивать ВЕСЬ трафик - сомнительное удовольствие для домашней сетки, Напротив. Это как раз наименее тупой вариант. >  не в домашней пусть админы думают зачем им DHCP клиент на пограничном роутере Угу, так и представляю себе точку доступа в кафешке без DHCP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

94. Сообщение от Аноним (96), 08-Май-24, 11:06	+/–
Зато у меня на OpenWRT падает постоянно. Потому что превратили прошивку в раздутую блоатварь, которая на той же оперативе не может теперь даже загрузиться, хотя раньше не только грузилась, а все навороты работали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #95, #100, #120

95. Сообщение от Аноним (96), 08-Май-24, 11:09	+/–
и при соединении по вайфай, если адрес не задан статически, то на несколько секунд медленнее подключается. Это если DHCP-сервер не упал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

96. Сообщение от Аноним (96), 08-Май-24, 11:11	+/–
>надо менять локацию >остановите землю, я сойду видимо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #132

97. Сообщение от 1 (??), 08-Май-24, 11:17	+/–
2 чая этому господину. Как любили говорить "вот и выросло поколение ..." и оно осваивает чудесные, удивительные технологии как постройка пирамид и DHCP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

98. Сообщение от anonymous (??), 08-Май-24, 13:06	+/–
Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был единственно доступным для программы. И даже если ты как-то убедишь программу отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт. Для TOR оно тоже актуально.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #112

99. Сообщение от Ivan_83 (ok), 08-Май-24, 13:06	+1 +/–
DHCP relay agent, DHCP screening - проблема решена лет 15 как минимум.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

100. Сообщение от Ivan_83 (ok), 08-Май-24, 13:09	+/–
Это оффтопик. http://netlab.dhis.org/wiki/software:openwrt:software:openwr... Вот сделайте в конфиге и пересоберите, полегчает немного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

101. Сообщение от OpenEcho (?), 08-Май-24, 13:31	+/–
> - DoS атака на DHCP сервер для исчерпания свободных лиз; Желаю удачи, если на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью"). Ну и arpwatch никто не отменял > - WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов. DNS: http(s)?://wpad.* => reject
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #106, #108

102. Сообщение от fi (ok), 08-Май-24, 17:35	+1 +/–
А зря, сеть до провайдера - тоже LAN, а адреса он обычно раздает по DHCP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #109

103. Сообщение от fidoman (ok), 08-Май-24, 18:22	+/–
Если например это роутер в гостинице и к нему подключился клиент, клиент получает маршруты на 0.0.0.0/1 и 128.0.0.0/1 - и траффик уже не идёт через VPN, который отдал 0.0.0.0/0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

104. Сообщение от Аноним (104), 08-Май-24, 20:43	+/–
Психология виндовс админа и цисковода. С этим уже только на пенсию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #107

105. Сообщение от Аноним (104), 08-Май-24, 20:55	+/–
Даже имея секурное клиентское устройство и правильную криптографию, можно получить MITM. Хаха. Сеть доступа почти всегда идет через роутеры с проприетарными прошивками, ОС от сотрудничающих с ЦРУ корпораций, с незакрытыми уязвимостями, бэкдорами и тд и тп. Вероятность, что вашу локалку контролирует кто-то кроме вас или ее администратора очень велика в современном мире. Лично мне никогда не нравилась идея давать впн ради доступа к парочке админок. Для этого достаточно порт прокинуть через ссш туннель. Все это виндовс головного мозга. Ну и поделом.
Ответить | Правка | Наверх | Cообщить модератору

106. Сообщение от Ivan_83 (ok), 08-Май-24, 21:41	+/–
Зачем нужные фаеры за пределами роутера?) > на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью"). Это вас никак не защитит. В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты. Защита от подмены MAC - port inspection у длинка называется и позволяет ограничивать количество MAC адресов на каждом порте коммутатора. Правда это не удобно при наличии виртуалок, придётся им или без инета или нужно NAT поднимать на хосте виртуализации. DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал лишнее и пересылал только от нужных DHCP серверов пакеты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #115

107. Сообщение от Ivan_83 (ok), 08-Май-24, 21:43	+/–
У меня длинки вебсмарт только, и венду я не админю уже лет 10 за деньги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

108. Сообщение от Ivan_83 (ok), 08-Май-24, 21:44	+/–
> DNS: http(s)?://wpad.* => reject Это какой такой DNS сервер у вас http/https понимает в конфиге?))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #116

109. Сообщение от Ivan_83 (ok), 08-Май-24, 22:05	+1 +/–
Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован от других абонентов. В других случаях часто бывает схема VLAN per customer, где опять же VLAN абонента терминируется провайдером и туда никто попасть не может. В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay agent, потому что часто глупые абоненты втыкают провод провайдера в LAN порт своего роутера и через некоторое время все соседи остаются без инета и начинают доставать тех поддержку провайдера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #142

110. Сообщение от Аноним (-), 08-Май-24, 22:06	+/–
> Вы же верите электрикам и сантехникам - они вам базовый сервис организуют. А напрасно. М...ков которые путают фазу и ноль или просто не парятся - в природе хватает. Некоторые по запаре, некоторые потому что ДЛБ и не в курсе чем они отличаются. И вот на вид вроде "света нет" - но провода все равно смертельно опасны если рядом заземленные предметы. Прошареные монтеры - тыкают индикатором, и нафиг ваше доверие, жизня дороже. Или к вопросу почему у нормальных электриков бывает сертификация и проч. > Или вы из тех кто дома прежде чем унитазом воспользоватся проверяет его > на все возможные подлости? Ну, насчет унитаза не скажу - а отрубив электричество я таки проверяю что опасного напряжения по факту нет. Потому что прецеденты были. > Мне вот интересно, а как вы обезопасиватесь от того что из унитаза > может вынырнуть питон и цапнуть вас?) (кейсы из австралии) Поставить решету на канализацию :). И таки да, в ряде стран это вполне себе лучше мониторить, как и наличие всяких незваных гостей в доме. Они еще ядовитые бывают. И вас в тех странах не поймут. Да что там, б..я, летом достаточно на осу сесть не глядя - и потом батхерта будет вполне себе! Не питон конечно, но все равно не айс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #111

111. Сообщение от Ivan_83 (ok), 08-Май-24, 22:19	+/–
Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за провод с фазой то автомат отключит электричество раньше чем вы почувствуете что вас бьёт током. Обычно таких автоматов минимум два в цепи, в некоторых вариантах такие втоматы ещё и в каждой розетке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #117, #118

112. Сообщение от Аноним (-), 09-Май-24, 04:08	–1 +/–
> Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был > единственно доступным для программы. И даже если ты как-то убедишь программу > отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт. > Для TOR оно тоже актуально. Ну дык в дефолтном неэмспейсе сеть можно вообще выпилить. Так всякое фуфло с телеметрией конкретно обломается. Специальный бонус: нарулить логгинг и apt purge на всю выявленную спайварь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

114. Сообщение от Аноним (114), 09-Май-24, 12:16	+/–
А что в списке уязвимых делает wireguard? Там нет никаких DHCP, захардкоженные в конфиге IP-адреса и allowed-ips. Понятно, что можно сделать любую надстройку, но это проблема надстройки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #140

115. Сообщение от OpenEcho (?), 09-Май-24, 17:28	+/–
> Зачем нужные фаеры за пределами роутера?) А у вас в локалках полное доверие всем? >> на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью"). > Это вас никак не защитит. > В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты. Вот именно для этого локалка и должна быть управляемая, или мы про домашню сеть с двумя тремя юзерами где на  802.1X свитч не наскребли ? > DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал > лишнее и пересылал только от нужных DHCP серверов пакеты. Т.е. все таки "нормальный" свитч есть ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #122

116. Сообщение от OpenEcho (?), 09-Май-24, 17:44	+/–
>> DNS: http(s)?://wpad.* => reject > Это какой такой DNS сервер у вас http/https понимает в конфиге?)))) http(s)? выше только для понимания о чем wpad.* и блокать надо не на ДНС а на файрволе, на рабочих станциях
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #124

117. Сообщение от Аноним (117), 09-Май-24, 18:25	+/–
> Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за > провод с фазой то автомат отключит электричество раньше чем вы почувствуете > что вас бьёт током. Ну вообще-то проверявшие как это работает на своей тушке (нет, сам я под 220 соваться лишний раз не хочу, даже через дифавтомат) - рассказывают что почувствовать очень даже успеваешь. А заодно, поскольку это довольно дорогая вундервафля - обычно вырубает весь дом или существенный кусок, сильно за пределами того что отключалось обычным защитным автоматом. > Обычно таких автоматов минимум два в цепи, в некоторых вариантах такие втоматы ещё и в каждой розетке. В случае РФ и прочих диких мест с куплеными сертификатами или абы кем - нехило проверить что именно привинтили - таки бывают промышленные дифавтоматы и проч, срабатывающие при более крутых утечках. Они дешевле ;) так что если какой-то изобретательный козел удумает сэкономить - там порог срабатывания круче и шанс сыграть в ящик имеется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #121

118. Сообщение от Аноним (33), 09-Май-24, 18:43	+/–
Это же только если правильно подключить такой автомат и правильно поставить землю. Просто слепая установка от балды может ничем не помочь. Например, землю на ноль до автомата завернули тем или иным способом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #123

120. Сообщение от Аноним (-), 09-Май-24, 19:17	+/–
> Зато у меня на OpenWRT падает постоянно. Потому что превратили прошивку в > раздутую блоатварь, которая на той же оперативе не может теперь даже > загрузиться, хотя раньше не только грузилась, а все навороты работали. Ну так сделали эрзац системды - да еще в наихучшем виде, когда "jail" процесс отдельно повисает (весьма жирной) тряпочкой, навечно, старт педалится скриптами - которые для сравнимой фичности стали намного сложнее, и все это еще и кривое и глючное стало - потому что самопал наколенный. А чтоб не скучалось вот вам еще генерация конфигов софту из UCI конфигов (да, до этого даже Поттеринг не допер, как тебе такое, поттер-нуб?!) - и авангардная вебморда которая не работает с старыми планшетами и проч, видите ли хром староват. Ну, блин, ф.., несомненно в морде девайса важнее всего последние стандарты веба, а не совместимость. В общем наьбежало в проект каких-то рукожопов, одни осьминоги остались. И теперь оно нормально работает только на ресурсах на которых можно и нормальный дебиан запустить...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

121. Сообщение от Ivan_83 (ok), 10-Май-24, 01:48	+/–
У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал :) Дифф вовсе не дорогой, единственная причина по кторой их могут ставить на группу - размеры х2 или х3. Как я говорил - бывают розетки со встроенным дифф, там вырубит по месту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #133

122. Сообщение от Ivan_83 (ok), 10-Май-24, 01:55	+/–
Доверие не нужно. Я вообще думаю почти полностью отказатся от фаера дома и расшарить локалку в инет. На приватных сервисах поставлю TTL=1 и оно само автоматом за локалку не выйдет. > 802.1X Не удобно, им на практике почти никто не пользуется. И я вам не про дурацкую фильтрацию по IP которую вы собрались на каждом хосте настраивать, а про фильтрацию DHCP на уровне коммутатора, которая настраивается один раз и для всех сразу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

123. Сообщение от Ivan_83 (ok), 10-Май-24, 01:58	+/–
Дифф автомату земля не нужна от слова совсем, он срабатывает от РАЗНИЦЫ (дифф же) силы тока в обоих проводах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #129

124. Сообщение от Ivan_83 (ok), 10-Май-24, 02:04	+/–
Походу с понимаем у вас не очень :) С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг каждого хоста. Сомневаюсь что у вас есть представление о том, как блочить WPAD на уровне фаера, особенно если это не ngfw какой нить а условных *tables в линухах. У нормальных админов WPAD блочится и на уровне DHCP и на уровне DNS сервера на роутере. DHCP выдаёт WPAD на роутер, роутер отдаёт там DIRECT. Это 5 строчек, 4 из которых в nginx. В DNS нужно прописывать либо регэкспами либо пачку записей, для этого надо почитать доку и узнать как клиенты перебирают доменные имена в поисках.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #125, #136

125. Сообщение от OpenEcho (?), 10-Май-24, 11:37	+/–
> Походу с понимаем у вас не очень :) Ну вот на этом пожалуй и закончим, удачи в домашних локалках мистер
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

126. Сообщение от Бум (?), 10-Май-24, 18:34	+/–
Ну зачем вы такое говорите? У касперсокго и нод32 свой фаервол и прекрасно они работают перекрывая штатный фаервол ОС
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

127. Сообщение от Бум (?), 10-Май-24, 18:37	+/–
дополню - даже если провайдер подделает ваш впн сервер или айпи, то ваш клиент не сможет к нему подключиться, потому что провайдер всё равно не сможет узнать ваши сертификаты и логины/пароли. А если впн клиент не подключён, то вы сразу заметите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

128. Сообщение от Бум (?), 10-Май-24, 18:40	+/–
Можно юзать dhcp и игнорировать все получаемые маршруты/dns'ы с сетевых интерфейсов, потому что вы их уже прописали статикой как вам нужно и как нужно настроили nat на роутере/компьютере
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #130

129. Сообщение от Аноним (33), 10-Май-24, 18:42	+/–
Это тебе только так КАЖЕТСЯ (извините, это для исчеричных чудил, которые пока что умеют читать и писать только так), но у реальности на этот счёт другое мнение. Чтобы возникала разница ток должен куда-то утекать. И это куда-то, внезапно, обычно земля или чей-то ноль. Или каждый вывод, практически каждую розетку, нужно заворачивать в отдельный автомат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #131, #134

130. Сообщение от Бум (?), 10-Май-24, 18:47	+/–
И кстати, метрика у маршрутов с дианмическим назначением гораздо выше (низкоприоритетней) статических маршрутов (если вы принудительно не меняете приоритет у статических маршрутов)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

131. Сообщение от Ivan_83 (ok), 11-Май-24, 02:30	+/–
Да, и утекает оно обычно через тушку человека, который стоит ногами на полу или взялся за холодильник и батарею. Иметь заземление желательно, но не обязательно, в самом автомате его подключать некуда. https://electrograd.pro/blog/chto-takoe-difavtomat-i-dlya-ch.../ У меня в одной хате 2 дифф автомата: один на ванную и там только стиралка. Другой на кухню - там пачка розеток. Это прекрасно работает. Обычно ещё ставят общий дифф на входе в хату чтобы покрыть вообще всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #135

132. Сообщение от Аноним (132), 11-Май-24, 06:39	+/–
>>надо менять локацию >>остановите землю, я сойду > видимо Вообще-то ivan_83 как и я таки - следовали тому совету и локацию сменили. И по крайней мере в более приличных локациях - на 10 лет за неудобные мнения не пакуют. Так что мысль про опасения за свой окорок - весьма актуальная. А вам успехов в айти...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

133. Сообщение от Аноним (-), 11-Май-24, 06:47	+/–
> У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал :) Хрена вы там неаккуратные. Я всего 1 чела видел который на себе тестил, правда, в мокрых условиях. В этом случае - сказали что ощутили, после чего - все вырубилось. А так на дифавтомате есть кнопочка тест. Надеюсь у вас хватает ума ее жать хотя-бы раз в год, проверяя что оно еще и работает. > Дифф вовсе не дорогой, единственная причина по кторой их могут ставить на > группу - размеры х2 или х3. Нормальный диф стоит в разы дороже обычного автомата. А хороший, нормальной фирмы и вовсе довольно прилично. > Как я говорил - бывают розетки со встроенным дифф, там вырубит по месту. Мне попадался диф встроеный в водонагреватель, где сие актуально. Прикольная идея, но это был топовый агрегат за уйму денег. В более простых не ставят. А в розетку... смысла не очень много. Если на входе не ставить - окей, куча опасных проводов НЕ прикрытых дифом. А если ставить - окей, какой их них отвалится первым как бы рандом. В целом идея этой штуки в том что оно защищает контур за собой. Кусок контура ДО него продолжает быть опасным если нет дифа до него, потому что на утечку там всем будет пофиг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #138

134. Сообщение от Аноним (-), 11-Май-24, 06:59	+/–
> Это тебе только так КАЖЕТСЯ (извините, это для исчеричных чудил, которые пока > что умеют читать и писать только так), но у реальности на > этот счёт другое мнение. Чтобы возникала разница ток должен куда-то утекать. Дифавтомат таки - не оперирует землей. Он ставится между фазой и нулем в разрыв обеих, и ему в разумных пределах похрен как оно с землей соотносится. Что ему НЕ похрен - разница втекающего и вытекающего тока. Потом и диф. Как только разница превышает порог он вырубается. Это ессно актуально только для систем с нейтралью и проч где 1 из проводов близок к земляному потенциалу. Если это изолированая от земли система, в ней дифавтомат работать не будет, потому что току утекать при контакте юзера с чем-то заземленным нет причин. В этом случае нет понятия фазы и ноля и однополюсный автомат в любой из проводов - ОК. Но в случае фазы и ноля при ноле близком к земле - отрубить ноль, оставив фазу под напряжением весьма чреватый фэйл. Как показали эксперименты далеко не любой козел называющий себя электриком в курсе этой ерунды. Так что доверять им? Ну вот нет. Только проверять. > И это куда-то, внезапно, обычно земля или чей-то ноль. Или каждый > вывод, практически каждую розетку, нужно заворачивать в отдельный автомат. Ноль таки - не земля. Его потенциал может заметно отличаться от земляного. Бывает вольт 30 в хоршо нагруженой сети, за счет падения напряжения на проводах. Тем не менее он относительно безопасен по сравнению с фазой, кроме разве что экзотичного случая когда где-то вдали заземление нуля все же отгорело, и тогда - он будет под потенциалом фазы через кучу нагрузок. Но поскольку при этом работать ничего не будет, этот фэйл быстро чинят и вероятность под него попасть мизерная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

135. Сообщение от Аноним (-), 11-Май-24, 07:01	+/–
> Обычно ещё ставят общий дифф на входе в хату чтобы покрыть вообще всё. Это как раз наименее тупой вариант. Иначе остается дофига опасного контура где никто не мониторит утечку - а вот при каких-то отколениях от идеала там вполне себе есть фаза и оно при контакте с заземленными предметами не менее опасно чем все остальное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

136. Сообщение от Аноним (132), 11-Май-24, 07:04	+1 +/–
> Походу с понимаем у вас не очень :) > С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг > каждого хоста. Централизованое админство имеет минус: оно видите ли в случае чего очень удобно оказывается не только админу... :). Особенно хороша в этом AD, там сразу можно всей конторе малварь раздать не отходя от кассы. Удобно то как! А вы потом можете подумать что с этой конторой делать и как ее вообще оживить, когда там ВСЕ компы - с троянами. Удобство и безопасность живут по разную сторону улицы ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #137, #139

137. Сообщение от OpenEcho (?), 11-Май-24, 14:16	+/–
>> Походу с понимаем у вас не очень :) >> С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг >> каждого хоста. > Централизованое админство имеет минус: оно видите ли в случае чего очень удобно > оказывается не только админу... :). Особенно хороша в этом AD, там > сразу можно всей конторе малварь раздать не отходя от кассы. Удобно > то как! А вы потом можете подумать что с этой конторой > делать и как ее вообще оживить, когда там ВСЕ компы - > с троянами. Удобство и безопасность живут по разную сторону улицы ;) This ^^^ Секьюрность не должна быть - single point of failures, это многоступенчатая задача, начиная от air gaped центра сертификации SSL и заканчивая lock-downed рабочими станциями которые настраиваются автоматически и "удобно" удаленно, бегать с флэшкой  по локалке совсем не надо, но и права админов должны быть так же легко отзываемыми через то же центр сетификации в случае когда один админ дал подруге поиграть на своем компютере и ликнули ключики
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #146, #147

138. Сообщение от Ivan_83 (ok), 12-Май-24, 01:08	+/–
Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый дорогой однофазный что я нашёл сходу в местных прайсах. Самые дешманские примерно от 500 руб. Если для вас 55 евро за свою жизнь или жизнь близких это дорого - ну ок :) (типа хотя бы один то хороший можно купить на всю хату) В нормальных местах к водонагревателю делают изначально отдельную проводку от щитка и там всегда есть возможность поставить дифф и не страдать фигнёй надеясь на производителя. И подозреваю что любой производитель в инструкции по монтажу пишет что подключать только в розетку после дифф автомата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133 Ответы: #144

139. Сообщение от Ivan_83 (ok), 12-Май-24, 01:12	+/–
Это вы сами себе придумали сценарий и сами его радостно хакнули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #145

140. Сообщение от Ivan_83 (ok), 12-Май-24, 01:16	+/–
А почему нет? Вот вы будете ходить через варегард в инет (0.0.0.0/0), а провайдер вам выдаст пару (/1) маршрутов и получит весь ваш траффик в раскрытом виде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

141. Сообщение от EULA (?), 13-Май-24, 12:07	+/–
Только в этой рекламе забывают рассказать, что сервер VPN должен быть свой, а не "общественный" (с клиентом из маркетплейса).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #143

142. Сообщение от fi (ok), 13-Май-24, 13:09	+/–
> Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован > от других абонентов. > В других случаях часто бывает схема VLAN per customer, где опять же > VLAN абонента терминируется провайдером и туда никто попасть не может. > В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay > agent, потому что часто глупые абоненты втыкают провод провайдера в LAN > порт своего роутера и через некоторое время все соседи остаются без > инета и начинают доставать тех поддержку провайдера. 1. "схема VLAN per customer" как раз работает поверх LAN - вот тут и прилетит DHCP routing от провайдера. 2. можно сказать физически изолирован -  как раз от провайдера и может прилететь  DHCP routing. 3. В любом случаи провайдер может сделать  DHCP routing - никакие server screening etc. не поможет. А что соседей бояться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

143. Сообщение от нейм (?), 16-Май-24, 08:15	+/–
клиенты под вирегуард/попенвпн самому собирать тобишь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #149

144. Сообщение от Аноним (-), 16-Май-24, 13:47	+/–
> Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый дорогой однофазный > что я нашёл сходу в местных прайсах. Ну дык. Вот и жмутся на них. > Самые дешманские примерно от 500 руб. А ставить китайскую электрику, особенно дешевую - ну такое себе. Как впрочем и российскую. > Если для вас 55 евро за свою жизнь или жизнь близких это дорого - ну ок :) 1 штучку норм - а пачками их расставлять жаба таки поддушивать начнет. > (типа хотя бы один то хороший можно купить на всю хату) В общем то - да. И довольно глупо это не делать. > В нормальных местах к водонагревателю делают изначально отдельную проводку от щитка и > там всегда есть возможность поставить дифф и не страдать фигнёй надеясь > на производителя. Это все сильно зависит от того что и где. Просто видел такие водогреи, но с этой штукой только дорогие околотоповые модели конечно. > И подозреваю что любой производитель в инструкции по монтажу пишет что подключать > только в розетку после дифф автомата. Ну да, типа отмазались а дальще - вы сами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

145. Сообщение от Аноним (-), 16-Май-24, 14:36	+/–
> Это вы сами себе придумали сценарий и сами его радостно хакнули. Вообще-то этот сценарий опробован на практике еще сто лет назад неким Comodohacker'ом. Который раздолбал фирму Diginotar (УЦ SSL такой _БЫЛ_ - уже не с нами) в хламину. Затроянив через АД - тадам - ВСЕ КОМПЫ В ФИРМЕ. И даже суперсекурная фирменная железка от RSA не помогла - он прямо ей и подписал серты на кучу всего. Включая виндусапдейт и прочие интересные вещи. Вы же хотели удобство? Так что процессить сертификаты ручками - ну что вы, как можно. Вот, удобно же, на автомате то. ...после чего дигинотар и не придумал ничего умнее как заявление на банкротство подавать, что еще УЦ с таким факапом и таким подарком в сети фирмы может то? :) И кстати не так давно были прецеденты когда еще пару фирм через AD разнесли в таком же духе, но за их дальнейшей участью я не следил - запоминается только первый прецедент, показываюший что так можно было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #139

146. Сообщение от Аноним (-), 16-Май-24, 14:38	+/–
> права админов должны быть так же легко отзываемыми через то же > центр сетификации в случае когда один админ дал подруге поиграть на > своем компютере и ликнули ключики А что будет если атакующий вот этот центр сертификации - раз...т - и сертифицирует себя от души на все и вся? Ну так, навеяно тем как комодохакер себе серты на все подряд выписал, вопрос то не теоретический а после вполне себе прецедентов вот именно этсамого :)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137 Ответы: #148

147. Сообщение от Аноним (-), 16-Май-24, 14:39	+/–
> права админов должны быть так же легко отзываемыми через то же > центр сетификации в случае когда один админ дал подруге поиграть на > своем компютере и ликнули ключики А что будет если атакующий вот этот центр сертификации - раздолбит - и сертифицирует себя от души на все и вся? Ну так, навеяно тем как comodohacker серты на все подряд вплоть до виндусапдейта выписал, вопрос то не теоретический, а после вполне себе практических прецедентов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #137

148. Сообщение от OpenEcho (?), 16-Май-24, 17:19	+/–
> А что будет если атакующий вот этот центр сертификации - раз...т - > и сертифицирует себя от души на все и вся? Всё от установленого уровня секьюрности зависит. Центр сертификации в серьёзных организациях не должен быть вообще онлайн, а на отдельных изолированных, географически распределенных машинах, доступ к приватному ключу по схеме авторизации Шамира, для того, чтобы подписать/отозвать сертификаты админов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

149. Сообщение от EULA (?), 17-Май-24, 05:15	+/–
> клиенты под вирегуард/попенвпн самому собирать тобишь? Сервер для начала свой собрать. Кто даст гарантию, что на чужом сервере нет мужика-в-середине? Даже не так. На большинстве чужих серверах, что я видел, кто-то сидит и вклинивается в трафик, подменяя сертификаты на свои "зачем-то".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема