Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Medo 10. 12. 2015, 21:06:03
-
Ahoj.
Ospravedlnujem sa, za mierne nepresny nazov. Googlim, ale nedari sa. (mozno zle volim slova)
Je mozne povedat VPN klientovi (naschval nepisem aky, podla potreby sa vymeni), aby po pripojeni zahodil vsetky ostatne spojenia ?
T.j. pocas jeho aktivnosti nepojde nic von/dnu okrem VPN (pop3/smtp, www, teamviewer....)
Po ukonceni VPN spojenia sa to zase obnovi ...
Primarne potrebujem pocas cinnosti VPN mat neaktivne vsetky mozne remote access (VNC, Teamviewer, atd).
PC je hierarchicky mimo, nema to "pana", a teda su tam dost (uplne) zviazane ruky na administraciu... (v tom je ten hacik). Napriek tomu musi mat pristup do VPN. (no kombinacia poziadaviek jak hovado).
Dakujem za napady.
-
napr. v openvpn mozes po pripojeni spustit skript (napr. firewall, ktory vsetko zablokuje)...
-
nevim, jestli se ptas zpresne na tohle, ale ovpn ma volbu "redirect-gateway"
https://openvpn.net/index.php/open-source/documentation/howto.html
push "redirect-gateway local def1"
Pushing the redirect-gateway option to clients will cause all IP network traffic originating on client machines to pass through the OpenVPN server. The server will need to be configured to deal with this traffic somehow, such as by NATing it to the internet, or routing it through the server site's HTTP proxy.
-
Dakujem za oba napady.
Zrovna sa pohravam s pokusmi, ako alebo vykonat nejaky prikaz po inicializacii VPN (odstranit def. gateway napr. ), resp. vnutit trafic do VPNky. (a tam to poslat do neexistujcej brany, alebo to kludne poslat dalej (linka by tam mala byt dost silna), ale filtrovat to tu)
-
Primarne potrebujem pocas cinnosti VPN mat neaktivne vsetky mozne remote access (VNC, Teamviewer, atd).
PC je hierarchicky mimo, nema to "pana", a teda su tam dost (uplne) zviazane ruky na administraciu... (v tom je ten hacik). Napriek tomu musi mat pristup do VPN. (no kombinacia poziadaviek jak hovado).
Jestli jsem to dobře pochopil, tak ti jde o to prosadit to proti „vůli“ toho počítače. Pak je odpověď samozřejmě ne, nejde to (a ani z principu jít nemůže). Nastavení jako "push redirect-gateway" si klient samozřejmě může overridnout.
-
Spravne oboje. Je to blba situacia.
Bezna obsluha si to neprepise, to je OK. Do akej miery je schopny "instalater" teamviewra, uz je otazne.
Na druhej strane sa pohravam s myslienkou, ze ked presmerujem cely traffic na VPN server a odtial dalej do NEtu, mohlo by to byt dost dobre monitorovatelne a preukazatelne (potom sa da robit bububu a perzekucie voci userovi, ktory tam asistoval pri dalsom spusteni TW, ked uz raz bol odstraneny).
Aj ked pravdupovediac, radsej by som bol za nejake systemove a nepriestrelne riesenie, ze proste to nejde a hotovo ... :-)
(nezavisle na pouzitom softe, kedze je toho mraky, a nemozem si byt isty, ze ked nepojde jedno, neskusi ine).
-
Aj ked pravdupovediac, radsej by som bol za nejake systemove a nepriestrelne riesenie, ze proste to nejde a hotovo ... :-)
A o co ti vlastně jde? Proč mít na počítači vzdálenou správu během připojení do VPN je horší než ji tam mít jindy? Proč vůbec VPN vadí, že se do ní připojí „zlý“ počítač, neměly by být služby v ní zabezpečené tak, aby to nevadilo? Nestačilo by „zlý“ počítač zafirewallovat?
(nezavisle na pouzitom softe, kedze je toho mraky, a nemozem si byt isty, ze ked nepojde jedno, neskusi ine).
Můžeš mu zkusit pomocí TPM ten počítač backdoornout a doufat, že neobjeví žádnou chybu v systému, aby tam mohl spustit vlastní kód.
-
Nepíšeš ani jakou platformu, ale pokud klient je na operačním systému Windows 2000 a novější, tak to umí všechni vestavění VPN klienti v systému, je to volba "Používat výchozí bránu vzdálené sítě", pak se vše poslílá skrz VPN kanál. Použííváme takto VPN typu IPsec IKEv2 proti linux serveru s strongSwan (nebo L2TP/IPsec a SSTP proti Mikrotik routerům).
-
Ano, je to MS platforma. Ale aky klient konkretne, to v tejto chvili este neviem.
O co mi ide ?
Matka, dcera. (nepresne, ale postacuje na vysvetelnie). Musia kooperovat v oblasti vymeny dat.
Dcera chodi do Inf.Systemu matky.
Zamestnanec dcery (Sediaci za vpn klientom) by isiel vynesenim infa sam proti sebe. (z dcery to vidi to len on).
Takze nam tu ostava externy ITckar. (asi tak, ze uz sa to potvrdilo).
Matka vie robit na dceru len obmedzene tlaky. (V blizkej dobe z toho mozno budem mudrejsi)
Takze alebo zrusit datove toky u klienta okrem VPN pocas jej aktivacie, alebo vsetko nahnat do tunela, a pripadne filtrovat u matky na vystupe. (tam by to bolo aj preukazatelne, ze sa ten ktory soft pouziva, aj ked neviem ukazat priamo na jeho zdroj, resp. ako u coho). Osobne nemienim nikoho dohladavat (pripadnu public IP za pomoci policie, atd), radsej by som to tipol, a neriesil.
-
Kapánek zmatené. :-)
A co je na místě VPN serveru? Pokud třeba Windows server 2012+ a klient je windows 7+, tak můžeš použít funkci direct access, pak klientský počítač jde nastavit že pouze jen komunikuje s určeným serverem a nikdy nebude komunikovat přímo jinam, když je odnesen ven z firemní LAN, tak si vytváří automaticky VPN do firmy a nikam jinou komunikaci neposílá, než do tunelu.
Jiná varianta je ten klasický VPN klient, kde dovolím uživatlei ho pustit/zastavit dle potřeby s tím nastavením, že vše má posílat do VPN tunelu, v tomto případě to funguje i proti Linux serveru (direct acces funguje jen mezi windows klient a serverem). Jenom to chce, pokud to nemá uživatel snadno obechcat, že k tomu počítači nemá admin práva, aby to v nastavení VPN zrušil.
A další krok je, že klient si u sebe musí pustit nějakou aplikaci pro vzdálený přístup a vše dělá vzdáleně v centrále, takže data neopouští firmu, vyjma zobrazované informace na toho klienta pro vzdálený přístup. A firewall u VPN serveru nastaven tak, že tím VPN jde jen navázat spojení tím klientem pro vzdálenou plochu/aplikaci (pak už je jen otázka, co použiteš, zda RDP, Citrix, NX, ...).
-
Medo: zmatené a už bylo řečeno: openvpn redirect-gateway, stejně jako u dalších typů VPN (IPSec a spol.) si může klient po navázání VPN nastavit specifičtější routu někudy bokem a nic s tím nenaděláš. Pokud ti jde o vynesení dat, nemusí to přece dělat hned během spojení, může tam mít nachystaný skript, který to stáhne, a pošle mu to, až se od VPN odpojí. A pokud je to ajťák, tak si tu VPN upravit umí.
-
Jenom to chce, pokud to nemá uživatel snadno obechcat, že k tomu počítači nemá admin práva, aby to v nastavení VPN zrušil.
Uživatel má fyzický přístup, takže pokud to není chráněné nějakým brutálním TPM, tak má i admina. (a i pokud je, no, stačí si počkat, až se ve Windows objeví další bezpečnostní díra)
-
...
Pokud nejsi administrator toho stroje a dotycnej neni pouze uzivatel, tak zapomen, to proste neprustrene neudelas. A viz Jenda, problem to je i v pripade, ze je to user, proste proto, ze existuje milion a jeden zpusob, a vsechny stejne nepojmes. Uz vubec nemluve o tom, ze si proste data postahuje na lokal, odpoji se a posle si je kam chce/odnese na usb/... .
Tzn, lidem musis bud duverovat nebo je propustit, zadny jiny moznosti nemas.
-
Ahoj
Mal som debat s jednym implementatorom, polozil som mu otazku, odpovedal z voleja, ze napr. Kerio vie nahnat cely traffic do vpn gatewaye, a to priamo z pozicie servera. Na podotazku, ci to vie klient overridnut, sa zasmial, ze nie, dokial server tvrdi, nieco ine.
(hovorime o nativnom klientovi, nebol si isty s MS klientami, ale vraj to ide asi aj tam).
Na vpn serveri zase vieme zablokovat to co treba, takze v globale by bol asi problem aj riesitelny.
(platene vs open-source riesenie teraz nechajme bokom).
Tolko pre informaciu, ak tato tema niekoho v buducnosti zaujme.
-
Mal som debat s jednym implementatorom, polozil som mu otazku, odpovedal z voleja, ze napr. Kerio vie nahnat cely traffic do vpn gatewaye, a to priamo z pozicie servera. Na podotazku, ci to vie klient overridnut, sa zasmial, ze nie, dokial server tvrdi, nieco ine.
To je jenom o tom jak moc umíš s windowsama a kolik času strávíš přesvědčováním toho blobu.
-
Jestli jsem to dobře pochopil, tak ti jde o to prosadit to proti „vůli“ toho počítače. Pak je odpověď samozřejmě ne, nejde to (a ani z principu jít nemůže). Nastavení jako "push redirect-gateway" si klient samozřejmě může overridnout.
Zavisi akeho mas klienta. V praci pouzivame Network Connect od Juniperu a ten kontroluje smerovaciu tabulku. Ak ju zmenis, tak zhodi spojenie. Teda...za beznych okolnosti :) Samozrejme, ze je mozne spravit par zmien hex editorom a "route monitor alarm" je minulostou :D
-
* cisco vpn klient na tuxe ma i patch, kdy volbu "redirect gw" poslanou ze server ignoruje, shrew (klientska vpn, ktera umi i cisco) by mela mit checkbox na ignorovani "redirect gw" by-default
-
* cisco vpn klient na tuxe ma i patch, kdy volbu "redirect gw" poslanou ze server ignoruje, shrew (klientska vpn, ktera umi i cisco) by mela mit checkbox na ignorovani "redirect gw" by-default
To jako oficialni patch, který to dela, nebo někdo dobastlil? Protože jestli tohle udelalo Cisco oficialne, hodne u me kleslo.
-
Protože jestli tohle udelalo Cisco oficialne, hodne u me kleslo.
Jako že u tebe klesl výrobce, který neimplementuje nesmyslnou DRM feature?
-
ten patch je treb tady: http://projects.tuxx-home.at/ciscovpn/patches/override-local-lan-access.diff (dost urcite neoficialni, ale nejak extra jsem to nezkoumal), ja to sem dal spis jen tak pro pobaveni, kdyz uz padl ten juniper/kerio
a nedelej si iluze, ze "velky vyrobce" neco znamena ;) - moje zkusenost je, ze cim vetsi, tim horsi (i kdyz Cisco krabicky patri k tomu lepsimu [HW], co jsem zatim videl)
-
Nebo mu pomocí LD_PRELOAD odchytnu funkce, kterými zjišťuje stav routovací tabulky. Nebo nahardcoduju do kernelu, ať procesu s PID X vrací nesmysly. Nebo ho pustím ve virtuálu (což se u backdoornutých blobů hodí stejně - když to povinně poslouchá ze serveru redirect_gateway, tak kdo ví, jestli to neposlouchá ze serveru třeba i libovolné shellové příkazy) a routing přes něj si nastavím úplně jak budu chtít. Nebo reverznu protokol a napíšu si alternativního klienta, který mě bude poslouchat.
No a teď když vidím že to Cisco distribuují normálně jako zdroják, tak tam už je to úplně triviální.
-
Tazatel řeší přístup z Windows klienta. Že si to na linuxu přiohnu jak chci, pokud jsem root, tak je jasné.
Tazatel neuváděl, zda ot chce jako opatření proti tomu, kdy uživatle bude chtít sám aktivně vynášet data (tak je vynese vždy nějak) nebo proti nějakému automatickému nástroji v notebooku, jednajícímu bez vědomí uživatele notebooku.
Pochopil jsme to tak, že hlavně řeší, že když notebook je VPNkou připojen do firmy, aby nešel zároveň notebook ovládat odjinud pomocí VNC/RDP a podobných, tam politika vše do VPN by mu pomohla.
Ale pokud bude mít ten lokální uživatel lokálního admina, tak to ojebe snadno (a pokud nebude, tak to je o něco víc práce). Takže to bude vždy i na kladném přístupu toho uživatele.
-
Tazatel řeší přístup z Windows klienta. Že si to na linuxu přiohnu jak chci, pokud jsem root, tak je jasné.
Windows nerozumím, ale čekal bych, že tam budou existovat ekvivalenty postupů, které jsem uvedl.
Tazatel neuváděl, zda ot chce jako opatření proti tomu, kdy uživatle bude chtít sám aktivně vynášet data (tak je vynese vždy nějak) nebo proti nějakému automatickému nástroji v notebooku, jednajícímu bez vědomí uživatele notebooku.
V #8 uvedl, že stojí proti "externímu ITčkáři". Ten bude mít nejspíš znalosti na realizaci uvedeného.
Pochopil jsme to tak, že hlavně řeší, že když notebook je VPNkou připojen do firmy, aby nešel zároveň notebook ovládat odjinud pomocí VNC/RDP a podobných, tam politika vše do VPN by mu pomohla.
Nehledě na to, že tento způsob „ochrany“ je kravina i kdyby fungoval, protože si to může stáhnout lokálně a nahrát potom.
-
Ahoj,
Obecne si myslim ze to resit nejakym jednoduchym scriptem nejde. Sam pracuji v prostredi kde se klade velky duraz aby nemohla nejaka data uniknout a zatim jako nejlepsi reseni nam vyslo nemit vzdaleny pristup. Nicmene pokud bych to asi takto :
Specialni NTB pro uzivatele ktery ma secure boot(ano to na co vsichni nadavaji) a dale pouziva TPM(pro ulozeni klice) a sifrovani hdd. V tom ntb ma uzivatel jen pravo usera, nemuze nic menit, nastavovat, instalovat novej SW, extrahovat klice pro VPN, ....
Citrix - V jedne praci jsme takto meli reseny pristup do firmy. Nahodil se nejaky client z ktereho neslo delat screenshot a ani ho neslo ovladat pres TV, RDP, ... Jine moznosti me nenapadaji. Jakmile nemas kontrolu nad cizim PC tak to jinak neudelas.
Radek
-
Ahoj.
Principialne nevynesie utocnik nic.
Vytoci sa vpnka, a dalej je pouzite rdp. Ale tw na pozadi je neziaduci. Aj len sledovanie prace usera mu pri trpezlivosti ukaze nieco, co vidiet nemal.
Ci je externista "dobry" uvidime :-)
-
Ale tw na pozadi je neziaduci. Aj len sledovanie prace usera mu pri trpezlivosti ukaze nieco, co vidiet nemal.
Aha, takže stačí občas udělat screenshot.
-
A nestaci ti graficky/command line terminalovy pristup na misto vpn? Tim se daji pohlidat komplet akce na vzdalenych systemech
Podle toho co jsi napsal tan ten korporatni vztah na IT a bezpecnostni urovni resis nevhodnym nastrojem.
Pokud chces opravdu funkcni omezeni tak existuje. Pouzivaji ho vojaci/vnitro/nato/bankovni sektor/prumysl. Po provereni si te pozvou a mezi chlapama s kulomety na jejich pocitaci pod jejich dozorem, na jejich hw delas akce. Ty akce jsou samozrejme jeste logovany a kazdou musis zduvodnit.
Pripadne nemas pristup vubec nikam a resis vsechno pres x prostredniku maily - tzn. lidske gatewaye kdy jednoducha vec na 10 minut se muze na schvalovacim kolecku protahnout na 1 mesic.
Nejdriv si udelejte poradek v externi komunikaci ve firme a pak to res technicky.Jinak navrhuji polovojensky pristup kdyz uz si neverite.
-
Uz som sa rozhodol, nazeniem im traffic do VPN gatewaye, a tam osefujem co nechcem, aj vzhladom na kapacitu linku (TW, YT, ....)
Zvysok nech si tam chodi ... (http/s, pop3, ...)
Komu to bude vadit, nech si makne s pracou, a odpoji sa, po povodnom kanali sa to zase rozbehne ... :-)))
Nemusia trcat na RDP serveri 8h, robit sa ze robia, a nic z toho ...