Příspěvky

61

Server / Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?

« kdy: 08. 10. 2015, 09:56:10 »

Utocnik si ji sice vybrat muze, ale na nizsim sifrovani se serverem bude bavit pouze on. A "louskat" si muze tak mozna sve pakety

Jsou útoky na snížení používané šifry (mezi klientem a serverem). Nelze se spoléhat na to, že si prohlížeč (který ani nemusí být aktuální a vybere si třeba RC4) vybere to nejlepší spojení, server by měl nabízet jen to, co je aktuálně považováno za bezpečné.

Ale je to vaše proxy, vaše data. Mě do toho nic není, chtěl jsem jen poradit.

62

Server / Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?

« kdy: 08. 10. 2015, 08:54:36 »

Nastavoval jsem to podle http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html Potom zalezi na klientovi jake pouzije sifrovani. Server jich muze podporovat vice. V zasade v tom nevidim nic spatneho ze server podporuje i starsi klienty, z principu v mem pripade by mel klient vyzadovat co nejsilnejsi sifrovani.

Takto nastavený server může podlehnout změně šifry (útočník si může vybrat libovolnou nižší), vzhledem k tomu, že je tam i LOW, tak to jde lousknout už i brute force. Nehledě na to, že tam nikde nevidím zakázání protokolů SSL(v2, v3) a naopak tam vidím povolení šifry RC4, která už je také lousknutá.

Na tu dokumentaci bohužel evidentně nikdo roky nesáhl.

63

Server / Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?

« kdy: 07. 10. 2015, 22:59:29 »

  SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

Tohle tam máte schválně pro nějakého 20 let starého webového klienta? Uniká mi smysl s touto sadou šifer vůbec https zavádět.

64

Server / Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?

« kdy: 07. 10. 2015, 10:49:12 »

Na tohle je přímo jako stvořený web server Nginx, který umí krásně fungovat jako reverzní proxy. V konfiguraci se mu zadá, kde má poslouchat, jaký certifikát a privátní klíč má používat a na který backend má dotazy předávat. Na vnější rozhraní tedy dáte Nginx na 80 a 443 a někde uvnitř sítě bude jen na 80 poslouchat váš server s daty.

Pokud dá na vnější rozhraní 443 i 80, tak se mu po prvním kliknutí na odkaz v tom webu https změní na http (pokud tedy nebudou relativní). Pokud to tazatel chce mít šifrované, tak proxy na vnějším rozhraní musí mít jen 443.

Ani takhle jednoduché to není, ta proxy by musela změnit všechny interní odkazy na https. Bohužel, i zavedené redakční systémy dělají interní odkazy jako absolutní, nikoliv relativní (u relativních by to fungovat mohlo, tam se o to postará prohlížeč). Nehledě na to, že některé RS zmate, když je jejich spojení na jednom schematu a klientu jde schema jiné.

Jednoduché řešení neexistuje, nejlepší bude (krom aktualizace daného webu a jeho zprovoznění na https), nějaký šifrovaný tunel.

65

Sítě / Re:CentOS 7 firewalld NAT

« kdy: 02. 10. 2015, 10:25:35 »

Pride mi cudne odistalovat povodne service-y a nahradzat nestandardnymi pre dany system.

To je snad celkem běžné. CentOS (RHEL) 5 běžně instaloval věci jako bluetooth, isdn, službu čtečky karet, apod, tohle jistě na serveru nikdo nechce. Novější verze 6 a 7 už jdou ke větší minimalizaci a odinstalovat po instalaci už téměř není co (což je dobře) a naopak si admin instaluje věci, které potřebuje.

Pochopitelně pro více instalací si admini dělají vlastní odvozeninu distribuční instalačky (nebo dneska spíš věci jako puppet), která obsahuje přesně to, co potřebují.

Používat nějakou službu jen proto, že je v defaultní instalaci mi přijde přinejmenším zvláštní.

66

Sítě / Re:CentOS 7 firewalld NAT

« kdy: 02. 10. 2015, 10:01:17 »

Mozno svojho casu ani vymena  iptables za ipchain nemala pre niekoho pridanu hodnotu.Proste systemy sa vyvijaju ci chces ci nechces .

To je trochu rozdíl. Změna ipchain vs. iptables znamenala především změnu v jádře, jiný koncept, nejen jiné ovládání. Firewalld je jen nějaká služba, která nastavuje pravidla iptables a přímo volá:

COMMAND = {
    "ipv4": "/sbin/iptables",
    "ipv6": "/sbin/ip6tables",
}

(balíček python-firewall)

67

Sítě / Re:CentOS 7 firewalld NAT

« kdy: 02. 10. 2015, 09:37:49 »

Iptables se snazim uz nepouzivat a pomoci firewalld mi to uprimne vubec nejde.

Přitom cesta iptables je ta nejjednodušší. Pokud člověk používá nějaký generátor pravidel, stejně iptables musí znát (takže musí znát syntax toho generátoru + iptables samotné). Pokud má ten generátor umět totéž, co iptables, tak bude i stejně složitý.

68

Software / Re:Nástroj na šifrování souborů

« kdy: 30. 09. 2015, 16:26:53 »

Tohle se dělá, ale musí se použít nějaká pomalejší funkce než MD5. Motivací je, aby bruteforce prostě trval dlouho. Buď se rovnou použije třeba pomalý brcrypt/scrypt, nebo se alespoň ten hash počítá třeba 100000x dokola.

Tak vod toho je PBKDF2, ne? I když já ji nemám rád.

69

Software / Re:Nástroj na šifrování souborů

« kdy: 30. 09. 2015, 16:23:22 »

A jinak OT pro zasmání... nedávno jsem absolvoval registraci do portálu jednoho partnera.. Moc jsem se pobavil, A4 s dokumentací vyžadované složitosti hesla, cca co si pamatuju:

Takže když použiji standardní login: "Nechť již hříšné saxofony ďáblů rozzvučí síň úděsnými tóny waltzu, tanga a quickstepu", tak to bude bez hesla? :-D

Jinak ano, nejlepší je naházet na heslo tolik požadavků, že z celé množiny možností zbudou jen malé ostrůvky a entropie se sníží na pár bitů. Už jsem narazil na kontrolor kvality hesla, který mi odmítl hromadu náhodně vygenerovaných 24 znakových hesel a trvalo to fakt několik iterací, než byl s vygenerovaným heslem spokojený. Co na tom, že to má entrošku 200b, prostě tam musí být spešl znak.

Taky jeden známý do hesla strká speciální znak (nejčastěji konkrétně #) s pocitem, že tím to heslo výrazně vylepší. Hezké chvíle nastávají, když jej chce vložit přes dostatečně divný terminál (vnc, nebo přes vmware web klienta, kde třeba kromě jiného nefunguje ani ctrl+c).  Pro bezpečnost by udělal víc, kdyby použil jen normální znaky a přidal na délce.

70

Software / Re:Nástroj na šifrování souborů

« kdy: 29. 09. 2015, 10:52:59 »

Ještě možnost pomocí openssl, to je taky většinou "zdarma" v systému - a je silné a bezpečné.
Stejně jako u gpg, lze používat v Linuxu i Win .

Šifrování např.:
         openssl des3 -salt -in file.txt -out file.des3

Dešifrování
         openssl des3 -d -salt -in file.des3 -out file.txt

man enc

Dneska bych se na Triple DES vyprdl. "Každý" CPU  má HW akceleraci AESu, je zbytečné čekat na pomalý 3DES:

Kód: [Vybrat]

time cat bigfile | openssl des3 > /dev/null
real    3m39.455s
user    3m34.972s
sys     0m19.408s

Kód: [Vybrat]

time cat bigfile | openssl aes256> /dev/null
real    0m13.852s
user    0m10.384s
sys     0m2.732s

4.4GB soubor

71

Odkladiště / Re:Email jako důkaz pro soud

« kdy: 03. 09. 2015, 11:10:46 »

Můžou tvrdit, že v životě tenhle papír neviděli. A u výše zmíněných smluv k notáři nechodím. Obávám se, že by mě málokde zaměstanali a ubytovali, kdybych s tím prudil.

To sice tvrdit můžou, ale potom také jaksi musí vysvětlit, jak je možné, že si ponechávali peníze, které jste jim posílal na účet (nebo nežádali po vás peníze, které vám jako ne-zaměstnanci omylem posílali) a nechali vás rok bydlet v jejich bytě, když tvrdí, že neexistuje nájemní smlouva. Prostě nemohou tvrdit, že smlouva neexistuje a přitom se dlouhodobě chovat tak, že ten nájemní / zaměstnanecký vztah existuje.

72

Odkladiště / Re:Email jako důkaz pro soud

« kdy: 03. 09. 2015, 11:04:10 »

Dobře a jakej je rozdíl v tom, když řeknu, tenhle papír jsem nepodepsal, v životě jsem ho neviděl? To už mi přijde reálnější, že bude Google spolupracovat (pokud teda obě strany doopravdy používají gmail), než že se prokáže, kdo ten papír opravdu podepsal...

Důležité papíry se podepisují u notáře, který si ponechá jednu kopii podepsanou všemi zúčastněnými stranami. Notář také opatří originály zúčastněných stran svými podpisy, trikolorou, pečetí apod. Všechny strany mají svůj originál a ten je též v archivu u notáře. Pokud někdo svůj originál "ztratí" tak je pořád možnost, jak mu jej připomenout a dodat notářsky ověřený opis.

73

Odkladiště / Re:Email jako důkaz pro soud

« kdy: 03. 09. 2015, 10:58:05 »

a zde prave nastava otazka, zda pres kontrolu tech ruznych ID v te hlavicce se lze dobrat k tomu ze email nikdy neexistoval
samozrejme pri soucinosti se spravcem daneho mailserveru

Těžko můžete dokázat, že něco neexistovalo. Když to v logu není, není to důkaz ničeho. Klidně se mohlo pokazit logování (u journald poměrně běžné). Nebo proces sletěl těsně po odeslání po síti a na logování se už nedostalo. Nebo proces nesletěl, ale disku došlo místo, takže není kam zalogovat. Nebo se na ten server někdo dostal a zametl po sobě stopy. Z praxe vám vysypu hromadu případů, kdy neexistence záznamu v logu vůbec neznamená, že to nestalo.

74

Odkladiště / Re:Jak zůstat co nejvíc anonymní na Internetu?

« kdy: 06. 08. 2015, 20:18:31 »

A co teda ta síť CZFree, v ní se nejde nějak schovat? Je tam uvnitř přece dost uzlů, těžo si představit, že by policajti lezli za každým jedním soukromníkem co má AP u CZFree a chtěli mu prolézat počítač. To by potřebovali za každého nějaké soudní povolení k prohlídce, ne? Já bych to třeba policajtům jen tak neumožnil.

Jenže je spousta lidí, která jim to na požádání umožní. Buď proto, že neznají právo, nevědí, jaké jsou jejich povinnosti, nebo taky proto, že si myslí, že pomáhají spravedlosti, nebo také proto, že se chtějí někomu pomstít. (Ono když vám někdo zabaví na půl roku všechny kompy co máte doma, i když jste nic neprovedl, tedy vám je možná v pořádku vrátí, tak i toto celkem naštve.)

Navíc to taky trochu záleží, co na tom netu chcete dělat. Pokud jen pasivně získávat informace (které si potom necháte pro vlastní potřebu), tak to se dá celkem skrýt. Pokud ale to jednání na netu má obraz ve fyzickém světě (pokud si někdo objednává drogy nebo zbraně, tak je asi taky chce mít nakonec fyzicky v ruce), tak je mnohem jednodušší nalezení ve fyzickém světě. No a poslední varianta je, že něco sám chcete distribuovat (fyzického) a tam už se prostě neskryjete vůbec.

75

Odkladiště / Re:Jak zůstat co nejvíc anonymní na Internetu?

« kdy: 06. 08. 2015, 16:14:30 »

Jako že si mám nastavit tuto relay jako první hop? Nebo jak to myslíš? V čem je to lepší než připojovat se přímo někam? Naopak takhle jsou v cestě už jenom dvě relaye (první je ta moje) místo normálních tří.

Je to lepší v tom, že přes tu relay potečou data sítě + tvoje vlastní data. Tedy na výstupu z relaye nepůjde zjistit, co je od tebe a co je průchozí. Pokud se připojuješ na veřejnou relay, tak je celkem jasné jaký datový tok pochází od tebe (což usnadňuje korelaci, pokud už se rovnou neoznačkuje).

No celkově jsou tři relaye (ještě si můžeš zvolit 5, ale to by bylo ještě pomalejší). To, že ta první relay je ve tvé území snad nevadí.