VPN - имитация работы с другого IP

[zVlad]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?

[zVlad]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

Что такое ненастоящий тунель?

[Flash-04]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

Что такое ненастоящий тунель?

нет network connectivity. сервисы доступны только через браузер.

[Flash-04]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?

>>Мой личный сертификат заменял пароль.

You are in trouble. Серьезно. Есть уже немало подтверденных случаев кражи таких сертификатов через malware. Более надежно через 2FA, но сейчас есть тенденция переходить на "виртуальные" токены, что с моей точки зрения фуфло полное. Тоже крадутся.
Формально сертификат лучше пароля, его нельзя подобрать перебором или через словарь.

[zVlad]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

Что такое ненастоящий тунель?

нет network connectivity. сервисы доступны только через браузер.

Или через Citrix? Да есть у нас такое. Но, наши оставили секьюрити end-point для VPN client который дает network connectivity.

[Flash-04]

Был Citrix, теперь убрали. У сервера Citrix нашли очень интересные уязвимости

[zVlad]

Не знаю как у ТС, а в нашей компании на лептопе должен быть установлен ряд сертификатов, без них тунель vpn не устанавливается, сервер отказывает.
То есть, хотя с домашнего компа можно подключится, но соединение будет без настоящего тунеля. Ряд сервисов будет доступен, но не более того.

У нас тоже есть "только лаптопы". Но вот у меня его нет. Точнее был, но он стоял в офисе и работал на нем через RDP. Еще раньше, когда у меня был в офисе десктоп, то я ходил с лаптопа на десктоп в офисе.
Ничего особенного у того лаптопа не было.

Дополнительне сертификаты можно уставить на любой компьютер. CA sертификат выполняет две роли - аутентификацию, и ключ шифрования, паблик ключ.
Я ставил СА сертификат и личный сертификат сделаные в RACF на десктоп и логинился в zOS без пароля. Мой личный сертификат заменял пароль.

Т.е. возможно что "только лаптоп" имеет аналогичные сертификаты и, например, обладатель такого лаптопа активирует тунель без пароля. Ну а с не "только лаптопа" чтобы зайти нужно верифицироваться паролем. Что надежнее? Что более секьюрно?

>>Мой личный сертификат заменял пароль.

You are in trouble. Серьезно. Есть уже немало подтверденных случаев кражи таких сертификатов через malware. Более надежно через 2FA, но сейчас есть тенденция переходить на "виртуальные" токены, что с моей точки зрения фуфло полное. Тоже крадутся.
Формально сертификат лучше пароля, его нельзя подобрать перебором или через словарь.

Malware еще надо проникнуть на комп. У меня кроме сертификата еще и "токены" использовались. С теми сертификатами я уже давно не хожу - они пропали с сдохшим хардом, а на другие компы с которых я работаю (их три), я поленился их устанавливать.
Да, еще вспомнил для верификации входа также использовался IP address того моего офисного компа, статический адрес. Так что сворованный сертификат не сработал бы.

[Flash-04]

>>Malware еще надо проникнуть на комп.

Почитайте новости. На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.

[Flash-04]

Да, еще вспомнил для верификации входа также использовался IP address того моего офисного компа, статический адрес. Так что сворованный сертификат не сработал бы.

Ага, на который вы заходите удалённо. Смешно
zVlad, опыт показывает, что какие меры безопасности ни ставить, найдётся болт с хитрой резьбой. Вопрос только в стоимости атаки и времени.

[null]

На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.

Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд

[Flash-04]

На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.

Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд

Information security тоже.
Fireeye - это флагман в индустрии information security.
Про хак RSA слышали? Тоже интересная история.

[zVlad]

...

Ага, на который вы заходите удалённо. Смешно
....

Ну и что здесь смешного?
Как на основании моей удаленной работой через RDP можно было бы проникнуть на МФ?

[zVlad]

>>Malware еще надо проникнуть на комп.

Почитайте новости. На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.

Ну и что там в новостях пишут про хакание МФ?

[zVlad]

На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.

Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд

Information security тоже.
Fireeye - это флагман в индустрии information security.
Про хак RSA слышали? Тоже интересная история.

Информационная секьюрити информационной секьюрити рознь. Хакание хаканью тоже рознь.
Когда занимаются только одной частью ИТ полностью игнорируя другую - МФ, то это одно, а когда занимаются всем в комплексе - это другое.
Любая односторнность, а это характернейшая черта современного ИТ, хуже, слабее чем всесторонность, комплексность.

[zVlad]

На днях Accenture хакнули, Fireeye в прошлом году. Это (если не в, курсе) компании специализирующиеся на information security.

Fireeye не знаю, но Accenture это бодишоп который занимается всем подряд

Information security тоже.
Fireeye - это флагман в индустрии information security.
Про хак RSA слышали? Тоже интересная история.

Вебсайт Fireeye не знает ни одного из слов: mainframe, zOS, RACF.

[Flash-04]

Ну и что там в новостях пишут про хакание МФ?

Никому не нужны наружу их не выпускают, как домашних котов.

[Flash-04]

хозяйке на заметку:
https://www.destinationz.org/Community/ ... urvey-Data

BMC’s 2019 Mainframe Survey found that a whopping 77% of large organizations have reported a breach or a potential breach. I guess the question for the other 23% is whether they’ve had a breach but just haven’t spotted it yet! The BMC survey went on to look at ways that organizations can protect themselves. They found that 92% are being audited at least every two years; 33% use external services for mainframe penetration testing; 42% have privileged user monitoring; 26% have a dedicated mainframe security information and event management software (SIEM); and 36% send SIEM data to an enterprise SIEM. IBM’s “Cost of a Data Breach Report” found that it takes 279 days for organizations to identify and contain a breach. They reckoned it takes 206 days to first identify a breach after it occurs followed by an additional 73 days to contain the breach! Maybe an audit every two years isn’t enough?

так что не всё так гладко. Просто об этом не кричат на перекрестках.

[None of the above]

А чем этот "только лаптоп" знаменит и так уж важен для удаленной работы? Кроме может быть шифрованием всех данных на диске.

Он знаменит тем, что на нем стоит кастомный VPN клиент (разработанный, как я понимаю, на основе Cisco AnyConnect) настроенный только на подключение к VPV серверу компании и скорее всего ряд сертификатов.
Кроме этого предустановлен ряд специфического софта (клиенты SAP, FDM, POSSE, PRISM SQL и т.п.). Не могу сказать, чтобы очень часто пользовался, но да, бывает нужно иногда.
Это то, что я по крайней мере знаю, а уж чего там еще напихать могли - хз.

[zVlad]

Ну и что там в новостях пишут про хакание МФ?

Никому не нужны наружу их не выпускают, как домашних котов.

Не верно, выпускают. Нет никаких причин не выпускать. Наоборот, это даже безопасней выпускать, например, Веб сервер на МФ по сравнению с не-МФ. 3270 терминалы выпускаются и для них есть специальные сегменты (порты) на ОSA картах.
Файрвалы на МФ есть свои, встроенные и работают они как надо. Все есть для этого. Ты просто не знаешь о чем говоришь. Это не наезд, это по-дружески.

[zVlad]

хозяйке на заметку:
https://www.destinationz.org/Community/ ... urvey-Data

BMC’s 2019 Mainframe Survey found that a whopping 77% of large organizations have reported a breach or a potential breach. I guess the question for the other 23% is whether they’ve had a breach but just haven’t spotted it yet! The BMC survey went on to look at ways that organizations can protect themselves. They found that 92% are being audited at least every two years; 33% use external services for mainframe penetration testing; 42% have privileged user monitoring; 26% have a dedicated mainframe security information and event management software (SIEM); and 36% send SIEM data to an enterprise SIEM. IBM’s “Cost of a Data Breach Report” found that it takes 279 days for organizations to identify and contain a breach. They reckoned it takes 206 days to first identify a breach after it occurs followed by an additional 73 days to contain the breach! Maybe an audit every two years isn’t enough?

так что не всё так гладко. Просто об этом не кричат на перекрестках.

Ерунда какая-то. Набор слов ни о чем. В документации по OSA есть диаграмма подключения терминалов 3270 из Интернета. Пожалуйста, присоединяйтесь и работайте если надо. Терминал.
WebSphere на zOS гораздо более надежен чем тот же WebSphere на Windows/Linux.
У нас МФ не доступны непосредственно. Это чисто исторический факт, и факт о том как мало знает и хочет наш клиент от МФ. Не более того. Я полагаю во многих других шопах та же картина.

[Flash-04]

У нас МФ не доступны непосредственно. Это чисто исторический факт

как web сервисы, я не видел, чтобы они где-либо были доступны. Это уменьшает exposure, а значит и риск в целом. Тем не менее я часто вижу приложения типа MF-терминал в Costco и Canadian Tire. В Costco можно иногда видеть такой терминал без присмотра, хотя наверное ничего ужасного там сделать нельзя.

WebSphere на zOS гораздо более надежен чем тот же WebSphere на Windows/Linux.

надежнее или безопасней? это знаете, две большие разницы!
В дизайне web-приложений столько можно дыр заложить, что никакой zos RACF не спасёт.

Вот кстати о безопасности:
https://www.ibm.com/support/pages/secur ... erver-8501

WebSphere Application Server could allow a remote attacker to hijack a valid user’s session, caused by an error in the Administrative Console. An attacker could exploit this vulnerability to gain privileges of the victim.

Обратите внимание на OS:

Operating system(s):
AIX, HP-UX, IBM i, Linux, Solaris, Windows, z/OS

Дыры есть везде. Просто где-то их больше, а где-то меньше.

[Flash-04]

Файрвалы на МФ есть свои, встроенные и работают они как надо. Все есть для этого. Ты просто не знаешь о чем говоришь. Это не наезд, это по-дружески.

я как раз знаю. Влад, почитайте что такое web applicaton security, а то скучно говорить с тем кто предмета не знает.

[zVlad]

Файрвалы на МФ есть свои, встроенные и работают они как надо. Все есть для этого. Ты просто не знаешь о чем говоришь. Это не наезд, это по-дружески.

я как раз знаю. Влад, почитайте что такое web applicaton security, а то скучно говорить с тем кто предмета не знает.

Я знаю. Но доказываеть ничего не собираюсь.

[Flash-04]

Ну и ладно

[zVlad]

А чем этот "только лаптоп" знаменит и так уж важен для удаленной работы? Кроме может быть шифрованием всех данных на диске.

Он знаменит тем, что на нем стоит кастомный VPN клиент (разработанный, как я понимаю, на основе Cisco AnyConnect) настроенный только на подключение к VPV серверу компании и скорее всего ряд сертификатов.
Кроме этого предустановлен ряд специфического софта (клиенты SAP, FDM, POSSE, PRISM SQL и т.п.). Не могу сказать, чтобы очень часто пользовался, но да, бывает нужно иногда.
Это то, что я по крайней мере знаю, а уж чего там еще напихать могли - хз.

На моей таблет стоит VpnCilla сконфигурированный на точку входа в нашу сеть напрямую. Не все клиенты я смог сконфигурировать для нашей точки входа, но этот смог. Заходишь и запускаешь Microsoft RD. Коннекчюсь к моему офисному десктопу и все дела. Могу запустить эмулятор 3270 и коннектиться к МФ непосредственно. Никакие сертификаты не требуются.