OFFZONE - международная конференция по практической кибербезопасности, которая проходит в Москве с 2018 года. Она объединяет безопасников, разработчиков, инженеров, исследователей, преподавателей и студентов из десятков стран мира. В центре внимания - только технический контент, посвященный актуальным темам отрасли.
OFFZONE организует компания по управлению цифровыми рисками BI.ZONE.
Freeipa гораздо проще чем AD и для программиста/админа проще понять где какие нюнсы, а закрытый AD это как оракл , может больно ударить по нервам и кошельку бизнеса. А в чем смысл лекции? Как сломать FreeIPA будучи root-ом с легкими паролями и с доступом в интернет? Полностью изолированный сервер с односторонней связкой и сложными политиками и выключенными admin не ломаем. Еще не сказано есть KCM с RHEL8. Мы всегда жертвуем простотой хранения в сторону оптимизации и качества бизнеса, иначе мы получим DDoS с сомнительной безопасностью и уничтожением бизнеса.
Очень интересный доклад. Но возникает вопрос в отношении обратной верификации - почему клиент должен поверить, что его собеседник - именно сотрудник банка? Как убедиться, что это не мошенник, который имитирует обратную верификацию, например, получив дистанционный доступ к экрану смартфона жертвы или используя дубликат мобильного банка?
Доброго дня. Андрей, сетевой инженер MikroTik. Хотел бы осветить несколько интересных нюансов. 1. В случае с EoIP - при создании туннеля имеет смысл выставить на нём MTU принудительно в размер 1500. Почему так: MTU бриджа принимает значение, равное наименьшему значению MTU среди всех включённых в этот бридж интерфейсов. Соответственно по умолчанию EoIP имеет MTU 1458 (это если без дополнительных оверхедов), то при добавлении его в бридж мы получим неприятные сюрпризы в работе сети, и очень быстро себя скомпрометируем таким образом. 2. Если мне нужно быстро поднять L2 в сторону сети, где нет белого адреса внешнего, то я обычно поднимаю L2TP (причём с MRRU 1800, или любым другим существенно больше 1500, чтобы перекрыть все оверхеды), и в него уже закидываю EoIP (т.к. у нас уже есть адреса на обеих концах L2TP, между которыми можно кидать EoIP). Решение не слишком красивое с точки зрения количества инкапсуляций, но для многих задач, требующих временного или быстрого решения, очень удобное. А благодаря использованию в L2TP значения MRRU 1800 нам не придётся принудительно менять MTU на EoIP, потому как у него теперь и так MTU будет сильно больше 1500, потому он не повлияет на MTU бриджа. К тому же L2TP с использованием MRRU 1800 благодаря MLP (по сути создание нескольких виртуальных саб-туннелей, невидимых пользователю, из которых потом собирается один туннель с нужным нам завышенным MTU) увеличивает MTU существенно дешевле с точки зрения ресурсов, чем это делает EoIP через пересборку пакетов. 3. Лицензии. CHR в free версии изначально имеет ограничение скорости в 1 Мбит/с. Можно активировать триальную версию, она на два месяца даст полную скорость, соответствующую выбранной лицензии (1 Гбит/с, 10 Гбит/с либо анлим). А после двух месяцев... можно будет продолжать использовать, просто будут ограничения на обновления версии RouterOS, не более. (Кстати, можно трижды сбросить software id и трижды активировать триал, таким образом растягивая удовольствие на полгода, при этом продолжая обновлять RouterOS, если требуется; а после - создаём новую виртуалку с CHR и импортируем туда конфиг со старой - снова на полгода). А вот версия x86 (которую кстати тоже можно ставить на виртуалку, но уже через инсталлер ISO) имеет другие ограничения. Строго 24 часа аптайма (которые можно использовать хоть по 5 минут в день, не важно), при этом без каких-либо ограничений вообще. И для версии x86 за эти 24 часа можно активировать лицензию DEMO (L1), которая будет иметь ограничения на количество туннелей - по одному виртуальному интерфейсу каждой масти - один vlan, один vxlan, один EoIP и так далее. Но не будет иметь ограничений по скорости. В отличие от CHR, лицензия на которые привязывается к личному кабинету, у x86 лицензия привязывается к накопителю, виртуальному или железному - не важно. Потому после активации лицензии менять размер накопителя нельзя, иначе лицензия слетит и виртуалка не запустится (а может включится счётчик в 24 часа аптайма, этого не помню сейчас).
Довольно интересный получился доклад, главное что доклад основан на собственном опыте, так сказать - в живую, а не тупо сляпан из всякой рекламы с тырнета (часто не обоснованной).
У меня чисто организационное предложение. Я бы на вашем месте слайды оформил на сербском языке, а саму презентацию провел бы на португальском. Надо как то новые рынки зондировать, раз уж презентация в Гватемале проходила.
Reply-only не равно статической арп таблице, туда всё ещё могут попадать динамические записи. Изучите вопрос глубже. По поводу RA guard - это концепция а не просто галка. Что мешает реализовать дроп таких пакетов на свичах? DP abuse - то же самое, кроме того nd на RouterOS отключается за пару кликов в винбоксе. Перехват VRRP - для воспроизведения придется оказаться в том же л2 сегменте где члены VRRP обмениваются данными, чего в важных сетях не допускают
1) "Туда все еще могут попадать динамические записи". Это как? Через DHCP -> Add ARP for Leases??? 2) Да, я понимаю что это не просто галка, в докладе я не говорил обратного. Да, действительно можно попробовать отбрасывать такие пакеты на уровне коммутаторов, вы про VACL/VMAP? 3) Я знаю что DP настраиваются в два клика, однако я рассказал о DP только в качестве мисконфигурации по умолчанию, которая имеет место быть в продакшне. Не все обращают на это внимание. 4) Я рассмотрел вектор против VRRP именно с точки зрения внутреннего пентеста, где у атакующего есть L2 доступ.
Это на какой уровень «новичка» рассчитан доклад? В моей школьной программе не было информатики от слова СОВСЕМ. И как плохой юзер я не смогла понять смысла создания данного доклада. А значение слова «пентестер» я посмотрела в гугле. Желаю докладчику сменить статус с плохого на хороший!
