Последние несколько лет все чаще доносится о том, что нынешняя модель Интернета морально устарела и требует пересмотра — корпорации жадно собирают данные пользователей, устраивают цензуру и знают о юзер больше, чем их ближайшие родственники. Лидеры мнений и индустрии предлагают свои идеи по формированию Web 3.0 и рассказывают о том, как сделать Сеть лучше и безопаснее. В этой статье рассмотрим историю развития Интернета, выделим отличительные черты каждой эпохи и проанализируем то, что нам пророчат в ближайшем будущем.
Хочу поделиться опытом использования нового User Manager в Mikrotik ROS 7 для Wi-Fi. Многое в статье типично, но есть моменты, найденные опытным путем.
Задача - покрыть Wi-Fi трехэтажное здание, подключить около 100 пользователей поэтапно с небольшими вложениями.
Все начиналось хорошо - для небольшого объекта купили Mikrotik - маршрутизатор RB750Gr3 и несколько точек доступа RB952, которые заодно управляемые коммутаторы. Настроил CAPsMAN, с несколькими SSID и VLAN, авторизация WPA2 PSK с проверкой MAC через Access List, ограничение скорости через Quenes. Работало просто и стабильно. Недостаток - сложность узнать MAC у пользователя, с учетом опции "случайный MAC" в устройствах. Зато удобно давать доступ по маске MAC, например для одинаковых ноутбуков.
Работа сетевого администратора связана со многими трудностями. К сожалению, описать из все в одной статье не получится — сработает принцип «невозможно объять необъятное». Поэтому мы решили приоткрыть завесу на над некоторыми аспектами работы сетевого администратора в компании, не связанной с IT. То есть это не системный интегратор, не компания-разработчик ПО с DevOps, QA и другими полезными подразделениями и не что-либо аналогичное. В данной статье ограничимся только определённым сегментом, который не зарабатывает деньги на IT.
Мы поговорим о таких непростых вещах, как создание определённого уклада при поддержке ИТ инфраструктуры, разделение обязанностей, соблюдение должностной инструкции и переход на удалённую работу.
Третью зону доступности в облаке мы развёртывали изначально для решения собственных задач — чтобы обеспечить «честный» кворум для наших внутренних распределённых сервисов. У нас было три собственных дата-центра, но лишь в двух из них были выделены зоны доступности для облака, при этом одна была основной, а вторая от неё зависела. Потенциально это грозило тем, что при отказе первой с проблемами столкнулись бы обе. Сейчас же облако может пережить отказ любой зоны доступности: ресурсы в других зонах останутся доступны и сохранится контроль над ними.
На новой площадке не было продуктивной нагрузки, развёрнутых систем заказчиков и всего прочего, для чего требовалось бы продумывать схемы перехода на новые решения таким образом, чтобы это не сказалось на работе заказчиков. Поэтому при развёртывании третьей площадки в кои-то веки мы были не скованы легаси и могли использовать новые технологии, которые только собирались внедрить в двух существующих зонах доступности.
Однако, от первых расчётов до развёртывания прошло почти три года. Технически всё можно было бы сделать проще и быстрее, но приходилось согласовывать свои планы с реальными возможностями и потребностями. Итак, обо всём по порядку.
Во время поездки в отпуск в Египет я приобрел сим карту местного оператора и решил посмотреть как быстро будет (по сравнению с традиционно медленным wifi отеля) работать интернет включая подключение к нашей внутренней инфраструктуре.
Поскольку власти Египта используют DPI для блокирования VPN стандартный OpenVPN не работает, так как блокируются авторизационные пакеты как по tcp, так и по UDP.
Данная статья показывает методы обхода DPI которые я испробовал для обхода блокировок OpenVPN
Добро пожаловать в топ-10 новых методов веб-взлома 2021 года. Это заключительный этап ежегодной работы нашего сообщества. Цель работы — выявить самые значимые в области веб-безопасности, опубликованные в 2021 году.
PortSwigger — разработчик инструментов для этичного хакинга, работа с которыми — часть нашего курса по этичному взлому.
Хотелось ли вам когда-нибудь выборочно фильтровать LSA5? Надоело, что исключать внешние префиксы можно только на ASBR? Вы обратились по адресу! Сегодня я бы хотел рассказать про подход, позволяющий фильтровать LSA5 в том числе на ABR.
О концепции "нулевого доверия", вероятно, слышали многие. Более того, очень многие компании постепенно и небезуспешно внедряют эту концепцию. Еще три года назад 78% ИБ-отделов либо уже реализовали эту концепцию, либо же планировали на нее перейти.
Есть и частное приложение концепции - это сетевой доступ с нулевым доверием, или Zero Trust Networks. Под катом разбираемся с этим понятием и принципами, заложенными в его основу.
Привет, Хабр! Мы в CTI 20 лет строим и тестируем беспроводные сети. Время от времени сталкиваемся с забавными ситуациями, которые показывают серьёзную уязвимость в клиентском Wi-Fi. Причём о некоторых вещах мы узнали только в процессе работы. Всё это совершенно неочевидные мелочи, которые влияют на защиту сети наравне с технологиями.
В этой статье мы делимся историями из практики:
● как бабушка предотвратила MITM-атаку;
● как точка доступа, любезно висящая на одном кабеле, могла стать вектором для атаки;
● как топ-менеджеры своими руками сделали сеть небезопасной;
● как мы спасали Wi-Fi-сеть на стадионе во время крупного спортивного чемпионата и ловили нарушителя радиоэфира.
Разумеется, мы расскажем, что делать, чтобы аналогичное не случилось в вашем офисе. В финале поделимся нашими best practices, как организовать безопасный беспроводной интернет.
Возможно, этот текст пригодится тем, кто занимается безопасностью корпоративного Wi-Fi или только задумывается, как сделать его более защищённым. И конечно, будем рады вашим историям в комментариях.
В статье «Итоги внутренних пентестов — 2020» от Positive Technologies сообщается, что в 61% внутренних тестирований на проникновение успешно применялась атака Kerberoasting. Это мотивировало меня разобраться в атаке, а также ответить на следующие вопросы: почему Kerberoasting так часто эксплуатируется и какие практики по защите существуют и успешно применяются на текущий момент.
Перед тем как перейти к сути атаки, полезно получить общее представление о том, как именно устроена проверка подлинности Kerberos.
Проверка подлинности
В проверке подлинности Microsoft по Kerberos участвуют:
Key Distribution Center (KDC) – Центр распространения ключей Kerberos, одна из служб безопасности Windows server. Работает на контроллере домена (DC);
Клиент, который хочет пройти проверку подлинности и получить доступ к сервису;
Сервер, к сервису которого пользователь хочет получить доступ.
Гайд о том, как на практике применить обфускацию, используемую в TOR для обхода DPI или непрозрачных прокси-серверов (причем, не только на уровне провайдера/государства, но и корпоративного уровня) без сильного замедления трафика засчет self-hosted.
Поскольку после прохождения первого чтения обсуждения начались с новой силой, хочу описать свое мнение о творящемся, поскольку всё это топчется прямо по моей больной мозоли. Очень болезненно наблюдать как интернет в России, к строительству которого я всё-таки был причастен последние пару десятилетий, разрывается на куски.
Безусловно, мнение субъективное и могу быть не прав. Хорошо бы...
