Təlim üzrə mühəndisəm, amma daha çox sahibkarlar və istehsalat direktorları ilə ünsiyyət qururam. Bir müddət əvvəl sənaye şirkətinin sahibi məsləhət istədi. Müəssisənin böyük olmasına və 90-cı illərdə yaradılmasına baxmayaraq, idarəetmə və mühasibatlıq yerli şəbəkədə köhnə üsulla işləyir.
Bu, onların biznesi üçün qorxu və dövlət tərəfindən artan nəzarətin nəticəsidir. Qanunlar və qaydalar yoxlama orqanları tərəfindən çox geniş şəkildə şərh edilə bilər. Buna misal olaraq Vergi Məcəlləsinə edilən dəyişiklikləri göstərmək olar. vergi pozuntuları, faktiki məhv üçün .
Nəticədə, biznes sahibi məlumatların etibarlı saxlanması və sənədlərin təhlükəsiz ötürülməsi üçün həll yolları axtarmağa başladı. Virtual "təhlükəsiz".
Problem üzərində tam zamanlı sistem administratoru ilə işlədik: mövcud platformaların dərin təhlilinə ehtiyacımız var idi.
- xidmət bulud əsaslı olmamalıdır, sözün klassik mənasında, yəni. üçüncü tərəf təşkilatının obyektlərində saxlanmadan. Yalnız serveriniz;
- ötürülən və saxlanılan məlumatların güclü şifrələməsi tələb olunur;
- bir düyməni basmaqla istənilən cihazdan məzmunu təcili silmək imkanı məcburidir;
- həll xaricdə hazırlanmışdır.
Mən dördüncü bəndin çıxarılmasını təklif etdim, çünki... Rus tətbiqləri rəsmi sertifikatlara malikdir. Direktor birbaşa dedi ki, belə sertifikatlarla nə etmək lazımdır.
Seçimləri seçin
Mən üç həll yolu seçdim (nə qədər çox seçim olsa, bir o qədər şübhə olar):
- Açıq mənbə - layihə , həvəsli tərtibatçı Jacob Borg tərəfindən qorunur.
- , American Resilio Inc tərəfindən idarə olunur. (əvvəllər bu xidmət BitTorrent Sync adlanırdı).
- Layihə etibarən sinxronizasiya proqramları. Kipr qeydiyyatı.
Şirkətin sahibi texniki incəlikləri çox az başa düşür, ona görə də hesabatı hər bir variantın müsbət və mənfi tərəflərinin siyahısı şəklində formatladım.
Təhlil nəticələri
Sinxronizasiya
Pros:
- Açıq mənbə;
- Əsas tərtibatçının fəaliyyəti;
- Layihə çox uzun müddətdir mövcuddur;
- Pulsuz.
Eksiler:
- iOS qabığı üçün müştəri yoxdur;
- Slow Turn serverləri (onlar pulsuzdur, buna görə də yavaşlayır). Kimlər üçün
xəbərsiz, Turn birbaşa qoşulmaq mümkün olmadıqda istifadə olunur; - Mürəkkəb interfeys qurulması (uzun illər proqramlaşdırma təcrübəsi tələb olunur);
- Sürətli kommersiya dəstəyinin olmaması.
resilium
Pros: bütün cihazlar və sürətli Turn serverləri üçün dəstək.
Eksiler: Bunlardan biri və çox əhəmiyyətlisi, dəstək xidməti tərəfindən istənilən sorğuya tamamilə məhəl qoymamasıdır. Fərqli ünvanlardan yazsanız belə cavab sıfırdır.
Pvtbox
Pros:
- Bütün cihazları dəstəkləyir;
- Sürətli dönmə serverləri;
- Proqramı quraşdırmadan fayl yükləmək imkanı;
- Adekvat dəstək xidməti, o cümlədən. telefonla.
Eksiler:
- Gənc layihə (bir neçə rəy və yaxşı rəylər);
- Saytın interfeysi çox “texniki” və həmişə aydın deyil;
- Hərtərəfli təfərrüatlı sənədlər yoxdur, bir çox məsələlər dəstək tələb edir.
Müştəri nəyi seçdi?
Onun ilk sualı belədir: pulsuz bir şey hazırlamağın mənası nədir? Sinxronizasiya dərhal dayandırıldı. Arqumentlər nəticə vermədi.
Bir neçə gün sonra müştəri dəstəyin olmaması səbəbindən Resilio Sync-dən qəti şəkildə imtina etdi, çünki... Fövqəladə vəziyyətdə hara getmək lazım olduğu bəlli deyil. Üstəlik şirkətin Amerika qeydiyyatına inamsızlıq.
Əlavə təhlil üçün Pvtbox Elektron seyfi qalır. Biz məlumatların tutulması, şifrəsinin açılması və məlumat anbarına icazəsiz daxil olma ehtimalına diqqət yetirməklə bu platformanın tam texniki auditini keçirdik.
Audit Prosesi
Proqramın başlanğıcında, əməliyyat zamanı və sakit vəziyyətdə əlaqələri təhlil etdik. Müasir standartlara uyğun trafik ilkin olaraq şifrələnir. Gəlin bir MITM hücumu həyata keçirməyə və sertifikatı istifadə edərək dərhal əvəz etməyə çalışaq Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Bunun üçün biz Pvtbox tətbiqi ilə pvtbox.net serveri arasında vasitəçi təqdim edəcəyik (https bağlantısı vasitəsilə pvtbox.net serveri ilə məlumat mübadiləsi var).
Proqramın və fayl sinxronizasiyasının işlədiyinə əmin olmaq üçün proqramı işə salırıq. Linux-da, proqramı terminaldan işə salsanız, dərhal girişi müşahidə edə bilərsiniz.
Proqramı söndürün və faylda pvtbox.net host ünvanını dəyişdirin / Etc / Host super istifadəçi imtiyazları ilə. Ünvanı proxy serverimizin ünvanı ilə əvəz edirik.
İndi isə yerli şəbəkəmizdə 192.168.1.64 ünvanlı kompüterə proksi serverimizi MITM hücumuna hazırlayaq. Bunun üçün mitmproxy paketinin 4.0.4 versiyasını quraşdırın.
Proksi serveri 443 portunda işə salırıq:
$ sudo mitmproxy -p 443
İlk kompüterdə Pvtbox proqramını işə salırıq, mitmproxy çıxışına və tətbiq qeydlərinə baxırıq.
Mitmproxy müştərinin proksi serverdən gələn saxtakarlıq sertifikatına inanmadığını bildirir. Tətbiq qeydlərində biz də görürük ki, proxy server sertifikatı yoxlamadan keçmir və proqram işləməkdən imtina edir.
Proksi server sertifikatı quraşdırılır mitmproxy sertifikatı "etibarlı" etmək üçün Pvtbox tətbiqi ilə kompüterə. Ca-sertifikat paketini kompüterinizə quraşdırın. Sonra mitmproxy-ca-cert.pem sertifikatını proksi serverin .mitmproxy kataloqundan Pvtbox tətbiqi ilə kompüterə /usr/local/share/ca-certificates qovluğuna köçürün.
Biz əmrləri yerinə yetiririk:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$sudo yeniləmə-ca-sertifikatları
Pvtbox tətbiqini işə salın. Sertifikat yenidən yoxlanılmadı və proqram işləməkdən imtina etdi. Tətbiq yəqin ki, təhlükəsizlik mexanizmindən istifadə edir Sertifikat sancması.
Analoji hücum ev sahibinə də edilib signalserver.pvtbox.net, həmçinin qovşaqlar arasında peer-2-peer əlaqənin özü. Tərtibatçı göstərir ki, peer-2-peer əlaqələri yaratmaq üçün proqram uç-to-end protokol şifrələməsindən istifadə edən açıq webrtc protokolundan istifadə edir. DTLSv1.2.
Açarlar hər bir əlaqə quraşdırma üçün yaradılır və vasitəsilə şifrələnmiş kanal vasitəsilə ötürülür signalserver.pvtbox.net.
Teorik olaraq, webrtc təklifini tutmaq və mesajlara cavab vermək, orada şifrələmə açarlarını dəyişdirmək və webrtc vasitəsilə gələn bütün mesajların şifrəsini açmaq mümkün olardı. Lakin signalserver.pvtbox.net saytında mitm hücumu həyata keçirmək mümkün olmadı, ona görə də signalserver.pvtbox.net vasitəsilə göndərilən mesajları tutmaq və əvəz etmək mümkün deyil.
Müvafiq olaraq, bu hücumu peer-2-peer bağlantısı ilə həyata keçirmək mümkün deyil.
Proqramla təchiz edilmiş sertifikatları olan fayl da aşkar edilib. Fayl /opt/pvtbox/certifi/cacert.pem ünvanında yerləşir. Bu fayl mitmproxy proksimizdən etibarlı sertifikatı ehtiva edən fayl ilə əvəz edilmişdir. Nəticə dəyişmədi - proqram sistemə qoşulmaqdan imtina etdi, eyni səhv jurnalda müşahidə edildi,
sertifikatın yoxlamadan keçməməsi.
Audit nəticələri
Mən trafikə müdaxilə edə və ya saxtalaşdıra bilmədim. Fayl adları və daha çox onların məzmunu şifrələnmiş formada ötürülür, başdan-ayağa şifrələmədən istifadə olunur.Tətbiq dinləmə və sızmanın qarşısını alan bir sıra təhlükəsizlik mexanizmlərini həyata keçirir.
Nəticədə, şirkət məlumatlara daimi çıxış üçün iki xüsusi server (fiziki olaraq müxtəlif yerlərdə) alıb. Birinci server məlumatı qəbul etmək, emal etmək və saxlamaq üçün, ikincisi isə ehtiyat nüsxə üçün istifadə olunur.
Rejissorun iş terminalı və iOS-da cib telefonu ortaya çıxan fərdi buludla birləşdirildi. Digər işçilər Pvtbox-un tam ştatlı sistem administratoru və texniki dəstəyi ilə birləşdirildi.
Ötən müddət ərzində dostdan heç bir şikayət olmayıb. Ümid edirəm ki, mənim rəyim oxşar vəziyyətdə Habr oxucularına kömək edəcəkdir.
Mənbə: www.habr.com