ProHoster > Blog > warta internét > Rahasia "awan". Kami milarian alternatif pikeun muka solusi

Rahasia "awan". Kami milarian alternatif pikeun muka solusi

Kami insinyur ku pelatihan, tapi kuring langkung seueur komunikasi sareng pangusaha sareng direktur produksi. Sababaraha waktu ka tukang, nu boga pausahaan industri menta nasehat. Sanaos kanyataan yén perusahaan ageung sareng didamel dina taun 90an, manajemén sareng akuntansi damel cara baheula dina jaringan lokal.

Ieu konsekuensi kasieun pikeun bisnis maranéhanana jeung ngaronjat kontrol ku nagara. Undang-undang sareng peraturan tiasa diinterpretasi sacara lega ku otoritas pamariksaan. Contona nyaéta amandemen kana Kode Pajak, ngaleungitkeun statute tina watesan pikeun palanggaran pajeg, karuksakan sabenerna perbankan sarta Inok rusiah.

Hasilna, nu boga usaha mimiti néangan solusi pikeun neundeun dipercaya informasi jeung mindahkeun aman dokumén. Virtual "aman".

Kami ngusahakeun masalah sareng administrator sistem full-time: urang peryogi analisa anu jero ngeunaan platform anu tos aya.

  • jasa nu teu kudu dumasar-awan, dina rasa klasik kecap, i.e. tanpa neundeun di fasilitas hiji organisasi pihak katilu. Ngan server anjeun;
  • enkripsi kuat data dikirimkeun tur disimpen diperlukeun;
  • Kamampuhan pikeun gancang ngahapus eusi tina alat naon waé nalika ngaklik tombol diperyogikeun;
  • solusi ieu dimekarkeun mancanagara.

Kuring ngajukeun pikeun ngaleungitkeun titik kaopat, sabab ... Aplikasi Rusia ngagaduhan sertipikat resmi. Sutradara langsung nyarios naon anu kedah dilakukeun ku sertipikat sapertos kitu.

Milih pilihan

Kuring milih tilu solusi (beuki pilihan, beuki mamang):

Nu boga pausahaan boga saeutik pamahaman intricacies teknis, jadi kuring formatna laporan dina bentuk daptar pro jeung kontra unggal pilihan.

Hasil analisis

Syncthing

Плюсы:

  • Open source;
  • Kagiatan pamekar utama;
  • Proyék ieu parantos lami pisan;
  • Gratis.

kontra:

  • Henteu aya klien pikeun cangkang ios;
  • Slow Turn server (aranjeunna bébas, ngarah ngalambatkeun). Pikeun maranéhanana, saha
    teu sadar, Hurungkeun dipaké nalika mustahil pikeun nyambung langsung;
  • Setélan antarbeungeut kompléks (merlukeun sababaraha taun pangalaman program);
  • Kurangna rojongan komérsial gancang.

résilium

pro: rojongan pikeun sakabéh alat jeung gancang Aktipkeun server.

kontra: Hiji sareng anu penting pisan nyaéta teu nganggap lengkep sagala pamundut ku jasa dukungan. Nol respon, sanajan anjeun nulis ti alamat béda.

Pvtbox

pro:

  • Ngarojong sadaya alat;
  • Server Aktipkeun gancang;
  • Kamampuhan pikeun ngundeur file tanpa masang aplikasi;
  • Ladenan dukungan anu nyukupan, kalebet. ku telepon.

Минусы:

  • proyék ngora (sababaraha ulasan sarta ulasan alus);
  • panganteur situs urang pisan "techy" na teu salawasna jelas;
  • Henteu aya dokuméntasi anu lengkep; seueur masalah anu peryogi dukungan.

Naon anu dipilih palanggan?

Patarosan kahijina nyaéta: naon gunana pikeun ngembangkeun hiji hal gratis? Sinkronisasi langsung ditinggalkeun. Argumenna teu hasil.

Sababaraha dinten saatosna, palanggan sacara kategori nampik Resilio Sync kusabab kurangna dukungan, sabab ... Henteu écés kamana angkat dina kaayaan darurat. Ditambah teu percanten kana pendaptaran Amérika perusahaan.

Pikeun analisis salajengna, aman Pvtbox Electronic tetep. Urang ngalaksanakeun Inok teknis pinuh ku platform ieu, fokus kana kamungkinan interception, dekripsi data, sarta asupna teu sah kana gudang informasi.

Prosés Audit

Kami nganalisa sambungan dina ngamimitian program, salami operasi sareng dina kaayaan tenang. Lalu lintas nurutkeun standar modern mimitina énkripsi. Hayu urang cobaan pikeun ngalakonan serangan MITM tur ngaganti sertipikat dina laleur ngagunakeun Linux (Xubuntu Linux 18.04), Wireshark, Mitmproxy. Jang ngalampahkeun ieu, kami bakal ngenalkeun perantara antara aplikasi Pvtbox sareng server pvtbox.net (aya bursa data sareng server pvtbox.net via sambungan HTTPS).

Kami ngaluncurkeun aplikasi pikeun mastikeun yén program sareng sinkronisasi file tiasa dianggo di dinya. Dina Linux, anjeun tiasa langsung ningali logging upami anjeun ngajalankeun program tina terminal.
Rahasia "awan". Kami milarian alternatif pikeun muka solusi

Pareuman aplikasi tur ngaganti alamat host pvtbox.net dina file / Jsb / sarwa kalawan hak husus superuser. Urang ngaganti alamatna ku alamat server proxy urang.
Rahasia "awan". Kami milarian alternatif pikeun muka solusi

Ayeuna hayu urang nyiapkeun server proxy urang pikeun serangan MITM dina komputer kalawan alamat 192.168.1.64 dina jaringan lokal urang. Jang ngalampahkeun ieu, install pakét mitmproxy versi 4.0.4.

Urang ngamimitian server proxy dina port 443:
$ sudo mitmproxy -p 443

Urang ngajalankeun program Pvtbox dina komputer munggaran, tingali kaluaran mitmproxy jeung log aplikasi.
Rahasia "awan". Kami milarian alternatif pikeun muka solusi

Mitmproxy ngalaporkeun yén klien nu teu percanten ka sertipikat spoof ti server proxy. Dina log aplikasi urang ogé ningali yén sertipikat server proxy henteu lulus verifikasi sareng programna nolak damel.

Masang sertipikat server proxy mitmproxy ka komputer kalawan aplikasi Pvtbox sangkan sertipikat "dipercaya". Pasang pakét ca-sertipikat dina komputer anjeun. Teras salin sertipikat mitmproxy-ca-cert.pem tina diréktori .mitmproxy server proxy ka komputer nganggo aplikasi Pvtbox kana diréktori /usr/local/share/ca-certificates.

Urang ngajalankeun paréntah:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -inform PEM -out mitmproxy-ca-cert.crt
$ sudo update-ca-sertipikat
Rahasia "awan". Kami milarian alternatif pikeun muka solusi

Jalankeun aplikasi Pvtbox. Sertipikat gagal verifikasi deui sareng programna nolak jalan. Aplikasina sigana nganggo mékanisme kaamanan Pinning sertipikat.

Serangan anu sami dilaksanakeun ka host signalserver.pvtbox.net, kitu ogé sambungan peer-2-peer sorangan antara titik. Pamekar nunjukkeun yén aplikasi pikeun nyieun sambungan peer-2-peer ngagunakeun protokol webrtc kabuka, anu ngagunakeun enkripsi protokol tungtung-to-tungtung. DTLSv1.2.

Konci dihasilkeun pikeun tiap setelan sambungan na dikirimkeun ngaliwatan saluran énkripsi via signalserver.pvtbox.net.

Sacara téoritis, éta bakal mungkin pikeun nyegat tawaran webrtc sareng ngawalon pesen, ngagentos konci enkripsi di dinya sareng tiasa ngadekrip sadaya pesen anu sumping via webrtc. Tapi éta teu mungkin pikeun ngalakukeun serangan mitm on signalserver.pvtbox.net, jadi teu aya deui jalan pikeun intercept jeung ngaganti pesen dikirim ngaliwatan signalserver.pvtbox.net.

Sasuai, teu mungkin pikeun ngalakukeun serangan ieu dina sambungan peer-2-peer.

Berkas sareng sertipikat anu disayogikeun sareng program ogé kapanggih. Filena aya di /opt/pvtbox/certifi/cacert.pem. Berkas ieu parantos diganti ku file anu ngandung sertipikat dipercaya ti proxy mitmproxy kami. Hasilna henteu robih - program nampik nyambung ka sistem, kasalahan anu sami dititénan dina log,
yén sertipikat henteu lulus verifikasi.

Hasil audit

Kuring teu bisa intercept atawa spoof lalulintas. Ngaran koropak, komo deui eusina, dikirimkeun dina bentuk énkripsi; énkripsi tungtung-to-tungtung dipaké. Aplikasi ieu nerapkeun sababaraha mékanisme kaamanan nu nyegah eavesdropping jeung infiltrasi.

Hasilna, pausahaan dibeuli dua dedicated server (fisik di lokasi béda) pikeun aksés permanén kana informasi. Server kahiji dianggo pikeun nampi, ngolah sareng nyimpen inpormasi, anu kadua dianggo pikeun cadangan.

Terminal karya sutradara sareng telepon sélulér dina ios disambungkeun ka awan individu anu dihasilkeun. Karyawan séjén disambungkeun ku administrator sistem full-waktu jeung rojongan teknis Pvtbox.

Dina mangsa katukang, teu aya keluhan ti babaturan. Abdi ngarepkeun ulasan kuring bakal ngabantosan pamiarsa Habr dina kaayaan anu sami.

sumber: www.habr.com

Tambahkeun komentar