Mimi ni mhandisi kwa mafunzo, lakini ninawasiliana zaidi na wajasiriamali na wakurugenzi wa uzalishaji. Wakati fulani uliopita, mmiliki wa kampuni ya viwanda aliomba ushauri. Licha ya ukweli kwamba biashara ni kubwa na iliundwa katika miaka ya 90, usimamizi na uhasibu hufanya kazi kwa njia ya zamani kwenye mtandao wa ndani.
Haya ni matokeo ya hofu kwa biashara zao na kuongezeka kwa udhibiti wa serikali. Sheria na kanuni zinaweza kutafsiriwa kwa upana sana na mamlaka za ukaguzi. Mfano ni marekebisho ya Kanuni ya Kodi, kwa ukiukaji wa kodi, uharibifu halisi .
Matokeo yake, mmiliki wa biashara alianza kutafuta ufumbuzi wa uhifadhi wa kuaminika wa habari na uhamisho salama wa nyaraka. Virtual "salama".
Tulishughulikia tatizo na msimamizi wa mfumo wa wakati wote: tulihitaji uchambuzi wa kina wa mifumo iliyopo.
- huduma haipaswi kuwa na wingu, kwa maana ya classical ya neno, i.e. bila kuhifadhi katika vituo vya shirika la tatu. Seva yako tu;
- usimbaji fiche wenye nguvu wa data iliyopitishwa na iliyohifadhiwa inahitajika;
- uwezo wa kufuta haraka yaliyomo kutoka kwa kifaa chochote kwa kubofya kitufe inahitajika;
- suluhisho ilitengenezwa nje ya nchi.
Nilipendekeza kuondoa hoja ya nne, kwa sababu... Maombi ya Kirusi yana vyeti rasmi. Mkurugenzi alisema moja kwa moja nini kifanyike kwa vyeti hivyo.
Kuchagua chaguzi
Nilichagua suluhisho tatu (chaguo zaidi, mashaka zaidi):
- Chanzo Huria - mradi , iliyodumishwa na msanidi mwenye shauku Jacob Borg.
- , inayosimamiwa na American Resilio Inc. (hapo awali huduma hii iliitwa Usawazishaji wa BitTorrent).
- Mradi kutoka maombi ya ulandanishi. Usajili wa Cyprus.
Mmiliki wa kampuni ana uelewa mdogo wa ugumu wa kiufundi, kwa hivyo nilipanga ripoti katika mfumo wa orodha ya faida na hasara za kila chaguo.
Matokeo ya uchambuzi
Syncthing
Faida:
- Chanzo wazi;
- Shughuli ya msanidi mkuu;
- Mradi umekuwepo kwa muda mrefu sana;
- Bure.
Minus:
- Hakuna mteja kwa ganda la iOS;
- Seva za Kugeuka Polepole (ni za bure, kwa hivyo zinapunguza kasi). Kwa wale, ambao
bila kujua, Turn hutumiwa wakati haiwezekani kuunganisha moja kwa moja; - Usanidi tata wa kiolesura (unahitaji uzoefu wa miaka mingi wa programu);
- Ukosefu wa usaidizi wa haraka wa kibiashara.
resilium
Faida: msaada kwa vifaa vyote na seva za Kugeuza haraka.
Minus: Moja na muhimu sana ni kutozingatiwa kabisa kwa maombi yoyote na huduma ya usaidizi. Jibu la sifuri, hata ukiandika kutoka kwa anwani tofauti.
Pvtbox
Faida:
- Inasaidia vifaa vyote;
- Seva za Kugeuka kwa haraka;
- Uwezo wa kupakua faili bila kusanikisha programu;
- Huduma ya kutosha ya usaidizi, ikijumuisha. kwa simu.
Africa:
- Mradi mdogo (kitaalam chache na kitaalam nzuri);
- Muunganisho wa tovuti ni "techy" sana na sio wazi kila wakati;
- Hakuna nyaraka za kina; masuala mengi yanahitaji usaidizi.
Mteja alichagua nini?
Swali lake la kwanza ni: kuna umuhimu gani wa kuendeleza kitu bila malipo? Usawazishaji uliachwa mara moja. Mabishano hayakufaulu.
Siku chache baadaye, mteja alikataa kabisa Usawazishaji wa Resilio kwa sababu ya ukosefu wa usaidizi, kwa sababu... Haijulikani ni wapi pa kwenda katika hali ya dharura. Pamoja na kutokuwa na imani na usajili wa kampuni ya Amerika.
Kwa uchanganuzi zaidi, salama ya Pvtbox Electronic inasalia. Tulifanya ukaguzi kamili wa kiufundi wa jukwaa hili, tukizingatia uwezekano wa kuingilia, usimbaji fiche wa data, na kuingia bila idhini kwenye hifadhi ya taarifa.
Mchakato wa Ukaguzi
Tulichambua viunganisho mwanzoni mwa programu, wakati wa operesheni na katika hali ya utulivu. Trafiki kulingana na viwango vya kisasa husimbwa kwa njia fiche mwanzoni. Wacha tujaribu kutekeleza shambulio la MITM na tubadilishe cheti kwenye nzi kwa kutumia Linux (Xubuntu Linux 18.04), Wireshark, Mitmproksi. Ili kufanya hivyo, tutaanzisha mpatanishi kati ya programu ya Pvtbox na seva ya pvtbox.net (kuna kubadilishana data na seva ya pvtbox.net kupitia muunganisho wa https).
Tunazindua programu ili kuhakikisha kuwa programu na usawazishaji wa faili ndani yake hufanya kazi. Linux Unaweza kuona kumbukumbu mara moja ikiwa utaendesha programu kutoka kwa terminal.
Zima programu na ubadilishe anwani ya mwenyeji wa pvtbox.net kwenye faili / Nk / majeshi na marupurupu ya mtumiaji mkuu. Tunabadilisha anwani na anwani ya seva yetu ya wakala.
Sasa hebu tuandae seva yetu ya wakala kwa shambulio la MITM kwenye kompyuta na anwani 192.168.1.64 kwenye mtandao wetu wa karibu. Ili kufanya hivyo, sakinisha toleo la 4.0.4 la kifurushi cha mitmproxy.
Tunaanzisha seva ya wakala kwenye bandari 443:
$ sudo mitmproxy -p 443
Tunazindua programu ya Pvtbox kwenye kompyuta ya kwanza, angalia matokeo ya mitmproxy na kumbukumbu za maombi.
Mitmproksi inaripoti kuwa mteja haamini cheti cha udanganyifu kutoka kwa seva mbadala. Katika kumbukumbu za maombi tunaona pia kwamba cheti cha seva ya wakala haipiti uthibitishaji na programu inakataa kufanya kazi.
Inasakinisha cheti cha seva mbadala mitmproksi kwa kompyuta iliyo na programu ya Pvtbox ili kufanya cheti kuwa "kinachoaminiwa". Sakinisha kifurushi cha cheti cha ca- kwenye kompyuta yako. Kisha nakili cheti cha mitmproxy-ca-cert.pem kutoka saraka ya .mitmproxy ya seva mbadala hadi kwenye kompyuta kwa kutumia programu ya Pvtbox kwenye saraka ya /usr/local/share/ca-vyeti.
Tunatekeleza amri:
$ sudo openssl x509 -in mitmproxy-ca-cert.pem -fahamisha PEM -out mitmproxy-ca-cert.crt
$sudo update-ca-vyeti
Fungua programu ya Pvtbox. Cheti kilishindwa kuthibitishwa tena na programu inakataa kufanya kazi. Programu labda inatumia utaratibu wa usalama Ubandikaji wa cheti.
Shambulio kama hilo lilifanywa kwa mwenyeji signalserver.pvtbox.net, pamoja na muunganisho wa rika-2 yenyewe kati ya nodi. Msanidi anaonyesha kuwa programu ya kuanzisha miunganisho ya rika-2 hutumia itifaki ya wazi ya webrtc, ambayo hutumia usimbaji fiche wa itifaki kutoka mwisho hadi mwisho. DTLSv1.2.
Vifunguo hutengenezwa kwa kila usanidi wa muunganisho na kusambazwa kupitia chaneli iliyosimbwa kupitia signalserver.pvtbox.net.
Kinadharia, itawezekana kukatiza ofa na kujibu ujumbe wa webrtc, kubadilisha vitufe vya usimbaji fiche hapo na kuweza kusimbua ujumbe wote unaowasili kupitia webrtc. Lakini haikuwezekana kutekeleza shambulio la mitm kwenye signalserver.pvtbox.net, kwa hivyo hakuna njia ya kukatiza na kubadilisha ujumbe uliotumwa kupitia signalserver.pvtbox.net.
Ipasavyo, haiwezekani kutekeleza shambulio hili kwa unganisho la rika-2.
Faili iliyo na vyeti vilivyotolewa na programu pia iligunduliwa. Faili iko katika /opt/pvtbox/certifi/cacert.pem. Faili hii imebadilishwa na faili iliyo na cheti cha kuaminika kutoka kwa seva mbadala yetu ya mitmproxy. Matokeo hayakubadilika - programu ilikataa kuunganishwa na mfumo, hitilafu sawa ilionekana kwenye logi,
kwamba cheti hakipiti uthibitishaji.
Matokeo ya ukaguzi
Sikuweza kuzuia au kudanganya trafiki. Majina ya faili, na hata zaidi yaliyomo, hutumwa kwa njia iliyosimbwa; usimbaji fiche kutoka mwisho hadi mwisho hutumiwa. Programu hutumia njia kadhaa za usalama ambazo huzuia usikilizaji na kupenya.
Matokeo yake, kampuni ilinunua seva mbili za kujitolea (kimwili katika maeneo tofauti) kwa upatikanaji wa kudumu wa habari. Seva ya kwanza hutumiwa kupokea, kusindika na kuhifadhi habari, ya pili inatumika kwa nakala rudufu.
Kituo cha kazi cha mkurugenzi na simu ya rununu kwenye iOS ziliunganishwa kwenye wingu la mtu binafsi lililosababisha. Wafanyakazi wengine waliunganishwa na msimamizi wa mfumo wa muda wote na usaidizi wa kiufundi wa Pvtbox.
Katika kipindi cha muda uliopita, hakujawa na malalamiko kutoka kwa rafiki. Natumai ukaguzi wangu utasaidia wasomaji wa Habr katika hali kama hiyo.
Chanzo: mapenzi.com
