Ssl vpn ssh

[elceef]

Pamiętam, że jakiś czas temu narzekałeś na specjalistę od sieci, który zrywa Twoje połączenia SSH. Są dwa rozwiązania:
1. Gość ma dostęp do jednej ze stron połączenia i jest w stanie podsłuchać ruch, więc także pośrednio na niego wpłynąć.
2. Cierpisz na schizofrenię paranoidalną ;-)

[drwal]

sam juz nie wiem ktora z tych 2 opcji bylaby dla mnie lepsza

tak powaznie: ma dostep o jednej ze stron polaczenia. wykluczam mozliwosc ze ma dostep do lokalnego kompa. zatem zostaje serwer.
wiem, ze kilka tygodni po reinstalce, jadro(sysctl.conf) nie bylo skonifgurowane poprawnie (brak ip_forward= 0, brak zabezpieczenie przed ARP spoofing itp.)

czy to moglo mu otworzyc droge do czegos?

[TQM]

Ewidentnie koles musi obserwowac drugi koniec polaczenia. Pytanie tylko o ten VPN - czy jest to VPN do serwera prosto czy VPN do sieci w ktorej jest serwer - dokladnie o to gdzie sa oba konce tego tunelu VPN?

Jesli tunel jest od ciebie do serwera to znaczy ze koles ma dostep do serwera i widzi polaczenia juz na serwerze. Pamietaj ze do wnetrza VPN on nie zajrzy - chyba ze ma klucz prywatny serwera VPN - wtedy moze dekodowac ruch w locie bez ingerencji zadnej - sniff, dekodowanie, po sprawie...

[drwal]

co do VPN to po prostu lacze sie z usluga hostingu(SoftLayer). Majac nawiazane polaczenie moge sie polaczyc z SSH na prywatnym IP 10.*.*.*.

szczerze mowiac nie znam sie za bardzo na tym i nie wiem jak odp. to twoje pytanie

jak sprawdzic czy na tym porcie 22 odbywasie jakich podejrzany ruch?
Moja wiedza z zakresu sieci jest ograniczona, dopiero sie ucze, w tym momencie to co mi przychodzi do glowy to netstat tulnp | grep ":22"
wiem, ze sa narzedzia jak tcpdump,ktore mowia wiecej, ale nie bardzo potrafie sie tym poslugiwac (pozniej bytrzeba analizowac to wiresharkiem czy tak?).

[TQM]

Czyli rozumiem ze masz dostep do sieci firmy hostingowej do jednego dedykowanego punktu dostepowego (koncentrator VPN) a nie do konkretnego serwera na ktorym sa Twoje strony.

Ma to o tyle znaczenie, ze w pierwszym wypadku wystarczy, ze koles ma swoj hosting w tej samej sieci co Ty i majac root'a na serwerze ze sporym prawdopodobienstwem mozna przyjac, ze moglby podlsluchiwac co biega po sieci LAN.

W drugim wypadku delikwent musialby miec dostep do tego samego serwera do ktorego Ty sie laczysz... albo jak mowie miec klucz prywatny ktorego uzywa koncentrator VPN - wtedy moglby podluchiwac polaczenie VPN na zywo (majac prawidlowe klucze).

[drwal]

NOC mowi cos takiego:

"the private VLAN is ACL'ed off from other customers ultimately stopping them from being able to brute force attack the backend IP address.."

[TQM]

To mowa o VPN, VLAN czy kombinacji obu? To ze sa VLANy nic nie znaczy jak dla mnie - widac NOC nie slyszal jeszcze o takim czyms jak vlan hopping, co byloby realne gdyby koles tez byl ich klientem i wiedzial w jakim VLANie jestes.

Jak dla mnie to caly czas podales nieco malo informacji...

1. Skad dokad idzie tunel VPN - czy z Twojego kompa czy z Twojego routera? Wiemy na pewno ze idzie do routera/koncentratora u providera.
2. Jak wspomniany koles jest ulokowany wzgledem Ciebie? Ma dostep do Twojego LAN, macie wspolnego ISP, jest klientem tej samej firmy hostingowej czy jak?

Na razie wszystko co mowilismy wyzej to jedynie teoria i rozpatrywanie mozliwosci - mowiac krotko rysowanie obrazu patykiem na wodzie.

[drwal]

Kod:

1. Skad dokad idzie tunel VPN - czy z Twojego kompa czy z Twojego routera? Wiemy na pewno ze idzie do routera/koncentratora u providera.

Chyba z mojego kompa, ale nie jest pewien czy dobrze Cie rozumiem. Ja po prostu loguje sie do panelu Softlayera i uruchamiam na swoim kompie klienta SSL VPN (http://www.arraynetworks.net/entry.asp?PageID=110). Majac ustanowione polaczenie, moge zalogowac sie do SSH na prywatny IP.

Kod:

2. Jak wspomniany koles jest ulokowany wzgledem Ciebie? Ma dostep do Twojego LAN, macie wspolnego ISP, jest klientem tej samej firmy hostingowej czy jak?

Nie byloby zadnego problemu dla niego z wykupieniem fakekowego konta w tej firmie, i mysle ze to moze byc calkiem prawopodobne.