Расшифровка TLS трафика в Wireshark
https://lekensteyn.nl/files/wireshark-tls-debugging-sharkfest19us.pdf
https://lekensteyn.nl/files/wireshark-tls-debugging-sharkfest19us.pdf
Ну и серия постов про декрипт TLS
https://blog.didierstevens.com/2020/12/14/decrypting-tls-streams-with-wireshark-part-1/
Всё, больше не буду )
https://blog.didierstevens.com/2020/12/14/decrypting-tls-streams-with-wireshark-part-1/
Всё, больше не буду )
Didier Stevens
Decrypting TLS Streams With Wireshark: Part 1
In this first example, I show how to decrypt a TLS stream with Wireshark. I made my example as such, that the encryption in this example is done with keys derived from a master secret. This master …
Forwarded from Информация опасносте
В Китае прошёл кубок Тяньфу - соревнование по взлому различных систем.
Успешно были взломаны:
Windows 10 – hacked 5 times
Adobe PDF Reader – 4 times
Ubuntu 20 – 4 times
Parallels VM – 3 times
iOS 15 – 3 times
Apple Safari – 2 times
Google Chrome – 2 times
ASUS AX56U router – 2 times
Docker CE – 1 time
VMWare ESXi – 1 time
VMWare Workstation – 1 time
qemu VM – 1 time
Microsoft Exchange – 1 time
Не взломанными остались только NAS Synology DS220j, смартфон Xiaomi Mi 11 и неназванный бренд китайского электромобиля, на взлом которого даже никто не записался.
https://therecord.media/windows-10-ios-15-ubuntu-chrome-fall-at-chinas-tianfu-hacking-contest/
Успешно были взломаны:
Windows 10 – hacked 5 times
Adobe PDF Reader – 4 times
Ubuntu 20 – 4 times
Parallels VM – 3 times
iOS 15 – 3 times
Apple Safari – 2 times
Google Chrome – 2 times
ASUS AX56U router – 2 times
Docker CE – 1 time
VMWare ESXi – 1 time
VMWare Workstation – 1 time
qemu VM – 1 time
Microsoft Exchange – 1 time
Не взломанными остались только NAS Synology DS220j, смартфон Xiaomi Mi 11 и неназванный бренд китайского электромобиля, на взлом которого даже никто не записался.
https://therecord.media/windows-10-ios-15-ubuntu-chrome-fall-at-chinas-tianfu-hacking-contest/
The Record
Windows 10, iOS 15, Ubuntu, Chrome fall at China’s Tianfu hacking contest
Chinese security researchers took home $1.88 million after hacking some of the world's most popular software at the Tianfu Cup, the country's largest and most prestigious hacking competition.
Forwarded from Dmitry Figol
Как стать сетевым автоматизатором from zero to hero:
1. почитать книжку Наташи и поделать упражнения из её книги, можно также посмотреть сопровождающие лекции на её ютубе.
2. дополнить прохождениями туториалов по nornir / scrapli / scrapli-cfg / nornir_scrapli из доков
3. потыкать нетбокс и его апи
4. пройти туториал фастапи или фласка (если туториал из доков не заходит, можно глянуть на курс фастапи от talkpython to me/real python, а по фласку можно почитать flask mega tutorial)
5. посмотреть Наташины лекции из курсы advanced и другие дополнительные лекции
6. почитать fluent python 2nd edition
7. во время всего обучения пытаться как можно больше пытаться применять полученные знания к вашим проблемам. в идеале даже попросить какого-нибудь питон программиста вас поменторить, чтобы помогал писать нормальный код
в принципе этого всего хватит, чтобы начать.
дополнительные ответвления, которые могут быть полезны:
- разобраться с pytest. книга python testing with pytest. дополнительно глянуть на либы vcrpy и scrapli-replay
- разобраться с докером и почитать как докеризировать питон приложения правильно. на testdriven.io есть хорошая статья
- разобраться в дизайне питон приложений. например, почитать книгу cosmic python, презентации от Gary Bernhardt, Brandon Rhodes, Harry Percival связанные с дизайном и тестированием << конкретно эта тема сложная, и, например, я программирую на питоне 10 лет, и серьезно начал заниматься этой темой только последний год
- разобраться с netconf/yang. книга есть хорошая network programmability with yang. уметь с помощью языка программирования общаться с железкой с помощью netconf/restconf/gnmi
- потыкать клауд и понять основные современные сервисы предоставляемые выбранным клауд провайдером. если не знаете какой, начните с aws. можно даже идти по сертификации, к примеру aws solutions architect associate очень неплох и полезен
- выучить чуть более детально asyncio. например, курс asyncio от edgedb достаточно детальный
- потыкать либу pydantic, или, если не сильно нравится, то marshmallow или аналоги и применять их везде, где нужно получать или передавать данные 😉
- ансибл можно тоже потыкать, чтобы уверенно кивать головой, когда кто-нибудь его хейтит в интернете. можно и не тыкать, а то потом придется траблшутить плейбуки стабильно 2 раза в год с кровью, вытекающей из глаз
- если задолбал питон с его динамическими типами, то можно всё захейтить и выучить го. scrapligo есть, что ещё надо
1. почитать книжку Наташи и поделать упражнения из её книги, можно также посмотреть сопровождающие лекции на её ютубе.
2. дополнить прохождениями туториалов по nornir / scrapli / scrapli-cfg / nornir_scrapli из доков
3. потыкать нетбокс и его апи
4. пройти туториал фастапи или фласка (если туториал из доков не заходит, можно глянуть на курс фастапи от talkpython to me/real python, а по фласку можно почитать flask mega tutorial)
5. посмотреть Наташины лекции из курсы advanced и другие дополнительные лекции
6. почитать fluent python 2nd edition
7. во время всего обучения пытаться как можно больше пытаться применять полученные знания к вашим проблемам. в идеале даже попросить какого-нибудь питон программиста вас поменторить, чтобы помогал писать нормальный код
в принципе этого всего хватит, чтобы начать.
дополнительные ответвления, которые могут быть полезны:
- разобраться с pytest. книга python testing with pytest. дополнительно глянуть на либы vcrpy и scrapli-replay
- разобраться с докером и почитать как докеризировать питон приложения правильно. на testdriven.io есть хорошая статья
- разобраться в дизайне питон приложений. например, почитать книгу cosmic python, презентации от Gary Bernhardt, Brandon Rhodes, Harry Percival связанные с дизайном и тестированием << конкретно эта тема сложная, и, например, я программирую на питоне 10 лет, и серьезно начал заниматься этой темой только последний год
- разобраться с netconf/yang. книга есть хорошая network programmability with yang. уметь с помощью языка программирования общаться с железкой с помощью netconf/restconf/gnmi
- потыкать клауд и понять основные современные сервисы предоставляемые выбранным клауд провайдером. если не знаете какой, начните с aws. можно даже идти по сертификации, к примеру aws solutions architect associate очень неплох и полезен
- выучить чуть более детально asyncio. например, курс asyncio от edgedb достаточно детальный
- потыкать либу pydantic, или, если не сильно нравится, то marshmallow или аналоги и применять их везде, где нужно получать или передавать данные 😉
- ансибл можно тоже потыкать, чтобы уверенно кивать головой, когда кто-нибудь его хейтит в интернете. можно и не тыкать, а то потом придется траблшутить плейбуки стабильно 2 раза в год с кровью, вытекающей из глаз
- если задолбал питон с его динамическими типами, то можно всё захейтить и выучить го. scrapligo есть, что ещё надо
👆 По ссылке улучшенная версия поста. Со ссылками
Telegram
NetDevOps Space
Вредные советы(зачеркнуто) или как стать сетевым автоматизатором from zero to hero от Димы Фиголя @dmfigol:
1. Почитать книжку Наташи @nata_samoylenko и поделать упражнения из её книги, можно также посмотреть сопровождающие лекции на её ютубе.
2. Дополнить…
1. Почитать книжку Наташи @nata_samoylenko и поделать упражнения из её книги, можно также посмотреть сопровождающие лекции на её ютубе.
2. Дополнить…
Forwarded from NetDevOps Space
После опубликованного поста треда от Майкла Шона "Зачем #InfrastructureAsCode в сетевых технологиях?" началась оживленная дискуссия насколько все это возможно осуществить. И одним из высказываний было "покажите хотя бы как создать CI/CD".
Ответ не заставил себя долго ждать. JulioPDX выложил серию статей Building a Network CI/CD Pipeline, где постарался раскрыть тему.
1. Часть 1
2. Часть 2
3. Часть 3
Следущие части на подходе.
Насколько все реалистично выглядит судить вам.
Круто, мне нравится подход!- 🔥
Спорно, но обсуждаемо!-👍
Это не реально!- 😏
Хотите обсудить? Айда в чат - https://news.1rj.ru/str/automate_devnet
Больше ресурсов вы можете найти по хештегам:
#ci_cd
Ответ не заставил себя долго ждать. JulioPDX выложил серию статей Building a Network CI/CD Pipeline, где постарался раскрыть тему.
1. Часть 1
2. Часть 2
3. Часть 3
Следущие части на подходе.
Насколько все реалистично выглядит судить вам.
Круто, мне нравится подход!- 🔥
Спорно, но обсуждаемо!-👍
Это не реально!- 😏
Хотите обсудить? Айда в чат - https://news.1rj.ru/str/automate_devnet
Больше ресурсов вы можете найти по хештегам:
#ci_cd
В WinBox и его протоколе общения с роутером перидически находят уязвимости. Часто эти уязвимости становятся точкой входа хакеров в инфраструктуру компании. Ещё чаще RouterOS начинает эксплуатироваться как часть ботнета. Ни того ни другого админам не хочется. А вот админить свой роутер винбоксом в большинстве случаев удобнее, чем через CLI.
Есть несколько способов решить эту проблему:
1. Фаервол. Разрешить доступ к порту винбокса только с доверенных адресов:
+ просто, легко дебажить
- не подходит для динамических адресов и случаев когда внезапно требуется подключиться к роутеру из кафе/гостиницы
2. Фаервол. Port-knocking:
+ быстро настраивается
- нужно помнить порядок подключения, если нужно расшарить подключение (дать доступ подрядчикам), то после придется менять алгоритм
3. SSH туннелирование
+ быстро настраивается, трафик шифруется в SSH
- в некоторых случаях нужен дополнительный софт
Первые два способа достаточно распространены и информацию по ним найти не составит труда.
Есть несколько способов решить эту проблему:
1. Фаервол. Разрешить доступ к порту винбокса только с доверенных адресов:
+ просто, легко дебажить
- не подходит для динамических адресов и случаев когда внезапно требуется подключиться к роутеру из кафе/гостиницы
2. Фаервол. Port-knocking:
+ быстро настраивается
- нужно помнить порядок подключения, если нужно расшарить подключение (дать доступ подрядчикам), то после придется менять алгоритм
3. SSH туннелирование
+ быстро настраивается, трафик шифруется в SSH
- в некоторых случаях нужен дополнительный софт
Первые два способа достаточно распространены и информацию по ним найти не составит труда.
Разберем третий.
Сначала нужно включить SSH форвардинг на роутере:
После чего подключаемся WinBox'ом на локалхост. При этом фаерволом роутера можно закрыть подключение на порт винбокса (TCP 8291) со всех адресов, кроме 127.0.0.1.
Если в строке подключения ssh указать вместо 127.0.0.1 другой адрес (который есть у роутера - например, фиктивный адрес бриджа), то в Active Users будем видеть этот адрес. Это можно использовать для логирования действий юзера. Нужно толкьо разобраться как (и возможно ли) разрешать разным юзерам подключаться с разных адресов.
Пока писал это, идея реализзации такого пришла, но пока выглядит сложновато. Может подписчики посоветуют как реализовать такое проще. И вообще, как вам идея такой секурности?
P.S.: проверял с Ubuntu. Под виндой должно работать с PuTTY. Для маков ограничений не вижу
Сначала нужно включить SSH форвардинг на роутере:
/ip ssh set forwarding-enabled=local
Коннектимся к роутеру по SSH. Не забывайте при этом использовать авторизацию по ключам - это самый безопасный способ. При коннекте по SSH указываем опцию форвардинга портов (ssh -L 8291:127.0.0.1:8291 admin@router.bubnovd.net)После чего подключаемся WinBox'ом на локалхост. При этом фаерволом роутера можно закрыть подключение на порт винбокса (TCP 8291) со всех адресов, кроме 127.0.0.1.
Если в строке подключения ssh указать вместо 127.0.0.1 другой адрес (который есть у роутера - например, фиктивный адрес бриджа), то в Active Users будем видеть этот адрес. Это можно использовать для логирования действий юзера. Нужно толкьо разобраться как (и возможно ли) разрешать разным юзерам подключаться с разных адресов.
Пока писал это, идея реализзации такого пришла, но пока выглядит сложновато. Может подписчики посоветуют как реализовать такое проще. И вообще, как вам идея такой секурности?
P.S.: проверял с Ubuntu. Под виндой должно работать с PuTTY. Для маков ограничений не вижу
Mikrotik Ninja
https://privacy.sexy/ Enforce privacy & security on Windows and macOS #security #privacy #windows
GitHub
GitHub - undergroundwires/privacy.sexy: Open-source tool to enforce privacy & security best-practices on Windows, macOS and Linux…
Open-source tool to enforce privacy & security best-practices on Windows, macOS and Linux, because privacy is sexy - undergroundwires/privacy.sexy