JIABP
-
Posts
397 -
Joined
-
Last visited
-
Days Won
2
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by JIABP
-
-
@Le ecureuil я предоставлю сегодня ближе к вечеру. С айфона видео достаточно будет (см. выше аналогичное)? И, конечно же селф-тест снятый в процессе экспериментов.
-
2
-
-
Только что, r13 сказал:
Ну раз вы пишете о проблеме не в теме посвященной этой проблеме, то далеко не факт 😉
А я о ней и не заявлял "официально" как о других проблемах
Сейчас не готов снова заниматься тестированием - выходные кончились, всё боевое возвращено в stable и будет таким до следующих выходных.
-
4 часа назад, r13 сказал:
А баг репорт по этой проблеме завели?
Нет, я обновлялся только ради темы Не работает защита от брутфорса веб-интерфейса по HTTPS и случайно увидел, что не могу зайти на HDD.
Мне тоже самое показалось, поэтому решил что такую явную ошибку уже зарепортили.
4 часа назад, В.В. сказал:а и показалось что баг-репортов по теме TSMB и так достаточно.
-
1 час назад, Le ecureuil сказал:
Это direct или через облако?
direct
-
1
-
-
14 минуты назад, В.В. сказал:
не работает подключенный диск, содержимое диска не открывается даже в веб-интерфейсе роутера.
Тоже обратил на это внимание - у меня тоже самое.
-
В версии 3.1 Alpha 4 наблюдается тоже самое.
-
@eralde спасибо! О большем и не прошу.
-
Создал новое доменное имя, создал пользователя с правами на доступ к веб-конфигуратору и несколько раз неправильно вводил разные пароли к одной и той же учётной записи. Получил бан в журнале:
Скрытый текстИюн 23 16:01:49 ndm Core::Scgi::Auth: authentication failed for user user99. Июн 23 16:02:13 ndm Core::Syslog: last message repeated 3 times. Июн 23 16:02:13 ndm Netfilter::Util::Conntrack: flushed 3 IPv4 connections for 195.206.107.220. Июн 23 16:02:13 ndm Netfilter::Util::BfdManager: "Http": ban remote host 195.206.107.220 for 60 minutes. Июн 23 16:02:19 ndm Core::Scgi::Auth: authentication failed for user user99. Июн 23 16:02:27 ndm Core::Scgi::Auth: opened session I**************S for user user99.После чего ввёл корректный пароль и успешно авторизовался.
Видео доступно по ссылке: https://youtu.be/mGryE5YM3y8
-
8 минут назад, Александр Рыжов сказал:
Почему-то меня не пустило. 15 минут пришлось гулять.
Чуть позже запишу видео, благо с iPhone это относительно легко сделать.
8 минут назад, Александр Рыжов сказал:У пользователей admin1, admin2, admin3 был тег http?
Таких пользователей в системе нет вообще. Выдуманные пользователи.
-
37 минут назад, Александр Рыжов сказал:
получите заслуженный бан.
По логу да, бан получил, потом ввёл верный пароль и в веб-морду спокойно пустило.
Скрытый текст
И у меня больше вопрос к логике работы: в моём понимании, любой перебор должен блокироваться. При этом полностью согласен, что перебирая admin1, admin2 и т.д. успеха особо не добьёшься, но всё равно знание о том, что такой бесполезный вид брутфорса имеет место быть немного напрягает. Это из серии, когда за отличной укреплённой железной дверью творится что-то опасное и вроде есть знание, что и бетон и дверь отличные, но всё равно как-то напрягает.
-
1
-
-
Giga 1010, 3.00.B.1.0-0.
Была подобная тема: Защита от брутфорса веб-интерфейса по протоколу HTTPS
Я ввёл 4 раза неверный пароль, лог отрапортовал что забанил меня, потом ввёл верные реквизиты - и авторизация прошла успешно
Скрытый текст
@Le ecureuil 05.12.2018 писал писал в той же теме:
ЦитатаВсе вам уже сказали в этой теме.
В 2.11.A.6 была добавлена защита https для старой морды (читай digest / basic авторизации).
При работе с новым Web используется form-based авторизация. Вот для нее для http была сделана защита, для https - не успели. Да и это не настолько критично - боты не умеют нашу form-based auth, и при запросе "GET /" всегда отдается "200 OK", потому пока они ее научатся определять и пытаться подбирать пароль - мы доделаем и https.
В задачах есть, будет сделано.
А 31.05.2019 @enpa там же сообщил что:
ЦитатаНачиная с версии 3.0 была добавлена поддержка 'lockout-policy' (защита от перебора паролей, брутфорса) для протокола HTTPS. Включено по умолчанию для SSL-сервера. Спасибо @Le ecureuil
Записи попыток подбора паролей в журнале - по аналогии с nginx-сервером (http).Так же я попробовал дальше ломиться - 7 неверных попыток, на 8-ую я ввёл верные реквизиты и меня так же впустило в веб-интерфейс.
Скрытый текст
Таким образом, сейчас, по факту, защита от перебора веб-интерфейса через HTTPS не работает.
При этом огромное спасибо за то, что теперь можно не выставлять веб-интерфейс роутера "наружу" - только это меня и останавливало использовать SSL VPN.
-
2
-
-
@AlexSP спасибо за ответ! Ознакомился детальнее - да, всё реализовано как мне и нужно.
А что насчёт остальных пунктов? Думаю, некий минимум это Google Authentificator и код по SMS. Остальное, конечно, уже дикая паранойя, но внутренний параноик хочет это всё видеть, хотя логика явно бунтует, т.к. всё же это не банковский продукт, как Вы заметили, что бы его так защищать.
-
1
-
-
@eralde если верно понимаю, то Вы так или иначе связаны с работой над веб-интерфейсом. Я даже тикет создал (443145) - планируется расширение, а уже сейчас с 4-мя устройствами это такое себе удовольствие искать какой девайс как называется.
Есть ли вероятность, что это пожелание будет реализовано?
-
В рамках тикета откатился на 2.10 и заодно заскринил как было.
Было (выделил жёлтым имя устройства задаваемое вручную):
Скрытый текст
Стало (имя устройства отсутствует):
Скрытый текст
-
@PASPARTU я скорее про то, что в EULA которую отдаёт роутер есть явные орфографические ошибки и другие упущения.
-
3 часа назад, Le ecureuil сказал:
EULA читали? Принимали?
Интересные знаки в некоторых разделах, при вводе команды show eula document:
2.2.┬аThis is a license to, 8.┬аINDEMNIFICATION 11.┬аGENERAL PROVISIONS (Your ProductтАЩs unique identification number) model name, Your Product А s current SW authorised for optimal use ofYour Product -
Решил попробовать https://keenetic.cloud/ и, видя его потенциал, становится понятно, что он и дальше будет наполняться разным функционалом удалённого мониторинга и, возможно, управления сразу несколькими устройствами, поэтому его необходимо защищать не только лишь паролем, но и другими способами.
Предлагаю реализовать следующие механизмы защиты:
1) Двухфакторная аутентификация при входе в аккаунт с использованием следующих инструментов:
- Генерация одноразовых кодов через TOTP приложение на телефоне (Google Authentificator, Authy, FreeOTP)
- Вход с помощью аппаратного U2F ключа (JaCarta U2F, YubiKey 5 NFC). Статья про YubiKey на Хабре.
- Вход через аналог уведомления от Google, но через приложение My.Keenetic - при новом входе код присылается в виде PUSH-уведомления в приложение на телефоне.
- Резервные коды на случай утери U2F токена, TOTP-устройства и т.д.
2) Двухэтапная аутентификация (менее безопасная, но более удобная):
- Код приходит либо в SMS-сообщении на мобильный телефон, либо поступает звонок где робот сообщает код голосом.
3) Пароли приложений - по аналогии с Google и другими почтовыми сервисами - вместо того, что бы вводить свой пароль в разные почтовые клиенты, системы резервного копирования и т.д, вводится автоматически сгенерированный пароль, который всегда можно аннулировать и доступ будет закрыт для конкретного устройства/приложения. В настоящее время этот функционал вряд ли нужен, т.к. пока авторизоваться можно только в приложении и на сайте keenetic.cloud, которые находятся под контролем производителя, но кто знает как будет развиваться платформа в будущем.
4) Дополнительные инструменты журналирования и аудита:
- На каких устройствах выполнен вход и возможность выполнить принудительный выход на этих устройствах;
- Журнал событий с указанием времени, IP-адреса и предполагаемого города/страны входа в аккаунт, а так же другие записи с указанием даты и времени - изменение пароля, добавление TOTP, добавление/изменение телефона и т.д;
- Список надёжных устройств, для которых не запрашивается второй фактор;
- Уведомление на почту/PUSH о входе в аккаунт и других действиях связанных с ним.
5) Другое
- автоматический logout после 'x' минут простоя.
Ресурсы, в которых можно почерпнуть много полезной информации по данной тематике:
1) А вы защищаете свои аккаунты двухфакторной или двухэтапной аутентификацией?
2) Двухфакторная аутентификация без SMS, одноразовых кодов и паролей-
1
-
1
-
Поддержу.
-
1 час назад, Kiborg_Man сказал:
Это имя не отображается. Да в Вашем первом посте не понятно, что именно Вы хотите. Отвечал как понял изначальный вопрос.
Да, без картинок вида "было-стало" - трудно понять, согласен.
-
20 часов назад, Kiborg_Man сказал:
Конечно правда. Какой смысл мне врать? Скрин как доказательство.
А где имя роутера, которое Вы сами задаёте? Я про это говорю:
Скрытый текст
-
@ndm можете подсказать, правда что оно есть на дельтах и нет на релизе?
-
Если это неуправляемые, "тупые" коммутаторы за 500-1000 рублей, то да - будет работать. У меня так и сделано. Если коммутаторы управляемые, "умные" - не знаю, не пробовал. Примерная моя схема: Giga 3 (controller) ----commutator #1-------Zyxel Air access point.
-
@Kiborg_Man у меня релизная 2.15 на Giga 3 / 1010 - не отображается.
-
Ап! Добавили хотя бы в low priority? Или не набрала хотелка кворума?
Сейчас не готов снова заниматься тестированием - выходные кончились, всё боевое возвращено в stable и будет таким до следующих выходных.
Не работает защита от брутфорса веб-интерфейса по HTTPS
in 3.1
Posted
@Le ecureuil верно понимаю, что видео/self-test уже не требуются?