Важное обновление безопасности версия 4.8.3 !!! (или выше)

Полезная информация о развитии продукта LiteManager, опросы, объявления.

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение barbarian » 09 ноя 2017, 16:05

nikson_iii писал(а):
Я так понимаю, должно быть три типа защиты.
    1. Для подключения вьювера к серверу: логин/пароль, с шифрованием пином/ключём/сертификатом и т.п.
    2. Шифрование непосредственно передаваемых данных: шифрование пином/ключём/сертификатом и т.п.
    3. Для подключения вьюверов и серверов к NoIP: логин/пароль, с шифрованием пином/ключём/сертификатом и т.п.
При этом пин/ключ/сертификат и т.п., никуда не передаётся, а вводится "ручками" на вьювере, сервере, персональном NoIP.

И да, если вы хотите иметь защиту с шифрованием на подключение к публичному NoIP litemanager.ru, без ввода системы безопасности в личный кабинет пользователя на сайте - НИКАК. Где-то ведь должны храниться пин/ключ/сертификат безопасности.

Или я что-то в этой жизни не понимаю.
barbarian
 
Сообщения: 191
Зарегистрирован: 20 сен 2014, 13:14

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение nikson_iii » 09 ноя 2017, 17:07

barbarian писал(а):Я так понимаю, должно быть три типа защиты.
    1. Для подключения вьювера к серверу: логин/пароль, с шифрованием пином/ключём/сертификатом и т.п.
    2. Шифрование непосредственно передаваемых данных: шифрование пином/ключём/сертификатом и т.п.
    3. Для подключения вьюверов и серверов к NoIP: логин/пароль, с шифрованием пином/ключём/сертификатом и т.п.
При этом пин/ключ/сертификат и т.п., никуда не передаётся, а вводится "ручками" на вьювере, сервере, персональном NoIP.

И да, если вы хотите иметь защиту с шифрованием на подключение к публичному NoIP litemanager.ru, без ввода системы безопасности в личный кабинет пользователя на сайте - НИКАК. Где-то ведь должны храниться пин/ключ/сертификат безопасности.

На мой, непрофессиональный взгляд:
1. Шифрование пином аутентификации логин/пароля - не обязательно, если производить ее на главном NOIP, который принадлежит (надеюсь!) LMTeam (не пропуская этот трафик через NOIP любопытного злодея).
Об этом я и говорю, когда заходит речь об обмене ключами на головняке. По крайней мере, тогда будет понятно кто крайний (достаточная, не параноидальная безопасность).
При этом LMTeam отвечают об аутентификации по PIN. А вот тогда, поскольку аутентификация логин/пароль остается, и пойдет все равно через NOIP злодея - уже обязательно шифрование пином. О чем разрабы молчат аки партизаны (спасибо, что не врут): происходит ли оно или просто допуск/отлуп.
2. Насколько я понимаю, это уже есть (было изначально; ключом на основе пароля).
3. А зачем это, в случае использования общего NOIP обычными пользователями при сравнительно защищенной промежуточной инфраструктуре? Да пусть хоть через клозет данные передаются, главное надежно зашифровать перед этим. Отсюда и в личном кабинете не вижу смысла.
По поводу "пин/... ручками" - тоже не понял: зачем он вообще нужен, если его никуда ни в каком виде не передавать? ;)

P. S. А если говорить о параноидальном идеале - то аутентификация вообще должна идти по нескольким абсолютно разным каналам, хотя бы на основе SMS. Но для LMTeam это явно нереально, даже для Pro.
Последний раз редактировалось nikson_iii 09 ноя 2017, 18:22, всего редактировалось 1 раз.
nikson_iii
 
Сообщения: 8
Зарегистрирован: 09 ноя 2017, 02:16
Откуда: СПб

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение admin » 09 ноя 2017, 18:15

Шифрование сертификатом, добавил в список пожеланий.
С уважением LiteManagerTeam

support@litemanager.ru
+7 909 424 80 31
Icq: 615906065
Skype: LiteManagerTeam
admin
Администратор
 
Сообщения: 3558
Зарегистрирован: 02 июн 2010, 13:59

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение barbarian » 09 ноя 2017, 18:22

nikson_iii писал(а):1. Шифрование пином аутентификации логин/пароля - избыточно (но намного лучше, чем ничего).
Ну оно может быть опциональным, для НЕпараноиков.

nikson_iii писал(а):В идеале - просто производить стандартную (существующую?) аутентификацию логин/пароль, но на главном NOIP, который принадлежит (надеюсь!) LMTeam - не пропуская этот трафик через NOIP любопытного злодея. Об этом я и говорю, когда заходит речь об обмене ключами на головняке. По крайней мере, тогда будет понятно кто крайний (достаточная, не параноидальная безопасность).
Както путанно мысль излагаете, можно перефразировать?

nikson_iii писал(а):При этом отвечают об аутентификации по PIN'у, но молчат аки партизаны происходит ли шифрование PIN'ом или просто допуск/отлуп.
А вы сами подумайте - кто будет грузить свой сервер шифрованием вашего трафика?

nikson_iii писал(а):3. ...Да пусть хоть через клозет данные передаются, главное надежно зашифровать перед этим. Отсюда и в личном кабинете не вижу смысла.
Ну я тож не вижу, ток тогда это обычный прокси-роутер, и следовательно никаких претензий к нему по безопасности трафика.

nikson_iii писал(а):По поводу "пин/... ручками" - тоже не понял: зачем он вообще нужен, если его никуда ни в каком виде не передавать? ;)
А шифровать/дешифровать вы чем будете? Ключами которые вы сольёте в открытый канал?

nikson_iii писал(а):P. S. А если говорить о параноидальном идеале - то аутентификация вообще должна идти по нескольким абсолютно разным каналам...
А голоса, е-почты, в конце концов скайпа, или даже "ножками прити" уже не достаточно?
barbarian
 
Сообщения: 191
Зарегистрирован: 20 сен 2014, 13:14

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение barbarian » 09 ноя 2017, 18:23

admin писал(а):Шифрование сертификатом, добавил в список пожеланий.
Подождите, не торопитесь.

Можно обойтись без сертификации узлов.
Если для шифрования/дешифрования трафика использовать метод симметричного шифрования, случайными сеансовыми ключами (можно даже периодически сменяемыми), а для обмена самих сеансовых ключей использовать асимметричное шифрование ("Криптосистемы с открытым ключом").

Только ваш ПИН надо делать подлиннее, эдак символов от 128.

Асимметричное шифрование подходит и для передачи пароля/логина, а для больших данных оно сильно накладно по вычислениям.
barbarian
 
Сообщения: 191
Зарегистрирован: 20 сен 2014, 13:14

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение nikson_iii » 09 ноя 2017, 19:37

barbarian писал(а):
nikson_iii писал(а):В идеале - просто...
Както путанно мысль излагаете, можно перефразировать?

Достаточно производить аутентификацию логин/пароля на Главном NOIP, который принадлежит (надеюсь!) LMTeam (не пропуская этот трафик через NOIP любопытного злодея).

Вообще, немножко изменил исходное письмо - постарался более внятно объяснить.

barbarian писал(а):
nikson_iii писал(а):При этом отвечают об аутентификации по PIN'у, но молчат аки партизаны происходит ли шифрование PIN'ом или просто допуск/отлуп.
А вы сами подумайте - кто будет грузить свой сервер шифрованием вашего трафика?

Полагаю, вместо "сервер" Вы хотели сказать "роутер" или "NOIP". Ибо сервер - это "ROMServer.exe" и фраза теряет всякий смысл.

Идея в том, что само шифрование-дешифровка происходит, конечно же, на вьювере-сервере, а через NOIP просто проходит этот зашифрованный трафик. В чем особая нагрузка? Да, объем трафика слегка увеличивается, поэтому я и предложил вариант выше.

barbarian писал(а):
nikson_iii писал(а):3. ...Да пусть хоть через клозет данные передаются, главное надежно зашифровать перед этим. Отсюда и в личном кабинете не вижу смысла.
Ну я тож не вижу, ток тогда это обычный прокси-роутер, и следовательно никаких претензий к нему по безопасности трафика.

Мы про общий NOIP? К нему у меня претензий и нет.
Его защищать почти бесполезно - архитектура такова, что он по-любому может стоять у злодея с отмычкой.

Претензия к Главному NOIP, что трафик обмена ключами логин/паролей он спихнул на общего злодейского роутера.

barbarian писал(а):
nikson_iii писал(а):По поводу "пин/... ручками" - тоже не понял: зачем он вообще нужен, если его никуда ни в каком виде не передавать? ;)
А шифровать/дешифровать вы чем будете? Ключами которые вы сольёте в открытый канал?

Нет, в инфраструктурно-закрытый: Viewer <-> Главный NOIP <-> Server.

Конечно, можно сомневаться во взломанном вай-фае, последней миле, провайдере, а еще где стоит Главный NOIP... Но это всё из другой области. Или Вы шутите? На всякий случай, под пиво эти филосовско-параноидальные вопросы, конечно, рад бы перетереть, но у нас сейчас фигня в том, что реальную брешь в фюзеляже через которую выпадали люди - пол года назад прикрыли, вероятно, картонкой.

barbarian писал(а):
nikson_iii писал(а):P. S. А если говорить о параноидальном идеале - то аутентификация вообще должна идти по нескольким абсолютно разным каналам...
А голоса, е-почты, в конце концов скайпа, или даже "ножками прити" уже не достаточно?

Предлагаю ключи пересылать стаей почтовых голубей, по байту на птицу. =)

Но, кроме шуток, в дополнение, был бы рад аутентификации (и вообще высылке логов, уведомлений) на мыло, например.
nikson_iii
 
Сообщения: 8
Зарегистрирован: 09 ноя 2017, 02:16
Откуда: СПб

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение barbarian » 09 ноя 2017, 21:22

nikson_iii писал(а):Мы про общий NOIP? К нему у меня претензий и нет. ...
Претензия к Главному NOIP, что трафик обмена ключами логин/паролей он спихнул на общего злодейского роутера.
В свете того, что в моём понимании, Главный NoIP и Общий NoIP это одно и тоже (Публичный NoIP-сервер развёрнутый на железе LiteManager.ru), я ничего не понимаю. Проблема в чём? В подмене удалённого узла? Или в перехвате не зашифрованных паролей?
Если в подмене узла, то ток что пообещали "в будущем" добавить сертификацию узлов. Если в паролях, так вроде сделали шифрование ПИНом... Или вы подозреваете что просто добавили третий элемент к двум. Типа было логин+пароль, а теперь стало логин+пароль+пин ?
barbarian
 
Сообщения: 191
Зарегистрирован: 20 сен 2014, 13:14

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение nikson_iii » 10 ноя 2017, 00:38

barbarian писал(а):Главный NoIP и Общий NoIP это одно и тоже (Публичный NoIP-сервер развёрнутый на железе LiteManager.ru).

Это было бы замечательно. Но это не так, см. схему и проч.: https://habrahabr.ru/post/327742/
После этого перечитайте мои письма и, увы, все станет предельно ясно.

Теперь ведь можно дать прямую ссылку - не нарушаю правила, ибо разраб говорит, что мы надежно защищены, так что этот пост на хабре может быть интересен лишь как исторический факт)))

P. S. Я склонен подозревать недобросовестную конкуренцию и заказную атаку, к тому же, не факт, что корректно работающую. Но сути это не меняет.
nikson_iii
 
Сообщения: 8
Зарегистрирован: 09 ноя 2017, 02:16
Откуда: СПб

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение barbarian » 10 ноя 2017, 19:55

После фразы "сеть бесплатных NoIP" дальше читать не стал. Ситуация предельно ясна, со всеми вытекающими, как говорится.
Я так глубоко не копал, т.к. являюсь счастливым обладателем личного NoIP со статическим внешним IP адресом.
Даже не вижу вменяемого решения данной проблемы, кроме как сертификация конечных узлов, и полного шифрования любой сетевой активности.
barbarian
 
Сообщения: 191
Зарегистрирован: 20 сен 2014, 13:14

Re: Важное обновление безопасности версия 4.8.3 !!! (или выш

Сообщение nikson_iii » 12 ноя 2017, 13:06

barbarian писал(а):Даже не вижу вменяемого решения данной проблемы, кроме как сертификация конечных узлов, и полного шифрования любой сетевой активности.

А почему бы не так:
nikson_iii писал(а):Достаточно производить аутентификацию логин/пароля на Главном NOIP, который принадлежит (надеюсь!) LMTeam ... По крайней мере, тогда будет понятно кто крайний (достаточная, не параноидальная безопасность) ... при сравнительно защищенной промежуточной инфраструктуре

?
nikson_iii
 
Сообщения: 8
Зарегистрирован: 09 ноя 2017, 02:16
Откуда: СПб

Пред.След.

Вернуться в LiteManager: Официальные объявления, опросы, информация

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2