|
|
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
Как поступить, если предполагается избежать утечки информации на АРЕНДУЕМОМ веб-сервере ? Допустим, сделаю я зашифрованный раздел, сделаю какой-нибудь минималистичный https-интерфейс на шкриптах, куда можно будет ввести пароль к разделу, а дальше что ? Ведь сотрудники датацентра под дулом пистолета могут модифицировать незашифрованную часть диска, зарулить трафик куда надо и заставить меня думать, что мой сервер загружен и ждет ввода пароля. Всякие программные штуки типа МДЗ-ЭШЕЛОН (h t t p :/ / w w w . npo-echelon.ru/production/77/4186 )существуют в свободном доступе ? Поскольку речь идет об арендуемой машине, было бы некультурно портить им биос, но если никто не заметит, то, пожалуй, можно. Вытаскивание ключей из памяти при загруженном сервере ( с помощью заморозки в жидком заоте )пожалуй, будем считать слишком трудоемкими и нереальными. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2013, 16:46 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
netwind, Как идея - взять сервер с IPMI/LIO. Сходу не вспомню, что там с шифрованием трафика, но, думаю, сертификат вытащить оттуда будет потруднее, чем с жесткого диска. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2013, 17:12 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
miksoftLIOОпечатка, точнее iLO. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2013, 17:14 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
miksoft, неплохая идея для почти безвыходных условий. А физически "проводки" от чипа iLO или IPMI разведены на плате? к ним можно подключиться ? Или обычно все это на одном чипе с периферией сляпано? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2013, 17:43 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
netwindА физически "проводки" от чипа iLO или IPMI разведены на плате? к ним можно подключиться ? Или обычно все это на одном чипе с периферией сляпано?Зависит от конкретной модели сервера. Мне доводилось видеть и так, и эдак. Иногда это бывает дополнительной мезонинной платой, а иногда все разведено на основной системной плате. В последнее время попадается только второй вариант, но моя выборка слишком нерепрезентативна. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.11.2013, 20:21 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
netwind... модифицировать незашифрованную часть диска, зарулить трафик куда надо и заставить меня думать, что мой сервер загружен и ждет ввода пароля. ... Если пользуешься ssh, то во первых, при попытке завести твой ssh на обманку, ssh завопит что изменнилась подпись сервера, доверять этому дяде? А после установки соединения, пусть перехватывают зашифрованный трафик до посинения ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 11:19 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
Vadim Lejnin, нее, тут речь не о перехвате трафика, а о физическом доступе к дискам. если сотрудник датацентра поставит закладку, то ни ключи ssh не поменяются, ни ключи https. все будет выглядеть как кратковременный перерыв в работе. и даже uptime можно подделать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 12:11 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
netwindVadim Lejnin, нее, тут речь не о перехвате трафика, а о физическом доступе к дискам. если сотрудник датацентра поставит закладку, то ни ключи ssh не поменяются, ни ключи https. все будет выглядеть как кратковременный перерыв в работе. и даже uptime можно подделать. Хорошо, получили физический доступ к дискам, мы видим весь шифрованный трафик диска. И как мы его сможем расшифровать? Только получением ключа. Для этого нужно получить физический доступ к памяти сервера. То есть нужно впендюрить некую дебаг плату, которая позволяет в любой момент сказать стоп и проверить любую область памяти. Только так... Но возможность предотвратить установку такой платы, это совсем другой класс секретности, который предусматривает физический контроль за устройством. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 13:04 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
В общем случае, решение защиты критических данных может реализовываться другим способом: Предположим нужно защитить персональную информацию клиентов. Заводим три сервера у разных провайдеров в разных странах. БД, WEB и сервер сертификатов В базе данных, все критические данные (имя фамилия телефон, номер паспорта) зашифрованы как правило, Вам нет необходимости напрямую получать эту информацию, для аналитики достаточно id клиента Для работы с персональными данными, они разворачиваются только у клиента на рабочей станции или на рабочей станции оператора. 2) web сервер обрабатывает запросы, и получает только зашифрованную информацию 3) Клиент может посмотреть или изменить инф ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 13:17 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
Vadim LejninХорошо, получили физический доступ к дискам, мы видим весь шифрованный трафик диска. И как мы его сможем расшифровать? все варианты шифрования диска подразумевают ввод некой пасс-фразы. Обычно ее вводит специально обученный человек на локальной консоли, а в случае арендованного сервера придется вводить удаленно. Так что вместо оригинального механизма ввода ставится закладочка принимающая и сохраняющая этот пароль. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 13:39 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
для того чтобы закладочка сработала, вам нужно перехватить сессию для ввода пароля В ssh чтобы подложить закладку, вам нужно подделать подпись текущего sshd Варианты: 1) initrd с сеткой и sshd сервером 2) шифровать только папку с базой данных а инсталляцию linux пусть смотрят 3) хранение критичных жанных только в зашифрованном виде ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 14:10 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
Vadim Lejninдля того чтобы закладочка сработала, вам нужно перехватить сессию для ввода пароля В ssh чтобы подложить закладку, вам нужно подделать подпись текущего sshd зачем ? ключ хоста в ssh лежит на нешифрованной файловой системе "закрытый" разве что правами root. Кстати, я же на каком-то форуме видел как люди обсуждали подобные конфигурации. Причем, с прицелом на защиту от персонала датацентра. Чем думают - не понятно. Нужна идея поинтереснее. "Белый" бекдор, который проверяет целостность файлов, но найти его не так то просто ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 17:52 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
Где то видел: При старте запускается только initrd, поднимается сеть и sshd Заходишь удаленно, заливаешь новый и стартуешь с него Вот например: Unlocking a LUKS encrypted root partition remotely via SSH ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 18:12 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
Vadim LejninГде то видел: При старте запускается только initrd, поднимается сеть и sshd Заходишь удаленно, заливаешь новый и стартуешь с него Вот например: Unlocking a LUKS encrypted root partition remotely via SSH Да, такого типа статьи и я имел ввиду. Вы их читали ? Полна земелюшка испанская дебилушками. Некоторые случаи доступа эта схема исключает - если датацентр не утруждает себя очисткой дисков перед установкой другому клиенту, это может помочь. Но быть уверенным в том , что датацентр не сможет организовать доступ к данным нельзя. В этом и суть поднятой мной проблемы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 19:14 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
Еще подумалось - с помощью iLO можно попробовать организовать загрузку ОС с удаленного носителя и сделать локальный диск зашифрованным целиком. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 19:26 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
miksoft, не так важно целиком или нет. снова ничего не мешает модифицировать инфраструктуру загрузки . в какой-то момент парольная фраза появится как переменная той или иной программы. было бы интересно что-то типа одноразовых паролей, которые второй раз вводить бессмысленно, но они обычно служат для идентификации, но может есть что-то для блочного шифрования ? или есть, например, теоретическое доказательство того, что я изначально ищу невозможную фигню? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 20:04 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
netwindДа, такого типа статьи и я имел ввиду. Вы их читали ? Полна земелюшка испанская дебилушками. Некоторые случаи доступа эта схема исключает - если датацентр не утруждает себя очисткой дисков перед установкой другому клиенту, это может помочь. Но быть уверенным в том , что датацентр не сможет организовать доступ к данным нельзя. В этом и суть поднятой мной проблемы. Да читал, я бы замутил что-то вроде загрузку нового initrd + kinit полученного по сети с подписанным sshd и зашифрованным однократным ключом. 1) штатным образом грузится простой initrd с двумя ram дисками 2) c рабочей станции администратора, или с сети грузится другой шифрованный initrd с новой разовой fs и штатным с запросом кода для расшифровки именно этого initrd 3) RAM монтируется и kinit переключается на него и запускается уже новый sshd с обязательным двухсторонним шифрованием по разовой паре ключей. 4) Дальше уже штатная загрузка с вводом пароля, с вполне приличной защитой канала ввода. ------------- Интервал времени между двумя вводами кода будет минимальный, несколько секунд, за это время разобраться в механизме загрузки и сломать защиту будет практически невозможно. Кроме того можно предусмотреть несколько разных вариантов шифрования/разворачивания initrd По крайней мере попытку компрометации ключа такая схема будет отслеживать. Если есть подозрения, просто не вводите вторую фразу и сливаете зашифрованный образ так как он есть к себе, и меняете провайдера. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 20:29 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
netwindmiksoft, не так важно целиком или нет. снова ничего не мешает модифицировать инфраструктуру загрузки.Как же не мешает, если загрузка будет целиком по шифрованному соединению? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 22:21 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
miksoftmiksoft, не так важно целиком или нет. снова ничего не мешает модифицировать инфраструктуру загрузки. Как же не мешает, если загрузка будет целиком по шифрованному соединению? Я имею ввиду скрипты и программы лежащие в основе загрузки. Прежде чем программы очередного этапа загрузки начинают исполняться, они скачиваются и расшифровываются. Вот в этот момент можно вставить echo или сбросить код на флешку для анализа. И тд и тп. авторДа читал, я бы замутил что-то вроде загрузку нового initrd + kinit полученного по сети с подписанным sshd и зашифрованным однократным ключом. Прикольно, но весьма трудоемко в реализации и ради чего? за две-три попытки загрузки неглупый и внимательный человек это раскрутит. На каждом этапе нужно просто поскидывать на флешку данные готовые к исполнению и тем самым продвинуться на шаг дальше. Ну а то, что сервер загрузки увидит несколько попыток, так "это у нас тут свет мигал" ..в датацентре сертифицированном по классу TIER-III. И ведь не проверишь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.11.2013, 23:03 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
netwindmiksoftпропущено... Как же не мешает, если загрузка будет целиком по шифрованному соединению? Я имею ввиду скрипты и программы лежащие в основе загрузки. Прежде чем программы очередного этапа загрузки начинают исполняться, они скачиваются и расшифровываются. Вот в этот момент можно вставить echo или сбросить код на флешку для анализа. И тд и тп.Не плонял, как и куда "вставить echo и т.д." ? В шифрованный канал? туда особенно не разбежишься что-то вставлять... В оперативную память? Вроде бы считаем, что это нереально (по первому посту). На локальный диск? да пожалуйста, он в процессе загрузки никак не участвует. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2013, 07:25 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
miksoft, а, я понял. iLO загружает образ допустим по https ? какой-то особенный ключ для загрузки там помещается ? iLO или ipkvm обычно ставится на сравнительно дорогой технике, поэтому обычно таких штук нет. У меня сейчас нет по крайней мере. Точно так же можно зайти в меню iLO посмотреть настройки, пароль если он есть, скачать этот образ имитируя работу iLO, посмотреть что там внутри и изобразить контролируемый запуск. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2013, 13:28 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
netwindmiksoft, а, я понял. iLO загружает образ допустим по https ? какой-то особенный ключ для загрузки там помещается ?Что там внутри происходит я, признаться, толком не знаю. Пользовался в режиме "подсунуть установочный диск с ОС и загрузиться с него для установки этой самой ОС". netwindiLO или ipkvm обычно ставится на сравнительно дорогой технике, поэтому обычно таких штук нет.Вовсе нет, iLO сейчас есть даже в HP Proliant MicroServer Gen8 за $500. У некоторых хостеров это является штатной услугой при аренде сервера. netwindТочно так же можно зайти в меню iLO посмотреть настройки, пароль если он есть, скачать этот образ имитируя работу iLO, посмотреть что там внутри и изобразить контролируемый запуск.Хакнуть iLO, конечно, можно. Со старыми прошивками это регулярно бывает. Но чтобы весь образ оттуда выкачать - такого я не слышал. Хотя, наверное, можно еще на этапе подготовки сервера залить туда специально подготовленную фирмварь. Но на практике такого я тоже не слышал. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2013, 13:50 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
miksoft, я имею ввиду скачать тот образ, который грузится по сети обладая лишь реквизитами доступа к образу. не факт что там https даже есть. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2013, 14:03 |
|
||
|
веб-сервер шифрование диска
|
|||
|---|---|---|---|
|
#18+
Есть шифрование на парах открытый-закрытый ключ. Работает на порядки медленнее симметричного, но не позволят "прокрутить фарш назад" - зашифровать модифицированный образ нарушитель уже не сможет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.11.2013, 16:22 |
|
||
|
|
start [/forum/topic.php?fid=25&msg=38479883&tid=1482715]: |
0ms |
get settings: |
10ms |
get forum list: |
15ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
73ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
53ms |
get tp. blocked users: |
1ms |
| others: | 233ms |
| total: | 408ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
