К основному контенту

👩🦽 Настройка bridge на Debian , выполняющий роль межсетевого экрана

# Задача: хотим внедрить в своей сети мост (bridge) на Debian,# выполняющий также задачи межсетевого экрана,# т.е. получить возможность фильтрации трафика, не сильно меняя топологию# и совсем не меняя адресацию в сети и шлюз по умолчанию.# Желательно, чтобы мост-МЭ при этом вообще не имел IP-адресов# на интерфейсах (обращенном наружу и смотрящему в защищаемую сеть)# Администрировать его и смотреть на нем логи предлагается локально# или путем подключения к выделенной сети администрирования# Ставим его в сети так, чтобы одним интерфейсом моста он был# подключен к провайдеру или другому уже имеющемуся шлюзу по умолчанию,# а другой «смотрел» в защищаемую ЛВС, например в порт коммутатора# Таким образом, приходящий извне трафик прежде чем попасть в защищаемую сеть# будет всегда проходить через мост на котором мы его будем фильтровать# с помощью iptablesСхема тестового стенда

В TrueCrypt/VeraCrypt обнаружена критическая уязвимость

В конце июля с разработчиком VeraCrypt Моуниром Идрасси связался некто Алексей Иванов и сообщил, что нашёл критическую уязвимость, которая позволяет обнаружить наличие второго скрытого тома. Метод обнаружения исследователь не раскрывает, т.к. он может помочь злоумышленникам провести атаку.

В TrueCrypt и VeraCrypt в версиях ранее 1.18, как объяснено в Спецификации Формата Тома, у внешних томов, которые не содержат скрытый том, есть заголовок + случайные данные, тогда как у внешних томов, которые содержат скрытый том, есть два заголовка + случайные данные.

Обычно это различие не должно быть проблемой, потому что заголовки зашифрованы, используя ключ, полученный из их соответствующих паролей, и случайные данные - на самом деле результат шифрования, который обнуляет использование временного случайного ключа. Благодаря свойствам режима шифрования XTS, зашифрованные данные должны выглядеть случайными для атакующего, который не может получить информацию о формате данных, не имея пароля.

Но оказывается, что это предположение не всегда верно, и что по крайней мере, можно построить различие, которое было бы в состоянии обнаружить, имеет внешний том один заголовок (без скрытого тома) или два заголовка (со скрытым томом).

К счастью, существует очевидный способ защиты от такой атаки: внешний том должен всегда иметь два заголовка! Когда нет второго заголовка тома, мы просто создаём "фальшивый" скрытый том, который использует случайный главный ключ. Таким образом, различие, которое упоминалось выше, всегда будет возвращать, что есть скрытый том, не будучи в состоянии сказать, является ли скрытый том поддельным или нет.

Это исправление было реализовано в VeraCrypt 1.18а. Не представляется возможным применить исправление существующих томов, так что пользователям, которые полагаются на функцию скрытого тома, необходимо создать новые тома, используя последнюю версию VeraCrypt и отказаться от существующих томов. Конечно, такие пользователи должны установить/использовать только VeraCrypt 1.18а или выше на своих компьютерах, чтобы правдоподобно отрицать наличие скрытого тома: если они принуждаются к выдаче пароля скрытого тома субъектом, который видит различие упомянутое выше, они могут ответить, что они создали внешний том с помощью VeraCrypt 1.18а или выше, который создал поддельный заголовок скрытого тома и это может быть легко доказано, если выдать пароль от внешнего тома.

Разработчик советует обновить VeraCrypt до версии 1.18a и воссоздать все свои тома (и внешний и скрытый) используемые в этой версии. Изменение паролей не важно в этой проблеме, таким образом, Вы можете сохранить их неизменными.

Источник: https://veracrypt.codeplex.com/discussions/657302#post1481650

Комментарии


Дистанционная компьтерная помощь, удаленная компьютерная помощь онлайн.

Популярные сообщения из этого блога

Лучшие плагины для OBS Studio

Open Broadcast Software или OBS - это свободное программное обеспечение с открытым исходным кодом для стриминга аудио и видео данных в сеть интернет. Программа полностью кроссплатформенная и может работать в Windows, Linux или MacOS. Это отличная альтернатива для таких программ, как Wirecast и XSplit. OBS использует для вещания стандартный протокол обмена сообщениями в реальном времени, а поэтому может транслировать данные в любой сервис, поддерживающий это, например, Yotube. Несмотря на широкие возможности OBS, программа поддерживает еще и множество плагинов. В этой статье мы рассмотрим лучшие плагины для OBS Studio, которые вы можете использовать. Содержание статьи: Лучшие плагины OBS Studio 1. Browser Source Plugin 2. Video Source Plugin 3. Simple Scene Switcher 4. DirectShow Audio Source 5. CLR Browser Source 6. OBS Remote 7. AMD Advanced Media Framework Encoder 8. Text Source Plugin Выводы Лучшие плагины OBS Studio Чтобы найти плагины OBS Studio для Video пользователям пр…

Лучшие аналоги Paint для Linux

Когда я работал в Windows, я часто использовал стандартную программу редактора изображений Windows - Paint. Не всегда нужен очень и многофункциональный инструмент вроде Photoshop или Gimp. Иногда, чтобы подправить ту или иную картинку, дорисовать на ней несколько фигур или вставить текст достаточно простого, легкого в освоении графического редактора вроде Paint. В Linux таких программ довольно много. В этой инструкции мы рассмотрим лучшие аналоги Paint для Linux. В этот список не будут включены такие программы, как Gimp и Krita, ведь это полнофункциональные графические редакторы, векторные редакторы, такие как Inkscape мы тоже рассматривать не будем. А теперь перейдем к списку. Содержание статьи: KolourPaint MyPaint Gnome Paint XPaint Pinta mtPaint GPaint Rassam-paint Выводы KolourPaint На первом месте в списке аналогов Piant для Linux будет KoloutPaint. Это стандартный графический редактор для окружения рабочего стола KDE. Он поддерживает множество форматов изображений PNG, J…

Подключение OneDrive в Linux

OneDrive (Ранее известный как SkyDrive) это популярное облачное хранилище файлов от Майкрософт. Сейчас OneDrive бесплатно предоставляет 7 гигабайт пространства новым пользователям. Как вы знаете OneDrive хорошо интегрирован с другими продуктами компании  Microsoft. В OneDrive Также есть официальный клиент который автоматически загружает ваши видео и фотографии с камеры в облако. Но к сожалению этот клиент недоступен для операционных систем семейства Linux. Но не все так плохо. Сообщество открытого программного обеспечения уже нашло решение. Это opedrive-d от Boilermaker. Запустившись как демон программа автоматически синхронизирует локальную папку с облаком OneDrive. Содержание статьи: Установка Onedrive-d в Linux Настройка Синхронизация локальной папки с OneDrive Установка Onedrive-d в Linux Несмотря на то что onedrive-d разрабатывается для Ubuntu/Debian, CentOs/Fedora/RHEL поддерживается тоже хорошо. Для установки достаточно набрать несколько команд: $ git clone https://gith…