Шифрование конфигурационных файлов

Что вы хотели бы видеть в следующих версиях?
Ответить
Koнстaнтин

Шифрование конфигурационных файлов

Сообщение Koнстaнтин »

Очень напрягает, что пароли хранятся в открытом виде (используем wtware на флешках). В связи с чем прошу рассмотреть возможность включения функционала шифрования конфигурационных файлов.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

Рассматриваю. Продолжай. Ключ для расшифровки - другой пароль, спечиально для загрузки с этой флешки?
Koнстaнтин

Re: Шифрование конфигурационных файлов

Сообщение Koнстaнтин »

В качестве ключа, например, тот же пароль, который ограничивает доступ к настройкам. Или отдельный пользовательский пароль только для загрузки.

Либо, например, только адрес сервера WTware хранить в открытом виде, а с него уже по mac-адресу подгружать на устройство ключ для расшифровки всех остальных параметров.

PS Меня, если честно, устроило, если бы конфигурационные файлы шифровались на ключе, который хранился бы в неком виде на той же флешке, просто это дало бы время установить факт утери и сменить пароли, пока некий злоумышленник разберется с механизмом шифрования файлов. Т.к. ввод пароля при загрузке для нас не очень удобно.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

Koнстaнтин писал(а):В качестве ключа, например, тот же пароль, который ограничивает доступ к настройкам. Или отдельный пользовательский пароль только для загрузки.

Либо, например, только адрес сервера WTware хранить в открытом виде, а с него уже по mac-адресу подгружать на устройство ключ для расшифровки всех остальных параметров.

PS Меня, если честно, устроило, если бы конфигурационные файлы шифровались на ключе, который хранился бы в неком виде на той же флешке, просто это дало бы время установить факт утери и сменить пароли, пока некий злоумышленник разберется с механизмом шифрования файлов. Т.к. ввод пароля при загрузке для нас не очень удобно.
Выделенным заканчиваются все пожелания зашифровать флешку с втварью. Всем понятно, что пароль будет написан на наклейке, наклеенной на эту же флешку.

Шифрование без пароля, само собой расшифровывающееся по ключу, хранящемуся открыто на той же флешке, или подгружаемому (из открытых источников, опять же без пароля) - лажа. Оно будет снято сразу. Не даст никакого времени. И факт снятия копии с флешки никак не установить.

"Иллюзия безопасности хуже отсутствия безопасности" (с) какой-то умный дядька.
Koнстaнтин

Re: Шифрование конфигурационных файлов

Сообщение Koнстaнтин »

Все-таки хотелось бы возможность установки пароля на загрузку и шифрования конфигурационных файлов.

Вопрос наклеек с паролем на флешках решается контролем, в ином случае из-за наклеек на мониторах и в винде можно такой функционал отключать.
Важно сохранить конфиденциальность сведений на флешках, особенно если это пароли от серверов и wifi.
Koнстaнтин

Re: Шифрование конфигурационных файлов

Сообщение Koнстaнтин »

Кстати, а лицензионные файлы же тоже шифрованы по некой логике.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

В лицензионных файлах нет секретной информации. Там шифрование нужно только чтобы установить факт "этот файл сделан тем кем надо". Содержимое лицензионного файла при желании под отладчиком легко увидеть.
Koнстaнтин

Re: Шифрование конфигурационных файлов

Сообщение Koнстaнтин »

В любом случае, будем очень признательны, если добавите шифрование конфигурационных файлов на пароле для загрузки. В ином случае флешки у нас в модели использования отпадают((
akaplenko
Сообщения: 187
Зарегистрирован: Пн мар 13, 2017 5:30 pm

Re: Шифрование конфигурационных файлов

Сообщение akaplenko »

Действительно большая беда в том, что пароли лежат в открытом виде. Мы сейчас пытаемся тестировать (на Raspberry PI 3 без загрузки по сети) устройства в "Enterprise" окружении и безопасность очень важна. В таком виде ИБ не пропустит это в продуктив. Возможно шифровать сами файлы и нет необходимости, но надо сделать какую то возможность убрать оттуда пароль.

Хотелось бы по этому поводу предложить несколько нововведений:

1. Когда через веб интерфейс заходишь в лог, то он показывает все конфигурационные файлы с паролями в открытом виде. Соответсвенно любой может его посмотреть. пока отключаем http вообще, но это уже менее удобно в использовании и настройке устройств. Просьба или убрать вывод конфигурационных файлов в лог или пароли поменять на звездочки. Либо как альтернатива -сделать запароленный вход на весь веб интерфейс.

2. В версии которая грузится с флешки было бы очень удобно не задавать в конфигурации имя пользователя и пароль, а при первом входе в систему их запоминать локально на устройстве и хранить где нибудь отдельно от конфигурационных файлов, без возможности просмотра. Наверно потребуется и функция сброса этого пароля. В этом случае не потребуется хранить пароли в в конфигурационных файлах вообще.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

akaplenko писал(а):Действительно большая беда в том, что пароли лежат
Я обрезал лишнее. Беда в том, что пароли лежат. Если пароли лежат где-то, кроме головы пользователя, это и есть проблема. Остальные детали не имеют большого значения.
akaplenko писал(а):...устройства в "Enterprise" окружении и безопасность очень важна. В таком виде ИБ не пропустит это в продуктив.
Нужна безопасность, или нужно чтоб ИБ пропустило?

Безопасности не бывает, если пароли записаны. Без разницы, записаны они на бумажке, наклеенной на монитор, или в зашифрованном (статическим шифром, без другого пароля) файле.

Если нужно пройти ИБ, то не надо забивать себе голову безопасностью, а надо удовлетворяь формальным требованиям. Какие они?
akaplenko писал(а):1. Когда через веб интерфейс заходишь в лог, то он показывает все конфигурационные файлы с паролями в открытом виде.
Ещё терминал отдаёт лог конфигуратору, тоже безо всякого шифрования.

А где терминал берёт конфигурационые файлы?
akaplenko писал(а):Просьба или убрать вывод конфигурационных файлов в лог или пароли поменять на звездочки.
Попробуйте перечислить все места, куда в конфигурационных файлах можно записать пароль.
akaplenko писал(а):Либо как альтернатива -сделать запароленный вход на весь веб интерфейс.
И конфигуратору лог тоже с паролем отдавать?
akaplenko писал(а):2. В версии которая грузится с флешки было бы очень удобно не задавать в конфигурации имя пользователя и пароль, а при первом входе в систему их запоминать локально на устройстве и хранить где нибудь отдельно от конфигурационных файлов, без возможности просмотра.
Без возможности просмотра кем? Оператор 1С и сейчас не имеет возможности просмотра. Специалист ИБ сможет просмотреть любое хранилище, если оно не зашифровано длинным случайным паролем, который хранится только в голове пользователя и нигде не записан.
akaplenko
Сообщения: 187
Зарегистрирован: Пн мар 13, 2017 5:30 pm

Re: Шифрование конфигурационных файлов

Сообщение akaplenko »

aka писал(а): Я обрезал лишнее. Беда в том, что пароли лежат. Если пароли лежат где-то, кроме головы пользователя, это и есть проблема. Остальные детали не имеют большого значения.
На самом деле не совсем так. Пароль может лежать где то, но доступ к этому паролю должен быть ограничен. Сейчас любой пользователь сети может по IP адресу зайти в веб интерфейс и получить все пароли, которые прописаны в конфиге - пароль на Setup, VNC и доменного пользователя под которым проходит подключение. Беда не в том, что они хранятся, а в том, что к ним может получить доступ неавторизованный пользователь.
aka писал(а): Если нужно пройти ИБ, то не надо забивать себе голову безопасностью, а надо удовлетворяь формальным требованиям. Какие они?
Не авторизованный пользователь не может получить информацию о системе и не может управлять ей. Сейчас, имея пароль на конфигурирование практически в открытом виде любой пользователь может подключится к сети и творить с устройствами что угодно.
aka писал(а): Ещё терминал отдаёт лог конфигуратору, тоже безо всякого шифрования.
...
И конфигуратору лог тоже с паролем отдавать?
Это тоже дыра в безопасности к сожалению. Да, было бы здорово чтобы и конфигуратор авторизовался на получение данной информации.
aka писал(а): Попробуйте перечислить все места, куда в конфигурационных файлах можно записать пароль.
В моем случае - Пароль на VNC, пароль доменного пользователя, указанный в подключении. Так же виден в виде хеша пароль на setup, что тоже небезопасно:

Код: Выделить всё

--- FILE "/bootmedia/configs/initrd.wtc" -----------------------
| clientIP = *
| config = local
| setupPassword =
aka писал(а): Без возможности просмотра кем? Оператор 1С и сейчас не имеет возможности просмотра. Специалист ИБ сможет просмотреть любое хранилище, если оно не зашифровано длинным случайным паролем, который хранится только в голове пользователя и нигде не записан.
Оператор 1С сейчас такую возможность имеет, воткнув свое устройство в сеть. Специалист по ИБ конечно сможет посмотреть любое хранилище, на то он и специалист по ИБ, но для других пользователей доступ к управлению устройствами и паролям должен быть ограничен.
akaplenko
Сообщения: 187
Зарегистрирован: Пн мар 13, 2017 5:30 pm

Re: Шифрование конфигурационных файлов

Сообщение akaplenko »

aka писал(а):А где терминал берёт конфигурационые файлы?
В нашем случае он грузится локально и конфигурационные файлы лежат только на железке локально. Кстати в основном тоже по причине того, что там нужно хранить пароль, а защитить его практически никак невозможно. Можно положить на сервер и поставить ограничение на подсеть, но там тоже все не секьюрненько получается.
Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Шифрование конфигурационных файлов

Сообщение Rushmore »

Абсолютно солидарен с уважаемым aka. Если хотите безопасности - убирайте всяческие пароли из конфига вообще. Куда угодно - в токены, в смарт-карты, в голову пользователя,.. Иначе всё это просто игра в безопасность при полном отсутствии таковой.

Единственное, что я пожалуй бы подкрутил, это ограничение отдачи логов только по адресам из списка managed.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

akaplenko писал(а):...Сейчас, имея пароль на конфигурирование практически в открытом виде любой пользователь может подключится к сети и творить с устройствами что угодно.
Сейчас в открытом виде имеется хэш пароля на конфигурирование. Давайте в этом месте подробнее. Что именно вы можете сделать с устройством, имея хэш пароля на конфигурирование?
akaplenko
Сообщения: 187
Зарегистрирован: Пн мар 13, 2017 5:30 pm

Re: Шифрование конфигурационных файлов

Сообщение akaplenko »

Rushmore писал(а):Абсолютно солидарен с уважаемым aka. Если хотите безопасности - убирайте всяческие пароли из конфига вообще. Куда угодно - в токены, в смарт-карты, в голову пользователя,.. Иначе всё это просто игра в безопасность при полном отсутствии таковой.
Не совсем понимаю как я могу убрать на токен пароль от VNC и пароль от setup :-) Пароль пользователя действительно решается через токен или карту, вводом пользователя, хотя это и менее удобно чем где-либо относительно безопасно запомненный пароль. К сожалению квалификация людей на местах хромает.
Rushmore писал(а): Единственное, что я пожалуй бы подкрутил, это ограничение отдачи логов только по адресам из списка managed.
Не безопасно - IP можно подменить. Неудобно - приходится настраивать устройства или с определенного рабочего места, либо со специально выделенного сервера. Авторизация при доступе значительно удобнее.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

Rushmore писал(а):...это ограничение отдачи логов только по адресам из списка managed.
Отдачи логов через http? Или отдачи логов конфигуратору?

Это ведь очередная игра в безопасность...
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

akaplenko писал(а):Не совсем понимаю как я могу убрать на токен пароль от VNC
Во кстати с VNC хороший пример. Я повёлся на просьбу скрыть пароль и добавил дыру в безопасности.

Сейчас если пароль в конфиге записан открытым текстом - то высниферить через сеть его не получится. Терминал при каждом подключении шлёт рандомный challenge (ещё слово salt используют, не знаю как правильно перевести), и VNC клиент хэширует пароль с этим challenge. Оно конечно всего лишь DES, но при хорошем пароле какая-то стойкость обеспечивается. Это - безопасность, пусть слабенькая.

А если пароль в конфиге записан "зашифрованным", то в конфиге записана каша, и если человек в безопасности ничего не смыслит - ему понравится. На самом деле безопасность пропала, ничего взламывать в этом случае не нужно. Достаточно один раз просниферить успешное VNC подключение и можно подключаться самому, не зная пароля.

Больше такую глупость делать не стану.
akaplenko писал(а):пароль от setup :-)
С паролем на setup всё сделано правильно. Его перехватить можно только при MITM атаке на HTTPS соединение.
Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Шифрование конфигурационных файлов

Сообщение Rushmore »

aka писал(а):Отдачи логов через http? Или отдачи логов конфигуратору?
Это ведь очередная игра в безопасность...
Отдачи логов конфигуратору. В параметре httpd= вроде есть ограничение.
akaplenko писал(а):Не безопасно - IP можно подменить. Неудобно - приходится настраивать устройства или с определенного рабочего места, либо со специально выделенного сервера. Авторизация при доступе значительно удобнее.
Конечно, авторизация удобнее, кто бы спорил. По уму конечно RADIUS бы прикрутить...
akaplenko
Сообщения: 187
Зарегистрирован: Пн мар 13, 2017 5:30 pm

Re: Шифрование конфигурационных файлов

Сообщение akaplenko »

aka писал(а):
akaplenko писал(а):...Сейчас, имея пароль на конфигурирование практически в открытом виде любой пользователь может подключится к сети и творить с устройствами что угодно.
Сейчас в открытом виде имеется хэш пароля на конфигурирование. Давайте в этом месте подробнее. Что именно вы можете сделать с устройством, имея хэш пароля на конфигурирование?
Если пароль ставить менее 8 символов и без специальных символов, то он бутфорсится за несколько часов/дней, если иметь хеш. Да, согласен, можно обойтись установкой сложного пароля и периодической его сменой. Менее удобно, но можно обойтись. У нас, например у терминалов есть только цифровая клавиатура. Поэтому старались все пароли делать только цифровыми. А при таких условиях пароль бутфорсится за секунды :-)
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

Не ради спора, а из чистого любопытства.

Вот хэш: 433923f544145fb3669c15803836f63d
MD5 в два прохода.

Как это забрутфорсить чтоб узнать пароль? Пароль 1. Один символ, единица.

Мне кажется, подсмотреть короткий пароль на цифровой клавиатуре несопоставимо проще.

Я ж не против безопасности. Я против иллюзии безопасности. Сейчас в втвари многое открыто - и понятно, что надо закрывать другими методами. Если небезопасно прикрыть, как сейчас прикрыт пароль VNC - считаю, станет только хуже. Давайте придумаем, как сделать лучше.
akaplenko
Сообщения: 187
Зарегистрирован: Пн мар 13, 2017 5:30 pm

Re: Шифрование конфигурационных файлов

Сообщение akaplenko »

aka писал(а):Не ради спора, а из чистого любопытства.

Вот хэш: 433923f544145fb3669c15803836f63d
MD5 в два прохода.
Перебором, у безопасников есть утилиты, показывали на компьютере. На обычном ноуте какие то миллионы проверок в секунду. Если интересно могу узнать детально чем они пользуются. По их словам сломать пароль становится малореально только при появлении специальных символов. Остальное все перебором подбирается в достаточно конечные сроки.
aka писал(а): Если небезопасно прикрыть, как сейчас прикрыт пароль VNC - считаю, станет только хуже. Давайте придумаем, как сделать лучше.
С этим я полностью согласен. Мне кажется что надо в первую очередь как то прикрыть веб интерфейс и обмен с конфигуратором. Наверно логином/паролем. Может быть использовать пароль от setup. RADIUS это хорошо, но не везде он есть и это уже может быть опцией. Это закроет доступ к вытаскиванию паролей с самого устройства.

а вот при загрузке конфигурационных файлов по сети их действительно не совсем понятно как защищать. Можно попробовать IP, MAC адрес, но мне кажется что это как раз такие и есть "игры в безопасность".
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

Rushmore писал(а):Отдачи логов конфигуратору. В параметре httpd= вроде есть ограничение.
Хорошо. Думаем дальше.

Сейчас служба, которая отдаёт лог конфигуратору, работает сразу после того, как терминал определился со своим IP адресом. До того, как терминал начинает думать, где ему брать основной конфиг. Чтобы проблемы с основным конфигом можно было видеть в логе.

http сервер запускается чуть позже, но тоже до скачивания конфига.

Т.е. есть короткий промежуток времени между состояниями "конфиг уже скачали и продублировали в лог" и "конфиг прочитали, осознали, http перезапустили с указанием фильтра", когда http покажет лог с конфигом даже если в конфиге указано не пускать.

Если службе, которая отдаёт лог, повторить поведение http - будет тот же небезопасный интервал.

А если с конфигом проблема, и конфиг не разбирается - то терминал падает с ошибкой и все тщательно оберегаемые пароли остаются открыты всей сети.

И что с этим делать?
akaplenko
Сообщения: 187
Зарегистрирован: Пн мар 13, 2017 5:30 pm

Re: Шифрование конфигурационных файлов

Сообщение akaplenko »

aka писал(а): Сейчас служба, которая отдаёт лог конфигуратору, работает сразу после того, как терминал определился со своим IP адресом. До того, как терминал начинает думать, где ему брать основной конфиг. Чтобы проблемы с основным конфигом можно было видеть в логе.
А можно чуть поподробнее что это за служба? Она только со стороны терминала в конфигуратор посылает сигналы или конфигуратор ее тоже запросить как то может?
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

akaplenko писал(а):Если интересно могу узнать детально чем они пользуются. По их словам сломать пароль становится малореально только при появлении специальных символов. Остальное все перебором подбирается в достаточно конечные сроки.
Интересно, за сколько они поймут, что вот этот хэш - от этого пароля, и смогут подбирать остальные к нему.
akaplenko писал(а):Мне кажется что надо в первую очередь как то прикрыть веб интерфейс и обмен с конфигуратором. Наверно логином/паролем.
Завести в настройках, которые в текстовом меню, отдельный пункт "Only the Paranoid Survive". И если он включен:
- логи в конфигуратор отключать вообще, потому что не шифрованные и можно отснифить,
- http отключать вообще, потому что не шифрованный и можно отснифить,
- https показывать только по паролю.
Так?

И распространяется это только на локальную загрузку.
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

akaplenko писал(а):
aka писал(а):Сейчас служба, которая отдаёт лог конфигуратору,
А можно чуть поподробнее что это за служба? Она только со стороны терминала в конфигуратор посылает сигналы или конфигуратор ее тоже запросить как то может?
Лог в конфигуратор:

https://wtware.ru/docs5/logs.html

Оно было в втвари всегда, задолго до появления локального http. И только оно позволяет решать проблемы, заканчивающиеся падением терминала, т.е. отломать навсегда в пользу http никак нельзя.

Соединение инициирует конфигуратор. Терминал отдаёт лог. Шифрования и авторизации нет.
akaplenko
Сообщения: 187
Зарегистрирован: Пн мар 13, 2017 5:30 pm

Re: Шифрование конфигурационных файлов

Сообщение akaplenko »

aka писал(а):
akaplenko писал(а):Если интересно могу узнать детально чем они пользуются. По их словам сломать пароль становится малореально только при появлении специальных символов. Остальное все перебором подбирается в достаточно конечные сроки.
Интересно, за сколько они поймут, что вот этот хэш - от этого пароля, и смогут подбирать остальные к нему.
Проведем с ними эксперимент, расскажу о результатах.

aka писал(а): Завести в настройках, которые в текстовом меню, отдельный пункт "Only the Paranoid Survive". И если он включен:
- логи в конфигуратор отключать вообще, потому что не шифрованные и можно отснифить,
- http отключать вообще, потому что не шифрованный и можно отснифить,
- https показывать только по паролю.
Так?

И распространяется это только на локальную загрузку.
да, мне подойдет для моих задач.
Rushmore
Сообщения: 358
Зарегистрирован: Пн фев 11, 2013 9:36 pm

Re: Шифрование конфигурационных файлов

Сообщение Rushmore »

aka писал(а):Сейчас служба, которая отдаёт лог конфигуратору, работает сразу после того, как терминал определился со своим IP адресом. До того, как терминал начинает думать, где ему брать основной конфиг. Чтобы проблемы с основным конфигом можно было видеть в логе.
Получать список адресов через DHCP?
aka
Разработчик
Разработчик
Сообщения: 11800
Зарегистрирован: Ср окт 01, 2003 12:06 am
Откуда: Роcсия, Тольятти
Контактная информация:

Re: Шифрование конфигурационных файлов

Сообщение aka »

akaplenko писал(а):да, мне подойдет для моих задач.
Проверяй 5.4.88.
Ответить

Вернуться в «Планы развития. Пожелания.»