kiltum (kiltum) wrote,
kiltum
kiltum

О, поздравьте меня - нас последний час пытались поиметь с помощью банальной атаки MiM или чего-то очень похожего.

Начало атаки обнаружилось просто - у меня отвалилась аська. Полез на ЖЖ - squid сказал, что не может отфорвардить реквест. Полез в логи - OpenVPN орет благим матом, что Authenticate/Decrypt packet error: packet HMAC authentication failed.

Отступление: у меня включена tls-auth и на хостах раскидан один и тот же ключ. Таким образом, openvpn сначала с помощью этого ключа устанавливает защищенный канал, а потом внутри уже повторно авторизуется с помощью "настоящих" ключей. А если не может, то орет и "настоящие" ключи даже не трогает.

Посидел я, офигевши глядя в лог, минут 5 и полез смотреть на multik.org - чего там случилось. А тут возьми и ssh заори, дескать, ключи у того хоста поменялись ... Офигел мрачно. Поглядел на уже открытые сессии, через них перезапустил openvpn, глядучи в логи. Кучка машин перезацепились без какого-либо писку. А офисный сервер орет, что ключ не тот и не туда. Ноутбук тоже сопротивляется ...

Зашел по GPRS - все нормально. Через офисную сетку - фиг с маслом. Пошел по шеллам, смотреть, где еще ключи поменялись ... Выяснил примерную область поражения и сообщил куда надо. Чуваки радостно упрыгали.

Тем временем локальный почтовый сервер робко вякнул в логи, что на той стороне какой-то неправильный ключ и он лучше подождет, чем устанавливать сессию. OpenVPN продолжает ломиться и обламываться.

А обычная офисная сетка работает. Аськи там, мылы .... а моя, с секурностью - нет. Правда, в "обычной" сетке почему-то вебманя заорала, что с сервером связи нет и она типа как честная девушка, еще подождет ...

Потом вдруг как-то р-р-раз и ssh перестал ругаться на ключ. И вдруг почта прошла. А OpenVPN продолжал орать благим матом.

Орал еще нцать минут, пока в логах не появилось Mar 15 19:01:47 office openvpn[24407]: Initialization Sequence Completed.

Что это было, я пока не знаю (пусть другие разбираются), но очень похоже на грубое включение какого-нить анти-чего-нить, загребающего трафик на себя и пытающегося разобрать его на косточки. Всякие IDS, СОРМ и иже с ними ... Если на ssh и почту, как на стандартные протоколы, быстренько поглядели в логи и открутили ручку назад, то с openvpn дело затянулось ;-) оно, ведь, собака, нигде не светит буковками vpn ;-)

В общем, я типа сам себе герой и не отдал ни одного байта своего трафика в руки врагу ;-)

P.S. Как грится, кто предупрежден, тот вооружен.
P.P.S. Товарищи из соответствующих служб. Я знаю, кое-кто из вас заглядывает ко мне. Вы того, ежели чего, то заходите без стесненья сразу и вдруг ;-). Я вас чаем напою и сам всё расскажу и покажу, ежели вы документы нужные покажете. А ежели со злостью придете, то фиг чего получите. Диски шифрованные и ключ длинный лежит далеко за пределами офиса, под контролем "на удалить" левого человечка, про которого я ничего не знаю. Отстрелите канал надолго - диски закроются. Свет вырубите - диски закроются. Вломитесь в офис - диски зароются. И так далее. И вот тогда я вам не смогу помочь с доступом до 120Гб музыки на 800Гб разделе даже если очень-очень сам захочу. Как грится, будьте ласковы ;-)
P.P.P.S Ну да, мне позволили дать волю своим параноидальным склонностям ;-)))
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 7 comments