Дыры в ПО VIPNet ver 2.8.11

[Инквизитор]

Вот собственно обнаружил такую фичу.

Может обычный глюк, А может стать серьезной проблеммой!

Если на компе с УКЦ в начале незагрузить Монитор Клиента (т.е. отказаться от ввода пароля), загрузить систему, после этого запустить УКЦ и ввести пароль на вход в УКЦ, прога спросит пароль главного аббонента, можно сказать неа не хочу вводить. То УКЦ продолжит работать и есть возможность просмотреть ВСЕ (именно ВСЕ пароли, в том числе и пароль ГЛАВНОГО АБОНЕНТА!!!!!!!) естественно если пароль не менялся.

Так ЧТО ТОВАРИСЧИ НЫКАЙТЕ ПОЛУЧШЕ ПАРОЛЬ ОТ УКЦ И ПОСЛЕ РАЗВОРАЧИВАНИЯ СЕТИ МЕНЯЙТЕ ПАРОЛЬ ГЛАВНОГО АБОНЕНТА!!!!!! Иначе сами понимаете чем грозит ))) И НИКОМУ И НИКОГДА ДАЖЕ ЕСЛИ НАЧАЛЬСТВО ТОПАЕТ НОЖКАМИ НЕ ГОВОРИТЕ ПАРОЛЬ ОТ УКЦ ))

[Stratos]

Инквизитор

В Вашем посте Вы перепутали все что только можно, при чем тут старт ViPNet Клиента, УКЦ и пароля главного абонента???

Пароль для загрузки ViPNet Клиента, пароль в УКЦ и пароль ГА - АБСОЛЮТНО РАЗНЫЕ ВЕЩИ!!!

после этого запустить УКЦ и ввести пароль на вход в УКЦ, прога спросит пароль главного аббонента

Вы уже вошли в УКЦ, а ввести пароль ГА УКЦ может попросить при автоматической генерации ключей.

И в чем тут криминал??? Вы штатно вошли в УКЦ, ввели пароль ИМЕННО от УКЦ. И в чем дыра то???

P.S.

А про то, что "ныкать" пароль от УКЦ подальше, всегда говорят на курсах Администрироавания ViPNet (надо лучше слушать 8) ).

[Инквизитор]

Инквизитор

В Вашем посте Вы перепутали все что только можно, при чем тут старт ViPNet Клиента, УКЦ и пароля главного абонента???

Пароль для загрузки ViPNet Клиента, пароль в УКЦ и пароль ГА - АБСОЛЮТНО РАЗНЫЕ ВЕЩИ!!!

А при том собственно КЛИЕНТ, что он стоит на той машине что и УКЦ )))

а введя пароль на УКЦ, можно посмотреть пароль АДМИНА (он же главный абонент) и соответственно сгенерить новые ключи )))

КОСЯК!!!! НАДО бы вообще убрать возможность смотреть пароль Главных абонентов ))) от греха подальше ))

[Stratos]

Инквизитор

а введя пароль на УКЦ, можно посмотреть пароль АДМИНА (он же главный абонент) и соответственно сгенерить новые ключи

А в чем косяк то??? :shock:

Было же сказано - пароль на вход в УКЦ - САМЫЙ ГЛАВНЫЙ!!!

А главные абоненты это так, помошники администратора.

Так что косяка никакого нет, все вполне логично. 8)

[Инквизитор]

Инквизитор

А в чем косяк то??? :shock:

Было же сказано - пароль на вход в УКЦ - САМЫЙ ГЛАВНЫЙ!!!

А главные абоненты это так, помошники администратора.

Так что косяка никакого нет, все вполне логично. 8)

Ладно будем считать что косяка нет а новые ключи уже есть, и без помощников обошлись :shock:

Да кстати если пароль главного администратора ненужен тогда зачем УКЦ его просит ввести (он же помощьник. а без сопливых ведь можно обойтись)?

[MORO]

Да при чём тут кто гуру, кто "сопливый"...

Всё просто: пароль на УКЦ, как совершенно верно сказал Stratos (и говорит любой преподаватель на любом обучении админов ViPNet) - САМЫЙ ГЛАВНЫЙ! Соответственно, его должен знать только администратор данной VPN (главный админ, супер-пупер-админ, назовите как хотите... ).

Исходя из вышесказанного, НИКТО, кроме админа VPN в УКЦ просто не сможет войти => не сможет ни посмотреть ни поменять пароли абонентов, хоть главных, хоть рядовых...

А если представить ситуацию, когда злоумышленнику (т.е. тому, кто спит и видит, как бы втихаря сменить пароли ГА) известен пароль на ход в УКЦ, то вообще о чём речь тогда? :shock: Если сами кому попало дарите ключи от сейфа, так не надо обижаться тогда, когда он "вдруг" опустеет... IMHO, конечно.

[intellegent]

Инквизитор

Да кстати если пароль главного администратора ненужен тогда зачем УКЦ его просит ввести (он же помощьник. а без сопливых ведь можно обойтись)?

А затем он нужен, что все сертификаты издаются не без помощи ГА, а как Вам выдать сертификат кому-либо без секретного ключа ГА, так вот вводя пароль ГА, Вы тем самым аутентифицируете себя как ГА и получаtnt доступ к секретному ключу ГА.

[Инквизитор]

А затем он нужен, что все сертификаты издаются не без помощи ГА, а как Вам выдать сертификат кому-либо без секретного ключа ГА, так вот вводя пароль ГА, Вы тем самым аутентифицируете себя как ГА и получаете доступ к секретному ключу ГА.

Ура Нашелся человек который понял Вот по этой самой причине и нестоит показывать пароль ГА в списке паролей (А ЛУЧШЕ ВООБЩЕ НЕПОКАЗЫВАТЬ ПАРОЛИ), если при входе в УКЦ пользователь не индефецировал себя как ГА!

Согласитесь что это былобы логичнее ))) 8)

[Инквизитор]

А если представить ситуацию, когда злоумышленнику (т.е. тому, кто спит и видит, как бы втихаря сменить пароли ГА) известен пароль на ход в УКЦ, то вообще о чём речь тогда? :shock:

Представь себе что политика безопастности компании ТРЕБУЕТ чтоб пароль был известен не только ГА, а еще одному абоненту?

:shock: А собственно без пароля ГА, никакие пароли поменять не получится Да и зачем Вообще показывать паоли если в УКЦ вошел неизвестно кто ))

ЗЫ: Вообще я максималист в таких вопросах, и рассматриваю ситуацию как теотетически возможную )))

[intellegent]

Да и зачем Вообще показывать паоли если в УКЦ вошел неизвестно кто ))

Я так понимаю, что Вы хотите, чтобы КЦ распознавал Вас и Ваших коллег по фотографии??? Что значит в КЦ зашел неизвестно кто!!?? Это не неизвестно кто зашел, а тот кто надо ) Он же пароль верный ввел. т.е. прошел аутентификацию, а вот раздавать пароль на КЦ кому попало как раз не следует, вот это как раз и есть дура в политике безопасности!!!! Политика безопасноссти - это комплекс административных, программных и аппаратных мер по предотвращению и т.д....

Так что стоит пока думаю искать дыре не в софте, а вообще выработать концепцию безопасности, определить модель нарушителя и, как принято, заранее назначить ответственных и виновных ))))

[Инквизитор]

Да и зачем Вообще показывать паоли если в УКЦ вошел неизвестно кто ))

Я так понимаю' date=' что Вы хотите, чтобы КЦ распознавал Вас и Ваших коллег по фотографии??? Что значит в КЦ зашел неизвестно кто!!?? Это не неизвестно кто зашел, а тот кто надо ) Он же пароль верный ввел. т.е. прошел аутентификацию, [/quote']

Зачем по фоткам По ПАРОЛЮ НА ВХОД В УКЦ И ПаРОЛЮ ГА )))

Иначе нет необходимости в ГА ))) Переложить тогда функции ГА на УКЦ И вся недолгая ))) И подписывать сертификаты Сертификатом УКЦ (придется сгенерить его конечно) Правда придется поменять координально всю концепцию построения сети ))))

А вот закрыть для просмотра пароли без введенного пароля ГА легко ))) вставить одно условие в код ))) и еще одно на то чтобы пароли ГА не показывались в списке паролей ))))

[intellegent]

Да и зачем Вообще показывать паоли если в УКЦ вошел неизвестно кто ))

Я так понимаю' date=' что Вы хотите, чтобы КЦ распознавал Вас и Ваших коллег по фотографии??? Что значит в КЦ зашел неизвестно кто!!?? Это не неизвестно кто зашел, а тот кто надо ) Он же пароль верный ввел. т.е. прошел аутентификацию, [/quote']

Зачем по фоткам По ПАРОЛЮ НА ВХОД В УКЦ И ПаРОЛЮ ГА )))

Иначе нет необходимости в ГА ))) Переложить тогда функции ГА на УКЦ И вся недолгая ))) И подписывать сертификаты Сертификатом УКЦ (придется сгенерить его конечно) Правда придется поменять координально всю концепцию построения сети ))))

А вот закрыть для просмотра пароли без введенного пароля ГА легко ))) вставить одно условие в код ))) и еще одно на то чтобы пароли ГА не показывались в списке паролей ))))

Мда, ладно тогда по пунктам:

1) необходимость ГА я уже описывал ранее ( защита секретного ключа, который используется при издании сертификатов);

2) если осуществить Вашу затею со входом в КЦ и по паролю КЦ и по паролю ГА, то тогда получается и аутентификация и авторизация, правда в извращеном виде, уж лучше просто при входе вводить пароль ГА и сразу получать свои законые полномочия;

3) переложить функции ГА на плечи КЦ - ГА может быть несколько, каждый из них может издавать и подписывать сертификаты, так что убрав функционал ГА, Вы тем самым оскудните возможности ПО, а также поставите некоторые организации в тупик при расследовании спорных ситуаций, т.к. непонятно кто конкретно издал тот или иной сертификат, а это между прочим немалые деньги;

4) насчет сокрытия паролей от глаз человека знающего пароль на КЦ - просто смешно,во-первых что это за сотрудник которому известен пароль на КЦ, но нельзя знать пароль ГА, а во-вторых- паяльная лампа или красное удостоверение думаю поможет Вам вспомнить пароль ГА моментально. Так что главное не многоуровневая парольная защита, а правильное использование уже существующей;

5) не показывать пароли ГА в списке паролей - вот уволится у Вас ГА, а пароль не скажет, вот Вы тогда выработаете дополнительных трудодней по смене всех сертификатов в организации. Не следует считать возможность просмотра пароля ГА неким backdoor...

6) "А вот закрыть для просмотра пароли без введенного пароля ГА легко" - вот это думаю стоит запостить на форуме, касающемся доработки ПО.

[Stratos]

Бурно, однако, развиваются события...

Инквизитор

Как правильно заметил intellegent для начала, надо бы выработать (точнее разработать) политику информационной безопасности? модели нарушителей, согласовать их с соответствующими органами, получить положительное заключение этих самых органов, а уже потом выбирать и разворачивать систему защиты информации.

По Вашим же суждениям получается, что Вы установили СЗИ и теперь она Вам не подходит, поскольку Вы рассматриваете разные "теоретически возможные ситуации".

Все так просто, нужно ТОЛЬКО вставить "одно условие в код"!!! А кто потом будет сертифицировать решение? Точнее, кто возмется за эту процедуру? На чьи средства?

Я конечно извиняюсь, но Вы читали ТУ на систему? Судя по всему нет, иначе подобного разговора просто бы не было.

[Инквизитор]

3) переложить функции ГА на плечи КЦ - ГА может быть несколько, каждый из них может издавать и подписывать сертификаты, так что убрав функционал ГА, Вы тем самым оскудните возможности ПО, а также поставите некоторые организации в тупик при расследовании спорных ситуаций, т.к. непонятно кто конкретно издал тот или иной сертификат, а это между прочим немалые деньги;

5) не показывать пароли ГА в списке паролей - вот уволится у Вас ГА, а пароль не скажет, вот Вы тогда выработаете дополнительных трудодней по смене всех сертификатов в организации. Не следует считать возможность просмотра пароля ГА неким backdoor...

по порядку )))

3) ГА Может быть ОДИН для УКЦ))) И второй для ЦУС Так что сори

5) Если ГА Увольняется и не говорит пароль, то перед увольнением он его сменит и ты хоть двадцать раз посмотри. там бут старый, сгенерированный УКЦ пароль. так что если он не скажет его тебе и просмотр безполезен

[Инквизитор]

Бурно, однако, развиваются события...

По Вашим же суждениям получается, что Вы установили СЗИ и теперь она Вам не подходит, поскольку Вы рассматриваете разные "теоретически возможные ситуации".

Я не говорю что оно мне неподходит, это во первых, а во вторых меня вообще неспрашивали какие СКЗИ ставить, его по конкурсу купили, мы бюджетная организация

Все так просто, нужно ТОЛЬКО вставить "одно условие в код"!!! А кто потом будет сертифицировать решение? Точнее, кто возмется за эту процедуру? На чьи средства?

Простите а что у нас сертефицируют внешний вид отчетов?

может быть лучше вам попробовать опросик вывесить на форуме?

Например такой: Стоит ли отображать пароль ГА в УКЦ?

Не стоит злится, ведь в в спорах рождается истина может придем к чему нить интересному для разработчиков ))

[Stratos]

Инквизитор

А никто и не злится

Я говорил про сертификацию всего комплекса СКЗИ, а не про отчеты. Это к тому, чтобы "поправить код".

А насчет опроса - а что он даст? Вы думаете все сразу бросятся писать - "Да, конечно его нужно скрывать!!!".

Смысла в сокрытии нет. Если доверять пароли от УКЦ, ЦУСа посторонним, тогда да, у Вас в сетке начется такой "компот". Но поверьте, это решается не изменением программного кода, а оргмерами. Ибо менять логику работы УКЦ (т.е. затрагивать одну из центральных компонент СКЗИ) просто так никто не будет, а если и будет то конкретно под Вас и за отдельные деньги.

Если резюмировать все вышесказанное в этом посте - никакой дыры нет. Вы думаете, что в ФСБ и ФСТЭКе дураки сидят, что пропустили такую "дыру"?

[Инквизитор]

Инквизитор

Если резюмировать все вышесказанное в этом посте - никакой дыры нет. Вы думаете, что в ФСБ и ФСТЭКе дураки сидят, что пропустили такую "дыру"?

Никто не говорит что это критично, а в ФСБ и ФСТЭКе могли не обратить внимание на это. они же такие же люди как мы. я лично столкнулся с этим по той причине что разворачивал тестовую сеть в отдельном машинном классе и забыл записать пароль ГА )) однако глянул его в УКЦ и все ))) :shock:

Хотя по идее это же СКЗИ и пароли ВООБЩЕ ДОЛЖНЫ БЫТЬ СКРЫТЫ!!! Или я что то непонимаю в этом :oops:

[intellegent]

по порядку )))

3) ГА Может быть ОДИН для УКЦ))) И второй для ЦУС Так что сори

5) Если ГА Увольняется и не говорит пароль, то перед увольнением он его сменит и ты хоть двадцать раз посмотри. там бут старый, сгенерированный УКЦ пароль. так что если он не скажет его тебе и просмотр безполезен

Мда, начнем повторят курс обучения :

1) ГА в системе может быть - один, два и более двух. Все зависит от Ваших потребностей;

2) если я не ошибаюсь, то в ЦУС необязательно должен заходить ГА, в ЦУС заходит тот абонент, на АП которого зарегистрированна задача ЦУС ( вот тут про абонента могу наврать, что-то запамятовал, пусть Stratos меня поправит);

3) если ГА сменит пароль, то в КЦ будет отображаться именно новый пароль и никак иначе...

Есть у меня подозрение, что Вы начинаете путать пароль ГА с паролем "администратора сетевых узлов", который действительно можно поменять на конкретном АП, при этом в КЦ будет значиться старый, но опять же на всех АП можно принудительно произвести смену пароля "администратора сетевых узлов" на тот, который устраивает Вас.

[Stratos]

intellegent

Все верно 8)

Инквизитор

Почему пароли должны быть скрыты? От кого? Какой РД этого требует?

[Инквизитор]

1) ГА в системе может быть - один' date=' два и более двух. Все зависит от Ваших потребностей;

2) если я не ошибаюсь, то в ЦУС необязательно должен заходить ГА, в ЦУС заходит тот абонент, на АП которого зарегистрированна задача ЦУС ( вот тут про абонента могу наврать, что-то запамятовал, пусть Stratos меня поправит);

[/quote']

По порядку

1) Сори с формулировкой ))) ГА может быть много. Но в данном контексте я говорил про того кто собственно управляет сетью а точнее УКЦ. Его пароль так же виден ))

2) В задаче ЦУС Может быть только один пользователь (В контексте вышесказанного я имел ввиду именно его называя его ГА)

3) На счет этого ты был действительно прав! И пароль ГА (В данном контексте) будет отображаться текущий!

Почему пароли должны быть скрыты? От кого? Какой РД этого требует?

Этого требует банальная логика ))) что можно защищать если пароль АДМИНИСТРАТОРА УКЦ можно посмотреть, пусть даже при компрометации ключа УКЦ (если тебе так проще воспринимать)

[Stratos]

Инквизитор

Опять 25....

Вот Вашу логику я не совсем понимаю. Точнее не понимаю о чем Вы гворите так как все путаете.

Пароль от УКЦ НИГДЕ ПОСМОТРЕТЬ НЕЛЬЗЯ!!!

Можно просмотреть пароли абонентов защищенной сети и пароль ГА. Все!!!

Нет такого понятия как Администратор ERW? и пароль к УКЦ НИГДЕ подсмотреть нельзя. Если Вы его забыли, можно спокойно идти готовить веревку и мыло.

Короче, еще раз про пароли:

1) Есть пароль УКЦ

2) Есть пароль ГА (который може быть и не зарегистрирован на АП, на котором стоит ЦУС и УКЦ)

3) Есть пароли всех остальных абонентов сети.

Так вот, посмотреть пароли 2 и 3 можно, ТОЛЬКО зная пароль 1.

Если Вы его кому-то передаете - пеняйте ТОЛЬКО на себя.

Только вот скажите, каким образом, не зная паролей от АП Вы собираетесь их устанавливать в сети??? Какие пароли будите вводить?

Повторюсь еще раз - пароль в УКЦ - САМЫЙ ВАЖНЫЙ ПАРОЛЬ.

Пароль от УКЦ и пароль ГА - РАЗНЫЕ ПАРОЛИ!!! От УКЦ пароль важней, нежели пароль ГА.

Чувствую, Вам нужно еще раз пройти обучение т.к. в терминологии и технологии Вы сильно "плаваете".

[Инквизитор]

Инквизитор

1) Есть пароль УКЦ

2) Есть пароль ГА (который може быть и не зарегистрирован на АП, на котором стоит ЦУС и УКЦ)

3) Есть пароли всех остальных абонентов сети.

Так вот, посмотреть пароли 2 и 3 можно, ТОЛЬКО зная пароль 1.

Если Вы его кому-то передаете - пеняйте ТОЛЬКО на себя.

Только вот скажите, каким образом, не зная паролей от АП Вы собираетесь их устанавливать в сети??? Какие пароли будите вводить?

Повторюсь еще раз - пароль в УКЦ - САМЫЙ ВАЖНЫЙ ПАРОЛЬ.

Пароль от УКЦ и пароль ГА - РАЗНЫЕ ПАРОЛИ!!! От УКЦ пароль важней, нежели пароль ГА.

Я согласен что немного не точно сформулировал. я говорю про то что зная пароль от УКЦ можно посмотреть пароль ГА зарегиного в задачах УКЦ и ЦУС

[Stratos]

Инквизитор

зная пароль от УКЦ можно посмотреть пароль ГА зарегиного в задачах УКЦ и ЦУС

И что дальше???

Если Вы знаете пароль УКЦ то ОБЯЗАНЫ будете знать и пароль ГА. Как по другому Вы собираетесь работать при перегенерации ключей???

[Инквизитор]

Инквизитор

И что дальше???

Если Вы знаете пароль УКЦ то ОБЯЗАНЫ будете знать и пароль ГА. Как по другому Вы собираетесь работать при перегенерации ключей???

Глупо настаивать на том что я знаю пароль ГА!

Я рассматриваю теоретическую возможность, человек знает пароль УКЦ(но пока незнает пароль ГА). Может легко узнает пароль пароль ГА (зарегиного в ЦУС и УКЦ). ЛОГИЧНО?

[Stratos]

Инквизитор

Логично.

Но я не понимаю, почему это Вас так беспокоит. Ну узнает он пароль ГА. Чего в этом страшного то?

Так же он узнает пароли всех абонентов защищенной сети.

Так же он может прибить основной мастер-ключ и уничтожить VPN .

Поэтому и говорится, что пароль от УКЦ надо надежно хранить. Лучше всего в голове.