classic.ISPforum.cz

JirkaK píše:Diky za info.
Pokud jsem to tedy pochopil spravne tak youbikey pouzijes jen na zaslani hesla ssh klientovi. Tzn, ze pouzivas statickeho hesla (nikoliv sifrovaneho jednorazoveho).
Co brani tvym zemastnancum, kterym YubiKey davas kvulii paranoe (aby neznali hesla), to heslo precist libovolnym keylogerem?
JK

Z youbikey privátní klíč nedostaneš, pouze veřejný. Co si představuješ pod pojmem statická hesla, jako jeden účet (nechápu otázku)?. Heslo do rb je jiná věc, ale pokud nemá youbikey, tak se k tomu nedostane. Na účty máš pak třeba radius.

pgb píše:Nedalo mi to a zkusil jsem to, nejspíš tam budete mít neco ve firewallu ...

Pozitivní. Vyřešeno. Terminace SSH tunelu se řídí adresou za parametrem "-L", nikoliv vzdálenou adresou SSH seance, tzn:

Takže tunel:
skutečně terminuje na loopbacku. Díky za spolupráci

Kde je terminováno SSH je mi tak nějak fuk ... konexe "uvnitř" je z 127.0.0.1 na 127.0.0.1 (v případě použití dle usera PGB, samozřejmě).

zdenek.svarc píše:

pgb píše:

zdenek.svarc píše:K variantě s SSH tunelem doplním, že Winbox služba musí být omezena na IP adresu toho síťového rozhraní, na který budeme vytvářet SSH tunel (ip service set winbox address=xxx.xxx.xxx.xxx), protože právě tuto IP adresu propaguje SSH tunel vůči Winbox službě jako zdrojovou.

Špatně, dej si tam loopback 127.0.0.1 ... funguje vždy

Negativní. Skutečně 127.0.0.1 nefunguje (verze 6.42.6) a skutečně se SSH tunel terminuje na IP adrese vnějšího rozhraní. Samozřejmě se to může jinak chovat na zařízení v bridge nebo obecně v jiné konfiguraci.

YubiKey (prosím ... nazývej správně. Trpím úplně stejně jako u "nstream") umožňuje právě i statické heslo. Nacpe ho klávesnicí po stisku té plošky. To je dobré pro služby co nic jiného neumí - půl hesla napíšu já, půlku Yubikey.

pgb píše:Z youbikey privátní klíč nedostaneš, pouze veřejný. Co si představuješ pod pojmem statická hesla, jako jeden účet (nechápu otázku)?. Heslo do rb je jiná věc, ale pokud nemá youbikey, tak se k tomu nedostane. Na účty máš pak třeba radius.

Ne, takhle to nepoužívám. Nechám si v tom vygenerovat veřejný klíč a ten pak nastavím uživateli v RB. Privání klíč pak propojím přes agenta a knihovnu opensc-pkcs11.so. Zkopírovat YubiKey jsem se snažil, chtěl jsem udělat zálohu toho klíče a cestu jsem nenalezl (a ani by neměla existovat, není to pouze "obyčejná" fleška)

EDIT: Níže uvedené nějak divně funguje/nefunguje. Teda ty volba nic nedělá ????.

Chtěl bych předem všechny upozornit, na Linuxu bývá funkce ssh port forward většinou zapnutá. Je to výborná funkce, jak se lehce dostat do interní sítě na lokální zařízení, pokud hraniční router podporuje SSH (z pohledu lokálních zařízení se tváříte jako router na kterém jste připojeni ). MK ji má ve výchozím nastavení vypnutou (pouze akceptuje přesměrování na 127.0.0.1, ale jinam ne). Pokud ji chcete použít pro tunelování na jiné vnitřní zařízení, musíte ji povolit

Já ti rozumím. Sice to nepoužívám, ale zaměřuji se na to a chci to ... Kdyby to šlo zkopírovat, tak je to jen flash drive.

Klíče v RB jsou sice pěkná věc, jenže je musíš nějak udržovat. Což sice samozřejmě jde (otázkou je, zda i z běžně dostupných dohledových systémů), ale pro větší počty je to prostě opruz.
Naopak to statické v kombinaci s radiusem je už jiná káva. Bude to fungovat kdekoliv, kam ten klíč strčím. I když z principu je to holt o něco méně bezpečné.

pgb píše:Ne, takhle to nepoužívám. Nechám si v tom vygenerovat veřejný klíč a ten pak nastavím uživateli v RB. Privání klíč pak propojím přes agenta a knihovnu opensc-pkcs11.so. Zkopírovat YubiKey jsem se snažil, chtěl jsem udělat zálohu toho klíče a cestu jsem nenalezl (a ani by neměla existovat, není to pouze "obyčejná" fleška)

Kdy mikrotik forwarding vypnul? Jsem si jistý, že jsem to používal. Kdysi.

Ještě na 6.40.8 to funguje. A to v případě:

ludvik píše:Kdy mikrotik forwarding vypnul? Jsem si jistý, že jsem to používal. Kdysi.

edit: no ale dost divoce to funguje. Někde se ty pakety ztrácí. Jenže tomu nepomůže ani zapnutí forwardingu.

Omlouvám se za chybné prohlášení. Fakt to funguje i v 6.42.6 (i když jsem názoru že by nemělo dle toho nastavení)

zdenek.svarc píše:

the.max píše:To sice jo, ale co je za problém nahodit tunel, a ve winboxu neklikat na adresu 2x ale jen jednou a adresu přepsat na localhost? ...

Protože "má admin Winbox plný předdefinovaných routerů bez jednotného loginu", proboha. Přestaň být ješitný a dvakrát přemýšlej než něco napíšeš. Děkuju.

A četl jsi co jsem psal? Možná jsi jen tomu psanému textu nerozumněl.
Já ti neberu, že máš ve winboxu nadefinovanejch kdoví kolik routerů s různejma adresama, loginama a heslama. Když na toho mikrotika lezeš SSHčkem, tak stejně musíš zadat login a heslo, pokud tam nemáš klíč. Pak si povolit winbox, a až pak se tam winboxem připojit. Když uděláš tunel, tak se taky na mikrotika připojíš stejně jako v tvém případě. Akorát pak ve winboxu vybereš uloženej router kam se chceš připojit a než klikneš na connect, tak změníš adresu na localhost. Tím, že v poli Connect to změníš adresu, se ti přece nezmění login a heslo co je tam načtené.

Mu jde nejspis o to, ze vubec musi vyplnovat tu ip adresu, kdyby jenom copy/paste, to pak strasne zdrzuje.

neřeší tohle náhodou romon?