Моя организация предоставляет доступ к vpn с помощью cisco любое подключение. Я использую систему Linux, и я могу подключиться к vpn, используя опенконнект. Я должен использовать openconnect, потому что anyconnect в Linux не совместим с Метод аутентификации используется организацией, но openconnect используется.
Я являюсь администратором и, таким образом, имею root-доступ к своей собственной рабочей системе, но не имею доступа к серверам vpn, поскольку этим занимается другой отдел. И я не призываю запрашивать изменения, чтобы сделать его более дружественным к Linux.
Недавно было реализовано сканирование, которое проверяет наличие определенного текстового файла и определенного двоичного файла. Поскольку я использую openconnect, сканирование завершается ошибкой, однако файлы присутствуют. я использую csd-обертка скрипт с openconnect для предоставления необходимой информации.
Мой вопрос: как мне изменить сценарий csd-wrapper, чтобы сообщить удаленному серверу vpn, что требуемый текстовый файл и двоичный файл на месте?
Редактировать: У меня есть частичное решение, которое, похоже, удовлетворит сканирование. Однако, поскольку это зависит от загрузки двоичных файлов с сервера vpn и их запуска, а не от самостоятельной публикации данных, это ненадежный.
Проект openconnect предоставляет несколько полезных скриптов:
https://gitlab.com/openconnect/openconnect/-/tree/master/трояны
Нам нужно это:
https://gitlab.com/openconnect/openconnect/-/blob/master/trojans/csd-wrapper.sh
Для подключения используйте --csd-обертка аргумент для запуска скрипта и укажите, куда вы его скачали, он должен быть исполняемым:
openconnect -c 'XX' --user='имя пользователя' --authgroup='group' --csd-wrapper=csd-wrapper.sh
Одна из причин, по которой это небезопасно, заключается в том, что загружаемые двоичные файлы могут содержать троян или могут быть небезопасными, поскольку cisco вводит ошибки и недостатки безопасности:
https://www.coresecurity.com/core-labs/advisories/cisco-anyconnect-posture-hostscan-security-service-bypass
Мой вопрос остается как узнать что публиковать. Я знаю о:
https://github.com/Gilks/hostscan-обход
Но клиент cisco anyconnect не позволит мне подключиться, когда я проксирую TLS. Он настаивает на том, что соединение небезопасно и останавливается.Поэтому я бы нашел другой способ узнать информацию, которую нужно опубликовать.
Стоит отметить, что такой способ как минимум максимально приближен к правилам вашей организации, поскольку он делает почти то же, что и клиент anyconnect. Таким образом, вероятность случайного нарушения указанных правил меньше или отсутствует (если кому-то не все равно).
Последнее замечание: странно (но, к сожалению, совершенно ожидаемо), что организации предпочитают использовать решение VPN, которое хуже и, как известно, небезопасно. Просто потому, что на нем стоит штамп "корпоративный". Клиент anyconnect, по крайней мере, для Linux, не обновлялся годами и не поддерживает все методы аутентификации по сравнению с openconnect (например, смарт-карты). Для более подробного обсуждения см.:
http://www.infradead.org/openconnect/anyconnect.html
http://www.infradead.org/openconnect/csd.html
