Рейтинг:0

Используйте openconnect и удовлетворяйте сканы annyconnect

флаг in

Моя организация предоставляет доступ к vpn с помощью cisco любое подключение. Я использую систему Linux, и я могу подключиться к vpn, используя опенконнект. Я должен использовать openconnect, потому что anyconnect в Linux не совместим с Метод аутентификации используется организацией, но openconnect используется.

Я являюсь администратором и, таким образом, имею root-доступ к своей собственной рабочей системе, но не имею доступа к серверам vpn, поскольку этим занимается другой отдел. И я не призываю запрашивать изменения, чтобы сделать его более дружественным к Linux.

Недавно было реализовано сканирование, которое проверяет наличие определенного текстового файла и определенного двоичного файла. Поскольку я использую openconnect, сканирование завершается ошибкой, однако файлы присутствуют. я использую csd-обертка скрипт с openconnect для предоставления необходимой информации.

Мой вопрос: как мне изменить сценарий csd-wrapper, чтобы сообщить удаленному серверу vpn, что требуемый текстовый файл и двоичный файл на месте?

Редактировать: У меня есть частичное решение, которое, похоже, удовлетворит сканирование. Однако, поскольку это зависит от загрузки двоичных файлов с сервера vpn и их запуска, а не от самостоятельной публикации данных, это ненадежный.

Проект openconnect предоставляет несколько полезных скриптов:

https://gitlab.com/openconnect/openconnect/-/tree/master/трояны

Нам нужно это:

https://gitlab.com/openconnect/openconnect/-/blob/master/trojans/csd-wrapper.sh

Для подключения используйте --csd-обертка аргумент для запуска скрипта и укажите, куда вы его скачали, он должен быть исполняемым:

openconnect -c 'XX' --user='имя пользователя' --authgroup='group' --csd-wrapper=csd-wrapper.sh

Одна из причин, по которой это небезопасно, заключается в том, что загружаемые двоичные файлы могут содержать троян или могут быть небезопасными, поскольку cisco вводит ошибки и недостатки безопасности:

https://www.coresecurity.com/core-labs/advisories/cisco-anyconnect-posture-hostscan-security-service-bypass

Мой вопрос остается как узнать что публиковать. Я знаю о:

https://github.com/Gilks/hostscan-обход

Но клиент cisco anyconnect не позволит мне подключиться, когда я проксирую TLS. Он настаивает на том, что соединение небезопасно и останавливается.Поэтому я бы нашел другой способ узнать информацию, которую нужно опубликовать.

Стоит отметить, что такой способ как минимум максимально приближен к правилам вашей организации, поскольку он делает почти то же, что и клиент anyconnect. Таким образом, вероятность случайного нарушения указанных правил меньше или отсутствует (если кому-то не все равно).

Последнее замечание: странно (но, к сожалению, совершенно ожидаемо), что организации предпочитают использовать решение VPN, которое хуже и, как известно, небезопасно. Просто потому, что на нем стоит штамп "корпоративный". Клиент anyconnect, по крайней мере, для Linux, не обновлялся годами и не поддерживает все методы аутентификации по сравнению с openconnect (например, смарт-карты). Для более подробного обсуждения см.:

http://www.infradead.org/openconnect/anyconnect.html

http://www.infradead.org/openconnect/csd.html

Рейтинг:1
флаг de

Чтобы обойти проблемы с прокси-сервером TLS, просто используйте законный сертификат. Вы можете сделать это, разместив hostscan-bypass на облачном сервере (например, digitalocean, AWS и т. д.) и указать на него запись DNS.

AnyConnect увидит действительный сертификат и позволит вам успешно перехватить файл CSD.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.