องค์กรของฉันให้การเข้าถึง VPN โดยใช้ซิสโก้ เชื่อมต่อใด ๆ. ฉันใช้ระบบลินุกซ์และสามารถเชื่อมต่อกับ VPN โดยใช้ เปิดการเชื่อมต่อ. ฉันต้องใช้ openconnect เพราะ anyconnect บน linux เข้ากันไม่ได้กับ วิธีการรับรองความถูกต้อง ใช้โดยองค์กร แต่ openconnect คือ
ฉันเป็นผู้ดูแลระบบและด้วยเหตุนี้จึงมีสิทธิ์เข้าถึงรูทบนระบบที่มีงานของฉันเอง แต่ไม่มีสิทธิ์เข้าถึงเซิร์ฟเวอร์ vpn เนื่องจากแผนกอื่นจัดการ และฉันไม่ได้ขอเปลี่ยนแปลงเพื่อให้เป็นมิตรกับ linux มากขึ้น
เมื่อเร็ว ๆ นี้มีการใช้การสแกนเพื่อตรวจสอบการมีอยู่ของไฟล์ข้อความและไบนารีบางอย่าง เนื่องจากฉันใช้ openconnect การสแกนจึงล้มเหลว แต่มีไฟล์อยู่ ฉันใช้ csd-wrapper สคริปต์พร้อม openconnect เพื่อให้ข้อมูลที่จำเป็น
คำถามของฉันคือ ฉันจะเปลี่ยนสคริปต์ csd-wrapper เพื่อบอกเซิร์ฟเวอร์ vpn ระยะไกลว่ามีไฟล์ข้อความและไบนารีที่ต้องการได้อย่างไร
แก้ไข: ฉันมีวิธีแก้ปัญหาบางส่วนซึ่งดูเหมือนว่าจะตอบสนองการสแกน อย่างไรก็ตาม เนื่องจากมันขึ้นอยู่กับการดาวน์โหลดไบนารีจากเซิร์ฟเวอร์ VPN และเรียกใช้สิ่งเหล่านั้น ซึ่งต่างจากการโพสต์ข้อมูลด้วยตัวเอง ไม่ปลอดภัย.
โครงการ openconnect มีสคริปต์ที่เป็นประโยชน์:
https://gitlab.com/openconnect/openconnect/-/tree/master/trojans
เราต้องการสิ่งนี้:
https://gitlab.com/openconnect/openconnect/-/blob/master/trojans/csd-wrapper.sh
ในการเชื่อมต่อให้ใช้ --csd-wrapper อาร์กิวเมนต์เพื่อเรียกใช้สคริปต์และชี้ไปยังตำแหน่งที่คุณดาวน์โหลด ควรเรียกใช้งานได้:
openconnect -c 'XX' --user='ชื่อผู้ใช้' --authgroup='group' --csd-wrapper=csd-wrapper.sh
สาเหตุหนึ่งที่ไม่ปลอดภัยเนื่องจากไบนารีที่ดาวน์โหลดอาจมีโทรจัน หรืออาจไม่ปลอดภัยเพราะ cisco แนะนำข้อบกพร่องและข้อบกพร่องด้านความปลอดภัย:
ของฉัน คำถามยังคงอยู่ วิธีค้นหาสิ่งที่จะโพสต์ ฉันรู้เกี่ยวกับ:
https://github.com/Gilks/hostscan-bypass
แต่ไคลเอนต์ cisco anyconnect จะไม่ยอมให้ฉันเชื่อมต่อเมื่อฉันพร็อกซี TLS มันยืนยันว่าการเชื่อมต่อไม่ปลอดภัยและหยุดทำงานดังนั้นฉันจะหาวิธีอื่นในการค้นหาข้อมูลที่จำเป็นต้องโพสต์
มันคุ้มค่าที่จะทราบว่าการทำเช่นนี้อย่างน้อยก็ใกล้เคียงกับกฎขององค์กรของคุณมากที่สุดเท่าที่จะเป็นไปได้ เนื่องจากมันค่อนข้างจะเหมือนกับที่ไคลเอนต์ anyconnect จะทำ ดังนั้นจึงมีโอกาสน้อยหรือไม่มีเลยสำหรับการละเมิดกฎดังกล่าวโดยไม่ได้ตั้งใจ (ถ้าใครจะสนใจ)
สุดท้ายนี้ เป็นเรื่องแปลกประหลาด (แต่คาดหวังโดยสิ้นเชิง น่าเศร้า) ที่องค์กรต่างๆ เลือกใช้โซลูชัน VPN ซึ่งด้อยกว่าและทราบกันดีว่าไม่ปลอดภัย เพียงเพราะมันมีตราประทับ "องค์กร" อยู่ ไคลเอ็นต์ anyconnect อย่างน้อยสำหรับ linux ยังไม่ได้รับการอัปเดตเป็นเวลาหลายปี และไม่สนับสนุนวิธีการตรวจสอบความถูกต้องทั้งหมดเมื่อเทียบกับ openconnect (เช่น สมาร์ทการ์ด) สำหรับการสนทนาเพิ่มเติมโปรดดู:
หากต้องการแก้ไขปัญหาพร็อกซี TLS เพียงใช้ใบรับรองที่ถูกต้อง คุณสามารถทำได้โดยการโฮสต์ hostscan บายพาส บนเซิร์ฟเวอร์บนคลาวด์ (เช่น digitalocean, AWS ฯลฯ) และชี้บันทึก DNS ไปที่เซิร์ฟเวอร์นั้น
AnyConnect จะเห็นใบรับรองที่ถูกต้องและอนุญาตให้คุณสกัดกั้นไฟล์ CSD ได้สำเร็จ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
