Прозвенел будильник, полусонный выпиваешь чашку кофе и садишься на кресло. Загружаешь свой ПК и видишь окно логина. Понеслась!
Пароль на домашнем рабочем ПК меняешь достаточно редко, но в офисах отдел по борьбе с общественностью информационной безопасности установил политику смены пароля. Поэтому пароль ты не помнишь. Ищем в карманах пароль, и вбиваем его в окно логина.
Я работаю из дома, поэтому далее повествую от лица удалёнщиков. И ещё маленькая деталь, я линуксоид, т.к. в Linux имеется большинство необходимых для работы инструментов.
Для начала работы нужно подключить VPN. Иногда мне везёт и компании используют OpenVPN, но я неудачник и приходится использовать другие виды, которые куплены за откаты порекомендованы отделом ИБ. Поэтому, если хочешь получать деньги за работу, ставишь сторонний клиент со стороннего сайта. Не все VPN умеют сохранять пароли, т.к. это "небезопасно". Открываем "безопасный" блокнот с любимым файлом паролей, извлекаем нужный пароль среди сотен или тысяч других паролей. Запускаем клиент, вставляем пароль.
Открываем браузер, и выбираем в Избранном корпоративный календарь. Надеемся сессия не истекла. Увы! Сессия истекла. Лезем в файл паролей и входим в календарь.
Выбираем в Избранном трекер задач. Надеемся сессия не истекла. Увы! Сессия истекла. Лезем в файл паролей и входим.
Есть задача у клиента фирмы. Выбираем в Избранном документацию. Надеемся сессия не истекла. Увы! Сессия истекла. Лезем в файл паролей и входим. Открываем страницу клиента и видим, чтобы попасть к клиенту надо открыть другой экзотический VPN. Лезем в файл паролей и входим.
Для доступа к нужному серверу клиента надо открыть RDP (зачем линуксоидам RDP? А ещё RDP может и не подключиться). Лезем в файл паролей и входим.
Далее смотрим сервер. Надо скопировать кусок лога в задачу. Копируем из терминала, открытого в RDP и... RDP отключен буфер обмена.
Ручками перепечатывать многокилобайт данных... ну такое... Думаем что делать. Сохраняем на рабочем столе удалённом. Открываем удалённый браузер, открываем почту (которая не всегда доступна). Лезем в файл паролей и входим
Отправляем кусок лога с почты на почту. Переключаемся на почту на своём ПК. Но почты нет, т.к. при подключении VPN отваливается сеть (привет маршрут по умолчанию 0/0). Отключаем VPN, отваливается RDP.
Переключаем окно на трекер задач, копируешь кусок лога, вставляешь в задачу. Потом подключаем обратно VPN и исправляем баги. Переключаем окно, вводим текст в трекер задач, сохраняем текст и текст не сохранился, т.к. мы забыли отключить VPN. Испытываем стресс, отключаем VPN, обновляем страницу, вводим текст заново.
Открываем новую задачу и другой вид VPN. Погружаемся в новую задачу и...
В этот момент отвлекает срочный звонок менеджера. Теряем контекст задачи, открываем новый VPN, логинимся в GitLab. Надеемся сессия не истекла. Увы! Сессия истекла. Лезем в файл паролей и входим. Упс! Не входим. Двухфакторная авторизация, нужен второй сгенерированный пароль. Не у всех есть аппаратный U2F. А ещё некоторые любят подключать специфические вещи. Например клиент, который работает только под Android и ios. Но даже так нельзя войти, т.к. твой аппарат перепрошит тобой, а значит рутован и утилита тупо повествует, что дальнейшая работа на рутованном устройстве невозможна.
В общем большая часть дня проходит в том, что открыто кучи различных вкладок, переключением между различными окнами, IM, VPN.
P.S.: Уважаемые безопасники! Мы уважаем Ваш труд. Но пожалуйста, не усложняйте нам жизнь чрезмерными ненужными барьерами. Мы перегораем от этого. Оставляйте мессенджеры, VPN с открытыми протоколами, двухфакторки через TOTP (не только QR, но и строкой) и возможностью выбора клиентов. Даже IPSec можно поднять везде искаропки. Оставляйте хоть где-то буферы для консолей. Ваши RDP и цитриксы просто неработающая куча дров, которую надо спалить в печке.
Комментарии (21)
lxsmkv
23.08.2021 13:48+1Ну у нас тоже Jira через VPN, со временем запоминаешь, что баги надо писать сперва в блокноте, а потом быстро копипастить оттуда, потому что сессия у Jira может обломиться, а "...на конце мочало - начинай сначала". В клиентские системы через VPN на Citrix, оттуда в приложение, которое для логина требует вставление карты в картридер и ввода пинкода. Ну да, муторно, но клиент платит, ему так "прикольнее". Если совсем задолбало, чем не повод замутить автоматизацию.
Или групповая политика на компьютерах, что активным может быть только один сетевой интерфейс. Или ты в интернете через вай-фай, или ты через ethernet дебажишь железку. Вместе никак.Так что, мы "дайверы" тренированые, из нас такими историями слезу не вышибешь :)
shane54
23.08.2021 18:20+2А вот кстати. Я тоже привык уже длинные комменты к тикетам писать сначала в блокноте, а потом копировать в Jira, применять форматирование (хотя теги я и так давно выучил) и постить. А если короткие - то перед Submit все равно всегда Ctrl+A, Ctrl+C. Это уже давно как-то на автомате, не только в Jira, а вообще в любых формах. Что на работе, что дома, что на мобильных девайсах.
Но я вообще другое пришёл сказать. Я не спец по продуктам Atlassian, что Jira, что Confluence, что Bitbucket - я так, чисто пользователь. Поэтому я не знаю, это от версий зависит, или от каких-то настроек (разрешений) - но на удивление, продукты Atlassian удивительным образом надёжны в плане сохранения черновиков в формах. Сколько раз замечал - пишешь коммент к тикету в Jira, потом отвлекаешься - сессия заканчивается (нужно логиниться по-новой), перезагрузка браузера (из-за перезагрузки всего компа), перезагрузка серверной части Jira (после которой всегда все сессии сбрасываются и надо логиниться заново - как минимум, у нас так) - так вот, всегда, всегда запускаешь браузер, логинишься в Jira, находишь свой тикет, жмёшь Comment - открывается форма, твой черновик тут как тут. Магия!! В смысла, круто, это качественно. И если в Confluence, пока пишешь или редактируешь статью (или коммент), сверху постоянно выскакивает сообщение "Draft saved", "Draft saved" - то Jira все делает "тихо". Тихо, но качественно. В общем, мне очень нравится, это классно что такая надёжность реализована.
kyberorg
23.08.2021 13:52У нас тоже спецальный VPN, который работает только под виндой или МакОсью.
Я попросил VmWare Workstation и сделал VM c Linux. У VM адаптор работает в режиме NAT.В итоге, схема подключения выглядит так: с винды подключаемся к ВПН. ВПН делает маршруты в винде. Запускаем витруалку, и так как она ходит в эту вашу рабочую сеть через винду, то доступ к рабочим ресурсам вполне себе имеется.
Проблему паролей решает Bitwarden (который прекрасно имеет как в облачную версию, так self-hosted). У меня self-hosted.Я сделал запись Active Directory и к ней прилинкованы куча сайтов, где авторизация идёт через AD. Теперь ежемесячное обновление пароля перестало быть попаболью.
shnegs
23.08.2021 14:03+2Прозвенел будильник, полусонный выпиваешь чашку кофе и садишься на кресло. Загружаешь свой ПК и видишь окно логина. Понеслась!
Зарядку то сделай.
avkor2021
23.08.2021 14:29Самое обидное, что при всех этих ограничениях всё равно кому надо - взломают, а пользователи страдают каждый день. Плюс ещё бывает, что не работает какая-то служба из-за того что закрыты порты и т.п. и никто не знает где они закрыты, вроде и на сервере разрешено и на маршрутизаторе, а безопасники разводят руками - ничем не можем помочь, это где-то там. Поневоле задумываешься, а может быть прав был Столлман и пароли не нужны?
interferenz
23.08.2021 15:24Интересно, как считается (и считается ли) экономика внедрения таких процессов. Каково соотношение security рисков к снижению производительности и сокращению чистого времени работы? Складывается субъективное ощущение, что часто такое внедряется, чтобы на всякий случай
sshmakov
23.08.2021 22:29Снижение производительности и сокращение чистого времени работы не считается.
inkvizitor68sl
23.08.2021 18:08+1привет маршрут по умолчанию 0/0
Ну что за ересь-то ) Когда это кого-то под линуксами останавливало?
ip ro replace default и поехали
shane54
23.08.2021 20:19+4О, у меня тоже есть "пара воспоминаний и комментов" по теме активной удалённой работы ("удалённой" - не в смысле фриланса, а в смысле постоянного удалённого подключения к клиентским площадкам).
Итак. Будет немного сумбурно, но суть, надеюсь, донесу.
...
Ещё можно добавить раз надцать за день ввод 2FA паролей (цифр) из Google Authenticator (хотя я смигрировал все аккаунты в Microsoft Authenticator - но сути это не меняет, оба приложения полностью совместимые, так как реализуют TOTP/HOTP протоколы, просто утилита от Microsoft просто как приложение прикольней, что ли). Так же ввод цифр из приложения RSA SecurID и с физических RSA токенов. И не только RSA, есть ещё часто токены FortiNet, токены PaloAlto Networks, токены CheckPoint, всякие полу-noname токены - в общем, "тысячи их", Yubikey ещё с кнопочкой бывают, который недостаточно просто в USB воткнуть. В общем, мы на прошлой работе пришли к ящику на стене, типа как для ключей, открываешь дверцу - а там 30 или 50 разных токенов висят, с ярлычками, подписанные, какой для кого - разных форм, цветов и моделей, на гвоздиках, и у всех на экранах каждые 30 секунд пароли сменяются. Завораживает.
На счёт уникальных и экзотических VPN клиентов - часто они не совместимы друг с другом, каждый создаёт свой виртуальный адаптер, всякие CheckPoint так вообще позволяют админам, со стороны хоста, определить политики полного запрета на инсталляцию чего бы то ни было со стороны клиента. Чем эти админы с радостью и пользуются. Выливается это в то что после установки CheckPoint VPN клиента и первого соединения с удалённой стороной - он скачивает эту политику, применяет её - и все, ОС становится "заблокированной", для того чтобы установить даже WinZIP или любую другую мелочь, не важно что, любой софт - или чтобы даже Windows Updates установить - приходится сносить CheckPoint VPN клиент, перезагружаться, ставить что там нужно было поставить, перегружаться, ставить обратно CheckPoint VPN клиент, перегружаться, конфигурировать заного VPN профиль, соединяться в первый раз с удалённой стороной, он скачивает свой этот мерзкий профиль, применяет, конечно перезагрузка. Готово.
Да, стоит ещё упомянуть что часто для установки VPN соединения необходимо звонить (по телефону!) "на ту сторону" (часто в другую страну, на другую сторону Земли), и просить "открыть дверь" для такого-то аккаунта. Часто только менеджер или определённый список сотрудников имеет право на такой звонок (в смысла, позвонить то любой может, просто просить открыть доступ могут только сотрудники из официального утвержденного списка).
В общем, "в пике" у нас было 12 разных виртуальных машин, в каждой был установлен и настроен свой, *уникальный* VPN клиент. Каждый со своими приколами и особенностями. Так как с виртуалками параллельно одновременно работало 5-10 человек - умножаем 12 виртуалок на 10 человек - имеем 120 виртуалок для соединения с клиентскими площадками. Причём, из сказанного выше уже ясно, из-за уродства некоторых (многих) VPN клиентов, не все из них поддерживают Windows 10. Так что об унификации и стандартизованном администрирования можно забыть. Точнее, последние версии VPN клиентов то понятно дело все поддерживают десятку, другое дело что не все клиенты имеют право их использовать - не знаю, может у них там денег не хватает на лицензии, и они остановились на каком-то определённом уровне - без понятия, это большие конторы, что там у них происходит - тёмный лес, в смысле, инфы нет от слова совсем. И рекомендовать / просить / заставлять их обновить свой VPN Host - очевидно, разговор ни о чем. Т.е. выглядит это так - скачиваешь последнюю версию их VPN клиента с сайта вендора - клиент работает (запускается) на Win10, но не может соединиться с VPN хостом. Скачиваешь на 5 версий старее (ту версию что требуется установить по инструкции по настройке VPN от клиента) - на десятке не запускается, зато со свистом соединяется "с домом". Поэтому об унификации этого "флота" виртуалок речи не идёт - разные ОС, разные настройки, разные проблемы.. Да, в каких-то случаях нужно быть админом чтобы соединиться, в каких-то - нельзя быть админом, в каких-то - пофиг, проверки нет, пользователь может быть и таким и таким. Как уже упоминалось выше - некоторые виртуалки из-за ограничений установленного в них VPN клиента не дают даже Windows Updates ставить. Многие отрубают сеть (LAN) при установке VPN соединения (как упоминалось в статье). В общем, полный бардак, тёмное пятно на IT инфраструктуре весь этот зоопарк. Всякие там VDI решения тоже не годятся чтобы хостить всю эту кучу виртуалок - начинаются проблемы с конфликтами IP-адресов, некоторые VPN клиенты проверяют Windows ID (или Windows Activation ID, не помню, или BIOS ID, тот который можно было менять через какой-то cmdlet из пакета Hyper-V Tools for PowerShell, если это кому-то о чём-то говорит - реально не помню деталей). Потому что с точки зрения VPN хоста подключаются какие-то клоны, а это ни-ни. А так как в случае VDI все виртуалки работают из одного общего ISO образа (или VHD) - короче не канает, не завелось.
Касательно "любимого секретного файла с паролями" - я на KeePass (для статистики кто чем пользуется), уже много лет, лет 20 может, с самых первых версий - и уже тогда у меня в нем в базе была тысяча+ или больше записей (это именно моих, персональных, не по работе). Хотя видел и случаи "бумажка со всеми паролями от root, админскими и VPN аккаунтов от Prod систем под пластиковой накладкой на столешнице".
Еще можно вспомнить радости с RDP, если нужно поддерживать клиентов на Windows стеке - когда для коннекта через всевозможные виртуалки и Bastion-хосты приходилось делать RDP через RDP через RDP через RDP (больше 3-х или 4-х уровней/слоев не доводилось использовать), и посередине ещё VPN коннекты, ну или на последнем. И где-то посередине есть старый Windows (ака XP, Vista или 7) или Windows Server 2003 или 2008 - суть с протоколом RDP версии 6.1, 7 или 8 - появлялись scroll bars по высоте или ширине, или оба - то ещё удовольствие было, из-за разных разрешений экрана. С приходом Windows 10 и WS 2012 R2 (и выше) и протоколом RDP версии 10 - этот класс проблем наконец-таки разрешился. Лет 5-7 назад аж.
Хотя от человеческого фактора даже новейшие версии ОС не спасали. Ну например. Через 3 RDP коннекта, с отключенным Clipboard (ну конечно), на последнем шаге нужно вводить 16-символьный пароль, в котором 10 спецсимволов, и после пароля конкатенируется ещё пароль с токена (причём с софтверного, на телефоне, поэтому пароль символьный, а не цифры, и тоже конечно с кракозябрами). И на ввод даётся 30 секунд. Потом отлуп. И ввод каждого символа откликается на экране с 2-х секундной задержкой, потому что подключаемся к системе на другой стороне земного шара, у них там коннект через 3G свисток всего (!!) датацентра.
А потом нужно на 4-ом RDP сервере в цепочке коннектов сменить пароль. Потому что он протухает за 30 дней (спасибо что не за 3). И начинается - нужно ввести текущий, 16 символов, и 2 раза новый, тоже по 16. Что ты вводишь ты не видишь, печатаются точки (но есть иконка "глазик", можно вроде было нажать (зажать) и посмотреть, что там введено). Политика настроена так что новый пароль должен отличаться от старого символов на 10, пока выяснишь это эксперементальным путем, можно и час провозиться, зависит от стойкости нервной системы. Некоторые били клавиатурой об стол. Но понять можно - 3 раза ввести пароль по 16 символов, с 10 кракозябрами в каждом, с 2-х секундной задержкой на каждый символ - а потом увидеть любимое сообщение "Password does not meet complexity requirements...". И так 10 раз. 20 раз. Не каждый выдержит.
Да, тут нужно упомянуть одну вишенку на торте. Она чисто специфичная, местная, про то что описывается в этом комменте, надеюсь никого больше не коснётся. Описываемые события были в Германии, а тут клавиатура отличается. Как физическая - вместо QWERTY тут QWERTZ. Так и "логическая" - спец.символы (те что Shift+цифры, и правее до Backspace) не совпадают с английской раскладкой, и есть ещё несколько подарков "по краям клавиатуры", около Enter'а несколько клавиш имеют другое значение, и слева, около Shift'а и CAPS LOCK'а. Так вот, через RDP это даёт удивительные эффекты. А когда RDP через RDP несколько раз, и каждый "шаг" другая версия ОС и RDP протокола - это просто не поддаётся никакой логике. Также, начиная, кажется, с WS2012R2 появилась фича, что если ты логинишься по RDP, а на удалённой системе только английская раскладка сконфигурирована под тем аккаунтом что ты логинишься, но на локальной машине, с которой ты лезешь, у тебя в момент коннекта выбрана DEU раскладка (или RUS, любая) - то во время логина, твоя локальная раскладка "пробрасывается" на удалённый десктоп и автоматически инсталлируется / настраивается там. Но ты понимаешь это, только когда начинаешь вбивать пароли, которые ты не видишь (мы же смотрим в tray какая там раскладка сейчас включена только тогда, когда уже "что-то не так"). В общем, потому не все и могут вытерпеть такое издевательство, когда ты вводишь эти 16-символьные пароли, с 10 спецсимволами, и при этом ты вводишь совсем не то что нажимаешь. Надписи на кнопках не имеют отношения к тому что вводится, ведь в офисах немецкие клавиатуры, QWERTZ.
Вроде ещё что-то на языке вертелось, если вспомню - поделюсь!
uldashev
24.08.2021 23:16И ещё маленькая деталь, я линуксоид, т.к. в Linux имеется большинство необходимых для работы инструментов.
Вот ничего не имею против linux на рабочем месте, но почему бы не использовать для работы операционную систему, в которой есть все необходимые для работы инструменты, а не большинство?
Mox
Это конечно похоже на правду, но на OSX я использую KeyChain - то есть тот же файл паролей, но зашифрованный, и разблокируется он по паролю от компа.
Есть менеджеры паролей - например 1Password или BitWarden
Я думаю на Linux тоже что-то такое должно быть.
ikachinskiy
enpass.io - работает везде. Сам сижу на трех компах и одном ноуте, все на Убунту. База паролей автоматических синхронизируется через Dropbox (но это не догма, "из коробки" есть несколько вариантов)