URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5377
[ Назад ]

Исходное сообщение
"обновление OS через сеть,контроллируемую злоумышленниками"
Отправлено Петр Веснушкин , 19-Май-16 12:08

дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через сеть,контроллируемую злоумышленниками
задача:произвести обновления операционной системы и ПО
Какие есть варианты?

Содержание

обновление OS через сеть,контроллируемую злоумышленниками,Денис, 13:48 , 19-Май-16
- обновление OS через сеть,контроллируемую злоумышленниками,PavelR, 14:59 , 19-Май-16
обновление OS через сеть,контроллируемую злоумышленниками,tonys, 15:20 , 19-Май-16
- обновление OS через сеть,контроллируемую злоумышленниками,DeerFriend, 19:27 , 19-Май-16
  - обновление OS через сеть,контроллируемую злоумышленниками,Andrei_redd, 15:14 , 23-Май-16
обновление OS через сеть,контроллируемую злоумышленниками,ACCA, 03:31 , 20-Май-16
- обновление OS через сеть,контроллируемую злоумышленниками,fantom, 07:51 , 26-Май-16

Сообщения в этом обсуждении

"обновление OS через сеть,контроллируемую злоумышленниками"
Отправлено Денис , 19-Май-16 13:48

> дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через
> сеть,контроллируемую злоумышленниками
> задача:произвести обновления операционной системы и ПО
> Какие есть варианты?
ipsec, ssh, https

"обновление OS через сеть,контроллируемую злоумышленниками"
Отправлено PavelR , 19-Май-16 14:59

>> дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через
>> сеть,контроллируемую злоумышленниками
>> задача:произвести обновления операционной системы и ПО
>> Какие есть варианты?
> ipsec, ssh, https
))
https в этот ряд я бы не ставил, т.к. вероятнее всего certificate pinning не подразумевается, а некие злоумышленники могут использовать скомпрометированный CA.
вариант тут собственно один: обеспечить аутентификацию процесса получения обновления, либо аутентификацию соединения, через которое получаем обновления (как раз упомянутые IPSEC, SSH, HTTPS), либо аутентификацию полученного обновления (цифровая подпись, сверка контрольных сумм с заведомо достоверными).
Всё это применяется в любых адекватных процессах обновления ОС и ПО, т.к. интернет - это и есть сеть, контролируемая злоумышленниками.

"обновление OS через сеть,контроллируемую злоумышленниками"
Отправлено tonys , 19-Май-16 15:20

> дано:сервера и пользовательские компьютеры в локальной сети,подключенные к интернет через
> сеть,контроллируемую злоумышленниками
> задача:произвести обновления операционной системы и ПО
> Какие есть варианты?
Заказать диск с обновлениями и попросить переслать DHL
:-)

"обновление OS через сеть,контроллируемую злоумышленниками"
Отправлено DeerFriend , 19-Май-16 19:27

> Заказать диск с обновлениями и попросить переслать DHL
> :-)
Убунта ещё рассылает диски со своими релизами?

"обновление OS через сеть,контроллируемую злоумышленниками"
Отправлено Andrei_redd , 23-Май-16 15:14

>> Заказать диск с обновлениями и попросить переслать DHL
>> :-)
> Убунта ещё рассылает диски со своими релизами?
FedFX ... DHL дороже, можно использовать для обновления сеть Мегафон и.т.д. , WiMax и.т.д., можно копм домой взять и там обновить,

"обновление OS через сеть,контроллируемую злоумышленниками"
Отправлено ACCA , 20-Май-16 03:31

apt делает это прямо из коробки, через любой протокол - http, ftp...
Пакеты подписаны, ключи пользователям известны. Враг не пройдёт.

"обновление OS через сеть,контроллируемую злоумышленниками"
Отправлено fantom , 26-Май-16 07:51

> apt делает это прямо из коробки, через любой протокол - http, ftp...
> Пакеты подписаны, ключи пользователям известны. Враг не пройдёт.
И не только АПТ, ЮМ, ДНФ, РАКМАН - тоже проверяют подписи пакетов....
Или стройте ВПН мимо контролеров...