История одного SSO: как мы подружили два независимых каталога пользователей через Keycloak
Привет, Хабр! Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений в К2 Кибербезопасность. При внедрении Single Sign-On, на первый взгляд, все должно идти по накатанной схеме: настраиваем федерацию со службой каталогов, связываем identity provider с service provider,...
FreeIPA: как обнаружить атаку злоумышленника на любом этапе Кill Сhain. Часть 2
Привет, Хабр! Это Ильназ Гатауллин, технический руководитель RED Security SOC и Сергей Орляк, руководитель третьей линии RED Security SOC. В прошлой части мы разобрали целый ряд атак на FreeIPA: показали их механику, показали правила корреляции, которые можно использовать для самостоятельного...
Выясняем, кто поселился в вашей сети
Привет Хабр! На связи Аеза и сегодня мы хотим поговорить на одну очень злободневную тему – выявление подозрительных активностей в трафике. Мы не будем говорить о каких-то специализированных решениях, типа IDS/IPS, а вместо этого рассмотрим основные принципы выявления подозрительных действий что...
Как мы ускорили ванильную FreeIPA в 20 раз!!! (почти)
В статье речь пойдет об ALD Pro (Astra Linux Domain Pro). Один заказчик попросил предоставить инструмент нагрузки LDAP-запросов, да не простой, а с GUI и графиками. Наша команда в своей работе активно использует open source инструмент нагрузочного тестирования Locust (англ. Саранча). Сам по себе...
Харденинг zVirt: защищаем виртуальную среду от хакеров
Один из наших клиентов поделился деталями атаки, в результате которой злоумышленники зашифровали диски многих виртуальных машин на его платформах виртуализации. Другой наш партнер рассказал такую историю — некоторые виртуальные машины в его парке начали активно, не характерно для них, потреблять...
Вход в заднюю дверь или пентест сетевых принтеров и МФУ
В данной статье мы с вами затронем анализ сетевых принтеров/МФУ в компании. Каждый из Вас наверное замечал, что данные устройства стоят почти в каждом кабинете и этаже (последнее более опасно, так как доступ к данным устройствам может получить любой человек: сотрудник компании, внешний гость или...
Двухфакторная аутентификация (OTP) в OpenVPN с использованием FreeRADIUS и LDAP
Существующие варианты реализации 2FA для OpenVPN основываются на модуле google-authenticator-libpam для OTP‑кодов и плагинов аутентификации OpenVPN libpam-radius-auth, openvpn-plugin-auth-pam, openvpn-auth-ldap и имеют ряд недостатков как для пользователя так и для администратора. Поскольку и...
Дампим домен и смотрим артефакты
🔥 Атака Domain Dump позволяет злоумышленнику сдампить домен для получения информации о пользователях и группах, а также для последующего построения пути компрометации домена. Но как она делается и, самое главное, детектится в домене?... Читать далее...
Kerberoasting для Red Team
Тестирование на проникновение Active Directory – зрелище не для слабонервных. Стоит только взглянуть на дорожную карту Пентеста Active Directory: “Active Directory Penetration Mind Map” как сразу становится ясным то, что это вовсе не «легкая прогулка». Тем не менее, к настоящему времени...
Freeradius + Google Autheticator + LDAP + Fortigate
Как быть, если двухфакторной аутентификации и хочется, и колется, а денег на аппаратные токены нет и вообще предлагают держаться и хорошего настроения. Данное решение не является чем-то супероригинальным, скорее — микс из разных решений, найденных на просторах интернета. Читать дальше →...
[Из песочницы] Бесплатный прокси-сервер для предприятия с доменной авторизацией
pfSense+Squid с фильтрацией https + Технология единого входа (SSO) с фильтрацией по группам Active Directory Краткая предыстория На предприятии возникла необходимость во внедрении прокси-сервера с возможность фильтрации доступа к сайтам(в том числе https) по группам из AD, чтобы пользователи не...
[Перевод] LDAP-«аутентификация» — это антипаттерн
Сегодня в любой организации есть LDAP-каталог, наполненный пользователями этой организации. Если присмотреться, вы найдете одно или несколько приложений, которые используют этот же каталог для «аутентификации». И кавычки здесь неспроста, ведь LDAP — это протокол доступа к каталогам,...