M_D's questions

Gostaria de fazer um túnel do meu tráfego de internet do meu PC Windows no meu escritório por meio de um servidor remoto, de preferência com L2TP (sem IPsec, possivelmente usando a modificação do registro ProhibitIpSec). Um pouco como um serviço como o serviço AAISP L2TP .

Normalmente, para propósitos de VPN, eu diria que usar um protocolo não criptografado sozinho é totalmente inapropriado. No entanto, não vou acessar recursos sensíveis ou de texto simples pelo túnel (como compartilhamentos de arquivos), só vou enviar tráfego que, em circunstâncias normais, seria enviado pela internet em sua forma bruta de qualquer maneira. (E de fato será, somente após passar pelo servidor do túnel).

Portanto, e por favor me corrija se eu tiver esquecido de algo, mas a única preocupação aqui é a segurança das credenciais de login L2TP conforme elas são transmitidas? Ter essas credenciais roubadas não seria o ideal, pois alguém poderia então potencialmente se conectar ao servidor de túnel por si próprio. (Embora eu tenha alguma restrição de firewall em conexões de entrada).

A questão: O método de troca de credenciais no L2TP (é MS CHAPv2?) é seguro o suficiente para ser usado sem criptografia adicional e há alguma falha de segurança importante no meu plano acima?

Tenho um laptop com CPU Intel Core i7-5600U e Intel HD Graphics 5500 (placa gráfica integrada).

Notei que quando minha GPU (placa gráfica integrada) está em uso/carregada, o clock da CPU reduz significativamente. Isso afeta seriamente a capacidade de resposta do sistema - mesmo que a utilização da CPU não seja muito alta, o sistema fica muito lento ao usar a GPU. (Suponho que por causa da baixa velocidade do clock).

Veja abaixo as imagens do que quero dizer:

Baixo uso de GPU, alta velocidade de clock:

GPU em uso, baixa velocidade de clock:

O ThrottleStop mostra o seguinte durante um período de carga da GPU:

Por que usar meus gráficos integrados deixa minha CPU mais lenta? Temperatura?

Configurando meu servidor OpenSSH em um servidor Windows 10 para ser exposto à WAN. (Até agora só foi usado na LAN).

O que estou tentando alcançar:

Quando a conexão for pela internet, apenas 1 usuário específico deverá ser permitido ( remoteuser). Os usuários que se conectam pela Internet devem ter permissão para fazer muito pouco: apenas encaminhar portas TCP para alguns hosts específicos (veja minha PermitOpendiretiva), sem acesso ao shell, sem SFTP, sem nenhum dos outros recursos dos quais provavelmente nunca ouvi falar .

Então, usei um Matchbloco para combinar conexões provenientes de minhas LANs seguras. Para estes, a segurança deveria ser mais relaxada. Permitir autenticação por senha, permitir mais usuários (embora sftpuser1deva ser limitado apenas a SFTP), etc.

Perguntas: Meus blocos de Partida funcionarão conforme planejado? São uma forma válida de atingir meus objetivos? Além disso, há algum outro recurso que não conheço e que devo desabilitar para clientes da Internet (além do shell, SFTP, encaminhamento X11)?

Configuração até agora:

Port 22
AddressFamily inet #IPv4 only 
ListenAddress 10.10.10.15 #Listen on servers LAN IP

Protocol 2
TCPKeepAlive yes

HostKey __PROGRAMDATA__/ssh/ssh_host_rsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_dsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_ecdsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_ed25519_key

RekeyLimit 1G

#SyslogFacility AUTH # LOCAL0 - Logs to %programdata%\ssh\logs, AUTH - Logs to event viewer
LogLevel DEBUG

LoginGraceTime 1m
StrictModes yes
MaxAuthTries 3
MaxStartups 3:50:10

# SET TO 0 ON WAN TO DISABLE ALL BUT TUNNELS. INCREASED FOR LAN CONNECTIONS

MaxSessions 0

PubkeyAuthentication yes
PasswordAuthentication no
PermitEmptyPasswords no

AuthorizedKeysFile  __PROGRAMDATA__/ssh/keys/%u/authorized_keys #Where to look for keys for each user.

AllowUsers remoteuser (Allow only one port forwarding user for access from WAN)

X11Forwarding no
AllowTcpForwarding yes
PermitOpen ws1.internal:80 ws2.internal:80 #Only allow forwards to certain hosts & ports.

Match Address 10.10.10.0/24, 10.10.20.0/24
    LoginGraceTime 1m
    MaxAuthTries 5
    MaxStartups 10
    MaxSessions 5
    PubkeyAuthentication yes
    PasswordAuthentication yes
    AllowUsers john sftpuser1

Match User sftpuser1
    ChrootDirectory E:\
    X11Forwarding no
    AllowTcpForwarding no
    AllowAgentForwarding no
    ForceCommand internal-sftp -d /%u

Esclarecimento: My Aim - servidor SSH aberto para WAN e LAN. Quando a conexão é da WAN (o IP de origem do IE NÃO é uma das minhas LANs), só remoteuseré permitido conectar ( AllowUsers remoteuser), podendo SOMENTE USAR O ENCAMINHAMENTO TCP. Quando a conexão é feita pela LAN, os usuários johntêm sftpuser1permissão para se conectar e podem usar recursos como acesso shell, SFTP, etc.

Então, basicamente, tentar executar uma configuração de WAN reforçada com recursos mínimos habilitados e uma configuração apenas local mais relaxada, sem executar duas instâncias separadas do sshd.

Editar: acabei de encontrar este recurso que ajuda até certo ponto com as instruções Match...

Estou executando a versão Windows do OpenSSH (instalado por meio da GUI de gerenciamento de recursos opcionais) há algum tempo em uma caixa de servidor Windows 10. Até agora, o SSH só foi usado na LAN, mas estou trabalhando para fortalecer minha configuração SSH para expô-la à WAN.

Além de se fortalecer sshd_config, o IE permite apenas um usuário específico e limitado quando a conexão é da WAN, estive pensando no serviço em si. Eu sei que muitas vezes é uma boa prática executar serviços em contas de usuários específicas. (embora minha experiência aqui seja muito limitada)

Atualmente, sshd.exeparece rodar na SYSTEMconta, e já tinha pensado em mudar isso, já que SYSTEMé muito privilegiado. Porém, percebo que quando um usuário se conecta via SSH, outro sshd.exeprocesso é criado, sendo executado sob essa conta de usuário. Isso significa que não há problema em sshd.exeexecutar o processo 'inicial' como SYSTEM?

Além disso, percebo que quando um usuário se conectou, mas ainda não se autenticou (com autenticação de senha, será desabilitado na WAN), uma sshd.exeinstância é criada em execução sob o usuário sshd_644. Alguém pode explicar o que é essa conta de usuário?

Qualquer contribuição será apreciada.

Tenha vários sites (2) hospedados no IIS com PHP. Cada site é executado em seu próprio pool de aplicativos, portanto, cada instância do w3wp.exe(IIS Worker Process) e php-cgi.exeé executado sob a respectiva Identidade do Pool de Aplicativos.

Eu tenho uma pasta C:\Webcontendo os arquivos relacionados ao servidor web. A estrutura do diretório é a seguinte:

C:\WEB
├───AVP
│   ├───1.0
│   │   └───wwwroot
│   │       ├───api
│   │       ├───images
│   │       ├───scripts
│   │       └───styles
│   ├───PHPLogs
│   └───Sessions
├───Dev01
│   ├───PHPLogs
│   ├───Sessions
│   └───wwwroot
└───IISLogs
    ├───W3SVC
    └───W3SVC1.old

Estou tentando definir minhas permissões para que cada site não possa acessar os arquivos de outros sites, caso um script em um site tenha uma vulnerabilidade.

O que eu tentei: Removi as permissões do grupo 'Usuários' em C:\Web, pois as identidades do pool de aplicativos são membros do grupo Usuários. Em seguida, eu adicionaria permissão explícita para cada identidade do pool de aplicativos em seu próprio diretório. IE 'IIS AppPool\Site1' teria permissões de leitura/gravação em C:\Web\AVP, mas não em C\Web\Dev01. Porém, há uma complicação: A C:\Webpasta também é compartilhada pela rede - Isso é usado para que eu possa editar os arquivos da web de outras máquinas. Fiz isso com o menu ‘Compartilhamento avançado’ e atribuí uma permissão de compartilhamento a um usuário:

Isso funciona, no entanto, se eu remover apenas o grupo 'Usuários' de C:\Web(e subpastas), as instâncias do PHP ainda poderão acessar os arquivos. Também preciso remover permissões de 'Usuários autenticados' (que não entendo totalmente) para impedir que minhas identidades de pool de aplicativos tenham acesso aos arquivos. No entanto, fazer isso interrompe o acesso pela rede ...

Qual a melhor maneira para fazer isto?

Eu tenho um disco rígido externo e uso uma partição neste disco para backups de imagem do sistema do Windows 10. Em teoria, se ocorrer um desastre, tenho uma imagem completa do meu SSD a partir da qual posso restaurar meu sistema.

Como posso gerenciar os backups armazenados neste disco? Se eu criar outra imagem, o Windows detecta as imagens que já estão lá e me informa a data em que a mais recente foi criada (veja abaixo), então obviamente sabe tudo sobre as imagens que estão presentes.

O que devo fazer se quiser excluir uma das muitas imagens potencialmente na pasta "WindowsImageBackup", além de tentar fazer isso manualmente sem danificar nenhuma outra imagem? Algo um pouco parecido com isto , mas não consigo encontrar isso no Windows 10.

O que a diretiva ‘auth’ faz em um arquivo de configuração do OpenVPN?

Estou usando um sistema PKI com minha configuração OpenVPN, conforme detalhado aqui , e tudo está funcionando bem (o cliente IE se conecta ao servidor). No entanto, em nenhum lugar do meu arquivo de configuração do servidor ou cliente usei a diretiva 'auth'. Já vi nos arquivos de configuração de outras pessoas coisas assim:

auth SHA512

Preciso usar esta diretiva? Qual é o padrão do OpenVPN se eu não o especificar?

Desculpe, sou um pouco novo em criptografia, PKI etc. e quero fortalecer meu servidor OpenVPN o máximo possível. Por favor, indique quaisquer outras melhorias que devo fazer!

EDITAR:

Esta é a configuração do meu servidor:

port 23535
proto udp4
dev tun
ca "C:\\Program Files\\OpenVPN\\Keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\Keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\Keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\Keys\\dh2048.pem"
tls-crypt-v2 "C:\\Program Files\\OpenVPN\\Keys\\server-tls-crypt-v2.key"
topology subnet
server 10.43.166.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
cipher AES-256-GCM
status openvpn-status.log
verb 4
explicit-exit-notify 1

e minha configuração do cliente:

setenv FRIENDLY_NAME "Test VPN."
client
dev tun
proto udp4
remote vpn.server.local 23535
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 4
mute-replay-warnings


<ca>
REDACTED
</ca>

<cert>
REDACTED
</cert>

<key>
REDACTED
</key>

<tls-crypt-v2>
REDACTED
</tls-crypt-v2>

Outra pergunta provavelmente idiota: estou no processo de configurar uma conexão VPN para fins de acesso remoto a serviços em minha LAN doméstica. O roteador, firewall e servidor VPN que estou usando para isso é um Draytek Vigor 2865. Meu maior problema aqui é escolher um protocolo VPN / entender o IPSec.

Eu configurei com sucesso uma VPN PPTP, que funciona bem. Configuração do Draytek como servidor, algumas contas de usuário no Draytek com nomes de usuário e senhas exclusivos que podem ser usados ​​para conectar-se à VPN e posso alterar várias configurações com base no usuário. (Ou seja, eu poderia atribuir um IP específico a usuários de discagem específicos). No entanto, sei que o PPTP não é a opção mais segura. Realmente, para minhas necessidades, PPTP com criptografia MPPE máxima e senhas fortes provavelmente seria bom, mas eu usaria a melhor opção, se disponível.

Aqui estão as opções de discagem no draytek: Opções de VPN no Draytek

Obviamente, estou tentando evitar o PPTP. Não quero usar o OpenVPN, porque preciso usar o cliente VPN do Windows integrado e, pelo que entendi, SSL VPN também não é o que eu quero aqui. Isso deixa o túnel IPsec ou L2TP (com IPsec).

O que eu realmente não entendo sobre o IPSec é que ele parece usar uma "chave pré-compartilhada" para autenticação e não sei bem como isso funciona. Todo usuário remoto faz login com o mesmo PSK? Nesse caso, como você pode distinguir usuários remotos no servidor? Faria sentido se um PSK fosse usado ALÉM de um usuário/passe, mas em alguns casos parece que apenas um PSK é usado... (Exemplo disso: https://draytek.co.uk/support/guides/ kb-teleworker-smartvpn-ipsec )

Você recomendaria a opção de túnel IPsec ou o L2TP com IPsec é bom e seguro? Qual opção é compatível com o cliente Windows VPN?

Desculpe pelo longo post, qualquer conselho seria apreciado.