Organizația mea oferă acces VPN folosind Cisco anyconnect. Folosesc un sistem Linux și mă pot conecta la vpn folosind openconnect. Trebuie să folosesc openconnect deoarece anyconnect pe Linux nu este compatibil cu metoda de autentificare folosit de organizație, dar openconnect este.
Sunt administrator și, prin urmare, am acces la rădăcină pe propriul sistem furnizat de serviciu, dar nu am acces la serverele vpn, deoarece acesta este gestionat de un alt departament. Și nu am spus să solicit modificări pentru a-l face mai prietenos cu Linux.
Recent a fost implementată o scanare care verifică existența unui anumit fișier text și a unui anumit binar. Deoarece folosesc openconnect, scanarea eșuează, totuși fișierele sunt prezente. Eu folosesc a csd-wrapper script cu openconnect pentru a furniza informațiile necesare.
Întrebarea mea este cum pot schimba scriptul csd-wrapper pentru a spune serverului VPN la distanță că fișierul text și binarul necesar sunt la locul lor?
Editați | ×: Am o soluție parțială care pare că va satisface scanările. Cu toate acestea, deoarece depinde de descărcarea fișierelor binare de pe serverul vpn și de rularea acestora, spre deosebire de postarea dvs. de date, este nesigur.
Proiectul openconnect oferă câteva scripturi utile:
https://gitlab.com/openconnect/openconnect/-/tree/master/trojans
Avem nevoie de asta:
https://gitlab.com/openconnect/openconnect/-/blob/master/trojans/csd-wrapper.sh
Pentru a vă conecta utilizați --csd-wrapper argument pentru a rula scriptul și pentru a-l indica unde l-ați descărcat, ar trebui să fie executabil:
openconnect -c 'XX' --user='nume utilizator' --authgroup='grup' --csd-wrapper=csd-wrapper.sh
Unul dintre motivele pentru care acest lucru este nesigur este că binarele pe care le descarcă pot avea un troian sau pot fi nesigure deoarece Cisco introduce erori și defecte de securitate:
https://www.coresecurity.com/core-labs/advisories/cisco-anyconnect-posture-hostscan-security-service-bypass
Ale mele intrebarea ramane cum să afli ce să postezi. stiu despre:
https://github.com/Gilks/hostscan-bypass
Dar clientul Cisco anyconnect nu mă lasă să mă conectez când fac proxy TLS. Se insistă că conexiunea este nesigură și se oprește.Așa că aș fi găsit o altă modalitate de a afla informațiile pe care trebuie să le postez.
Merită să rețineți că a face acest lucru cel puțin este cât mai aproape posibil de regulile organizației dvs., deoarece face cam ceea ce ar face clientul anyconnect. Deci, există mai puțin sau deloc potențialul de a încălca accidental regulile menționate (dacă cuiva i-ar păsa).
Notă finală, este bizar (dar pe deplin așteptat, din păcate) că organizațiile aleg să folosească o soluție VPN care este inferioară și cunoscută ca fiind nesigură. Doar pentru că are pe ea ștampila „corporativă”. Clientul anyconnect cel puțin pentru Linux nu a fost actualizat de ani de zile și nu acceptă toate metodele de autentificare în comparație cu openconnect (carduri inteligente de exemplu). Pentru mai multe discuții vezi:
http://www.infradead.org/openconnect/anyconnect.html
http://www.infradead.org/openconnect/csd.html
