Не хватает картинки и примера в работе реверс прокси, которая объясняет в чем заключается уязвимость. Кто не понимал, тот и не понимает о чем речь, но повторив шаги закроет дырку, а кто понимал тот и так об этом знал)
Зачем устраивать гемор на ровном месте. К локальным сервисам надо получать доступ только локально. Для этого входишь в локалку через wireguard, который на неизвестном порту, и только его прокидываешь на роутере наружу. А к сервисам подключаешься по локальным dns адресам. И нечего огород городить.
14 минут автор рассказывал про порт-маппинг. :) Боюсь поинтересоваться: а что там прячете в ваших сервисах? А авторизация не работает - просто открытые сервисы ? Может, здесь надо подумать. :) А то велосипеды изобретают. :)
Вместо 2х уязвимостей теперь из 4. Можно отсканировать и узнать что существуют порты 81 и 444 на ingress и попробовать постучать в них с передачей хедера HOST. Traefik умеет в белые списки IP, может стоит в labels сервиса задействовать этот функционал? Traefik вернет 403 если src IP нет в списке разрешенных. Понятно, что и IP можно подделать, но это сложнее и праздно болтающийся мамкин хацкер не будет этим заниматься без четко поставленной цели.
По порту 80 и 443 файл хост уже бессмысленно править. У нас же снаружи 80 ведет на 81 и 444. А для остального предполагается, что юзер прикрутил всевозможную аутентификацию и авторизацию. Ну в идеале впн конечно
если порт открыт наружу (неважно какой) и за ним висит сервис, он и сдаст себя, особенно если там все по умолчанию, меняй не меняй. пс: впн вам в помощь
Я вообще ничего не понял, если честно. Для меня это выглядело как максимально странный патч для неочевидной уязвимости, догадаться о которой я не могу. Так сервис в итоге откуда должен быть доступен, а откуда нет?
привет, спасибо за видео, как всегда все понятно и информативно. Вопрос: настройки crowdsec после этого момента актуальны, ведь получается они на 80 и 443 порту висели и есть ли смысл их переносить на 81, 444 порт?
во-первых, доступ к такой инфе далеко не бесплатен, во-вторых, домены там берутся из поисковой выдачи или обычным перебором - те если закрыта индексация и домен сложный к побдору (15+ (около)случайных букв цифр) - в базах его не будет
@@vladislav3680 зато есть бесплатная онлайн база SSL сертификатов в которой можно найти кучу сертификатов с указанием поддоменов. и если поддомен нигде не афишировался, но на нём работает сервис с автополучением Let's Encrypt, то ........
Не хватает картинки и примера в работе реверс прокси, которая объясняет в чем заключается уязвимость.
Кто не понимал, тот и не понимает о чем речь, но повторив шаги закроет дырку, а кто понимал тот и так об этом знал)
Спасибо за интересное видео. Уже подтюнил конфиг traefik.
Зачем устраивать гемор на ровном месте. К локальным сервисам надо получать доступ только локально. Для этого входишь в локалку через wireguard, который на неизвестном порту, и только его прокидываешь на роутере наружу. А к сервисам подключаешься по локальным dns адресам. И нечего огород городить.
Ага, который давно умер в РФ, потому как блокируется...
@ у меня ничего не блокируется. Насколько мне известно внутри рф нет блока
@@nikdenisful может вы и правы, нам нужны были доступы на сервера в германии, опенвпн и вг перестали работать.
14 минут автор рассказывал про порт-маппинг. :) Боюсь поинтересоваться: а что там прячете в ваших сервисах? А авторизация не работает - просто открытые сервисы ? Может, здесь надо подумать. :) А то велосипеды изобретают. :)
При этом главная тема, как оставить сервис доступным локально и извне не раскрыта.
Вместо 2х уязвимостей теперь из 4. Можно отсканировать и узнать что существуют порты 81 и 444 на ingress и попробовать постучать в них с передачей хедера HOST. Traefik умеет в белые списки IP, может стоит в labels сервиса задействовать этот функционал? Traefik вернет 403 если src IP нет в списке разрешенных. Понятно, что и IP можно подделать, но это сложнее и праздно болтающийся мамкин хацкер не будет этим заниматься без четко поставленной цели.
По порту 80 и 443 файл хост уже бессмысленно править. У нас же снаружи 80 ведет на 81 и 444. А для остального предполагается, что юзер прикрутил всевозможную аутентификацию и авторизацию. Ну в идеале впн конечно
если порт открыт наружу (неважно какой) и за ним висит сервис, он и сдаст себя, особенно если там все по умолчанию, меняй не меняй. пс: впн вам в помощь
а как за traefik+authentik поместить сервис, который хостится сам по себе на отдельном ip вне докера?
Это будет отдельная серия роликов, посвященная authentik. Первые 4 серии уже на бусти. Но там за деньги на поддержку канала
ээээ... а nmap уже не модно?
Я поместил такие сервисы в DMZ. Попав в нее ты никак не пройдёшь из неё в локальную зону. Из локальной же - легко.
Я вообще ничего не понял, если честно. Для меня это выглядело как максимально странный патч для неочевидной уязвимости, догадаться о которой я не могу. Так сервис в итоге откуда должен быть доступен, а откуда нет?
Так, шмелефин, запомнили:)) Упоминалось ли в каком нибудь современном видео, как вход в трунас забить в traefik?
Да, как выпускать сертификаты на сервисы
блин , еще бы трафик работал бы на портах отличных от 80 и 443 , имеется ввиду проброс на роутере , допустим с 444 на 443 трафика .
Не очень понятно каким образом после изменения entrypoint с http на http-external получить доступ к сервису из локалки
Почитать описание к ролику
@@Stilicho2011спасибо
чтобы не прописывать порт в адресной строке для доступа к внешним сервисам из локалки можно добавить стандартные точки https и https плюсом к external
Есть же ipAllowList
Есть. Не всегда удобно, в особенности если у тебя меняется ip с которого ты хочешь достучаться до сервиса
Имеется в виду ограничить доступ только для локальных IP. Они фиксированные.
привет, спасибо за видео, как всегда все понятно и информативно. Вопрос: настройки crowdsec после этого момента актуальны, ведь получается они на 80 и 443 порту висели и есть ли смысл их переносить на 81, 444 порт?
Оставляешь как есть и добавляешь такие же строчки, но к новым открытым портам
@ спасибо за оперативный ответ)
Спасибо!
почему то не могу оплатить подписку на бусти
Для меня это новость?! Я конечно ничего не ограничивал
а через Caddy такое можно реализовать?
Именно так думаю - нет. Он попроще
Мало того, что поток сознания можно сократить в 10 раз, так бонусом еще перестанешь заговариваться.
Какой ты милаха
спасибо.
Есть сайт, вводишь ему домен -он тебе все поддомены выводит
я в курсе. Только теперь по поддомену, который во внутренней сети, не попадешь редактируя файл host
во-первых, доступ к такой инфе далеко не бесплатен, во-вторых, домены там берутся из поисковой выдачи или обычным перебором - те если закрыта индексация и домен сложный к побдору (15+ (около)случайных букв цифр) - в базах его не будет
@@vladislav3680 А что значит закрыта индексация?
@@vladislav3680 зато есть бесплатная онлайн база SSL сертификатов в которой можно найти кучу сертификатов с указанием поддоменов. и если поддомен нигде не афишировался, но на нём работает сервис с автополучением Let's Encrypt, то ........
Точно что дыра.