| 1.2, Аноним (-), 23:27, 15/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +16 +/– |
1 человек за 80 часов нашел 11 уязвимостей, мдаа... Что можно сделать за месяц с группой толковых ребят. И так во всем софте?
| | |
| |
| |
| 3.67, Аноним (-), 00:10, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это врядли. SoftEther огроменный. И врядля там програмеры сильно лучше чем в остальных проектах. Значит багов в нем немеряно и часть из них окажется vuln-ами. И всего десяток - не так уж много для штуки где бинарь больше мегабайта весит.
| | |
|
| 2.12, irinat (ok), 00:07, 16/01/2018 [^] [^^] [^^^] [ответить]
| +9 +/– |
 Их ещё надо найти, этих толковых ребят. И как-то замотивировать работать над проектом.
> Три самых лучших в отладке программиста смогли найти дефекты примерно в 3 раза быстрее и внесли в код примерно в 2,5 раза меньше дефектов, чем три худших. Самый лучший программист обнаружил все дефекты и не внес во время их исправления новых. Самый худший не нашел 4 из 12 дефектов, а при исправлении 8 обнаруженных дефектов внес в код 11 новых. | | |
| 2.16, 1 человек за 80 часов (?), 01:48, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> У Коли на компе антивирус Васи Пупкина за час нашел 10 вирей. Я не представляю что можно там найти за неделю, установив несколько антивирусов.
т.е. насчет толковых ребят правда, а насчет принципа работы - нет
| | |
| 2.17, pavard (ok), 01:59, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 написано же - фузи-тестрирование. для его автоматизации существует куча софта. ничего необычного.
| | |
| 2.36, пох (?), 09:28, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> 1 человек за 80 часов нашел 11 уязвимостей
из которых ни одна не exploitable. Хороший, оказывается, код у softether, очень неожиданно для такой сложности.
> Что можно сделать за месяц с группой толковых ребят.
написать план развития, назначить менеджеров направлений, нанять разработчиков и забабахать вебсайт группы поиска уязвимостей в единственной программе. Начать собирать donate. Верной дорогой идете, тов... мистер.
а здесь один очень непростой человек (может и умеет) за неделю старательного впахивания нашел только десяток DoS'ов, да и те, вероятнее всего, требуют быть авторизованным пользователем.
> И так во всем софте?
если бы :-(
| | |
| |
| 3.64, Аноним (-), 20:33, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> из которых ни одна не exploitable
Где ты такое прочитал?
>> A security audit of the widely used SoftEther VPN open source VPN
>> client and server software [1] has uncovered 11 *remote* security
>> vulnerabilities. | | |
|
| 2.39, pda (?), 10:08, 16/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> 1 человек за 80 часов нашел 11 уязвимостей, мдаа... Что можно сделать за месяц с группой толковых ребят.
Одна женщина за 9 месяцев вынашивает ребёнка. Представляете, что можно сделать с толпой баб?
| | |
| |
| 3.42, пох (?), 12:23, 16/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Одна женщина за 9 месяцев вынашивает ребёнка. Представляете, что можно сделать с толпой баб?
ну, если не ставить условие "за один месяц", можно наплодить гораздо больше пушечного мяса или материала для биореактора.
Тут беда в том, что умеющих и желающих копаться в чужом мутном и реально немаленьком коде - и одного-то найти тяжко.
| | |
|
| 2.59, Dizit (?), 15:57, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
В Роспомпозоре сидят сотни "толковых" ребят - никак не могут заблокировать Рутрекер. :)
| | |
| 2.73, rewwa (ok), 23:30, 29/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > 1 человек за 80 часов нашел 11 уязвимостей, мдаа... Что можно сделать
> за месяц с группой толковых ребят. И так во всем софте?
Во всем, поскольку никакой софт не может быть идеальным
| | |
|
| |
| |
| |
| 4.62, Аноним (-), 18:25, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
У openvpn нет маскировки через SSL.
Для этого используется stunnel.
У WireGuard не знаю.
| | |
|
| 3.56, Аноним (-), 15:54, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
А у остальных он не знает. Я копал определенные части кода openvpn и в некоторых его местах уверен на 100%. Спокойно юзай OpenVPN, но следи за сообщениями об уязвимостях в openvpn и связанных с ним библиотек. Но не облажайся с DNS.
| | |
| |
| 4.63, Аноним (-), 18:27, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
А что там с DNS?
Запросы можно завернуть или в dnscrypt или в tor.
| | |
|
|
| 2.10, Аноним (-), 23:45, 15/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Я бы добавил ещё GoVPN, он умеет лить случайные данные, чтобы замаскировать изменения количества передаваемых данных.
Если важна скорость, то WireGuard.
| | |
| |
| |
| 4.57, Dizit (?), 15:55, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
SSH это вообще сила. Любой айтишник должен знать SSH вдоль и поперек, тем более в такие темные времена как наше...
| | |
|
|
| 2.30, ACCA (ok), 08:14, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > А что лучше?
> OpenVPN vs WireGuard vs SoftEtherVPN
Смотря для чего - я предпочитаю tinc. Если хочется mesh, то выбор небольшой.
| | |
| 2.33, Аноним (-), 08:55, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Когда уж нормальную (или хоть какую) веб морду к SoftEtherVPN запилят? Доколе?!! Ведь опенсорс проэкт же! А управлялка им нормальная только под винду!!!
| | |
| |
| 3.43, Аноним (-), 12:25, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Когда уж нормальную (или хоть какую) веб морду к SoftEtherVPN запилят? Доколе?!!
> Ведь опенсорс проэкт же! А управлялка им нормальная только под винду!!!
К чему именно? Там ведь клиент, сервер, а еще к клиенты плагин. В Винде реализован VPN-SSL, а в линукс? Прикручивать stunnel?
| | |
|
| 2.71, Tonchik (?), 14:47, 22/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
SoftEtherVPN:
достаточно сильная интеграция с AD для Enterprise и GUI клиент, и из коробки поддержка стандартных(!!!) VPN клиентов мобильных устройств.
Очень адекватный собственный клиент.
| | |
|
| 1.14, Linken (?), 00:43, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– | |
Кто объяснит - почему в OpenVPN нет такой фундаментальной и наиважнейшей вещи как KillSwitch? Почему он не встроен в консольный клиент? Почему в сети десятки костылей на тему как замутить KillSwitch под Linux самому (ведь 99% всех VPN-провайдеров один хер свои десктопные клиенты и KillSwitch делают только под Win/Mac, а линуксоид должен колбаситься, хотя деньги платит те же самые)? Нормальное встроенное решение, а не костыли хотелось бы. Допустим я не сисадмин, и я не могу быть на 100% уверен, что то или иное решение даст мне мгновенный обрыв основного канала при потере VPN-соединения, что ни байта не проскочит через основной канал, что никаких сливов не будет - ну как простой пользователь может быть в этом уверен? Почему так сложно встроить KillSwitch в OpenVPN-клиент?
Как с этим у WireGuard / SoftEtherVPN?
| | |
| |
| 2.15, LinkedIn (?), 01:19, 16/01/2018 [^] [^^] [^^^] [ответить]
| –5 +/– |
Если ты параноик, тебе VPN не нужен. На VPN сервере весь твой трафик до последнего байта видно. Для твоих задач подходит Tor.
| | |
| |
| 3.22, Аноним (-), 05:42, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот не надо менять тему, пожалуйста, и замыливать проблему. Вопрос о другом был.
| | |
| |
| 4.60, Аноним (-), 15:59, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вопрос плохой, т.к. вы ждете решение в виде кривого костыля. Все решается штатными средствами надежно и без сраных киллсвитчей. Надо просто подумать.
| | |
|
|
| 2.23, Аноним (-), 05:49, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> почему в OpenVPN нет такой фундаментальной и наиважнейшей вещи как KillSwitch?
Не буду гадать почему нет. Жалко, что нет. На базе linux решение видится мне на основе фаервола. Т.е. по дефолту стоят правила, запрещающие всё. Разрешаются соединения только с vpn-сервером. А затем, выполняется требуемая настройка правил для поднятого vpn-интерфейса.
Для неискушенного пользователя, я бы предложил использовать для этого GUI средства firewall-config и NM, но на текущий момент я не уверен, особенно за NM, не будет ли он допускать утечек данных во время переключения интерфейсов и всевозможныз переподключений. Полагаю, это полностью ограничивается фаерволом, и кривизна NM перестаёт влиять.
| | |
| |
| 3.25, a (??), 06:13, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Да уж, а не проще замутить через метрики маршрутов, даже под виндой работать будет.
| | |
| |
| 4.27, хрюзер (?), 07:54, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Да уж, а не проще замутить через метрики маршрутов, даже под виндой работать будет.
можете привести пример?
| | |
| |
| 5.32, a (??), 08:30, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> можете привести пример?
Вешаем метрику 50 для автоматически получаемого шлюза.
Добавляем статический маршрут до впн-сервера с метрикой 10.
Добавляем несуществующий дефолтный шлюз с метрикой 30.
Вешаем метрику 20 на шлюз через впн.
========
Пока впн с меньшей метрикой жив все идет в него, кроме самого впн-соединения - там отдельный маршрут, как только падает все ломится на несуществующий, на дефолтный назначаемый не пойдет никогда пока жив статический с меньшей метрикой.
========
Можно запретить назначать шлюз поумолчанию и все маршруты руками прописать, тогда и с метриками возится не придется, хотя как в винде это сделать я не в курсе.
| | |
|
|
| 3.40, Аноним (-), 12:10, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
В принципе правильно, но вот есть вопрос при большом количестве VPN, как например vpngate. Придется прописывать каждый раз правило. GUI firewal - есть же ufw, ну или там arno. А какую течь может дать NM? Настройки можно проверить руками..
| | |
|
| 2.26, EHLO (?), 06:35, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Кто объяснит - почему в OpenVPN нет такой фундаментальной и наиважнейшей вещи
> как KillSwitch?
Это бессмысленно, если использовать OpenVPN по назначению, то есть как VPN, а не туннель в Интернет.
Полагаю, проблемы анонимизирующихся леммингов разработчиков не волнуют. И я их (разработчиков) в этом поддерживаю.
| | |
| |
| 3.28, хрюзер (?), 07:59, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Фактически, да. Доступ контроллируется фаерфолом. Это как якобы "проблемы" с NAT и IPv6 и защитой сети, когда привыкли, что NAT служит защитой, но это всего лишь побочный эффект.
OpenVPN занимается поднятием интерфейса и установкой туннеля. Ограничением трафика должен заниматься FW, независимо VPN там или нет.
| | |
|
| 2.29, ACCA (ok), 08:05, 16/01/2018 [^] [^^] [^^^] [ответить]
| –9 +/– | |
Потому, что KillSwitch - дeбильный костыль для виндомакаков. Хочешь default только через VPN - так и сделай. Убери тот, что тебе подсунул провайдер, вместо него вставь хостовый маршрут до VPN сервера.
Не понимаешь, как работает маршрутизация - не берись крутить сети в Linux.
| | |
| |
| 3.45, Аноним (-), 12:52, 16/01/2018 [^] [^^] [^^^] [ответить]
| –6 +/– | |
Да этот персонаж видимо из плеяды поклонников журнала хакер.ру.
Отсюда и мудовые страдания, как бы не спалили его реальный IP при дисконнекте.
Они уже лет 10 не могут решить эту невероятной сложности проблему.
| | |
| |
| 4.68, ACCA (ok), 00:59, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Как в роутере убрать "тот, что тебе подсунул провайдер"??
Включить static routing.
| | |
|
|
| |
| 3.41, Аноним (-), 12:14, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Когда правила пишешь, нужно понимать что делаешь.
В этом то и загвоздка для пользователей.
| | |
|
| 2.51, sage (??), 14:16, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Потому что мало кому нужно, это не совсем целевое использование VPN.
Консольный OpenVPN в Linux даже самостоятельно DNS менять в /etc/resolv.conf не умеет, а прибегает, чего уж там.
Есть желание — доделайте. Много идей, мало разработчиков и реальных дел.
| | |
|
| 1.72, Аноним (-), 03:40, 28/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ip ro add 0/1 via x.x.x.x(vpn gate)
ip ro add 128/1 via x.x.x.x(vpn gate)
ip ro add x.x.x.x(ext vpn ip)/32 via x.x.x.x(dafault isp gate) dev eth0(например)
Это для примера.
| | |
|
