| |
| 2.6, Аноним (-), 15:43, 24/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
А толку от секурности? Ну устанавливалось бы там защищённое соединение, атака-то всё равно с помощью доменного имени. Если твоя операционка привыкла лазать на wpad.somеthing (который есть в корпоративной сети), то она полезет на него и вне сети. А вне сети этот wpad.somеthing уже управляется совсем не админом корпорации, а злоумышленником.
| | |
|
| 1.4, Аноним (-), 14:08, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
применительно к корпоративной сети звучит как чепуха, а вот в кафешках может и прокатить
| | |
| |
| 2.5, sage (??), 14:50, 24/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Для кафешек, применительно к Windows, вы и так могли подсунуть WPAD через NetBios, причем прокси будет использоваться даже в том случае, если жертва подключилась к VPN.
| | |
| 2.8, DmA (??), 15:45, 24/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> применительно к корпоративной сети звучит как чепуха, а вот в кафешках может
> и прокатить
в корпоративной сетичасто не бывает собственного днс сервера!
| | |
| |
| 3.16, _ (??), 17:43, 24/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
эээ ... мнэиааа ... НО КАК?!?!? 8-о (С) Доктор Ватсон
| | |
| |
| 4.18, нах (?), 18:31, 24/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
банально - 8.8.8.8
У сильно продвинутых еще и .4.4
И таких, прости Г-ди "корпораций", к сожалению, пруд-пруди.
От размера, кстати, не зависит.
| | |
|
|
| 2.12, DmA (??), 16:09, 24/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> применительно к корпоративной сети звучит как чепуха, а вот в кафешках может
> и прокатить
Ну почему же чепуха? Я меняю имя своего компьютера на wpad и ввожу его в домен, и вот я могут управлять сетевыми настройками всех компьютеров домена. Пущу их все через прокси и выловлю, всё что мне надо...
| | |
| |
| 3.22, Аноним (-), 00:16, 25/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
корпорация монстров какая-то, в которой админ бессмысленно и беспощадно подделывает свою же проксю
| | |
| |
| 4.27, DmA (??), 20:05, 26/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
не все корпоративные сети заточены под AD, но DDNS может быть! Либо тот-же AD с некоторыми продвинутыми пользователями с правами админов
| | |
|
|
|
| 1.7, DmA (??), 15:45, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я тут пару месяцев назад баловался включением в Windows блокировки по умолчанию для всех исходящих соединений и выключал при этом все правила в этих исходящих соединениях. Так вот эта зараза тупо стратовала всё равно и генерировала запросы к dns серверу сообщая за одно имя этого компьютера! Если ваш комп называется andrey , то генерируются dns- запросы вида wpad.andrey. Так что службу "автоматического обнаружения прокси" нужно обязательно отключать! А в качестве ДНС сервера лучше установить свой, тот же unbound например , занимает в памяти около 5 мегабайт всего. Установка и настройка unbound (настройка сводится к прописыванию в качестве днс сервера ip с адресом 127.0.0.1) занимает полминуты, весит он 6 мегабайт.
| | |
| |
| 2.10, Аноним (-), 15:50, 24/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе за много денег зону .andrey, чтобы поиметь всех Андреев планеты.
Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет домен с таким именем) никто в здравом уме такие деньги отваливать не станет.
| | |
| |
| 3.13, DmA (??), 16:19, 24/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Осталось лишь придумать вымышленную реальность, в которой злоумышленник покупает себе
> за много денег зону .andrey, чтобы поиметь всех Андреев планеты.
> Андрей, расслабьтесь, ради домашних Андреев (а внутри корпративных сетей вряд ли будет
> домен с таким именем) никто в здравом уме такие деньги отваливать
> не станет.
а зачем покупать такое днс имя провайдеру? Ваш компьютер запросит днс имя wpad.anrrey, а провайдеру не нужно покупать какое-то имя, ему нужно будет вернуть ip из своег диапазона и сделать там поддельный сервер с настройками прокси.Ваш ИЕ,Хромме или фарефокс загрузит с этого левого севреар провайдера нужные настройки... Это один вариант событий.
А второй - я говорил о том,что если днс сервер у провайдера находится, то провайдер легко идентифицирует клиента по его имени компьютера. Последние версии виндовс обычно сами придумывают достаточно уникальное имя для компьютера.Так что такие запросы проходят при включении компьютера и позволют легко идентифицировать разные устройства, даже если они находятся за одним ip адресом.
Если провайдер увидит запросы с одного ip типа таких
wpad.zina
wpad.petr
wpad.ipad-lena
То он увидит и сколько устройств в доме и кто их владелец и статистику использования этих устройств!
| | |
| |
| 4.14, DmA (??), 16:34, 24/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
а ещё больше информации у публичных днс серверов типа гугла(8.8.8.8) и яндекса(77.88.8.8), они даже не провайдеры, а будут видеть ваше имя компьютера, что wpad.vasyapupkin то с такого ip вышел, то с такого и могут его однозначно идентифицировать!
Есть ещё один публичный днс сервер, который заставляют в российских школах использовать, якобы для фильтрации 198.19.255.9 и зеркало 198.19.255.10(это похоже внутренняя сеть ростелекома из диапазона тестирования производительности 198.18.0.0/15)
Так что используйте публичные днс сервера, только под страхом смертной казни!
| | |
|
|
|
| 1.9, Аноним (-), 15:47, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В качестве костыля можно запретить использование доменов "wpad". То есть, чтобы сайты вида "wpad.work" существовать не могли. Это не решит проблему корпораций, у которых в интранете домены вида "office.work", поскольку вредоносный адрес будет уже иметь поддомен (wpad.office.work), но лучше, чем ничего.
| | |
| 1.11, DmA (??), 15:54, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server Global Query Block List" где перечислены имена, которые должны быть заблокированы на DNS сервере организации, если не используются!
| | |
| |
| 2.15, DmA (??), 16:37, 24/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Кроме wpad ещё нужно запрещать ISATAP . Вот документ Микрософт "DNS Server
> Global Query Block List" где перечислены имена, которые должны быть заблокированы
> на DNS сервере организации, если не используются!
Ещё бы и автодобавление к имени www в начале и com конце несуществующего адреса отключить!
И ещё включать выход в интернет днс-клиенту лучше, только после того как браузер запустился!
| | |
|
| 1.20, CHERTS (??), 20:58, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 в Win2008Srv и Win2012Srv имена wpad и isatap по-умолчанию заблочены на DNS, см.
dnscmd /info /enableglobalqueryblocklist
и
dnscmd /info /globalqueryblocklist
| | |
| 1.21, Аноним (-), 21:28, 24/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
или я чего не понимаю или новость из недалекого прошлого. еще когда впервые разбирая логи шлюза и узнав о неизвестном мне wpad удосужился загуглить это слово, то одни из первых ссылок были как раз на данную проблему. а было это с год как назад
| | |
| 1.26, Аноним (-), 17:10, 26/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Это проблема недоумков из ICANN, при чем тут старая добрая грабля с WPAD?
И кстати говоря, недоадминчики WPAD вовсю используют с проксированием, не умея настроить транспарентный прокси. Он же типа не нужен, нэ трэба, ёптыль.
| | |
|
