標籤: Security

今天又申請了一份 ipsCA 憑證來用，注意到通知信中的內容，Firefox 還是無解。看廠商的積極度，ipsCA 的根憑證以後恐怕也很難包進 Mozilla 系列的軟體…

We are still working with Firefox so that it recognizes this new CA, but unfortunately we cannot assure this process will finish in the short term.
To compensate for the possible inconvenience this may cause you, we offer you the possibility to enjoy FOR FREE the remaining time until the expiration of your certificate plus two extra free months, as soon as Firefox starts distributing our new root CA as trusted certification authority. To do so, we will send you an email informing of the steps to follow in order to proceed with the certificate renovation once this process with Firefox is finished. Click the following link for further information: http://certs.ipsca.com/Support/hierarchy-ipsca.asp

不過這對校內使用倒不會造成太大問題，大家幾乎都改用 Google Chrome 跟 IE9 了 XD…

雖然國內有業者推出學校方案(NT$3780/yr)，相對國外便宜很多，但多簽幾張花掉的錢也很可觀啊… 其實學網還是國網應該也能搞個 CA 服務一下國內學研，像英國的 JANET 那樣。尤其現在用行動裝置的人那麼多，打帳號查教務系統沒上 HTTPS 就會覺得很怕，哪天在咖啡廳連回學校搞不好就被 MitM 了…

整理一下目前能核發免費 SSL 憑證的 CA 現況…

先前學術單位很愛用西班牙一家 ipsCA 公司的兩年免費 *.edu SSL 憑證，不過它的根憑證在兩年前過期、加上 Mozilla 尚未收錄 ipsCA 新的根憑證，造成 Mozilla 系列的瀏覽器從此以後都不吃它發出的憑證。微軟部分需要跑過 Windows Update 更新根憑證之後，IE 才會吃，所以除了像隔壁組之類的微軟信者還有在用，整體上現時是不堪用的狀態。

StartSSL 也是一家相當熱門、尤其是個體戶喜歡用的 CA，網頁登入控制台時必須透過 Client certificate 加密認證的措施受到蠻多人的信賴。結果繼上回 Comodo 擊斃事件之後，這家號稱CA界的瑞士刀也在上週中槍了，雖然官方說明核發憑證的部分沒被攻陷，但對使用者來說還是相當堪慮。

說到這裡，似乎已經沒有什麼免費好 CA 可以簽了… 不過在 StartSSL 中槍的當天，又出現了一家 AffirmTrust 發表即將提供三年免費 SSL 憑證的服務，預期可能會找 GeoTrust 來簽，但目前它們本家的 HTTPS 還是爛掉的狀態，過一陣子再觀察看看…

$ openssl s_client -showcerts -connect www.affirmtrust.com:443
CONNECTED(00000003)
18301:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:583:

前晚組長大人來信，希望我登入某台機器看看，不過密碼要自己猜。組長大人以前就很喜歡找學生猜密碼，線索遍布在新聞、趨勢、近況等等。猜到半夜仍百思不得其解，索性找了隻工具幫我猜密碼…

THC-Hydra 是一套採用字典攻擊法的網路登入密碼破解工具，在百大網路安全工具排行 15，上個月釋出 6.1 版，也開始支援 IPv6。

Debian/Ubuntu 官方沒有提供編好的套件(Blackbuntu 有，只有 i386，而且要多灌一堆函式庫)，只好自己編，也最好是自己編。

Hydra 支援許多協定，從資料庫、即時通訊、網路設備終端機等等，都有廣泛的支援。configure 時會被要求提供各家協定的函式庫，不過可以只挑自己需要的部分。例如 SSH 準備 openssh-dev 即可。

字典檔需要自備，可參考：

• Password Cracking Wordlists and Tools for Brute Forcing – DARKNET 牛津辭典與暴力法常用字典
• PASSWORDS.ru (Google 英譯) 俄國的字典檔網站
• 或是網友在論壇提供的字典檔
• MaxMind – Free World Cities Database 全球城市資料庫也是不錯的材料，對於常拿地名當密碼的人來說… :P

試用的結果，在校內網路打一台 SSH server 同時大概只能開五條線(default: 16 tasks)，六七條以上就會慢慢出現 timeout 的情況。五條線打一天大概能打十五萬次。

臺灣高品質學術研究網路 (TWAREN) 前幾年開始推廣 SSLVPN 的服務，由全國 POPs 各提供一個網段做為 VPN 的 subnet，讓使用者在外頭也可以取得單位內部的 IP 位址。討厭的是，國網提供的 AnyConnect 會綁架路由表，而暨大這邊加入 SSLVPN 服務後，居然把 policy 設成了 full tunneling，讓整個 default route 都走 SSLVPN，但想出校外又出不去。儘管校方沒有採用 Split tunneling 是基於諸多考量(安全問題, 還有不想太多人掛網… etc.)，但用起來還是相當不便，所以花點時間找了一個開放原碼的solution…

OpenConnect 是 Cisco AnyConnect SSL VPN 的 LGPL 用戶端實做，特色是擁有原本 vpnc 沒有支援的 SSL 連線功能，重點是不理 routing policy，可以自己亂玩。目前已經進入了 Debian 的 squeeze (testing)。

國網 SSLVPN 的使用者，可以參考命令參數如下：
openconnect --user=<使用者名稱> --authgroup=<認證群組> -b -l -i <介面名稱> sslvpn[1-7]*.twaren.net
認證群組：視使用何單位的 Radius Server 而定，這個參數會決定取得何單位的 IP 位址。
-b: 背景執行
-l: 執行訊息送 Syslog
介面名稱: Interface name，可視喜好命名，如 tun0, vpn0, sslvpn0… etc.
TWAREN 備有7台 SSLVPN Server，分別是 sslvpn1 至 sslvpn7。以往 AnyConnect 直接使用 sslvpn.twaren.net 就會自動分配至 sslvpn1 至 sslvpn7；OpenConnect 須自行指定。

以暨大為例：
openconnect [email protected] --authgroup=ncnu.edu.tw -b -l -i sslvpn0 sslvpn3.twaren.net
下命令後會詢問 Passphrase (即暨大的 E-Mail 密碼)，輸入後即可建立通道連線。

另外，如要在自家 router 上跑 OpenConnect，務必注意 SSLVPN 這條線的 MTU，以筆者的經驗是 1406 bytes。跨網段連線最好取一下 Path MTU，或是 router 上頭採用 netfilter TCPMSS 直接修改 TCP SYN 的 MSS 欄位。