2.5 Admins 225: Kinetic Response
2.5 Admins
Deep Dive
Why is the FBI recommending the use of encrypted messaging apps instead of SMS?
The FBI warns that Chinese hackers have compromised numerous U.S. telecom networks, making SMS messages vulnerable to interception. Encrypted messaging apps like Signal provide end-to-end encryption, ensuring secure communication.
What are the potential challenges with implementing mandated MFA and encryption in healthcare?
While mandated MFA and encryption are beneficial for healthcare cybersecurity, the implementation could face challenges due to the complexity of the healthcare IT environment and the potential reliance on a limited number of vendors for certified solutions.
What caused QNAP NAS users to be locked out of their devices after a firmware update?
A recent QNAP firmware update caused users to lose access to their NAS devices due to a lack of proper QA testing. The update failed to account for various user configurations and network setups, leading to login issues.
Why is mutual TLS (mTLS) considered more complex than using a VPN for securing self-hosted applications?
mTLS requires setting up a complete CA infrastructure, managing certificates, and ensuring proper revocation policies. In contrast, solutions like WireGuard are simpler to set up and maintain, making them more practical for non-technical users.
What are the risks of relying on off-the-shelf NAS devices like QNAP and Synology?
Off-the-shelf NAS devices often have minimal hardware and software investment, leading to frequent vulnerabilities and poor QA practices. Building your own NAS can provide better performance, reliability, and control over updates.
What is the significance of the U.S. senators proposing mandated MFA and encryption in healthcare?
The proposal highlights the growing concern over healthcare cybersecurity, particularly after recent ransomware attacks that disrupted hospital operations. It aims to improve security standards, though the effectiveness may be limited by the existing IT infrastructure.
Why is SMS considered unreliable for important communications?
SMS was never designed to be secure and has become a target for spammers and scammers. It lacks encryption and is prone to interception, making it unsuitable for sensitive or important communications.
What are the potential geopolitical implications of cyber attacks on critical infrastructure?
Cyber attacks on critical infrastructure, such as healthcare or energy systems, could lead to kinetic responses, where nations engage in physical warfare as a reaction to data breaches. The damage caused by such attacks is increasingly seen as a serious threat.
- FBI and CISA warn against using SMS due to Chinese hacking of US telecom networks
- Recommendation to use encrypted messaging apps like Signal
- SMS unreliability and prevalence of various messaging apps (WhatsApp, Telegram, Signal, Facebook Messenger)
Shownotes Transcript
2.5 Admins,第225集。我是Joe。我是Jim。我是Alan。我们又见面了。在我们开始之前,Alan,你还有一个广告。在FreeBSD上部署pNFS文件共享。是的,这篇文章讨论了并行NFS,这是一种将NFS基本上分割到多台机器上的方法。
所以,如果你需要获得比你的网络从一台机器上提供的更高的带宽,你可以将大型文件分布在多台机器上,或者将不同的文件放在不同的机器上,这样当许多客户端提取文件时,它们可以从所有这些机器上提取文件,并获得更好的网络带宽。这也意味着你可以构建对单台机器宕机具有弹性的NFS。链接如往常一样在节目说明中。
联邦调查局警告iPhone和Android用户停止发送短信。他们希望你改用Signal之类的软件。是的,就在苹果采用RCS提供一种更通用的跨不同手机使用短信的方式之后。
联邦调查局、CISA和美国网络安全局警告人们,中国黑客已经入侵了如此之多的美国电信网络,以至于你最好发送完全加密的消息,而不是使用短信。当联邦政府要求你加密你的私人通信时,真是太疯狂了。是的,那些想要在……
加密中设置后门的组织。是的,我认为这里的主要信息是,当那些一直抱怨端到端加密不好,或者突然直接说“使用Signal”的组织认真对待这件事时。是的,不,不,不,请使用Signal。这说明了他们到底有多认真,而不是像……
又一次的恐外情绪,“中国不好”,让我们煽动大家的那种事。我认为这种说法与他们多年来试图获得私人通讯访问权限的自身信息非常相悖,这说明了他们是否真的认真对待此事。也许一开始就不要将短信用于任何重要的事情。
在这一点上,我认为我们正处于电话技术的阶段,我们应该像考虑网络方面的电子邮件一样考虑短信。如果你是一位经常收听的听众,你肯定听我说过不要使用电子邮件警报你的监控系统,因为这玩意儿不可靠,会让你完蛋。
这里短信也是一样。短信极其不可靠。它最初的设计就不是一个特别安全的协议。它已经被垃圾邮件发送者和骗子严重滥用,以至于大多数人可能收到的短信更多的是来自各种垃圾信息,从糟糕的当地销售活动到彻头彻尾的诈骗和电信诈骗企图。
是时候放弃它了,放弃任何重要的事情。你无法解决这个问题。是的,尽管联邦调查局似乎无法控制自己。一位高级官员建议,引用,“使用能够自动接收及时的操作系统更新的手机”,负责任地管理电子邮件、社交媒体和协作工具帐户的加密和防钓鱼多因素身份验证。所以他们仍然必须对端到端加密进行一番说辞,但是……
看到他们这次推动我们转向这些消息协议,而不是像以往那样远离它们,这绝对仍然很有趣。不过,我想知道它是否会产生任何影响,因为美国人只是使用iMessage,不是吗?好吧,这就是为什么他们提到RCS的原因,突然之间你就可以在谷歌手机和iPhone之间通过短信获得大部分功能,而iMessage以前只适用于iPhone到iPhone。我不知道,这是……
互联网上肯定存在不同的人群。你知道,有些人使用WhatsApp,有些人使用Telegram,有些人使用Signal,有些人使用Facebook Messenger,对很多人来说这是一个巨大的平台。是的,这是一个巨大的平台。不幸的是,是的。而我更喜欢Threema和Signal,但我使用的平台比这多得多。如果你的毒贩不使用Signal,那就换个更好的毒贩。我在Telegram上听到过这句话。就像我说的,如果你的毒贩不使用Signal,那就换个更好的毒贩。
美国参议员提议在医疗保健领域强制执行MFA和加密。是的,对医疗保健采取最低限度的安全措施似乎是,你知道,我们已经厌倦了听到医院因为IT基础设施太差而被勒索赎金等等。
所以我认为强制执行它可能是一件好事。但了解他们必须工作的环境,我知道它可能不会像我们希望的那样有帮助。我认为这里的大新闻不是加密和多因素身份验证对医疗保健和类似受保护的数据是一个好主意。我认为真正的新闻是,即使是美国参议员也真的开始提议它了。是的。
我最担心的是,特别是当你达到一定程度时,你知道,你需要一个经过认证的解决方案或某些东西,只有两家供应商生产它,我们最终会比现在更糟糕的厂商垄断文化,对于其中的一些东西。但是至少有一些MFA肯定比现在好。没关系,Alan。他们明天就会实施它。为了方便起见,只需使用短信即可。但是是的,他们最近有一些有趣的例子。例如,Change Healthcare在遭受勒索软件攻击后花了九个多月的时间才恢复其……
保险结算服务。
这意味着许多医院没有得到适当的付款,这对小型医院或个体医生来说,在一段时间内可能是一个相当大的不便。所有医疗服务,你知道,处理你必须处理的美国医疗保险的垃圾。然后事后,他们没有付钱给你,或者,哦,对不起,我们用来告诉你是否允许你为某人做这件事,或者我们是否会支付该手术费用的计算机系统坏了。所以
希望那个人不需要非常紧急地进行那项手术。所以,我有一个问题要问你们。你认为我们什么时候会发生第一次真正的、毫不含糊的、地面部队参与的战争,这场战争是为了争夺像这样的数据入侵吗?因为我认为这是不可避免的。你只需通过黑客攻击就能对现代基础设施造成的损害,只需破坏数据。我的意思是,这是巨大的。老实说,我很惊讶我们还没有……
好吧,至少在我们所知的任何情况下,作为对这类事情的军事回应,还没有发生任何枪击事件,因为情况已经发展到……
国家之间互相这样做。我的意思是,这是一场攻击。它导致人员伤亡。它造成数十亿美元的损失。是的,我们已经看到可能不是国家行为的恶意软件攻击石油炼油厂和水处理厂等等。这可能是随机的,但如果有人非常努力地瞄准特定的水处理厂或炼油厂等等,他们可以很容易地造成很大的破坏。
好吧,你知道,这件事是,是的,在很多情况下,这只是一个寻找金钱的随机人,你知道,一个传统意义上的真正的犯罪组织。但这也是国家想要做秘密行动时最常见的借口,你知道,哦,不,那是,你知道,那是某个流氓行为者。那是罪犯。不是我们。你让中间人与之保持距离。我们已经知道很多国家实际上就是这样做的。你有,你知道,
表面上看起来是犯罪组织,你知道,像俄罗斯的APT组织,像Fancy Bear,我们已经知道他们确实与国家有联系。而且可能确实存在某种程度的独立性。可能确实存在一些并非国家直接下令的活动,但也存在国家任务。
再说一次,这些都不是什么新鲜事。这对电脑来说不是什么新鲜事。反恐战争。我的国家打了一场字面意义上的全球战争,其中很大一部分是基于极其错误的理由。但无论如何,我们打了一场战争,其基础是,你有一些正在对我们进行军事攻击的平民组织。如果你还没有解决这个问题,我们将入侵你的屁股,我们将解决这个问题。
我只是想知道,我们什么时候会跨越这条界限?电子攻击什么时候会导致枪炮和钢铁的回应?我认为这是不可避免的。嗯,我认为我们已经看到了一些这样的情况,在枪炮和钢铁的攻击开始之前的几个小时,网络攻击试图限制防御者的应对。当然,网络攻击总是现代军事行动的一个组成部分。我的意思是,你在乌克兰与俄罗斯之间看到了……
无人机、黑客攻击等等,它显然是正在进行的全面对抗的一个组成部分。我只是想知道,在什么时候有人承认这样一个事实,即即使没有发生实际的物理冲突,它也是一次严重的攻击,在某些情况下,值得升级并说,你知道吗?不,事实证明,我们将把这场冲突带到一个不同的战场,你不会喜欢的。
现在,我想明确一点,我并不是在支持这件事。我不是某个美国战争贩子,说,哦,你们最好小心,因为我们会来。不,不,不。绝对不是。我不是这个意思。我的意思是,这件事会在某个时候发生,我想知道什么时候,我想知道是谁。是的,我认为最终会——
不一样,但类似于这样的政策,你知道,好吧,如果你用化学武器攻击我们,我们没有化学武器进行报复。但我们确实有战术核武器进行报复。这就是我们会做的。所以不要用你的化学武器来对付我们。我认为就你所说的,在某个时候,网络攻击会导致物理回应。
本期节目由Automox赞助播出。你准备好应对工作日可能出现的任何风暴了吗?Automox是你坚强的后盾。查看全新的Autonomous IT播客。收听各种IT专家讨论最新的Patch Tuesday发布、缓解技巧和自定义自动化,以帮助解决CVE漏洞。结识新的工作伙伴。现在就在Spotify、Apple或你收听播客的任何地方收听Autonomous IT播客。
QNAP固件更新导致NAS用户无法登录他们的设备。是的,最近为QNAP推送的固件更新意味着许多人报告说,安装后他们实际上无法再登录并访问他们的NAS了。这是怎么回事?难道没有质量保证吗?没有。
拜托,Joe,你生活在2024年。你非常清楚没有质量保证。不仅在QNAP,在任何地方都没有。结束了。质量保证结束了。发货吧。我们稍后再修复。他们办公室的角落里难道没有一个吗?对,但是当你在办公室的角落里测试一些东西时,你测试的是你认为人们如何使用它。但事实证明,很多人会做奇怪的事情,或者他们的网络配置与你不同,或者他们使用不同的浏览器,它向登录页面发送不同数量的cookie,这可能会产生影响。
一家航空公司的网站曾经因为我发送了太多cookie而阻止我访问,因为他们在我的浏览器上设置了太多cookie。直到我重置,我删除了该域的所有cookie,我才能访问该航空公司的网站。用户登录网络应用程序的方式存在如此多的变数,很难实际测试所有这些。我还看到问题来自另一个方向,问题是,像……
我现在没有具体谈论这次QNAP中断。需要明确的是,我是在泛泛而谈。我看到很多质量保证问题发生,其中进行的质量保证测试没有在类似于重置为已知出厂状态的测试网络上进行,然后每次都进行升级。这是同一个环境,他们一直在上面运行相同的测试,已经运行了10年。而这个环境实际上已经与你在新出厂的设备上看到的生产环境有了很大的不同。对不起。
因此,他们没有发现只有实际用户才能遇到的错误,这些用户已经按照他们在野外实际设置的方式设置了东西。因为事实证明,质量保证部门不想拿出一个新盒子并从头开始设置和配置它,就像用户必须做的那样。他们有一些脚本化的东西可以使它达到他们想要的状态,这……
再次回到Alan的观点,可能与现实世界的情况并不完全一致。是的,我不知道是不是只是报告中的一个错字,不是我们的,而是另一个,但似乎当他们在解决问题后重新发布更新时,他们使用了相同的版本号,并且
这让我非常生气。好吧,他们没有在末尾添加0.1或其他什么。好吧,版本号已经是5.2.2.2950,构建编号为2024-11-14。我相信新版本仍然是更新5.2.2.2950,只是构建编号发生了变化。叫它2951,拜托。至少,没错。或者5.2.2.2950-ubuntu0。
有趣的是,当QNAP为特定型号撤回更新时,社区线程似乎也有人使用不同型号的设备也遇到了这个问题。因此,目前尚不清楚确切的影响是什么,或者有多少人受到了影响。
而且,你知道,这不是QNAP第一次出现这种问题。事实证明,他们最近出现过相当多的漏洞。2023年2月,一个名为Deadbolt的组织对他们进行了远程攻击,他们不得不推送紧急固件更新来解决这个问题。而且那次也不顺利。QNAP似乎在一段时间内一直在努力解决这类问题。我真的很喜欢QNAP,因为他们在某些版本的NAS中实际上使用了ZFS,而不是……
拼凑起来的,你知道,在MD RAID和LVM之上的Butter运行的东西,Synology和Netgear都在这样做。
但尽管他们直接使用ZFS,他们还是让我很难爱上他们。是的,尽管他们定制版本的ZFS对我来说非常有趣,也让我非常害怕。他们有一些我希望能看到源代码的有趣功能,以及他们拥有一些与上游开放ZFS功能相同的功能,但他们更早拥有这些功能,而且略有不同。
例如,他们支持大块,但他们的版本只支持高达1兆字节,而不是16兆字节。这是一个不同的功能标志,因为它不一样。这让我想到我最喜欢的抱怨之一,那就是,你知道,供应商不要再乱改上游代码了。如果你想要文件系统中的新功能,那么……
开发实际的文件系统,比如成为上游社区的一员,并完成这些工作。这种想法就像你只是要把它改来改去,制造你自己的垃圾场狗,它与上游不同。从长远来看,它永远不会奏效。我不仅在谈论QNAP。我现在要停止点名了,但你们中的一些人会从之前的抱怨中知道我在想谁。是的,我们做了一整集的Linux Dev Time与Alan一起讨论了这个问题,关于……
你应该贡献给上游。从长远来看,这样做更便宜。是的,我明白想要市场差异化的想法,说,哦,我们开发了这个功能,这里是你唯一可以获得它的地方。
我理解这个想法的吸引力。问题是,在现实世界中,结果总是恰恰相反。你说你只能在这里获得这些很棒的功能,但世界其他地方的体验是,我们只能从你这里获得这些灾难性的错误,因为事实证明你试图与上游竞争。这是
上游,因为这更符合他们的日常生活。这就是他们真正的工作。这不仅仅是他们试图稍微捣鼓一下的事情。就像那是他们所做的事情。因此,如果你不是主要关注点,你与他们竞争并做得比他们更好的几率微乎其微。是的。你正在将你的功能移植到每个新版本,而不是仅仅将该功能放在上游并让它们将其移植到新版本。
或者至少与它兼容。正是如此。是的,这在ZFS中一直是其中很大一部分,哦,我想在我的功能在另一个人之前进入上游,因为这将发生冲突,我们中的一个人将不得不解决它。如果我先到达那里,那么他们就要想办法让这两件不相容的东西协同工作。
这有点自私,但重点是,一旦你把它放在那里,它就变成了集体责任。当有人想要改变某些东西时,他们必须以一种不会破坏你的功能的方式来做到这一点,而不是当你把它拉进来时。我认为最重要的事情是它专注于你成为你代码的专家。而如果你只是试图从上游提取并将其与你的自定义内容集成,那么你现在必须成为上游所有变化的专家。
因为你独自一人在做这件事。而如果你将你的代码推送到上游,那么你就是你代码的专家,另一个人是他们代码的专家,我们一起让它工作。但是当你独自一人做这件事时,因为你没有与上游共享,那么你突然必须成为所有代码的专家。这可能是一个更大的障碍。
如果你允许我在这里偏离一下主题,我突然想到,开源软件几乎与专利制度最初的预期功能相同。所以你回到过去,我们没有专利局,技术进步通常发生在行会层面。
新技术被保密。它只在行会内部。你不允许让其他人知道。你必须成为行会成员才能知道如何使用它,才能用它生产设备等等。发明专利制度的全部原因是因为,你知道,知识会以这种方式丢失,因为每个人都对技术进步超级保密,而且效率不高。
所以,专利制度最初的想法是,作为回报,你创造的技术可供所有人使用,你将获得有限期限的垄断权。你可以允许其他人以支付你一些钱作为使用费的方式来许可你的专利。但是
在合理的时间后,专利应该过期。一旦专利过期,该知识就完全成为公共领域。即使在那之前,专利过期之前,知识也供所有人使用。只是它的使用受到了一些限制,可能比你想要的更多。
Alan所说的,你知道,这种想法是人们认为,哦,我需要先把我的东西放到上游。这样,其他人就必须解决兼容性问题,而不是我。这有点类似。如果你是一家正在考虑开发一个新功能的供应商,这个新功能面向开源应用程序,甚至是一个全新的开源应用程序本身,
首先将其发布到上游并开源,这会给你带来一些同样的优势。这意味着,作为放弃一些保密性的回报,你能够利用许多你没有这种权衡就无法获得的额外优势。
我一直看到这些现成的QNAP和Synology等NAS出现这些问题。这只是证实了我从未购买过其中任何一个,而只是自己构建NAS的选择。如果你有自己构建NAS的技术能力,是的,毫无疑问。你当然应该这样做。它会花费你更少的钱。它的性能会更好。它会……
可能会使用更长的时间。它只是,它将是一个更好的选择。购买NAS的价值主张是不必自己构建或进行大部分维护。而权衡是,好吧,其他人正在维护它。当他们做得糟糕时,你才是那个倒霉的人。是的。这似乎真的是一场向底部的竞争。就像你在大型百货商店购买的NAS,他们试图将尽可能多的……
硬件、计算能力等等都放入那个小盒子中,而软件总是我们可以对软件进行的最低限度的投资,因为我们靠发货赚钱,而不是靠长期更新赚钱。哦,
哦,硬件通常也很小。是的。好吧,因为你试图尽可能地降低成本,对吧?是的。它们在硬件方面非常弱,即使与我将构建的预算型设备相比也是如此。是的。所以他们也在软件方面做同样的事情。这非常非常明显。而我依赖Ubuntu,或者你可能依赖FreeBSD来为你的NAS提供软件,这……
我觉得会稍微可靠一些。好吧,你依赖也并不依赖。我的意思是,你依赖Ubuntu,但是,你知道,Ubuntu内部依赖于Linux内核,你知道,还有很多其他的东西。而这些都是该NAS背后的相同依赖项,对吧?
所以,你没有上游的依赖链并不是这样的。你绝对有。但是你已经减少了大量的中间件依赖,因为你基本上已经自己完成了设置中间件部分的配置,而不是依赖其他人为你完成。现在没有生产任何计算设备不依赖上游的。它们都有。如果你能想到一种计算设备,所有硬件、所有软件和所有一切……
所有东西都来自同一个实体,我想听听,因为我甚至不确定你是否能找到符合这个标准的LED灯泡。是的,但我的意思是,假设Canonical推送了一个糟糕的更新,它完全破坏了我的NAS,它无法再启动了。
我可以直接在上面安装FreeBSD,导入我的池,然后继续工作。好吧,你实际上也可以对大多数这些NAS这样做。例如,如果你的Synology坏了,你可以绝对地将驱动器从其中取出,把它放在Linux盒子里,你实际上可以挂载……
甚至他们奇怪的混合RAID,它就像被切碎了,你知道,MD RAID加上顶部的Butter。你可以在标准Linux盒子上挂载所有这些。是的,但我安装FreeBSD会容易得多。同意。我认为更大的重点是……
你对Ubuntu的依赖,你是一条小鱼,在一个有真正非常大的鱼的池塘里,Canonical不想惹恼它们。这对你是件好事。当QNAP弄乱他们的NAS时,他们会搞砸一大堆主要的家用和小企业用户,也许还有一些中端市场,以及一些依赖这些NAS的企业内部的秘密项目。这对他们来说很糟糕。但是如果Canonical弄乱了Ubuntu,那么……
大量的关键基础设施受到影响。因此,Canonical为了保持其上游的地位,必须承担更高的质量和工程负担。基本上,作为这个小消费者,你知道Canonical不仅试图让你开心。他们试图让企业开心。但这确实部分地回到了Joe的观点,即单一文化是不好的。我们需要确保总是有第二个选择。
这样,如果Canonical决定因为他们的大型企业客户想要它而做某事,而Joe不在乎或者其他什么,那么就会有一个可行的替代方案。这就是为什么不应该所有东西都是Linux的原因。这也让我们回到了我们最近在节目中讨论的内容,谈论优雅的故障和拥有备用选项。
如果你是一名专业的系统管理员或系统架构师,或者你知道的其他角色,你实际上应该在脑海中有这样一个概念:当你的基础设施的某些部分崩溃并且不再适合使用时,你可以退回到的备用方案。你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu完全不适合使用,那么你应该在脑海中有这样的想法:如果下一个版本的Ubuntu
那我接下来该去哪里呢?是去Debian吗?如果是的话,我需要花多少工作才能让我的东西在Debian上运行?嗯,可能不会太多,因为Ubuntu本身基本上是基于Debian的。现在这种关系有点复杂,但基本上。所以这可能不会太难。好吧,如果所有基于Debian的发行版对你来说都变得糟糕了呢?那你接下来该去哪里?你去Arch还是更远一点?
也许你确实去Arch。好吧,如果整个Linux生态系统出于某种原因开始对你糟糕呢?那么你应该已经有一些想法:我需要多大的努力才能把我的所有东西在FreeBSD上搭建起来,对吧?
而且不要在那边太自满,艾伦,因为你也需要考虑同样的事情。如果FreeBSD开始糟糕,你需要有一些想法。好吧,我要迁移我的所有东西到Linux会是什么样子,尽管我不想这样做。如果我们想真正做好我们的工作,作为那些自己做决定的人,我们都必须以这些方式思考。
关于重要系统和网络的架构。是的,如果你认为,哦,这绝对不可能发生,看看那些使用CentOS的人,它在比之前承诺的时间段内被完全撤掉了。或者说是预期的。我不认为曾经做出过承诺,但这确实是被期待的。是的。
好的,这一集由1Password赞助。想象一下你公司的安全就像大学校园的四方院。建筑之间有漂亮的砖石小路。那些是公司拥有的设备、IT批准的应用程序和管理的员工身份。然后是人们实际使用的小路。穿过草地的捷径,是从A点到B点的实际最短路径。那些是未管理的设备、浅层IT应用程序和非员工身份,如承包商。
大多数安全工具只在那些快乐的砖石小路上工作,但很多安全问题发生在捷径上。1Password扩展访问管理是第一个将所有这些未管理的设备、应用程序和身份纳入你控制之下的安全解决方案。它确保每个用户凭证都是强大和受保护的,每个设备都是已知和健康的,每个应用程序都是可见的。1Password扩展访问管理解决了传统IAM和MDM无法触及的问题。
这是针对我们今天工作方式的安全,现在对使用Okta和Microsoft Entra的公司普遍可用,并且对Google Workspace客户处于测试阶段。所以支持这个节目并查看1password.com/25A。那是1password.com/25A。
那么我们来做一些免费咨询吧。但首先,感谢所有通过PayPal和Patreon支持我们的人。我们真的很感激。如果你想加入这些人,你可以去2.5admins.com/support。并记住,在Patreon上不同的金额,你可以获得仅此节目或Late Night Linux家族所有节目的无广告RSS订阅。如果你想给Jim和Alan发送问题或反馈,可以发送电子邮件至show@2.5admins.com。
凯文写道,有很多关于保护自托管应用程序访问的讨论,围绕着需要使用VPN或隧道,但我没有听到很多关于使用MTLS的讨论。MTLS是保护自托管应用程序访问的可行选项吗?想想Nextcloud之类的。
所以我认为最大的事情是建立自己的完整CA基础设施,并在各处访问它可能比相对普通的WireGuard安装要困难得多,后者很容易添加到另一个设备上以访问你的Nextcloud。所以简要回顾一下,MTLS代表相互TLS。
所以通常当你做TLS时,就像HTTPS,当你去你的银行或PayPal.com时,PayPal必须向你证明他们是真正的PayPal,通常通过证书颁发机构的验证,
通过相互TLS,为了建立连接,双方都必须向对方证明他们确实是正确的客户端。所以我帮助一家医疗保健公司建立了一个基础设施,所有计算机只有在拥有有效证书的情况下才能相互通信,并围绕它建立了整个证书基础设施,并拥有正确的撤销政策,并设置了保障措施,以便如果根证书被泄露或私钥被泄露,不会影响整个基础设施等等。
这要复杂得多。我做过一个较轻的版本。那时并不真的叫MTLS,但我做过HTTPS客户端证书,我在浏览器中安装了一个证书。因此,当我访问某个特定网站时,它会识别我并让我登录,而我不必一直登录。这意味着如果你在我的机器上,你可以立即进入这个CRM并访问信息。
这有点相关,但那更像是一个特定于HTTP的事情,而MTLS适用于每种协议。但我确实认为MTLS比VPN或隧道要麻烦得多,并且对于非技术人员来说并不那么便携或容易。我认为对于这个特定用例,MTLS还有另一个问题,那就是通常当你在线查看MTLS解决方案时,
它是应用级安全,而不是网络级安全。就像,你知道,你是否必须在两个方向上通过MTLS挑战以验证双方,以便达到你想要通过建立的HTTPS连接?但在那时你已经接触到了Web服务器。而如果你谈论的是将某些东西隐藏在WireGuard后面,你在通过WireGuard部分之前无法接触到任何东西。
因此,当你考虑将某些东西隔离在完整的VPN后面时,涉及的隔离要比仅提供相互TLS安全要多得多。我个人会将相互TLS安全视为对密码身份验证的升级,而不是替代完整的VPN。并且不要误解我的意思,这不仅仅是身份验证。它也是安全。你也有加密,但以这种方式暴露的攻击面仍然要大得多。这让我对这个特定用例感到不安。是的,我认为真正最大的问题是,正如你所说,MTLS需要你拥有自己的证书颁发机构,签署证书,分发它们,并长期管理所有这些证书。这是...
这比设置WireGuard要困难得多,这里有一些二维码可以连接,搞定了。而且这也比再次像Tailscaler、WireGuard或OpenVPN这样的东西要维护得多。好吧,我们最好离开这里。记住,如果你想发送问题或反馈,可以发送电子邮件至show@2.5admins.com。你可以在jorowest.com/mastodon找到我。你可以在mercenariesysadmin.com找到我。我在Alan Jude。下周见。♪