[infosec-course] CTF activities, vpn and stuff

George Noseevich george.noseevich at seclab.cs.msu.su
Wed Mar 20 20:02:11 UTC 2013


Еще одно добавление.
Всем рекомендуется прочитать
http://serverfault.com/questions/266232/what-is-a-challenge-password
So I say again: the "challenge password" requested as part of the CSR
generation is not the same thing as a passphrase used to encrypt the
secret key. The "challenge password" is basically a shared-secret nonce
between you and the SSL issuer, embedded in the CSR, which the issuer
may use to authenticate you should that ever be needed.
Возможно, я не очень корректно выразился, когда говорил:
"Настоятельно рекомендуется установить пароль на ключ."
Установить пароль надо именно _на ключ_!! Для этого НЕ НАДО вводить
пароль по приглашению "Challenge password". Надо после создания ключа
(по умолчанию он будет создан без пароля) выполнить команду openssl rsa
-in name.key -des3 -out name.new.key . После двукратного ввода пароля
будет создан новый ключевой файл, зашифрованный паролем. После этого
старый (нешифрованный) ключ заменяется новым.

Если кто-то из вас установил challenge password - рекомендую удалить
соответствующее письмо из вашего inbox-а (я, собственно, удаляю письма и
csr-файлы после генерации сертификатов, так что тут никому ничего не
грозит).
On 01.03.2013 15:19, George Noseevich wrote:
> Всем привет!
> Как всем известно, в скором времени грядут различные ctf-like
> activities, некоторые из которых могут потребовать создания командной
> инфраструктуры (e.g. размещать образы виртуалок и тп). Оттуда же будут
> подниматься vpn-туннель на сервера организаторов (например, во время
> ructf quals такое часто бывает нужно).
>
> Так вот. Для того, чтобы получить доступ к нашей ctf-инфраструктуре,
> всем причастным нужно будет получить vpn-сертификаты (по аналогии с
> vpn-сертификатами для ЛВК).
> Процедура состоит из следующих шагов (описание для юниксоподобных
> машин, обладателям win-машин придется спасаться как-нибудь по-другому):
>
> 1.Установить openssl и каким-либо образом достать набор скриптов
> easy-rsa 2.0 (входит в пакет openvpn, хотя последний ни для чего иного
> не требуется)
> 2.Создать каталог для хранения ключей, установить ему права 700:
>  mkdir ~/keys
> 3. В случае использования easy-rsa из установленного openvpn,
> скопировать easy-rsa в отдельный каталог:
>  mkdir ~/easy-rsa ; cp /usr/share/openvpn/easy-rsa/2.0/* ~/easy-rsa  В
> других дистрибутивах путь может быть другим  Этот шаг необходим для
> того, чтобы, во-первых, кастомизировать этот пакет своими Organization
> name и т.д. и чтобы все это не было перезаписано при обновлении openvpn .
> 4. Модифицировать ~/easy-rsa/vars согласно файлу из вложения
> 5. Загрузить конфиг:
>  cd ~/easy-rsa ; source vars
> 6. Подготовить easy-rsa к первому запуску (ВНИМАНИЕ: этот шаг удалит
> содержимое папки с ключами)
>  ./clean-all
> 7. Скопировать ca.crt из вложения в папку keys
> 8. Создаем ключ и запрос:  ./build-req your_chosen_name.
> В процессе создания можно еще задать свой email, все остальные данные
> (OU, ON и тп) - остаются без изменений.
> your_chosen_name - ваш никнейм, имя, идентификатор - что-нибудь в этом
> роде.
> Настоятельно рекомендуется установить пароль на ключ.
> После выполнения этого шага в папке keys появятся файлы
> your_chosen_name.csr и your_chosen_name.key
>
> Один из этих файлов (который .key) - ваш приватный ключ, храните его в
> секрете. Файл .csr должен быть послан мне. Дальше необходимо
> подтвердить подлинность csr-файла, для чего необходимо лично придти в
> ауд. 603 с любым документом, удостоверяющим личность (студак тоже
> подойдет) и сверить отпечаток csr-файла (md5sum wtf.csr). Заодно
> можете принести идентификатор и отпечаток своего PGP-ключа, если он у
> вас есть. Мой ключ 0x59AAC124, subkeys.pgp.net.
>
> После проверки вы получите по почте ваш личный сертификат (как и csr,
> это не приватные данные, так как воспользоваться сертификатом без
> вашего приватного ключа невозможно). Для подключения надо использовать
> конфиг ctf.conf из вложения (sudo openvpn ctf.conf), в котором надо
> заменить ngo на your_chosen_name. При запуске .key и .crt - файлы
> должны находиться в одной папке с конфигом (включая и ca.crt).
> После запуска openvpn, если все прошло нормально, у вас должен
> появиться доступ к сети 10.13.37.0/24 (в частности, должен пинговаться
> шлюз 10.13.37.0)
>
> При необходимости можно пользоваться конфигом ctf-defroute.conf,
> который пропишет маршрут через тоннель в качестве маршрута по
> умолчанию, что может быть полезно в некоторых ситуациях. В частности,
> через тоннель есть доступ в интернет через сеть факультета, так что им
> имеет смысл пользоваться в недоверенных wifi-сетях. Use responsibly.
>
>
> По всем вопросам - пишите.
>
>
> _______________________________________________
> course mailing list
> course at secsem.ru
> http://lists.secsem.ru/cgi-bin/mailman/listinfo/course

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.secsem.ru/pipermail/course/attachments/20130321/150b6d94/attachment.html>


More information about the course mailing list