ho intrapreso una guerra personale al firewall aziendale che quando sono in ufficio mi sega la connessione wireguard alla vpn di casa
ho scoperto l’esistenza di sing-box con cui si può fare proxy del traffico vpn e incapsulare il traffico udp in tcp e mascherarlo come https di chrome per annegarlo tra tutto il resto.
poi arrivato sull’homelab di casa, ci sono port-forwarding fino a sing-box lato server che lo “scapsula” e lo passa a wireguard
ci sono riuscito ma ho dovuto aprire la 443 sul router di casa e istantaneamente ho visto i mostri per cui
quindi ora prima di riaprire mi sto facendo una cultura sulle regole firewall, rate e bandwidth limiting, country restrictions, network policy, security context, crowdsec e firewall bouncer
il tutto per una roba che probabilmente userò 3 volte nella vita, però sticazzi è interessante
parallelamente sto anche mettendo insieme un blog post per documentare il tutto, una volta assestato il tutto se poi interessa lo posso condividere
ma in realtà ni… uso un beryl ax come gateway vpn, quindi il pc aziendale è solo connesso “ad un altra wifi”, come potrebbe essere quella di un internet cafè o quella di casa
quindi in vpn c’è solo il travel router
quando sono connesso alla rete di casa vedo tutti i servizi del mio homelab, sul pc aziendale non posso installare wireguard così ho preso il beryl apposta e funziona ovunque tranne sulle reti dove c’è dpi o blocchi firewall particolari
sul pc aziendale c’è quel cancro di zscaler più 975298435 miliardi di policy di sicurezza per cui è a prova di bomba e nel caso subodori anche solo da lontanissimo qualcosa di strano viene automagicamente killato da remoto e l’unica strada è spedirlo in sede per essere formattato e farsene spedire uno nuovo e siccome si abita a meno di 50km dalla sede non è possibile farselo spedire a casa ma arriva in ufficio che sta dall’altra parte della città e quando lo si va a ritirare si scopre che è arrivato solo il pc e non il caricabatterie mentre nel frattempo il vecchio è già stato spedito insieme al caricabatterie (perchè le persone normali considerano le due cose insieme quando a quanto pare non è così) quindi bisogna scrivere al proprio manager per farsi aprire una request di provisioning di un caricabatterie che verrà spedito dopo un numero random di giorni senza avvisare quando sarà la consegna, però questo bontà loro verrà spedito a casa e non in ufficio “perchè si”, e quindi bisogna chiamare il centralino della sede tutti i giorni e sperare che ci sia la persona giusta con i permessi giusti per poter accedere al portale interno e verificare lo stato del tracking, e il caricabatterie ovviamente arriverà nel momento in cui si è usciti con il passeggino per cercare di far dormire il bambino e si è al punto più distante possibile da casa, con il corriere che chiama chiedendo se non c’è nessuno in casa
stai utilizzando il Beryl AX come gateway VPN alla fine si connette alla sua VPN verso l’homelab o altre reti private.
se non usi cifratura end-to-end (WireGuard et similia) sul PC stesso, il traffico locale verso il beryl è visibile dalla rete a cui sei connesso, se è un wifi di casa ok sticazzi, altri magari no.
ma sulla wifi che esce dal beryl ovviamente ci sono solo io
dal beryl a casa è traffico wireguard cifrato e incapsulato in traffico https da sing-box, con certificato tls dedicato sul mio homelab dove viene ritrasformato in traffico wireguard e passato al server
quindi sniffando i pacchetti sulla wifi aziendale risulta traffico https qualsiasi tutto verso il mio dominio
Io ti dico solo che mi hanno aperto una indagine perche’ il figlio mi si e’ infilato in studio un giorno che era bannato dal suo pc per una settimana e cosa va ad aprire? un noto forum di crack per giochi
Al che gli dico “guardate, deve essere per forza successo questo, ora ci parlo” e poi “si, e’ successo questo, mi e’ saltato subito in mente perche’ era l’unico giorno in cui era a casa lui perche’ si sentiva poco bene”.
Al che la cosa invece di placarsi fa una escalation assurda perche’ i protocolli diventano da “hai acceduto a siti che possono ledere la reputazione dell’azienda” a “un estraneo all’azienda ha acceduto al tuo portatile”. La cosa poi si e’ risolta in niente di fatto se non un “stacci piu’ attento, se risuccede diventa una cosa seria” ma qua il punto che vorrei sollevarti e’ che esistono policy che sono “accedi a robe che ledono la reputazione dell’azienda”. Non conta un cazzo che sia la tua instance locale di qbittorrent per capirsi. Se quelli della cybersec hanno da raggiungere la loro quota di "abbiamo individuato X vulnerabilita’ " te la becchi te la rogna
Beh no, mi hanno fatto sudare sangue per 3 settimane perche’ dovevano investigare e da la’ ho scoperto quanto cazzo monitorano TUTTO, persino che cazzo di tasti premo santoddio. Tra l’altro, indagando poi era da manuale interno che al massimo avrei avuto una lettera di richiamo e invece me l’hanno messa giu’ come un “eh puo’ anche esserci il licenziamento” che dammi la forza santa barbara e’ veramente una roba da mani in faccia perche’ tutte le volte che chiedevo spiegazioni o possibili ripercussioni le frasi erano “C’e’ anche il licenziamento nelle possibili risoluzioni, pero’ te lo diciamo perche’ e’ da normativa interna che ci sia questo rischio, capisci? wink wink. Pero’ non si sa mai ecco, vedremo che trovano i logs”. Non sono esseri umani quelli che lavorano in HR, non me ne fotte un cazzo di chi dice che poverini son gente che deve mangiare pure loro.
All’hearing (si, tipo tribunale, in cui pero’ sei con un manager random, te e uno dell’HR) fortunatamente qua i manager sono tutti gente con un background di ingegneria. Mi fa “vedo anche che ci sono degli accessi a un sito… netgamers.it”.
“No vabbe’, quello e’ un sito di vecchi rincoglioniti che una volta giocavano online, ormai ci troviamo la’ solo per pretendere di essere ancora giovani e mandarsi a fanculo su robe insulse”.
Ha riso e da la’ siamo passati al “vabbe’ ma che cazzo e’ sta procedura, e’ il figlio che gli ha acceduto al terminale perche’ ha un KVM e non si sara’ accorto che era collegato al pc di lavoro, mica “uno sconosciuto”, ma perche’ mi dovete far perdere tempo”. E niente. Ammonimento verbale e ciao.
Ma la lezione insomma e’ che con la roba dell’ufficio, non fateci neanche per finta roba personale, fosse anche solo aprire la vostra mail. Non sapete mai a che livello monitorano tutto.
ma la mia era più una questione di principio e una sfida… l’anno scorso sono andato in ufficio ben DUE volte, di cui una ho fatto solo mezza giornata
comunque ho imparato un sacco di cose e sto mettendo su un setup che può venir bene anche in altre occasioni qualora mi capitasse di collegarmi ad altre wifi che bloccano il traffico udp
in teoria se non è un telefono aziendale da noi non potresti farlo sempre per policy aziendali.
perchè anche li avresti degli agent (sopra il telefono) per monitorarti ( sarebbe microsoft intune non pensatevi chissà che cazzo di agent sopraffino c’è sopra)
in consulenza è più terra di nessuno… anzi, è facile incappare in situazioni in cui bisogna contattare l’it per farsi aggiungere a gruppi di esclusione da policy aziendali che altrimenti impedirebbero di poter accedere a roba dei clienti
vuoi ridere? da noi hanno attivato LETTERALMENTE dal giorno alla notte queste policy.
senza una cazzo di email preparatoria. senza nulla, e per farti attivare/sbloccare il dispositivo dovevi chiamare un numero che per una settimana abbondante hanno intasato e manco loro erano preprati a questo o sapevano che fare
io sistemista non potevo più svolgere il mio lavoro.
penso che dopo i primi 8 mesi hanno raffinato la cosa… le maledizioni che gli ho lanciato guarda.
quando le cose vengono fatte a caso…
EDIT: sono d’accordo su queste policy eh per carità, ho sentito dei casi da accapponare la pelle tra l’altro su persone che “facevano security”, però cristo santo tu azienda dammi anche gli strumenti adeguati poi
dei laboratori etc, non riuscivo neanche più a tirarmi su delle macchine virtuali cristo santo.
