Если для хранения пароля использовать TPM, то мне кажется можно было бы и не хранить пароль во время сна. Ведь BitLocker умеет доставать секреты для расшифровки диска без каких-либо паролей, просто из TPM, который в свою очередь гарантирует, что загрузка прошла без модификаций.
В общем я читал, что Windows 10 умеет использовать OPAL 2, но вживую этого не видел. Было бы интересно посмотреть.
У Linux добавили какой-то патч для NVME, чтобы сохранять пароль от OPAL на время сна, но как это работает - опять-таки неизвестно. Надеюсь, что это временный, дополнительный пароль только на время сна.
Вроде как PBA от sedutil делает именно это - загружает OS после разблокировки диска, так что наверняка это возможно.
Но насколько я понимаю, проблема в другом: засыпание OS + блокировка диска и пробуждение с разблокировкой диска. Я надеюсь увидеть как это делает Windows 10, но пока не придумал как заставить его использовать аппаратное шифрование диска с которого он сам и грузится.
Когда диск совсем нерасшифрован - у него особый режим: MBR - небольшая незашифрованная область, которая помогает загрузиться машине и провести процедуру расшифровки диска.
А вот если будет кусок диска доступ к которому совсем закрыт, а у другому открыт - я не знаю, что будет. Надо экспериментировать. :-) Насколько я понимаю это весьма редкие режимы работы OPAL.
Отличная статья! Есть предположение, что можно добиться примерно того же результата на дисках, которые поддерживают спецификацию OPAL 2. Там можно определять области диска, которые доступны на чтение или запись или недоступны вообще. И удалить эти области можно только обладая паролем админа от этого диска.
К сожалению я так и не собрался написать статью об исследовании WiFi точек от Motorola, да и Хабр удалил черновик моей статьи.
Напишу здесь для истории:
Я проверил идею с превращением точки AP-650 в AP-6532 — это работает, также как и превращение точек EU в US или WW и обратно. Мы как раз превращаем наши AP-650 в 6532, чтобы отправить их в удаленные офисы без контроллеров, а в центральном поставить 7532.
Чтобы сделать такое превращение, надо заменить mfg_hardware_model=AP-0650-66030-WW на желаемый и перезагрузить точку.
Сделать это можно удаленно, даже не снимая точки. Есть 2 варианта замены:
Прошить в точку прошивку WiNG 4. Вместе с ней идет загрузчик в котором можно менять конфиг точки. Для этого нужен TTL шнурок.
Если кто-то умеет пользоваться WiNG4 по сети (я не умею), то в прошивке есть утилита fw_setenv, которой можно сделать то же самое. Тогда не нужен шнурок.
Взять из прошивки WiNG4 утилиту fw_setenv, скопировать ее на точку WiNG 5 и пользоваться — она работает. Но для этого вам нужно знать пароль для команды service start-shell. Это самый простой способ и я пользуюсь именно им.
Ага, если пользоваться терминологией мобильных телефонов, это boot. Я специально обращал внимание: при даунгрейде прошиквки с 5.4.x на 4.4.2, rom monitor также даунгрейдится. Становится меньше команд и изчезает запрос пароля для некоторых команд.
Я большинство экспериментов проводил из под 4.4.x, т.к. оттуда было в разы легче ставить эксперименты с прошивками. Потому не знаю загрузилась бы она в 5.x или нет. Но Вам верю. И да, конечно я все делал через serial-консоль, т.к. другого способа подключиться к точке с прошивкой 4.4.x я не нашел.
А rom monitor — это простите что? :-) Мне в целях повышения образованности. :-)
Ох, Вы меня прямо вынуждаете на срочное написание статьи о том как я лечил проблему указанную по ссылке выше, причем именно in the field. :-)
Во время своих изысканий я нашел способ как поменять у точки AP-650 все: MAC-адрес, serial number и самое интересное — product number, в котором как раз записаны -EU или -WW или -US. По крайней мере я один раз стер все эти данные и точка загрузилась с дефолтными значениями, типа MAC=00:00:00:00:00:00. И один раз я записал эти данные значениями из соседней точки, т.е. получил 2 абсолютно идентичные точки. Ну и разумеется потом я вернул все обратно.
Я действительно не пытался целенаправленно менять эту информацию, т.к. в тот момент у меня не было точек -EU, но я уверен что это сделать можно, чисто из академического интереса. Также как и превратить AP-650 в AP-6532, что уже гораздо интереснее с практической точки зрения.
Про виртуальный контроллер — полезная инфа, мне казалось, что он будет выбран автоматически при выключении по аналогии с rf domain manager, но я не проверял. А теперь уже нет необходимости, т.к. удаленные офисы подключены к центральному контроллеру.
При использовании vendor specific options в DHCP, он, понятно, выдаёт их всем, кому ни попадя.
Я имел ввиду, что эти параметры получит только тот, кто их запросит целенаправленно. Т.е. если я правильно помню стандарт, в DHCP запросе перечисляются опции, которые сервер должен отдать и других сервер не отдаст. Конечно это не защита от «врагов», но и ненужные опции другим клиентам не приедут.
следует озаботиться покупкой хотя бы одного сервисного контракта на точку каждого типа
Это будет нарушением, т.к. я не имею права ставить новую прошивку на точку, если контракт не куплен именно на нее. Теоретически это может вызвать проблемы при гарантийной замене точки, если на ней будет новая прошивка.
Сразу оговорюсь — НИКАК перепошить нельзя.
Вот тут самый интересный момент: прошить можно. :-) Мне сама перепрошивка была не нужна, но я знаю как это сделать. На эту тему я очень хочу написать отдельную статью насчет общения с сервисом Моторолы и глубоким исследованием этих точек, к которому мне пришлось прибегнуть. Для интересующихся вопросом: forums.networkinfrastructure.info/motorola-wireless-lan-switches/error-setting-country-of-operation/
Но там нет деталей как проблему решать, т.к. никто не заинтересовался.
Про FlexConnect я читал. Возможно недостаточно хорошо, но у меня о нем сложилось такое впечатление:
1. Его нужно приобретать дополнительно.
2. Чтобы начать им пользоваться нужно уже иметь где-то рабочую WLAN на основе Cisco.
А у нас была такая ситуация, что сначала нужно было запустить WiFi в паре удаленных офисов, на 2-4 WiFi точки, где контроллер был явно избыточен. И только через несколько месяцев у нас был бы центральный офис с контроллером.
Motorola мне понравилась своей понятностью. Можно было купить полноценные точки, которые подходили для любой страны и затем, хоть обычную WLAN делать, хоть с виртуальным контроллером, хоть с реальным контроллером докупив его.
А с Cisco совсем другое дело. Куча вариантов одних и тех же точек, для разных стран разные, с лицензиями и без лицензий, для работы с контроллером и без контроллера… Наверняка интеграторы прекрасно в этом разбираются, но мне нужно было купить 4 точки, сделать WLAN и потом иметь возможность интегрировать его с центральным офисом.
Пассивное PoE — да, конечно не очень здорово. Когда есть нормальные 802.3af PoE свитчи, жаль этим не пользоваться.
А вот отсутствие бесшовности — это правда? Не может быть, чтобы Ubiquiti были настолько плохи.
Да Ubiquiti мы практически не рассматривали. В 2012 году они только набирали популярность. А нам нельзя было ошибаться. Нужно было 100% работающее решение, и времени на эксперименты не было. Ubiquity – это был относительно новый игрок на рынке, а у Cisco и Motorola есть работающие сети из сотен и тысяч точек.
Например Моторола рекомендует (и имеет достаточно инсталляций) свой WiFi для организации беспроводных сетей на производстве, а это как раз то что нам было нужно: WiFi без проблем.
Собственно отделение Motorola, которое занимается WiFi — это приобретенная ими компания Symbol, оборудование которой (сканнеры штрих-кодов, терминалы оплаты) стоит во многих супермаркетах Америки, да и в наших я замечал. Присмотритесь в супермаркете к аппарату где можно проверить цену на товар: с большой вероятностью на нем будет написано Symbol или Motorola. А там где речь идет о производстве, глючные решения не ставят. WiNG5 — это составная часть решения, например для супермаркетов или для складов с автоматизированной обработкой товаров.
Конечно было бы интересно посмотреть на предложения от специалистов по Ubiquiti в сравнении с WiNG5.
Вообще это изобретение велосипеда.
Генерировать закрытый ключ должен только клиент, а не сервер чтобы избежать перехвата.
Тем более что браузер умеет генерировать приватный ключ, которым и надо подписывать все операции.
Если для хранения пароля использовать TPM, то мне кажется можно было бы и не хранить пароль во время сна. Ведь BitLocker умеет доставать секреты для расшифровки диска без каких-либо паролей, просто из TPM, который в свою очередь гарантирует, что загрузка прошла без модификаций.
В общем я читал, что Windows 10 умеет использовать OPAL 2, но вживую этого не видел. Было бы интересно посмотреть.
У Linux добавили какой-то патч для NVME, чтобы сохранять пароль от OPAL на время сна, но как это работает - опять-таки неизвестно. Надеюсь, что это временный, дополнительный пароль только на время сна.
Не знал, что PBA перезагружает комп после разблокировки диска. Это многое объясняет.
Вроде как PBA от sedutil делает именно это - загружает OS после разблокировки диска, так что наверняка это возможно.
Но насколько я понимаю, проблема в другом: засыпание OS + блокировка диска и пробуждение с разблокировкой диска. Я надеюсь увидеть как это делает Windows 10, но пока не придумал как заставить его использовать аппаратное шифрование диска с которого он сам и грузится.
Когда диск совсем нерасшифрован - у него особый режим: MBR - небольшая незашифрованная область, которая помогает загрузиться машине и провести процедуру расшифровки диска.
А вот если будет кусок диска доступ к которому совсем закрыт, а у другому открыт - я не знаю, что будет. Надо экспериментировать. :-) Насколько я понимаю это весьма редкие режимы работы OPAL.
Отличная статья!
Есть предположение, что можно добиться примерно того же результата на дисках, которые поддерживают спецификацию OPAL 2. Там можно определять области диска, которые доступны на чтение или запись или недоступны вообще. И удалить эти области можно только обладая паролем админа от этого диска.
К сожалению я так и не собрался написать статью об исследовании WiFi точек от Motorola, да и Хабр удалил черновик моей статьи.
Напишу здесь для истории:
Я проверил идею с превращением точки AP-650 в AP-6532 — это работает, также как и превращение точек EU в US или WW и обратно. Мы как раз превращаем наши AP-650 в 6532, чтобы отправить их в удаленные офисы без контроллеров, а в центральном поставить 7532.
Чтобы сделать такое превращение, надо заменить
mfg_hardware_model=AP-0650-66030-WWна желаемый и перезагрузить точку.Сделать это можно удаленно, даже не снимая точки. Есть 2 варианта замены:
Прошить в точку прошивку WiNG 4. Вместе с ней идет загрузчик в котором можно менять конфиг точки. Для этого нужен TTL шнурок.
Если кто-то умеет пользоваться WiNG4 по сети (я не умею), то в прошивке есть утилита fw_setenv, которой можно сделать то же самое. Тогда не нужен шнурок.
service start-shell. Это самый простой способ и я пользуюсь именно им.Надеюсь это будет кому-то полезно.
А rom monitor — это простите что? :-) Мне в целях повышения образованности. :-)
Во время своих изысканий я нашел способ как поменять у точки AP-650 все: MAC-адрес, serial number и самое интересное — product number, в котором как раз записаны -EU или -WW или -US. По крайней мере я один раз стер все эти данные и точка загрузилась с дефолтными значениями, типа MAC=00:00:00:00:00:00. И один раз я записал эти данные значениями из соседней точки, т.е. получил 2 абсолютно идентичные точки. Ну и разумеется потом я вернул все обратно.
Я действительно не пытался целенаправленно менять эту информацию, т.к. в тот момент у меня не было точек -EU, но я уверен что это сделать можно, чисто из академического интереса. Также как и превратить AP-650 в AP-6532, что уже гораздо интереснее с практической точки зрения.
Про виртуальный контроллер — полезная инфа, мне казалось, что он будет выбран автоматически при выключении по аналогии с rf domain manager, но я не проверял. А теперь уже нет необходимости, т.к. удаленные офисы подключены к центральному контроллеру.
Я имел ввиду, что эти параметры получит только тот, кто их запросит целенаправленно. Т.е. если я правильно помню стандарт, в DHCP запросе перечисляются опции, которые сервер должен отдать и других сервер не отдаст. Конечно это не защита от «врагов», но и ненужные опции другим клиентам не приедут.
Это будет нарушением, т.к. я не имею права ставить новую прошивку на точку, если контракт не куплен именно на нее. Теоретически это может вызвать проблемы при гарантийной замене точки, если на ней будет новая прошивка.
Вот тут самый интересный момент: прошить можно. :-) Мне сама перепрошивка была не нужна, но я знаю как это сделать. На эту тему я очень хочу написать отдельную статью насчет общения с сервисом Моторолы и глубоким исследованием этих точек, к которому мне пришлось прибегнуть. Для интересующихся вопросом: forums.networkinfrastructure.info/motorola-wireless-lan-switches/error-setting-country-of-operation/
Но там нет деталей как проблему решать, т.к. никто не заинтересовался.
1. Его нужно приобретать дополнительно.
2. Чтобы начать им пользоваться нужно уже иметь где-то рабочую WLAN на основе Cisco.
А у нас была такая ситуация, что сначала нужно было запустить WiFi в паре удаленных офисов, на 2-4 WiFi точки, где контроллер был явно избыточен. И только через несколько месяцев у нас был бы центральный офис с контроллером.
Motorola мне понравилась своей понятностью. Можно было купить полноценные точки, которые подходили для любой страны и затем, хоть обычную WLAN делать, хоть с виртуальным контроллером, хоть с реальным контроллером докупив его.
А с Cisco совсем другое дело. Куча вариантов одних и тех же точек, для разных стран разные, с лицензиями и без лицензий, для работы с контроллером и без контроллера… Наверняка интеграторы прекрасно в этом разбираются, но мне нужно было купить 4 точки, сделать WLAN и потом иметь возможность интегрировать его с центральным офисом.
А вот отсутствие бесшовности — это правда? Не может быть, чтобы Ubiquiti были настолько плохи.
Например Моторола рекомендует (и имеет достаточно инсталляций) свой WiFi для организации беспроводных сетей на производстве, а это как раз то что нам было нужно: WiFi без проблем.
Собственно отделение Motorola, которое занимается WiFi — это приобретенная ими компания Symbol, оборудование которой (сканнеры штрих-кодов, терминалы оплаты) стоит во многих супермаркетах Америки, да и в наших я замечал. Присмотритесь в супермаркете к аппарату где можно проверить цену на товар: с большой вероятностью на нем будет написано Symbol или Motorola. А там где речь идет о производстве, глючные решения не ставят. WiNG5 — это составная часть решения, например для супермаркетов или для складов с автоматизированной обработкой товаров.
Конечно было бы интересно посмотреть на предложения от специалистов по Ubiquiti в сравнении с WiNG5.
Генерировать закрытый ключ должен только клиент, а не сервер чтобы избежать перехвата.
Тем более что браузер умеет генерировать приватный ключ, которым и надо подписывать все операции.