self-тест и конфиденциальная информация

[OmegaTron]

Не раз и не два я не доводил до конца вопросы с тикетами, в которых запрашивался файл self-теста по причине большого содержания конфиденциальных данных в оном. Мой внутренний параноик бьёт в набат при виде содержимого этого файла. В частности меня беспокоит наличие в нём мак-адресов добавленных устройств, dyndns url, номера открытых портов, информация об идентификаторах usb накопителей и текущем ip-адресе. Возможно ли убрать данную (равно как и иную конфиденциальную) информацию из содержимого self-тест файла ? Я конечно могу всё вытереть, но где гарантии, что у саппорта не будет при этом лишних вопросов ?

В целом можно обнулить настройки и сделать self-test, но в таком случае далеко не факт, что проблема воспроизведётся на дефолтной конфигураци (да и не всегда это возможно при дефолтных настройках).

Так или иначе, ежели у меня снова попросят файл self-теста, пройдусь по нему регулярками, заменю ip-адреса на что-то типа 0.0.0.0 и мак-адреса на 00:00:00:00:00:00 + выборочно вытру конфиденциальную (с моей точки зрения) информацию, надеюсь саппорт не будет против

Изменено 30 ноября, 2017 пользователем OmegaTron

[Le ecureuil]

1 час назад, OmegaTron сказал:

Не раз и не два я не доводил до конца вопросы с тикетами, в которых запрашивался файл self-теста по причине большого содержания конфиденциальных данных в оном. Мой внутренний параноик бьёт в набат при виде содержимого этого файла. В частности меня беспокоит наличие в нём мак-адресов добавленных устройств, dyndns url, номера открытых портов, информация об идентификаторах usb накопителей и текущем ip-адресе. Возможно ли убрать данную (равно как и иную конфиденциальную) информацию из содержимого self-тест файла ? Я конечно могу всё вытереть, но где гарантии, что у саппорта не будет при этом лишних вопросов ?

В целом можно обнулить настройки и сделать self-test, но в таком случае далеко не факт, что проблема воспроизведётся на дефолтной конфигураци (да и не всегда это возможно при дефолтных настройках).

Так или иначе, ежели у меня снова попросят файл self-теста, пройдусь по нему регулярками, заменю ip-адреса на что-то типа 0.0.0.0 и мак-адреса на 00:00:00:00:00:00 + выборочно вытру конфиденциальную (с моей точки зрения) информацию, надеюсь саппорт не будет против

На этом форуме можете не выкладывать этот файл вообще в таком случае (по крайней мере я даже разбираться не буду, если юзер сознательно все затер).

Собственно в техподдержке ваc тоже завернут, если вы все затрете, разве что там канал связи надежнее и ваши селфтесты видят только сотрудники.

Этот файл не зря создан именно таким, если бы было можно убрать часть важной информации без ущерба - ее бы убрали. Как собственно уже сейчас из него вырезаются все пароли и сертификаты OpenVPN.

[OmegaTron]

56 минут назад, Le ecureuil сказал:

по крайней мере я даже разбираться не буду, если юзер сознательно все затер

Где я о говорил о всём ? Я лишь о тех строках, что содержат конфиденциальную информацию.

56 минут назад, Le ecureuil сказал:

Этот файл не зря создан именно таким, если бы было можно убрать часть важной информации без ущерба - ее бы убрали.

Гм, если не секрет, то для чего может понадобиться эта информация ?

2 часа назад, OmegaTron сказал:

наличие в нём мак-адресов добавленных устройств, dyndns url, номера открытых портов, информация об идентификаторах usb накопителей и текущем ip-адресе

Насчёт идентификаторов накопителей конечно можно ещё поспорить, но вот остальная информация - сугубо конфиденциальная.

Сразу оговорюсь, под открытыми портами я подразумеваю вручную открытые порты, а не через upnp.

56 минут назад, Le ecureuil сказал:

Как собственно уже сейчас из него вырезаются все пароли и сертификаты OpenVPN.

Про OpenVPN ничего не скажу, но какие-то пароли при беглом осмотре файла хоть и в md5, но попадались (хотя утверждать не берусь ибо осматривал бегло).

Изменено 30 ноября, 2017 пользователем OmegaTron

[MDP]

Заведите ddns специально для саппорта. А что даст знание мака для потенциального нарушителя?)))) Его например можно сделать любым вообще, у меня по крайней мере он меняется в зависимости от того кто залогиниться, для разграничения прав доступа роутером. Единственное, что может быть ценным если есть статический белый внешний адрес.

[OmegaTron]

47 минут назад, MDP сказал:

А что даст знание мака для потенциального нарушителя?))))

Не мака, а маков добавленных устройств, по которым ведётся мак-фильтрация. У меня white-лист. То, что там пишется мак самого роутера, мне до лампочки, тем более он привязан к идентификатору, а он саппорту известен ибо я его указывал при
обращении.

47 минут назад, MDP сказал:

Единственное, что может быть ценным если есть статический белый внешний адрес.

Т.е. статически открытые порты вы в расчёт не берёте ?

47 минут назад, MDP сказал:

Заведите ddns специально для саппорта.

Смешно

К слову пароль в md5 там всё же был

password nt xxx

похоже от cifs, ну да бог с ним ...

***

Меня больше напрягает такой сценарий - "добрый" дядя хакер сливает базу (xml-формат self-теста ведь не для красоты) в которой хранится вся эта информация, распарсивает на предмет указанных данных и начинает брут (а маки и идентификаторы usb вполне сойдут за компромат). Я не не доверяю ndms systems, я боюсь утечки данных в третьи руки, что в наше время не такая уж и редкость.

Потому мне и хочется равно как усиления уровня конфиденциальности, так и понимания проблемы со стороны саппорта, в  случае удаления мной критичных для меня данных вручную.

Изменено 1 декабря, 2017 пользователем OmegaTron

[Sergey Zozulya]

3 hours ago, OmegaTron said:

хочется равно как усиления уровня конфиденциальности, так и понимания проблемы со стороны саппорта

Вам уже объяснили, что вы хотите невозможного, убрать из self-test'ов больше, чем в них сейчас, нельзя.

3 hours ago, OmegaTron said:

Я не не доверяю ndms systems, я боюсь утечки данных в третьи руки

Можно понять, но просто тогда примите как факт, что рассчитывать на поддержку и решение ваших проблем в этом случае вы не можете.

Изменено 1 декабря, 2017 пользователем Sergey Zozulya
орфо

[OmegaTron]

3 часа назад, Sergey Zozulya сказал:

Вам уже объяснили, что вы хотите невозможного, убрать из self-test'ов больше, чем в них сейчас, нельзя.

Я могу сам убрать что меня не устраивает (возьмём хотя бы означенные выше пункты), только мне пока никто так и не объяснил, как отсутствие данной информации в файле  self-теста помешает саппорту вынести вердикт по той или иной проблеме.

Изменено 1 декабря, 2017 пользователем OmegaTron

[Mamay]

Всё просто. Вы делаете все маки а-ля xx.xx.xx.xx. В логах видно что косячит какой-то из маков, к примеру, но они все у вас вида xx.xx.xx.xx и ху в как говорится из них ху, непонятно никак. 

Думаю примеров можно привести в массу... 

[KorDen]

23 часа назад, OmegaTron сказал:

Гм, если не секрет, то для чего может понадобиться эта информация ?

Начнем с того, что в поддержку обращаются (в том числе, и даже по большей части) люди, мало что понимающие в сетевых технологиях

В 30.11.2017 в 16:05, OmegaTron сказал:

мак-адресов добавленных устройств, dyndns url, номера открытых портов, информация об идентификаторах usb накопителей и текущем ip-адресе

MAC: "у меня телефон не подключается!!!111" - "так вы же вон сами его в ACL (не)добавили"

Текущие параметры IP - большинство проблем с сетью - перекрывающиеся подсети, кривые маршруты, etc

Статические правила NAT - что угодно в стиле "у меня порт не пробрасывается", "у меня SIP не работает". Вплоть до пересечения с текущими параметрами IP, назначения этих IP определенным макам и присутствием этих маков/ip в данный момент в fdb/arp-таблицах

13 часа назад, OmegaTron сказал:

К слову пароль в md5 там всё же был

эээм, пароли там вроде все маскируются звездочками.

[OmegaTron]

10 часов назад, Mamay сказал:

Всё просто. Вы делаете все маки а-ля xx.xx.xx.xx. В логах видно что косячит какой-то из маков, к примеру, но они все у вас вида xx.xx.xx.xx и ху в как говорится из них ху, непонятно никак. 

Я могу их просто убрать, как если бы не добавлял в acess list.

9 часов назад, KorDen сказал:

Начнем с того, что в поддержку обращаются (в том числе, и даже по большей части) люди, мало что понимающие в сетевых технологиях

А у тех кто хоть немного разбирается шевелятся волосы при виде содержимого  Поверьте, в саппорт можно обратиться по той или иной проблеме даже имея семь пядей во лбу, если ситуация нестандартная, не описана в мануалах и никак не гуглится.

9 часов назад, KorDen сказал:

MAC: "у меня телефон не подключается!!!111" - "так вы же вон сами его в ACL (не)добавили"

Текущие параметры IP - большинство проблем с сетью - перекрывающиеся подсети, кривые маршруты, etc

Статические правила NAT - что угодно в стиле "у меня порт не пробрасывается", "у меня SIP не работает". Вплоть до пересечения с текущими параметрами IP, назначения этих IP определенным макам и присутствием этих маков/ip в данный момент в fdb/arp-таблицах

Неясно только, зачем они могут понадобиться в случае, если проблема никак не кореллирует с этими параметрами (о чём я и толкую с самого начала) ...

Изменено 2 декабря, 2017 пользователем OmegaTron

[Le ecureuil]

Еще раз - формат self-test продиктован нашей производственной необходимостью в расследовании инцидентов.

Если вас он не устраивает, значит не пользуйтесь поддержкой, только и всего.  Мы же не вынуждаем вас этот файл загружать куда бы то ни было под угрозой расстрела.