[14:15] ping lueskelen tuota sun kandia
[14:16] oherrala hurjaa 😄
[14:16] ping mietin että pitäiskö siellä dhcp securityn yhteydessä mainita optio 82
[14:17] oherrala hmm
[14:17] ping jos muistan oikein niin kytkimessä voi konffia että dhcp-vastaukset saa tulla vain tietystä portista
[14:18] far from perfect toki, mutta jotain triviaalimpaa malicious dhcp serveriä sillä voinee taklailla
[14:19] oherrala mulla isompi kuva on siinä, että DHCP:stä tai DNS:stä voi tulla mitä tahansa skeibaa, jolla voi ohjata asennuksen pahaan paikkaan.
[14:19] ja sitä taklataan sit sillä, että verifioidaan TLS:ssä X.509 certit ja laitaillaan ilman kryptoa vaan etukäteen signattuja binäärejä ja validoidaan allekirjotukset
[14:20] jos on itsellä kontrolli DHCP:n tai verkon aktiivilaitteisiin niin sit voi anyway tehä kohtuu turvallisia asennuksia 🙂
[14:20] ping joo ei tuo sitä isoa kuvaa muuta
[14:23] tuli vaan mieleen kun tuolla oli se "old protocols from ..." niin jollekulle vois tulla ärrinmurri siitä että onhan tähän vaikka mitä speksia, sinne vois ehkä mainita jotain "while some efforts to secure these protocols have been attempted, the fixes do not address their fundamental weaknesses" tjms
[14:24] oherrala ah, totta
[14:24] haluutko tehä githubiin issuen tai saanko copy&pasteta tän issueksi? 🙂
[14:25] ping saa copypastettaa, pitää lähteä kaupungille tästä 🙂
[14:27] oherrala jes
[14:15] ping lueskelen tuota sun kandia
[14:16] oherrala hurjaa 😄
[14:16] ping mietin että pitäiskö siellä dhcp securityn yhteydessä mainita optio 82
[14:17] oherrala hmm
[14:17] ping jos muistan oikein niin kytkimessä voi konffia että dhcp-vastaukset saa tulla vain tietystä portista
[14:18] far from perfect toki, mutta jotain triviaalimpaa malicious dhcp serveriä sillä voinee taklailla
[14:19] oherrala mulla isompi kuva on siinä, että DHCP:stä tai DNS:stä voi tulla mitä tahansa skeibaa, jolla voi ohjata asennuksen pahaan paikkaan.
[14:19] ja sitä taklataan sit sillä, että verifioidaan TLS:ssä X.509 certit ja laitaillaan ilman kryptoa vaan etukäteen signattuja binäärejä ja validoidaan allekirjotukset
[14:20] jos on itsellä kontrolli DHCP:n tai verkon aktiivilaitteisiin niin sit voi anyway tehä kohtuu turvallisia asennuksia 🙂
[14:20] ping joo ei tuo sitä isoa kuvaa muuta
[14:23] tuli vaan mieleen kun tuolla oli se "old protocols from ..." niin jollekulle vois tulla ärrinmurri siitä että onhan tähän vaikka mitä speksia, sinne vois ehkä mainita jotain "while some efforts to secure these protocols have been attempted, the fixes do not address their fundamental weaknesses" tjms
[14:24] oherrala ah, totta
[14:24] haluutko tehä githubiin issuen tai saanko copy&pasteta tän issueksi? 🙂
[14:25] ping saa copypastettaa, pitää lähteä kaupungille tästä 🙂
[14:27] oherrala jes