Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd

Tailscale i blåsväder

1
Skriv svar
Permalänk
Medlem

Tailscale i blåsväder

En användare på Reddit rapporterade idag att han fått oinbjudna gäster till sitt tailnet. Detta berodde på en pissig email-domän som Tailscale ”trodde” va en företagsdomän och per automatik släppte in användare med denna mail-domän.
Riktigt illa och rekommendation är att byta från Tailscale alt använda deras tailnet lock. Då måste en av dina betrodda enheter godkänna alla nya enheter. OBS: skicka inte backup-nycklar till Tailscale för uppenbara anledningar utan spara dessa i ett kassaskåp hemma.

Tailscales snabba fix för detta i blåsvädret är en liknande där admins måste godkänna alla nya enheter.

Länk till tråd.

https://www.reddit.com/r/Tailscale/s/0guMhcg80g

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Sötast

wow.

Jag har tittat på Netbird, kanske dags?

Visa signatur

https://imgur.com/sxldiIg

Redigera
Citera flera Citera
Permalänk
Medlem

Tja varför inte. Tror dock man är rätt safe med tailnet lock. Men jag personligen ska börja evaluera lite selfhostade varianter för att slippa förlita mig på dessa företag och dess lathet.
Headscale och netmaker är de 2 alternativ jag ska börja med. Har man en UniFi router är det smidigaste bara att sätta upp en Wireguard server.

Redigera
Citera flera Citera
Permalänk
Medlem

Oj.. Detta var dock en av anledningarna jag valde att selfhosta Headscale istället.
Testade även Netbird men det blev Headscale då man kan använda det på Apple TV samt ”On Demand” i telefonen. Annars gillade jag Netbirds interface och framförallt acl hantering!

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Enligt tråden är alltså problemet deras galna modell alla enheter som tillhör en okänd domän anses tillhöra samma ägare. Så gmail, hotmail och andra kända domäner är undantagna, men allt under en okänd domän räknas som samma, och problemet triggades pga en mail-host de inte kände till och inte lagt till undantag för.

Väldigt galen design, men för de som faktiskt har egen domän bör det alltså inte innebära några säkerhetsproblem vad jag kan se. Bara om någon annan kan registrera sig med xyz@dindomän.se så är det ett problem.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Redigera
Citera flera Citera
Permalänk
Medlem

Vilka jävla klantar.

Som om det i något fall alls vore en bra ide att sätta upp ett nät som är gemensamt med andra med liknande e-post-adress, snarare än att alltid vara explicit.

Har aldrig haft något användningsfall som inte funkat med att bara sätta upp Wireguard själv, som tur är.

Redigera
Citera flera Citera
Permalänk
Medlem

Ja. Ja, vad skall man säga. Det är ju i stil med Lastpass som lagrade data i klartext och fick sitt utvecklarkonto hackat för att en anställd körde en opatchad plexserver på datorn som användes för arbete.

Det gör att man med rätta ifrågasätter hela produkten.

Redigera
Citera flera Citera
Permalänk
Medlem

Jag fattar inte riktigt.
Kör dem inte med Device Approval och User Approval påslaget?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Bozzeta:

Jag fattar inte riktigt.
Kör dem inte med Device Approval och User Approval påslaget?

Gå till inlägget

Har för mig att du approvar din egen device, medans att du kan ställa in så att en redan godkänd enhet måste godkänna nya, eller nåt sådant.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Kwirek:

Ja. Ja, vad skall man säga. Det är ju i stil med Lastpass som lagrade data i klartext och fick sitt utvecklarkonto hackat för att en anställd körde en opatchad plexserver på datorn som användes för arbete.

Det gör att man med rätta ifrågasätter hela produkten.

Gå till inlägget

Nja, lastpass var bra mycket värre.

Detta är vad min tailscale är inställd på, är inte det standard?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av dlq84:

Nja, lastpass var bra mycket värre.

<Uppladdad bildlänk>

Detta är vad min tailscale är inställd på, är inte det standard?

Gå till inlägget

User approval is disabled by default.
https://tailscale.com/kb/1239/user-approval

Men det var ju det jag skrev ovan.
Känns korkat att inte gå igenom settings...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av dlq84:

Nja, lastpass var bra mycket värre.

<Uppladdad bildlänk>

Detta är vad min tailscale är inställd på, är inte det standard?

Gå till inlägget

Jag har såklart ställt in så från start, men med tanke på deras beslut i andra säkerhetsfrågor - hur säker är du på att detta är den enda medvetna kompromissen på säkerhetsfronten?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Bozzeta:

Jag fattar inte riktigt.
Kör dem inte med Device Approval och User Approval påslaget?

Gå till inlägget

Dom gjorde inte det men nu gör dom det. 😅

Redigera
Citera flera Citera
1
Skriv svar