ZEUS on-premise: reverse-SSH tunnel + skanowanie AD/ADFS i LDAP, vCenter, WinRM
To kluczowa lekcja dla wdrażających ZEUS w środowisku on-premise. Łączy wszystko z poprzednich lekcji: AD/LDAP, vCenter, WinRM i tunelowanie — pokazując, jak konektor bezpiecznie sięga do sieci klienta bez otwierania jej zapory.
Model dostępu: reverse-SSH tunnel
Wewnątrz sieci klienta wdrażamy lekki collector (kontener lub maszyna). Nie przyjmuje on żadnych połączeń przychodzących. Zamiast tego sam inicjuje wychodzące połączenie reverse-SSH do punktu kontrolnego ZEUS-a:
# Collector wystawia kanał sterujący przez wychodzące SSH (port 443/22)
ssh -N -R 0:localhost:0 \
-o ServerAliveInterval=30 -o ExitOnForwardFailure=yes \
zeus-tunnel@relay.zeus.professnet.pl
Wskazówka: to jedyne połączenie to wychodzący ruch na 443/22 — identyczny jak zwykły ruch do internetu. Dział sieci klienta nie musi otwierać żadnego portu "do środka", co radykalnie upraszcza akceptację bezpieczeństwa.
Cały dalszy ruch skanujący idzie przez ten szyfrowany tunel, w obrębie sieci klienta, do lokalnych systemów.
Skan 1: AD/ADFS i LDAP — pełna domena, stronicowanie
Przez tunel ZEUS odpytuje kontrolery domeny przez LDAPS z dedykowanego konta usługi read-only. Kluczowe: paged search (strony po ~1000 obiektów z cookie kontynuacji), żeby odczytać pełną domenę, a nie tylko pierwszą partię:
- użytkownicy, grupy, komputery, konta usług,
- członkostwo w grupach uprzywilejowanych (
Domain Adminsitd.), - higiena haseł (konta bez wygasania,
PASSWD_NOTREQD), - ryzyko Kerberoasting (konta usług z SPN).
Dodatkowo ZEUS sprawdza konfigurację ADFS (federacja tożsamości) tam, gdzie jest wdrożona — relying parties, reguły claimów, certyfikaty.
Skan 2: vCenter / vSphere
Przez API vSphere (pyVmomi) i konto Read-only ZEUS inwentaryzuje pełną flotę VM oraz hosty ESXi: stan zasilania, OS gościa, zasoby, VMware Tools, sieci i hardening hostów (patrz lekcja 02).
Skan 3: WinRM (flota Windows)
Przez WinRM (HTTPS) i konto domenowe read-only ZEUS zbiera endpoint posture
hostów Windows — wyłącznie Get-*: poziom poprawek, lokalni administratorzy,
usługi i ich konta, stan firewalla (patrz lekcja 03).
Wszystko read-only
| Cel skanu | Protokół | Uprawnienia |
|---|---|---|
| AD/ADFS/LDAP | LDAPS (paged) | konto usługi read-only |
| vCenter/ESXi | vSphere API | rola Read-only |
| Windows | WinRM HTTPS | konto domenowe, tylko Get-* |
| Transport | reverse-SSH (wychodzący) | klucz dedykowany |
Konektor nie ma żadnych uprawnień do modyfikacji — fizycznie nie może niczego zmienić w środowisku klienta.
Jeden widok, niezależnie od miejsca
Dane z AD, vCenter i Windows spływają do tego samego modelu co Azure, AWS i GCP. Maszyna w serwerowni klienta i VM w chmurze lądują w jednym inwentarzu, z jedną kolejką findings i jednym zestawem dowodów compliance (NIS2, DORA, ISO 27001).
Podsumowanie ścieżki
Od AD/LDAP, przez vCenter, WinRM, sieci i tunelowanie, po hybrydę z Arc i pełny konektor on-prem — masz teraz komplet, by rozumieć, jak ZEUS bezpiecznie "widzi" środowisko on-premise klienta bez otwierania jego zapory.