Wednesday, August 29, 2012

FTP сервер в Windows Server 2008 R2

Для работы Passive Mode необходимо, в том числе, настроить Windows Firewall:

netsh advfirewall firewall add rule name=FTPService action=allow service=ftpsvc protocol=TCP dir=in
netsh advfirewall set global StatefulFTP disable

Monday, August 27, 2012

Костыли в Cisco ASA

Для полноценной реализации Statefull Inspection, в Cisco ASA придумали Advanced Protocol Handling. Технология эта имеет кучу ограничений. Вот, например, список протоколов


1.       ctiqbe
2.       dcerpc
3.       dns
4.       esmtp
5.       ftp
6.       h323
7.       http
8.       icmp
9.       ils
10.   im
11.   ipsec-pass-thru
12.   mgcp
13.   mmp
14.   netbios
15.   pptp
16.   rsh
17.   rtsp
18.   sip
19.   skinny
20.   snmp
21.   sqlnet
22.   sunrpc
23.   tftp
24.   waas
25.   xdmcp

Как видите, список не очень впечатляющий. Настройка этого дела хоть и не сложна, но не является удобной и эффективной. Особенно при использовании в больших масштабах. Хорошую статью по конфигурированию можно почитать здесь: http://www.anticisco.ru/blogs/?p=427

Дальше еще интереснее, читаем Inspection Limitations здесь: http://www.ciscosystems.com/en/US/docs/security/asa/asa81/config/guide/inspect.html#wpxref59098


Inspection Limitations


See the following limitations for application protocol inspection:

State information for multimedia sessions that require inspection are not passed over the state link for stateful failover. The exception is GTP, which is replicated over the state link.

Some inspection engines do not support PAT, NAT, outside NAT, or NAT between same security interfaces. See "Default Inspection Policy" for more information about NAT support.

For all the application inspections, the adaptive security appliance limits the number of simultaneous, active data connections to 200 connections. For example, if an FTP client opens multiple secondary connections, the FTP inspection engine allows only 200 active connections and the 201 connection is dropped and the adaptive security appliance generates a system error message.

Inspected protocols are subject to advanced TCP-state tracking, and the TCP state of these connections is not automatically replicated. While these connections are replicated to the standby unit, there is a best-effort attempt to re-establish a TCP state. 

Вы включаете эту фичу для каког-либо протокола. После этого, ASA сможет пропустить только 200 cессий данного протокола. 201-я сессия уничтожается. Если это используется для исходящего трафика (клиенты ваши), то просто ограчивается использование данного протокола. Если клиенты внешние, а Cisco ASA защищает  вас сервис, то можно получить очень легко реализуемую DoS атаку. Достаточно открыть 200 сессий к вашему серверу по данному протоколу. После чего, другие клиенты идут лесом...



Saturday, August 25, 2012

Skype: A Practical Security Analysis

Применяемым в Skype техническим решениям могут позавидовать практически все ботнеты. Легендарный Zeus гораздо примитивнее в плане сетевых коммуникаций.


Tuesday, August 21, 2012

Классификация информационных систем персональных данных

http://www.itprotect.ru/services/personal-data-protection/classification/

Windows 8 Apps.

Еще одна книга по разработке приложений для Windows 8. На этот раз рассматривается разработка с использованием C#  и XAML. Книга не бесплатна -- финальная версия будет стоит 50 американских рублей.

http://blogs.msdn.com/b/microsoft_press/archive/2012/08/13/release-preview-edition-of-programming-windows-sixth-edition-available-tomorrow.aspx

Windows 8 Apps

Бесплатная книга по созданию приложений для Windows 8 на базе Javascript, HTML, CSS.

http://blogs.msdn.com/b/microsoft_press/archive/2012/08/20/free-ebook-programming-windows-8-apps-with-html-css-and-javascript-second-preview.aspx

Active Directory в Windows Server 2012

http://4sysops.com/archives/new-in-windows-server-2012-part-5-active-directory/

Tuesday, May 22, 2012

Откуда Время?

Q: Как узнать с каким источником времени синхронизируется Windows
A: w32tm /query /source

Sunday, May 13, 2012

CoreXL and IPsec

Q: Как CoreXL помогает обрабатывать VPN траффик?

A: Никак. VPN траффик всегда обрабатывается одним ядром процессора.

Wednesday, May 9, 2012

Office Web Apps в Sharepoint 2010 SP1

Есть у меня в хозяйстве портал на базе Sharepoint 2010 SP1. Думаю, многие в курсе такой фичи как Office Web Applications. Это такое дополнение к Sharepoint 2010, после развертывания которого появляется возможность редактировать офисные документы прямо в браузере. Очень удобно. Зачастую можно нормально работать с машины без установленного офиса. При этом, есть поддержка "альтернативных" броузеров.

Недавно, столкнулся с проблемой: Excel Web App не работал вовсе. Причина оказалась простой. При установленном SP1 в Sharepoint 2010, в случае если отсутствует корневой "site collection", Excel Web App не работает. В итоге, решил проблему созданием пустой "коллекцией сайтов". По идее, проблема так-же должна решаться данным патчем:

http://support.microsoft.com/kb/2596582

Sunday, April 22, 2012

R75.40

Вышел HFA 40 для R75. Одновременно состоялся релиз новой ОС от Check Point -- Gaia. Это событие которого ждали три года!

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk67581

Monday, April 9, 2012

Capture SYN packets

Как с помощью tcpdump захватить только TCP SYN пакеты?

tcpdump -s0 'tcp[13] & 2!=0'  -w dump.cap

Wednesday, April 4, 2012

Gartner UTM quandrant 2012

Вот свежий квадрат Гартнера по UTM. Напомним, что один из лидеров этого рынка SonicWall был недавно куплен компанией Dell.

http://blog.nigmatullin.net/2012/04/dell-sonicwall.html


System Center 2012

Стал доступен для загрузки System Center 2012.

http://www.aidanfinn.com/?p=12295

Tuesday, April 3, 2012

Dell Wyse

Компания Dell покупает известного производителя тонких клиентов -- компанию Wyse.

http://content.dell.com/us/en/corp/d/secure/acq-wyse.aspx


Dell Sonicwall

Компания Dell приобрела файрвольного вендора Sonicwall:
http://www.sonicwall.com/us/company/Acquisition.html

Ранее были куплены компании SecureWorks и Force10:
http://www.secureworks.com/
http://www.force10networks.com/

SecureNetworks занимается аутсорсингом/консалтингом в сетевой безопасности. Force10 выпускает 10-ти гигабитные коммутаторы.

C приходом Cisco на серверный рынок, старые игроки HP/IBM/Dell все более активно занимаются сетями. В целом конкуренция растет и маржинальность IT вендоров падает. Все это приводит к большей консолидации. Побеждают IT вендоры способные привлечь огромные инвестиции в развитие технологий. Раньше у мелких вендоров было больше шансов на успешное развитие.

Экономические проблемы в Европе и в штатах усиливают этот тренд. Тем не менее экономический кризис не является первопричиной. То-же самое происходило бы и при лучшей экономической ситуации, только в более медленном темпе. Силиконовая долина уже никогда не будет прежней. В прошлых годах было немало историй когда пара ребят с минимальными инвестициями выполняла разработку продукта и успешно занимала определенную долю рынку. Немало историй когда такие компании становились лидерами рынка. Сейчас порог входа стал намного выше и подобные истории успеха становятся все менее возможными. Для входа в современный high-tech необходимы серъезные инвестиции.

Saturday, February 25, 2012

Материал по DPM 2012





SSL Decryption. Установление правил игры.

Относительно недавно был в оффлайне разговор о фичах SSL Decryption в современных МСЭ. Принцип работы здесь заключается в том, что прямо на МСЭ поднимается C.A. Этот Certificate Authority выдает временные сертификаты по именам любых серверов к которым осуществляется доступ по SSL. Естественно, что сертификат выдается не серверу, а самому МСЭ. Далее МСЭ используя поддельный сертификат притворяется сервером. Соответсвенно, МСЭ получает возможность расшивровывать траффик от клиента.

МСЭ далее обращается к настоящему серверу и получает необходимый контент. В результате, получаем два SSL соединения. Первое, от клиента к МСЭ с поддельным сертификатом. Второе, от МСЭ к настоящему серверу. МСЭ имеет возможность проанализировать траффик за счет того, что он видит расшифрованный траффик. Это позволит выполнить антивирусную проверку или пресечь инсайдерскую деятельность.

Слабость такого подхода заключается в том, что поддельный сертификат выдает внутренний С.А. Априори, доверие к этому С.А. нет. Так что, броузер покажет что с сертификатом есть проблема и предложит пользователю самому выбрать стоит ли посещять данный сайт. Если вы контролируете рабочие станции можно, конечно, заранее настроить доверие внутреннему С.А. В таком случае,  броузер не заметит проблемы. Пытливый пользователь (большая редкость) может заметить что сертификаты на все https сайты которые он посещяет, были выдан корпоративным центром сертификации.

Было предложение, почему бы не использовать С.А., дочерний от настоящего коммерческого С.А. Так как весь мир доверяет этому коммерческому С.А., то доверие вашему дочернему центру будет автоматически. На это я ответил, что ни один уважающий свой бизнес коммерческий С.А. на это не пойдет.

Как выяснилось буквально через несколько дней, я ошибся. Trustwave CA таки сделал это. Они выдали сертификат для дочернего СА сторонней компании. Дабы те могли неограниченно выпускать сертификаты с полным доверием. Причем сделано это было именно для SSL Decryption!

http://www.opennet.ru/opennews/art.shtml?num=33034

Оправдываются они тем, что единственный такой сертификат был выдан не правительтественной структуре, провайдеру, или правохранительным органам. А частной компании для защиты от инсайда. С намеком на то, что угрозе вскрытия зашиврованной передачи данных подвержено относительно малое (от количества Интернет-пользователей вообще) количество людей, являющихся сотрудниками компании-клиента.

This single certificate was issued for an internal corporate network customer and not to a 'government', 'ISP' or to 'law enforcement'.
Первым отреагировала на это Mozilla Foundation. Компании Trustwave CA был дан ультиматум. Грозит Mozilla Foundation отзывом доверия.


Mozilla конечно не весь мир, но некоторым влиянием обладает. Это влияние прямо пропорцианально доле рынка броузера Mozilla Firefox. Если коммерческий СА лишается доверия, то контору можно закрывать. Так произошло с DigiNotar. Название этой компании, видимо, исходило из 'Цифровой Нотариус'.


Все это приведет либо к полному беспределу, когда будет можно расшифровывать почти любой SSL. Либо, к установлению неких правил игры, ограчивающих деятельность коммерчеcких C.A.

Собственно сама компания Trustwave CA решила отказаться от практики предоставления дочерних СА сторонним компаниям (имеется ввиду компании не являющиеся СА).

Trustwave has decided to be open about this decision as well as stating that we will no longer enable systems of this type and are effectively ending this short journey into this type of offering.

Возможность расшифровки SSL посредством внутренних удостоверяющих центров останется в любом случае. С другой стороны, в этом не всегда есть смысл. Развитие 3G/4G сетей дают инсайдеру много возможностей получить быстрый канал в обход корпоративного МСЭ.


Friday, February 24, 2012

CloudStack 3 betta

http://servernews.ru/news/595460

http://www.cloudstack.org/

Бесплатная книга по MSSQL 2012

Будет доступна 15-го марта:


Kindle 4

3ware RAID

Столкнулся сегодня с такой проблемой:

Есть сервер с RAID контроллером 3ware http://www.fcenter.ru/online.shtml?articles/hardware/hdd/23393
К нему есть очень хорошая управлялка 3ware 3DM. Для подключение используется https://localhost:888 или https://server:888. Так вот после инсталляции очередных обновлений от MS, веб-интерфейс перестал работать. Подключение с новых версий Firefox, Chrome уже то-же не работает, несмотря на заявление в статье базы знаний вендора. Решилось испоьзованием виртуалки с IE8.

Monday, February 20, 2012

16-ти ядерный Opteron

http://www.amd.com/ru/products/server/processors/6000-series-platform/6200/Pages/6200-series-processors.aspx#1

Virtual Switching System

HP Proliant G8

HP анонсировала новое поколение серверов Proliant - G8. О начинке серверов, пока не многое известно. В течение весны/лета отдельно будут анонсы конкретных моделей с более подробной информацией. Известно, что HP планирует активно использовать процессоры Intel Xeon E5. Это новые, еще не анонсированные, 8-ми ядерные процессоры.


Tuesday, February 14, 2012

Hetzner ESXi

Если решили заказать аренду серверов в Hetzner и использовать там ESXi просмотрите эту инструкцию:

Friday, February 3, 2012

Endpoint Security E80

Вышел курс по Endpoint Security E80. К сожалению, всего лишь на три дня. Скоро обещают выпустить и экзамен. Номер будущего экзамены:  #156-717.80.  NTC планирует этот курс на 14,  15, 16 мая.

http://www.checkpoint.com/services/education/training/courses/endpoint-security/index.html

Thursday, February 2, 2012

Supported Upgrade Paths

Перед обновлением CheckPoint не забывайте проверять Release Notes и смотреть раздел Supported Upgrade Paths.

На версию R75.20 можно обновиться с версий:
  • R75
  • R75.10
  • R71.30
На версию R75.30 можно обновиться только с версии:


Monday, January 23, 2012

Экзамен по Office 365

Уже появилась бэта версия экзамена по Office 365:
http://borntolearn.mslearn.net

Кстати, недавно пришло письмо от MS что надо бы уже перейти с BPOS на Office 365. Microsoft подготовил два check-list'a по переходу:

Checklist for users
Checklist for administrators

Sunday, January 22, 2012

Прогноз рынка смартфонов.









Ожидается что доля Windows Phone будет расти за счет BlackBerry. Для Канадской компании Research In Motion настали действительно не простые времена.

http://www.computerworld.com
http://www.isuppli.com

Friday, January 13, 2012

R75.30

Вышел HFA 30 для R75. Судя по Release Notes, поддерживается обновление только с R75.20. Про R71 нет ни слова. В общем, ждем R75.40 :)

sk66283