Saturday, February 25, 2012

Материал по DPM 2012





SSL Decryption. Установление правил игры.

Относительно недавно был в оффлайне разговор о фичах SSL Decryption в современных МСЭ. Принцип работы здесь заключается в том, что прямо на МСЭ поднимается C.A. Этот Certificate Authority выдает временные сертификаты по именам любых серверов к которым осуществляется доступ по SSL. Естественно, что сертификат выдается не серверу, а самому МСЭ. Далее МСЭ используя поддельный сертификат притворяется сервером. Соответсвенно, МСЭ получает возможность расшивровывать траффик от клиента.

МСЭ далее обращается к настоящему серверу и получает необходимый контент. В результате, получаем два SSL соединения. Первое, от клиента к МСЭ с поддельным сертификатом. Второе, от МСЭ к настоящему серверу. МСЭ имеет возможность проанализировать траффик за счет того, что он видит расшифрованный траффик. Это позволит выполнить антивирусную проверку или пресечь инсайдерскую деятельность.

Слабость такого подхода заключается в том, что поддельный сертификат выдает внутренний С.А. Априори, доверие к этому С.А. нет. Так что, броузер покажет что с сертификатом есть проблема и предложит пользователю самому выбрать стоит ли посещять данный сайт. Если вы контролируете рабочие станции можно, конечно, заранее настроить доверие внутреннему С.А. В таком случае,  броузер не заметит проблемы. Пытливый пользователь (большая редкость) может заметить что сертификаты на все https сайты которые он посещяет, были выдан корпоративным центром сертификации.

Было предложение, почему бы не использовать С.А., дочерний от настоящего коммерческого С.А. Так как весь мир доверяет этому коммерческому С.А., то доверие вашему дочернему центру будет автоматически. На это я ответил, что ни один уважающий свой бизнес коммерческий С.А. на это не пойдет.

Как выяснилось буквально через несколько дней, я ошибся. Trustwave CA таки сделал это. Они выдали сертификат для дочернего СА сторонней компании. Дабы те могли неограниченно выпускать сертификаты с полным доверием. Причем сделано это было именно для SSL Decryption!

http://www.opennet.ru/opennews/art.shtml?num=33034

Оправдываются они тем, что единственный такой сертификат был выдан не правительтественной структуре, провайдеру, или правохранительным органам. А частной компании для защиты от инсайда. С намеком на то, что угрозе вскрытия зашиврованной передачи данных подвержено относительно малое (от количества Интернет-пользователей вообще) количество людей, являющихся сотрудниками компании-клиента.

This single certificate was issued for an internal corporate network customer and not to a 'government', 'ISP' or to 'law enforcement'.
Первым отреагировала на это Mozilla Foundation. Компании Trustwave CA был дан ультиматум. Грозит Mozilla Foundation отзывом доверия.


Mozilla конечно не весь мир, но некоторым влиянием обладает. Это влияние прямо пропорцианально доле рынка броузера Mozilla Firefox. Если коммерческий СА лишается доверия, то контору можно закрывать. Так произошло с DigiNotar. Название этой компании, видимо, исходило из 'Цифровой Нотариус'.


Все это приведет либо к полному беспределу, когда будет можно расшифровывать почти любой SSL. Либо, к установлению неких правил игры, ограчивающих деятельность коммерчеcких C.A.

Собственно сама компания Trustwave CA решила отказаться от практики предоставления дочерних СА сторонним компаниям (имеется ввиду компании не являющиеся СА).

Trustwave has decided to be open about this decision as well as stating that we will no longer enable systems of this type and are effectively ending this short journey into this type of offering.

Возможность расшифровки SSL посредством внутренних удостоверяющих центров останется в любом случае. С другой стороны, в этом не всегда есть смысл. Развитие 3G/4G сетей дают инсайдеру много возможностей получить быстрый канал в обход корпоративного МСЭ.


Friday, February 24, 2012

CloudStack 3 betta

http://servernews.ru/news/595460

http://www.cloudstack.org/

Бесплатная книга по MSSQL 2012

Будет доступна 15-го марта:


Kindle 4

3ware RAID

Столкнулся сегодня с такой проблемой:

Есть сервер с RAID контроллером 3ware http://www.fcenter.ru/online.shtml?articles/hardware/hdd/23393
К нему есть очень хорошая управлялка 3ware 3DM. Для подключение используется https://localhost:888 или https://server:888. Так вот после инсталляции очередных обновлений от MS, веб-интерфейс перестал работать. Подключение с новых версий Firefox, Chrome уже то-же не работает, несмотря на заявление в статье базы знаний вендора. Решилось испоьзованием виртуалки с IE8.

Monday, February 20, 2012

16-ти ядерный Opteron

http://www.amd.com/ru/products/server/processors/6000-series-platform/6200/Pages/6200-series-processors.aspx#1

Virtual Switching System

HP Proliant G8

HP анонсировала новое поколение серверов Proliant - G8. О начинке серверов, пока не многое известно. В течение весны/лета отдельно будут анонсы конкретных моделей с более подробной информацией. Известно, что HP планирует активно использовать процессоры Intel Xeon E5. Это новые, еще не анонсированные, 8-ми ядерные процессоры.


Tuesday, February 14, 2012

Hetzner ESXi

Если решили заказать аренду серверов в Hetzner и использовать там ESXi просмотрите эту инструкцию:

Friday, February 3, 2012

Endpoint Security E80

Вышел курс по Endpoint Security E80. К сожалению, всего лишь на три дня. Скоро обещают выпустить и экзамен. Номер будущего экзамены:  #156-717.80.  NTC планирует этот курс на 14,  15, 16 мая.

http://www.checkpoint.com/services/education/training/courses/endpoint-security/index.html

Thursday, February 2, 2012

Supported Upgrade Paths

Перед обновлением CheckPoint не забывайте проверять Release Notes и смотреть раздел Supported Upgrade Paths.

На версию R75.20 можно обновиться с версий:
  • R75
  • R75.10
  • R71.30
На версию R75.30 можно обновиться только с версии: