Одминский блог

Шифрованный носитель Check Point Abra

Дали потестить одну из последних новинок компании Check Point, продукт под названием Abra. Решение представляет собой флеш носитель, емкостью 4 и 8Gb, с поддержкой аппаратного шифрования 256-битным AES. Но поскольку аппаратным шифрованием сейчас можно удивить только какого либо человека, очень далекого от безопасности и it вообще, то основной фишкой решения является то, что оно организует Secure virtual workspace, а проще говоря запускает защищенную, виртуальную копию установленной операционной системы Windows, которая работает как независимая система, отгороженная от имеющейся на машине комплексом безопасности, включающем в себя антивирус, фаервол и систему предотвращения вторжений. Abra поддерживает такие операционные системы как Windows 7/Vista/XP, пока правда только 32хитные версии. При старте системы Abra проверяет имеется ли в системе антивирус, какие актуальные патчи установлены и после этого сканирует операционную память на предмет обнаружения работы злонамеренного программного обеспечения. После этого, запускается диалог доступа к данным, заключающийся в воде пароля устанавливаемого при первичной инициализации устройства и если пароль введен корректно, то запускается виртуальное пространство, которое разрешает доступ только к определенным, установленной политикой, программам. Для ввода пароля используется виртуальная клавиатура, которая тем самым предотвращает перехват пароля кейлоггерами.Из запущенного пространства уже можно установить IPSec VPN соединение со своим шлюзом, и работать через него в своей сети. После установления VPN соединения клиент Abra подтягивает со шлюза политики локального фаервола и ips, которые будут использованы по умолчанию при следующем запуске системы. Также при установлении VPN соединения обновляется локальный антивирус Abra. В дополнение к этому клиент получает список разрешенного для использования программного обеспечения, но для использования это ПО должно быть установлено на машине, на которой запускается Abra. Эта политика версия-независима, то есть разрешив Microsoft office мы дадим пользователю возможность пользоваться любым, имеющимся в наличии офисом.

При работе пользователю блокируется доступ к локальному диску, так что пользоваться он может только файлами, хранящимися на флеш-носителе, или полученными по сети. Использование оперативной памяти разделено с компьютером, поэтому вирусы и другое злонамеренное ПО не способно проникнуть внутрь виртуальной системы, что предохраняет от угрозы заражения как сами файлы пользователя, так и его корпоративную сеть, с которой он установит защищенное соединение. И главное этот механизм работы не требует дополнительных лицензий, как например стандартная виртуальная машина, как для операционной системы, так и для используемого ПО. Во время работы виртуальное окружение создает защищенный канал доступа к установленному на компьютере ПО, организуя безопасную работу пользователя с разрешенным политиками безопасности программами.Принцип работы таков, что после успешного логина, в виртуальном окружении, запускается новая оболочка explorer.exe  и все остальные процессы запускаются по отношению к этому процессу как к родительскому, что и позволяет Abra контролировать выполнение приложений с безопасной среде. Все вызовы к приложениям перенаправляются к флеш драйву, то есть все приложения запускаемые внутри виртуальной системы работают внутри виртуальной файловой системы и реестра, находящихся на флеш-носителе, где они шифруются сразу в процессе записи на носитель.

Благодаря устройству Abra пользователь может получить доступ к своим файлам и корпоративной сети практически с любой машины, подпадающей под определение не доверенных узлов, не боясь нанести урон своей сети или данным хранимым на носителе. Также в случае потери, данные не станут доступны похитителям или людям, случайно нашедшим утерянный флеш-носитель, а ведь не секрет, что большинство громких утечек данных на западе были вызваны кражей или потерей ноутбуков. Более того, данное решение позволяет пользователю отказаться от стандартного ноутбука, который постоянно приходится носить с собой и который свои фактом присутствия, уже является целью для воров. С Abra весь функционала ноутбука помещается к кармане рубашки или джинсов, позволяя использовать мощности любого доступного пользователю компьютера, не задумываясь при этом о потенциальных угрозах которые может нести сторонний компьютер не подпадающий под используемые в компании политики безопасности. И тем самым для нас, это еще один лишний довод перед начальством за то, чтобы работать удаленно- из-за домашнего компьютера.

Рубрика: Check Point, IT безопасность, Обзоры | Ваш отзыв »

Устанавливаем Splunk

Собственно о системе Splunk я писал буквально в предыдущем посте, так что добавить ничего не могу, кроме того что это система управления инцидентами и событиями информационной безопасности. Ставить систему будем на FreeBSD 6.4, ибо она вся такая для меня приятная.
Итак поехали, ибо создатели пакета обещают что ставится она на раз-два-три:

# wget ‘http://www.splunk.com/index.php/download_track?file=4.1.4/freebsd/splunk-4.1.4-82143-FreeBSD-i386.tgz&ac=&wget=true&name=wget&typed=releases’
# tar -xzvf splunk-4.1.4-82143-FreeBSD-i386.tgz

Поскольку, как оказалось, пакет пришел нам в уже собранном виде, то оправляем его по месту постоянного жительства:
# cp -R splunk /usr/local/

Перед запуском системы необходимо внести изменения в конфигурационные файлы:

/boot/loader.conf
kern.maxdsiz=”2147483648″ # 2GB
kern.dfldsiz=”2147483648″ # 2GB
machdep.hlt_cpus=0

/etc/sysctl.conf
vm.max_proc_mmap=2147483647

После этого перегружаем сервер для того чтобы изменения вступили в силу. При желании можем создать ручками пользователя от которого будет работать splunk, а также и его группу, но мне что то сегодня в ломы. Поэтому запускаем сервис: перед первым запуском сервера необходимо согласиться с лицензионным соглашением, для этого стартуем:
# $SPLUNK_HOME/bin/splunk start –accept-license

После некоторого диалога, сервер сообщит, что он теперь запущен на http://our_server_hostname:8000 хотя зайти можно и по адресу http://our_server_IP:8000. В данном случае 8000 это дефолтный порт нашего веб сервера.

Теперь переходим к настройке сервера.
Логин и пароль по умолчанию для входа в web-консоль:
username: admin
password: changeme

В верхнем правом углу белеет на темном фоне кнопочка Manager, нажав на которую мы попадаем в общирное меню, позволяющее нам настроить наш сервер в разделе System configurations, а также добавить необходимые модули Apps, собития, поиски и прочая в разделе Apps and knowledge.

В System settings задается хостнейм и настраиваются веб-морда сервера, а также параметры индексирования. Также настраивается отправка алертов по почте и всевозможные уровни логирования, которых доступно шесть вариантов: DEBUG, INFO, WARN, ERROR, CRIT, FATAL.

На сегодня хватит, на днях распишу больше- но по сути настройка системы заканчивается именно на этом разделе- дальше идет уже тюнинг, причем интерфейс интуитивно понятен и прост.

Рубрика: FreeBSD, IT безопасность, Дела Одминские | Ваш отзыв »

SIEM Splunk – удобное управление логами

Надыбало наше начальство очередного вендора, чтобы запихнуть его в, и без того раздутый, продуктовый портфель. Контора называется Splunk и предлагает она одноименный продукт, являющийся системой управления инцидентами и событиями информационной безопасности (Security Information and Event Management – SIEM). Данный продукт позволяет построить единую и централизованную систему управления журналами регистрации событий, причем мониторинг, поиск, анализ и построение отчетов может происходить в режиме потока данных реального времени и в архивных версиях журналов, одновременно. Благодаря данному продукту отладка ошибок приложений и расследование инцидентов безопасности может занимать считанные минуты, а не долгие часы выборки из логов. Благодаря удобным средствам мониторинга можно избежать проблем связанных с падениями или отказами сервисов, причем по гораздо более низкой цене, чем за аналогичные решения конкурентов: Symantec Security Information Manager, IBM Tivoli Security Operation Manager, RSA EnVision, Cisco MARS.  Splunk предлагает свое решение по весьма демократичной схеме (на самом деле по их заявлениям, ибо опнять цену вопроса пока не удалось): лицензирование идет за размер потока журнальной информации мегабайт/день, причем на триал система дается полнофункциональная с ограничением времени работы в 60 дней и поток  до 500 мегабайт данных в день, хотя вроде как была информация том, что если система ставится для некоммерческого использования, то при сохранении лимита в 500 Мб она дается в пользование навсегда (но это надо смотреть отдельно).

Со слов разработчиков, да и по вебинару тоже, следует, что устанавливать и настраивать Splunk  проще простого и сама установка займет не более 10 минут, причем для начала можно поставить решения на свою машину, с тем чтобы потом перенести его на серверное оборудование дата-центра.

Splunk  может индексировать и обрабатывать данные полученные практически из любых источников, любыми возможными способами, причем в режиме реального времени. Выгрузка файлов журналирования идет через syslog, WMI polling, мониторинга логов, мониторингом изменений файловых систем или реестра Windows, netflow, SNMP и многое другое. Splunk индексирует все эти объемы информации без применения специфических парсеров или адаптеров, для получения и размещения в собственной области данных (аналогичной файловой системе), в виде сжатых и обработанных данных, уже готовых для поиска, аудита и анализа.

В случаях когда доступ центрального Splunk сервера к журнальным данным удаленных систем невозможен, но необходим, используются так называемые Splunk перенаправители, которые являясь легковесными серверами Splunk, собирают всю необходимую информацию: от выводов статус команд и заканчивая конфигурациями и атрибутами файловых систем, после чего передают данные на центральный сервер, используя защищенные соединения, также в режиме реального времени. Поскольку это легковесные сервера, то их установка и интеграция занимает очень ограниченное время и при этом эти решения бесплатны.

При увеличении объемов обрабатываемых данных, скорость доступа к журнальным данным не должна снижаться, и решение Splunk  позволяют просматривать миллионы записей за секунды, благодаря масштабируемости решения, путем добавления вспомогательных серверов, между которыми, благодаря имеющемуся функционалу балансировки нагрузки, распределяются данные, снижая тем самым время отклика, повышая отказоустойчивость и оптимизируя процесс поиска.

Splunk поддерживает архитектуру распределенных систем, то есть имея несколько дата-центров, информацию с них можно аккумулировать на одном центральном узле, собирая в режиме реального времени миллионы записей со всех распределенных систем, и при этом локальные администраторы филиалов будут иметь возможность также просматривать журнальную информацию со своих систем.

Splunk  обеспечивает высокий уровень защиты, как обмена информации, так и использование пользователями web и командного интерфейса, и системной активности посредством Splunk API. Можно задавать пользователям определенные права, дающие им возможность просматривать те или иные блоки данных, таких как отладочная информация или инциденты безопасности.

Система Splunk позволяет использовать модули разработанные сторонними разработчика, для расширения функционала программного продукта, или отслеживания какого либо класса устройств или производителя.

Система Splunk доступна в следующих реализациях:
Windows XP, 2003, Vista, Windows 7, 2008, 2008 R2 (32/64-bit)
2.6+ kernel Linux distributions (32/64-bit)
2.4+ kernel Linux distributions with NPTL (32-bit)
Solaris 9, 10
OSX 10.6/10.5
FreeBSD 6.x (32-bit)
FreeBSD 6.2 (64-bit)
AIX 5.2, 5.3
HP-UX 11i v2/v3

Подробнее об этой системе можно почитать на её официальном сайте: http://www.splunk.com

Рубрика: Обзоры | Ваш отзыв »

Интересная инфа о Sofaware устройствах

Скинули факу по устройствам Sofaware Edge и Safe@Office, и там я обнаружил несколько интересных моментов, на которые обратил внимание:

Варианты прошивок для устройств Sofaware:
n8.1.37n.img  новая прошива для устройств нового поколения N-серии которое выгружается через GUI
x8.1.37x.img прошивка для устройств предыдущего поколения X-серии которое выгружается через GUI
8.1.37x.tftp прошивка для устройств предыдущего поколения X-серии которое выгружается через TFTP

Существуют ли какие нибудь специфические версии прошивок?
Версия 7.5.55_w6x.img имеет функционал WLAN-Client. Этот функционал будет введен в прошивке версии 9.
SofaWare предлагает специфическую прошивку по запросу, если клиенту требуется поддержка BGP

Имеются ли различия в прошивках с DSL-модемами
Да имеется отдельные прошики для версии аннеск А и аннекс В. Также существуют две версии прошивки SW2.0.*_pri.firm (primary) и SW2.0.*_sec.firm (secondary) которые идут в комплекте поставки. Первичное используется для загрузки устройство, а вторая создается при резервировании устройства и к нему откатываются в случае возврата к фабричным настройкам.

При использовании ADSL моделей необходимо сделать следующую процедуру, чтобы предотвратить попытку восстановления DSL сессии, которая происходит по умолчанию каждые 1 час 14 минут:
Идем по адресу нашего шлюза  https://my.firewall.
Далее идем по адресу Setup -> Tools -> кнопочка Command
В появившемся интерфейсе набираем  set port adsl auto-sra mode disable
Нажимаем Go

При управлении устройствами Edges из SmartCenter настоятельно не рекомендуется инсталить политики более чем на 10 устройств одновременно

Когда мигает индикатор PWR/SEC LED красным цветом, это означает что фаервол заблокировал какое либо соединение

Там же указано, что Sofaware действительно признает тот факт, что для управление устройством следует производить через IE, ибо Safari и Mozilla имеют проблемы работоспособности.

Существуют не явные страницы для диагностики устройства:

http://my.firewall/pop/Diagnostics.html

http://my.firewall/vpntopob.html  для старых версий (7.0.x и ниже) использовать http://my.firewall/vpntopo.html
https://my.firewall/dnstopo.html доступно для новых версий прошивок (с версии 7.5+)

http://my.firewall/Log.html

http://my.firewall/Ports.html

http://my.firewall/pub/test.html – не документированная страница на которой доступна служебная и лицензионная информация

SmartDefense как и следовало ожидать, отключить невозможно. Единственно что можно- минимизировать его работу путем выставления параметров его работы в None.  В случае центрального управления можно выставить настройку не распространять политику SmartDefense на этот шлюз. Для этого в объекте Edge необходимо пройти SmartDefense > Profile Assignment и включить галку Do not apply SmartDefense on this gateway

Существует специализированная дебажная прошивка, которая дает более богатый функционал логирования, путем запуска команды debug.  Также можно запустить с SmartCenter сервера, отредактировав файл SofawareLoader.ini , для чего найти строку DebugLevel в секции [LOG] и выставить её в параметр Debug или  Info. Для того чтобы запустить SofaWareLoader ручками необходимо в командной строке ввести fwm load -S -M -l41 policy_name.W <Edge>

Если при попытке соединения Edge со SmartCenter вываливается сообщение “Connection Refused: This UTM-1 Edge is not registered to the Service Center.” то следует проверить версию устройства в свойствах объекта на менеджмент сервере, чтобы они соответствовали действительной.

После инсталляции политики на менеджмент сервере Edge подхватывает политику спустя какое время, из-за того что устройства опрашивают менеджмент сервер на предмет обновленной политики, каждые 20 минут.

Полная версия в которой много информации по кластеризации устройств и использовании центрального менеджмента, можно найти по адресу:

http://www.cpug.org/forums/check-point-utm-1-edge-appliances/6341-utm-1-edges-faq.html

Рубрика: Check Point | Ваш отзыв »

Новый подарок для форточек: эксплоит ярлыков

В опубликованном Мелкомягкими Security Advisory 2286198, на прошлой неделе, появилась инфа о том, что они в данный момент трудятся над закрытием критической уязвимости основанной на некорректном парсинге системой иконки ярлыка, так что злоумышленник подсунув системе специально сконфигурированную иконку может уязвить машину, путем запуска злонамеренного кода, не имея на то необходимых привилегий и в обход политик UAC и контроля безопасности Windows 7.  так что эксплоит .lnk это как раз то, чего нам так давно не хватало.

По утверждению Microsoft уязвимости больше всего подвержены машины через использование внешних томов, но при этом в случае отключения функции автозапуска, пользователь должен сам запустить ярлык из необходимой папки, для того чтобы система была уязвлена.  Для систем Windows 7 функция автозапуска с внешних томов отключена по умолчанию.

И хотя в данный момент мелкомягкие ведут работы по устранению этой пакостной дырки безопасности, тем не менее для систем Win2Yk и XP SP2, уже снятых с поддержки , ожидать каких либо обновлений безопасности не следует. В этой связи рекомендуется запретить винде выводить иконки для любых ярлыков, а также запретить сервис WebClient для предотвращения атаки через протокол WebDAV.

И хотя винда с отключенным рендерингом иконок выглядит более чем убого, тем не менее если вы решите отключить эту, одну их основных, фич винюка, то необходимо открыть редактор реестра regedit.exe и пройти в ветвь реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Экспортируем данную ветку, для того чтобы зарезервировать её, после чего очищаем значение.

Также Microsoft настоятельно рекомендует ограничить пути запуска программ, сократив их до необходимых системных папок типо C:\, C:\Windows, C:\Program Files. Для этого лезем в оснастку «Локальная политика безопасности», которая находится по следующему маршруту  Пуск -> Настройка  -> Панель управления -> Администрирование. Там выбираем раздел Политики ограниченного использования программ, и так как они не определены по умолчанию, выбираем Действие -> Создать политики ограниченного использования программ, после чего выбираем дополнительные правила и в правом поле щелкаем правой клавишей мышки, выбирая Создать правило для пути. там же можно запрещать запуск программ как по их пути, так и по хэшу исполняемого файла. Также можно перечислить приложения в ключе реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, правда я не пробовал можно ли там открыть доступ к целой папке.

Ну и естественно использовать хостовые ips, фаерволы и антивирусы, на которых своевременно поддерживать актуальные обновления.

Рубрика: IT безопасность, Windows | Отзывов: 2 »

Ошибки при использовании InfoView

Забавная ситуация конечно с просмотром cpinfo файлов, ибо когда я запрашивал эту информацию у тех поддержки check point они мне ответили, что таких утилит у них нет в доступном обозрении, и все это возможно просматривать на их стороне. Однако в usercentre отыскался файлец infoview_360000087_1.exe, доступный для скачивания , который как раз и является смотрелкой и эмулятором для ознакомления с конфигурацией машины и политиками шлюза, полученные путем сбора файла cpinfo. Устанавливаем сию легковесную утилиту и начинаем радостно пользовать для просмотра полученных cpinfo. Единственно несколько напрягает надпись на вкладке о-программе “For internal use only”. Интерфейс прост и незамысловат, в конфиге просмотра можно выбрать какую версию SmartDashboard использовать для открытия собранных политик: если этого не сделать, то для открытия политики будет выбираться наиболее актуальная версия. Также в комплекте поставки идет версия для Provider-1.

И вот при использовании утилиты стали возникать эпизодические проблемы связанные с тем, что политики там или иначе не открывались в InfoView, сопровождая это матерной руганью “Error occured while trying to copy local_plugins_list.C from Gui library” и “The connection has been refused because the database could not been opened”. Собственно удалось побороть это следующим образом: первое сообщение убралось после того, как клиент установил на своем сервере последнюю версию утилиты cpinfo (на данный момент cpinfo_911000096_2) и снова собрал данные по своей системе. Второе сообщение появилось первый раз при открытии, но после того как выпав в Demo-режим, ручками указывалось что следует открывать вариант InfoView, открылась корректно, после чего повторно стала открываться без ошибок.

Так что получается что проблемы лечатся установкой последних версий cpinfo и InfoView, хотя у коллеги на рабочем XP (я пробовал на своем Server 2003 и двух чистых виртуалках XP и 2Yk) выскакивает ошибка, указывающая на то что при открытии возникают какие то проблемы с буффером памяти, что вероятнее всего находится в зависимости от каких то установленных программ или патчей.

Кстати, в процессе копания вскрылся интересный момент что cpinfo собранный на R65 открывается нормально в версии R65.3 SmartDashboard, в то время как в обычной R65, открытие политик приводит к возникновению ошибки The connection has been refused because the database could not been opened.

Рубрика: Check Point | Ваш отзыв »

Сравнение оборудования Cisco и Check Point

Если рассуждать о соответствии оборудования Cisco и Check Point то надо четко понимать некоторые аспекты направленности бизнеса этих двух компаний, ибо эти два вендора принадлежат к разным нишам информационных технологий, поскольку Cisco в первую очередь это телеком и сетевое оборудование, а Check Point это исключительно решения информационной безопасности. По этой самой причине у этих компаний совершенно разный технологический подход к их решениям. Cisco предлагает в своих решениях межсетевых экранов ASA прежде всего межсетевой экран и возможность построения VPN, при этом модульная архитектура позволяющая расширять функционал устройства зачастую предполагает использование только одного решения, например только IPS или только антивирус. Если клиенту необходим больший функционал, то ему, как следствие, либо необходимо менять оборудование на более дорогостоящую модель, либо ставить второе, дополнительное устройство. При этом оборудование Check Point четко ориентировано на защиту информации и поэтому их блейдовая архитектура позволяет увеличивать функционал устройства (ибо сейчас я говорю исключительно об аппаратных платформах UTM и Power) без каких либо ограничений, позволяя включать тот или иной функционал, не задевая работу других сервисов, поэтому можно получить полностью “заряженное” устройство, которое помимо выполнения сервиса брандмауэра и построения VPN, будет служить IPS, антивирус и антиспам шлюзом, обладать богатым функционалом (которого попросту нет в арсенале Cisco) Web Security, обеспечивать URL фильтрацию и работу сетевого DLP на границе периметра. С другой стороны, такие стандартные вещи для Cisco как работа QoS, VoIP, кластеризация, advanced routing (хотя cisco asa, в отличии от решений Check Point не поддерживает BGP) в случае решение Check Point являются отдельными лезвиями и требуют отдельных денег.

Большим преимуществом Check Point является возможность централизованного менеджмента, и управления всем парком шлюзов и иных устройств из единой консоли управления. К тому же, в случае Check Point, администрирование правил фильтрации трафика гораздо проще и понятнее чем управление устройством cisco, где текстовое представление правил может занимать не одну сотню строк. Но в решениях Check Point, менеджмент- это отдельное решение, чья цена также не учитывается при сравнении оборудования этих производителей, тем более что управлять asa можно и из командной строки, в то время как со шлюзами Check Point такое действие не пройдет- для управления ими необходим менеджмент сервер в обязательном порядке, чаще всего он входит в бангл аппаратной платформы (везде кроме Power), но в случае большого количества узлов сервер управления также необходимо лицензировать по количеству управляемых шлюзов, а с новых версий и по числу нод входящих в кластер. Но как говорят цискари GUI менеджмент у cisco оставляет желать лучшего ибо java-решения всегда отличались своей особой и неповторимой неторопливостью в работе.

Далее возьмем характеристики по которым сравнивается оборудование Check Point и Cisco. Чаще всего отправными параметрами являются скорость фильтрации трафика, скорость VPN, число конкурирующих сессий, количество защищаемых пользователей, а для решений высшего эшелона и форм-фактор, ибо разница между 2U и 4U, даже в решении 4нодового кластера, уже весьма ощутима в пределах одной стойки. Секрет в том, что Cisco указывает в своих спецификациях параметры работы при рабочей нагрузке, в то время как Check Point указывает параметры работоспособности при так называемых дефолтных правилах, то есть все разрешено. Как только добавляется 20-30 правил, эта заявленная производительность падает на 20-30%. Тоже самое касается и работы IPS, малейшее усложнение дефолтной конфигурации приводит к потерям до трети заявленной скорости.

Теперь поговорим о стоимости обслуживания оборудования. Знатные цисководы, имеющие большой опыт работы говорят о том, что стать сертифицированным специалистом Cisco в разы сложнее чем специалистом по Check Point, как по количеству экзаменов (в cisco их 6 штук, в то время как в CP максимум 2), так и в смысле качественности экзаменов- на сертификации CP есть только теоретические вопросы, даже если и ситуационные, и не никаких лабораторных работ.

Согласуясь со всем вышесказанным я бы отметил следующие аспекты: не надо безусловно верить всем маркетинговым таблицам, ибо приводимые данные разнятся у различных компаний; следует четко понимать что именно вы хотите от решения- какой функционал и какие задачи оно должно обслуживать; естественно важна стоимость обслуживания. Сложно давать какие либо советы при выборе, но в случае единичного решения от которого требуется исключительно фильтрация трафика, я бы скорее всего остановил свой выбор на Cisco (а то и на бесплатных брандмауэрах под Unix системами , особенно если имеются инженеры этого вендора, которых по статистике гораздо больше чем сертифицированных специалистов Check Point. В случае же если необходимо сложное функциональное решение, или целый парк устройств, то выбор скорее всего тяготел бы в сторону Check Point именно благодаря облегченности менеджмента и более глубоким возможностям как управления, так и мониторинга и анализа проходящего сетевого трафика и происходящих инцидентов.

Рубрика: Check Point | Отзывов: 2 »