Но самое веселое во всем этом, что данная уязвимость была найдена итальянским безопастником Луиджи Ориемма аж в мае 2011 года, и данные о ней были переданы в Microsoft, которые разродились срочным патчем только после того, как данные об этой дырке просочились в инет.

Но еще более забавно, что уже 15 марта на китайских сайтах уже появился эксплоит использующий данную уязвимость и по заголовкам внутри кода, имеется предположение, что ноги данного эксплоита растут из Microsoft MSRC – лаборатории мелкомягких, как раз по отлову подобных дырок.

Так что если у вас таки торчат какие то серваки в инет, то привет от майкрософта- патчите срочняком по данной ссылке с офф.сайта. Хотя конечно памятуя о работе мелкомягких по срочному устранению кртических уязвимостей- как бы эта заплатка не наделала еще больших дырок.

Так что клиентский админ поехал выяснять в чем дело. Опытным путем выяснили что при подъеме канала по каким то причинам не поднимался маршрут, то есть пакеты которые должны были идти через VPN канал в офисную сеть, не инкапсулировались, а вместо этого стучались по дефолтному маршруту. Я с таким пару раз сталкивался на Checkpoint VPN если не правильно задавались параметры сообщества, но тут явно проблема была в системе.

В итоге опытным путем выявили, что проблема в правах на запуск клиента OpenVPN, так как в системе Windows 7 настройки сети устанавливаются с правами администратора, поэтому и клиент должен запускаться с правами администратора, но после установки новых драйверов или устройства принтера эти права почему то съехали на не привилегированного пользователя. Возможно це не багу, це фича Apple’вских систем, но починить удалось именно переназначением прав.

Для того чтобы минимизировать возможные финансовые потери я хотел бы обратить внимание на некоторые аспекты работы, зная о которых можно избежать треволнений и различных потерь. Естественно что эти советы пересекаются с другими темами о компьютерной безопасности, о которых я писал на блоге.

1. Основная задача финансового благополучия состоит в том, чтобы отделить мух от котлет, то есть завести под финансовые дела отдельную машину, естественно виртуальную, и изолированную от общей системы. В неё ставится весь фарш, вроде фаервола, IPS, антивируса, закрываются все не нужные порты, а также программы вроде Webmoney Keeper, бродилки FF с NoScript. Естественно что пользовать эту виртуалку стоит только для проведения финансовых операций, и уж точно не для серфинга и переписки. Жрет такая машина не много, так что 512Мб думаю ей хватило бы за глаза.

2. В Webmoney следует закрыть всю личную информацию как на сайте passport.webmoney.ru, так и в events.webmoney.ru . Зачем кому то, пусть даже и из списка контактов, знать что вы часто меняете баксы или евро на рубли, или обращаетесь к каким то гарантам.

3. При логине в банк рекомендуется использовать виртуальную клавиатуру, естественно если она есть. Если её нет, то пароли также можно держать на виртуальной машине- однозначно имидж в 30гиг у вас не украдут, но обмен данными через буфер обмена лучше обрезать. Ну и даже на виртуальной машине, такие данные лучше всего хранить в шифрованных контейнерах.

4. Всюду где возможно подключить подтверждение транзакций по телефону, который естественно лучше не светить. Оптимально так вообще завести отдельную симку под эти дела, чтобы о её существовании никто не знал, ибо помимо гипотетической возможности клонирования sim карты, возможно умышленное заражение вашего телефона программным кодом, сливающим информацию. Также нельзя сбрасывать со счетом не чистых на руку сотрудников мобильных операторов. Ведь по сути- решение всех вопросов зависит от целевой суммы.

5. Меньше трепите про свои успехи в делах и бизнесе. Интернету совсем не обязательно знать сколько вы выводите с сапы, или сколько выводите с ваших кошельков. Ибо занимаясь всякими финстрипами, вы не только повышаете собственное ЧСВ, но и прикармливаете различных жуликов. Сюда же стоит отнести советы о том, что меньше следует трепаться о  предстоящих поездках, например в социальных сетях. Или хотя бы не озвучивать точные сроки поездки.

6. Старайтесь меньше оставлять следов в интернете- ФИО, личные телефоны, домены с незакрытыми whois- все это может быть использовано против вас.

7. Все сомнительные сделки проводите через гаранта- лучше переплатить 3-4%, чем потерять все. Сказать по себе, я вообще стараюсь не иметь дела со стремными персонажами, разве только прикола ради.

8. Естественно что не стоит скачивать с инета, социалок, форумов не известное ПО и тем более запускать его на своей машине. Для этого стоит завести либо отдельную виртуалку, либо по крайней мере использовать chroot.

9. Если ваши данные находятся на ноутбуке или флешке, позаботьтесь о том, чтобы дисковый массив был зашифрован, так как вероятность того, что вашими данными воспользуются при краже, хоть и низка, но тем не менее не равна 0, а менять стопяцот паролей придя в себя – не лучший выход. Также на шифрованных дисках лучше хранить копии ключей и сертификатов, так как никто не будет ломать ваш PGP диск, так как время потраченное на попытки его вскрытия, кидалы натянут не одну сотню людей.

10. Для платежей в интернете, лучше использовать не ваш банковский счет, или кредитку, а сделать под ней собственный chroot в виде карты виртуал, откуда невозможно списать больше определенной суммы.

11. Не стал бы я и ставить различные платежные терминалы или Webmoney на телефон, ибо телефонам свойственно теряться, и тут можно отписать примерно тоже самое что и в пункте 9.

12. При общении с потенциальным заказчиков или гарантом- не поленитесь сверить номера ICQ, WMID, пробить их по гуглю и если надо, провести какую нить проверку, вроде отправки мейла на гарантированный адрес, например указанный у гаранта на сайте (особенно если персонаж постучался к вам сам). При платежах используйте двухфакторную аутентификацию, вроде кода протекции, который скидываете в личную почту, или же личку на форуме. Лучше показаться параноиком, чем остаться на бобах.

13. Перед оплатой заказа, если совершаете заказ в первый раз, уточните детали- обычно кидалы палятся на том, что не вполне ориентируются в теме, а по ленности и скудоумию не считают нужным поднабраться информации по сабжу.

14. В связи с участившимися в последнее время схемами кидка через третий WMID с высоким BL, не отправляйте средства отправленные вам по ошибке, через выставление счета, а требуйте WMID для прямой отправки средств, и перед отправкой сверьте его с тем, с которого вроде как был проведен ошибочный перевод. Также не стоит переводить платежи на кошельки с BL около 0, и сроком регистрации в несколько дней или недель.

15. Никогда не торопитесь. Это основной постулат, который применим как для онлайна, так и для реальной жизни. Просто не спешите, и скурпулезно изучайте полученную информацию, не поддаваясь на “быстрей, давай, только сейчас, горит!!”

З.Ы Вместо резюме: на самом деле я не улавливаю, почему в данный момент преступники мало внимания уделяют онлайн бизнесу, ибо его представители в своем большинстве молоды и то что называется вдувабельны, то есть повышенное ЧСВ не подкреплено абсолютно ничем, так что в случае серьезного наезда, дети теряются что делать, так как связей у них, по причине антисоциального (в плане социума) существования, нет; милиции они боятся, так как знают из интернетов, что там тоже негодяи одни обитают, так что при кидке в 10-15к рублей жертва никуда не идет. Тем более что ситуация с онлайн бизнесом и налогами в России-Украине, смахивает на ситуацию рэкета цеховиков в 70е года, когда и те и другие юридически были вне закона.

Пока же, по большому счету, преступлениями в этой сфере занимаются дилетанты, по сути те же малолетки, считающиеся себя мега хитрыми, но не имеющие мозгов поднатореть в материале по которому они работают. Наиболее показательной в этом плане, была ситуация с Бормалеем, когда якобы популярного блоггера держали взаперти, переписывая на себя домены и сливая деньги с партнерок.  В последствии вся эта тема оказалась довольно сомнительной в плане правдоподобности, так как в рассказе было много не состыковок и все больше походило на самопиар, но тема такова, что в последние годы выходят сидельцы по серьезным срокам, севшие в начале-середине 90х, и в данный момент они оказываются не у дел. А учитывая, что в интернетах число не пуганных лохнесских чудовищ зашкаливает, то вполне вероятно что сферы интереса, будут постепенно смещаться в онлайн, так что вопрос анонимности в интернете становится с каждым годом все более и более актуальным.

Причем чем хороша и полезна хакерская атака, тем что ей может воспользоваться как оппозиционер, для того чтобы показать всем свою опасность для режима и оцененность потенциальным противником- вы думаете я бяклан какой то, а мне вот блог атакуют, DDoS делают; так и официальный орган существующей власти.

Вот и в это воскресенье эпический epic fail российской космонавтики, разворованной и разрушенной за последние 20 лет напрочь, вылился в какой то абсурдный водевиль с переодеванием. Исследовательский корабль, чьей точкой назначения был Марс, а конечной точкой прибытия стала таки транзитная остановка на земной орбите, в эти выходные должен был упасть кому то на голову, так что в итоге половина земного шара, затаив дыхание следила за точкой приземления улик не целевого вложения 5ккк рублей. Но Роскосмос, по каким то причинам решил притормозить с инфой о месте падения, вероятнее всего ими руководила невозможность определить место падения (мы ведь помним, что наш супер экстра-марсоход, о котором трубили все каналы,  первыми таки обнаружили европейцы, сдав его с потрохами нашим). Ну и вот в этой ситуации лучшим способом сделать хорошую мину при плохой игре, оказалась DDoS атака направленная на сайт Роскосмоса, который оказывается хостится на Мастерхосте. Так что сайт Роскосмоса был в дауне всю ночь и заработал только 16 января, после того как военные уже отыскали место падения спутника. При том в СМИ идет инфа про какого то стрелочника, который обнаружив возросшую нагрузку на сервер, рубанул рубильник. Прям постановка Гамлета в пионерском лагере какая то.

Отличная связка на самом деле – говнохостинг с которого нормально идут DDoS атаки, и который находится во всех возможных блэклистах, причем не только RBL, но и Google, считающего что их пул IP адресов является рассадником говносайтов (так что Мастерхост это кошмарный сон seo’шнега); и космическое бюро, у которого падает все что только можно. Причем абсурд доходит до того, что людям хватает наглости нести такой вот бред: “Глава Роскосмоса Владимир Поповкин ранее сообщил “Известиям”, что не исключает, что авария при запуске межпланетной станции могла произойти из-за внешнего на него воздействия. “Не хочется никого обвинять, но сегодня есть очень мощные средства воздействия на космические аппараты, возможности применения которых нельзя исключать”, – заявил он в интервью изданию.” Единственное что забыли добавить- “и заговорщицки подмигнул правым глазом” ©.

Интересно было бы конечно пообщаться  с IT директором Роскосмоса, не только сделавшим такой правильный выбор в пользу Мастерхоста, не имеющего достаточных средств защиты от DDoS атак (про DDoS Mitigation надо полагать в Мастерхосте и не слышали никогда), так что приходится гасить клиентские серваки; но и видимо создавшим команду, где инженеры тоже не вкуривают, как защиищаться от DDoS атак, что такое зеркала сайта или кэширующие сервера для критичных сервисов. Ну или же, что более вероятно, как обычно все списали на айтишников.

И вот случайно набрел на один форум, где зарегался, после чего полез смотреть, что пишут. И оказалось что это форум являющийся поддержкой некоего программного продукта под названием  Sandboxie. Как явствует из названия, продукт представляет собой песочницу для винды, то есть витиевато выражаясь: виртуальное, защищенное окружение эмулирующее для устанавливаемой программы или запущенного процесса полноценную работы системы, без необходимости установки в систему. При этом сам sandbox изолирует все процессы от ядра системы и выделяет ограниченную зону дискового пространства для записи в систему, тем самым повышая безопасность  работы хостовой машины, и позволяя запускать не доверенные процессы и приложения, не прибегая к помощи виртуальных машин. Также подойдет, например, для использования при браузинге в интернете, так как пробив браузера, не нанесет машине никакого урона, так как все злонамеренные действия эксплоита будут проходить в виртуальной изоляции песочницы.

Программа написана на C++ и поддерживает всю линейку продуктов рабочих станций от Win2Yk до Windows 7, как 32, так  и 64битных версий.
Выглядит убедительно, к тому же на официальном сайте программы sandboxie много положительных отзывов, и ссылок на ревьюхи, но я пока тестирую в виртуалке, от греха и ядра подальше. Приложение простое в работе и быстрое, так что даже пытался запустить какие то ломалки, но все прошло успешно.

Естественно что для крупного корпоративного сайта, да и простого интернет-магазина, завязанных на продажах через интернет, каждый час простоя чреват финансовыми потерями, а при заинтересованности злоумышленников, или заказчика, подобная атака может идти неделями. Тем более что и стоимость атак может розниться от 3-4к зелени в день за атаку на ресурсы уровня ЖЖ, до сотни баксов за аут небольшого интернет магазина, хостящегося на шаред хостинге. Помимо финансовых потерь, для небольших проектов DDoS атака чревата баном аккаунта, так как большинству хостеров не нужны проблемы подобного характера, так как при распределенной атаке страдает не только целевой сайт, а как минимум вся хостинг ферма атакуемого сервера, а в случае небольшой компании подобная атака может привести к недоступности всех его ресурсов. К тому же целью DDoS атаки может быть как вывод сервера из строя, так и попытка скрыть более серьезные действия злоумышленников по получению несанкционированного доступа к атакуемым серверам и сайтам.

В этой связи существуют несколько видов борьбы с DDoS атаками:
1. Прежде всего ваш хостинг должен иметь защиту на уровне провайдера, так как часть атак можно отфильтровать на уровне доступа к сети, путем бана определенных пакетов, или же определенных IP адресов и сетей. Естественно что подобное оборудование весьма дорогостоящее, и только небольшая часть хостингов предлагает подобную защиту.
2. На самом сервере должны быть установлены необходимые заплатки, позволяющие не реагировать на различные типы DDoS атак, а также анализатор пакетов позволяющий отправлять в бан атакующие адреса.
3. Использовать сторонние сервисы, на которые средствами DNS заворачивается трафик, и они либо проксируют доступ к серверу, либо выдают статический контент на своей стороне. Естественно что эти услуги крайне не дешевы, поскольку используют избыточные серверные мощности.

Вот собственно на подобных сервисах, я бы и хотел остановиться отдельно:
1. Qrator.net – расписано все очень слажено, но по деньгам выходит жестковато. Пишут, что работают на ура, и все проблемы решабельны. Правда и денег за эт просят не мало.

2. DDoS-protection – тоже выглядит довольно убедительно и отзывы хорошие, но не понятно что по деньгам. Видимо такие суммы, что не стоит публиковать, чтобы не отпугнуть потенциальных клиентов. Но судя по подборке клиентов, сервисом много кто пользуется.

3. Как сказали на мауле хостинг Hostace вроде как специализируется на подобных решениях. У них в услугах не указано, так что видимо это выводится из личной беседы со спецами, типо как аренда хрумака. О которой никто не говорит, но она подразумевается.

4. Также на мауле есть чел, который как раз предлагает фронт-энд на своем или вашем оборудовании. Собственно его контакты есть в теме.

Как раз накануне мы вывели оттуда основную сумму, накопившуюся за последние полгода работы, так что оставалось еще баксов 75$, ну да не суть. Ибо суть в том, что Chrome помимо того что палит машины, так еще и история самое сессии идет в какой то внутренний анализатор, который на основе установленной сессии увязывает акки между собой. Причем в гуглевой лицемерной традиции, когда аккаунт банится навсегда, но сайты ты можешь поместить в аккаунт, например зарегистрированный на родственника, и продолжать работать. Но при этом если какого нить гуглевода клюнет в жопу петух, на предмет того что эти два аккаунта связаны между собой- хотя если это мой родственник, то не мудрено что у нас и компьютер один на двоих; то Google оставляет за собой право побанить все к ядреной фене. Собственно, видимо, все и случилось именно так и в этот раз.

Хотя есть смутные опасения, что это могли быть недействительные клики, видимо создававшиеся у меня на сайте почитателями таланта, так как раз в 2-3 суток происходил всплекс кликабельности, выдававший по 30-40 кликов по адсенсу. Но учитывая что я писал в адсенс на эту тему дважды, это более чем странно. Да и не верю я в такие совпадения, чтобы раз и вот в течении пары часов.

Но по крайней мере если с гуглевским адсенсом тема остается открытой, то с гуглевским хромом, я для себя уже все понял.

Попытка поставить или обновить не увенчалась успехом, так что стал копаться и обнаружил что оказывается Chrome не дружит с веткой RHEL5, и поддерживается только в версии RHEL6. Переставлять операционку мне уже не хотелось, так что пошукав по инету, нашел пофиксенный исходник Chromium переписанный Ryoji Kamei, который можно скачать с его сайта. Ставится ручками из yum, после добавления репозитория, но там собственно все расписано довольно подробно.

Но поскольку у меня операционка была сделана для определенных задач, то места оказалось не достаточно, так как требуется около 400Мб, и в итоге я, плюнув на все с прибором, полез смотреть работу данной прилады таки в винду. Тут конечно пришлось пошайтанить с проксями и впнами, чтобы гугель не совсем понял откуда пришел данный запрос, но вообщем установил я эту приладу  с данной страницы WebStore – надо отметить, что это бета-версия и весит она 20 метров. К тому же цепляется данная тулза к вашему аккаунту в системе google.

После установки на ваш компьютер, а точнее в вашу бродилку, данная прилада генерит уникальный 12ти значный код, на основе которого и происходит инициализация сессии. Код действителен порядка нескольких минут, в течении которых вы можете инициировать подключение, введя данный код в машине с которой необходимо подключиться. После чего вы получаете совместный доступ к компьютеру, по аналогии с TeamViewer, а целевой рабочий стол получает предупреждение что к нему подключился пользователь с мылом, которое вы указывали при логине в Google. Сама сессия строиться через рандомныйID@id.talk.google.com, и на самом деле довольно ощутимо подтормаживает, именно ввиду того что вы соединяетесь не peer-to-peer, а через средства Google. И вот тут встает большой вопрос, насколько данный вид связи безопасен и закрыт для третьих глаз, поскольку сообщение идет через ssl канал и канал Google-talk, но через гуглевые серваки: 74.125.43.126:443 и 173.194.35.227:19295.

Естественно, что помимо RDP вы получаете еще и видео-чат связь, но помнится еще Гомер изрек “Бойтесь данайцев, дары приносящих”, ибо SSL вещь хорошая, но памятуя о разговорах вокруг зарождения компании Google и участия в этом министерства обороны США, есть небольшое подозрение в том, что никто не мешает ставить на стороне данайцев в смысле компании Google так называемый ssl-декодер, который занимается дешифровкой сессии, преобразуя её в удобочитаемый, для “операторов”, формат. А учитывая что люди предоставляющие данный сервис, через бродилку Google Chrome пробивают практически любые защиты- у меня были пробиты: фаервол конечной машины, виртуальный NAT и фаервол хостовой машины, а также внешний рутер, то подобная тулза становится отличным способом влезть к вам в компьютер, и что самое главное – абсолютно добровольно с вашей стороны.

Благо данная сессия закрывается вместе с Chrome, или же нажатием на кнопку разорвать соединение, но теперь надо просимофорить что случается после её закрытия, так как в моем случае дополнительных сессий после закрытия сессии я не обнаружил, но тема с таким вот доступом к своему компьютеру, причем с полными правами, вплоть до выключения, не может не радовать.

Стал ковыряться и обнаружил в логах ipmon интересные записи:
Date em1 @0:38 b LAN_IP,port -> VoIP_server,port PR tcp len 20 60 -S OUT OOW
Date em1 @0:58 b VoIP_server,port -> LAN_IP,port  PR tcp len 20 81 -AP IN OOW NAT
Date em1 @0:58 b VoIP_server,port -> GW_LAN_IP,port  PR tcp len 20 81 -AP IN OOW NAT

Собственно самое интересно в этом флаг OOW, который переводится как out of window, и является багом фильтарции пакетов для которых правило идет со статусом keep state, то есть в момент установленного уже соединения, которое фаервол должен пропускать, он вдруг решает, что это неожиданный пакет и банит его именно по причине OOW. В моем случае- все эти прохождения пакетов были разрешены, и все блокировки были именно по флагу OOW.
Бороться с этим можно двумя способами: либо пропатчив фаервол, либо исключая из правила флаг keep state. Я предпочел последний, тем более что у меня баг срабатывает только на VOIP трафик, тогда как остальной продолжает ходить с флагом keep state.

Самое унылое во всем этом, что судя по инетам данная проблема была пофиксена еще на версии 1.3b5, тогда как у меня в данный момент используется:
# ipf -V
ipf: IP Filter: v4.1.28 (400)
Kernel: IP Filter: v4.1.28
так что видимо с оказией надо будет подумать об обновлении на текущую версию 5.1.0

Кстати просмотреть пакеты дропающиеся по out of window можно с помощью команды:
# ipmon -oI
Тогда как увидеть список загруженных правил можно с помощью команды:
# ipfstat -nio

После чего через полученный доступ на сайт заливается многотысячник якобы содержащий драйвера различных устройств, а по сути как раз модификации троянца Trojan.Mayachok.1 , который, установившись на целевой компьютер, при обращении к ряду популярных сайтов, перенаправляет пользователя на фишинговый сатй, предлагая ввести номер телефона и ответить на полученное смс, вроде как от администрации ресурса.

В связи с чем компания Dr.Web на начало сентября зафиксировала более 21к случая заражения сайтов, которые после хищения паролей стали донорами для распространения заразы по интернету.

В связи с чем хотелось бы напомнить всех пользователям интернета элементарные правила интернет-гигиены: работать в Интернете только при наличии актуально обновленных антивируса + фаервола и системы предотвращения вторжений IPS, не открывать ссылки от неизвестных адресатов, а при открытии – копировать их из почтовой программы в окно браузера и проверять соответствие конечного адреса и желаемого. При открытии странной странницы, вызывающей недоверие, не нажимать никаких кнопок- как ОК, так и просто каких либо диалогов- максимум что можно- это по-тихому закрыть окно. Также не рекомендуется ротозеям хранить пароли в ftp-клиентах, хранящих их в открытом виде, хотя как пишут – шифрованные пароли также становятся жертвой взлома. Также стоит ограничивать пользователя под которым вы лазите по интернету, в правах на машину, и желательно давно уже перейти на Windows 7, как наиболее защищенную из всех имеющихся в наличии, на данный момент, систем.

способен положить практически любой веб-сервер под управлением Apache, если на нем не выставлены лимиты на размер выделяемой памяти под процесс. Скрипт эксплуатирует ошибку в реализации поддержки загрузки частей файла с использованием gzip-компрессии передаваемых данных, которая вынуждает сервер расходовать на каждый фрагмент слишком большое количество памяти.

Сразу надо отметить, что данной уязвимости не подвержены сервера на которых php собран без поддержки gzip. Также по идее можно выставить лимиты на использование памяти, и подключений с одного IP адреса. Тем не менее, даже не смотря на это, по заверениям спецов Apache, по интернету последние несколько дней прокатилась волна DoS атак на сервера под управлением Apache. Для Apache 2.2.x в самое ближайшее время обещают выпустить патч, устраняющий данную уязвимость, а вот пользователям 1.3.х придется довольствоваться закрытием данной уязвимости на своих серверах, посредством некоторого количества уловок, так как ветка 1.3.х уже не поддерживается.

Закрывается данная уязвимость с помощью:
1. блокировки длинных последовательностей Range через mod_rewrite (для обеих веток):
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* – [F]
2. с помощью mod_header, выставлением RequestHeader unset Range
3. с помощью SetEnvIf для Apache 2.Х:
# Удаляем заголовок Range, если в нем более 5 диапазонов
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
# помещаем в лог попытки атаки
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
4. использования лимита для максимального размера поля LimitRequestFieldSize 200, где 200 – размер параметров в байтах
5. также данная уязвимость может быть локализована за счет использования проксирования сервером ngix, путем запреты проксирования опасных заголовков:
proxy_set_header Range “”;

В этой связи следует произвести некоторую не сложную настройку браузера:
1. Открывает браузер FF и вбиваем в адресную строку сервисный адрес about:config ;
2. Находим строку network.negotiate-auth.delegation-uris (проще всего вбить её в строку фильтра);
3. Дважды щелкаем на неё мышкой и вводим в открывшееся поле наш прокси сервер, через который будет работать (если планируем использовать несколько, то вбиваем их через запятую) и сохраняем;
4. Проделываем ту же процедуру (описанную в п.2 и 3) с переменной network.negotiate-auth.trusted-uris;
5. Находим переменную network.ntlm.send-lm-response и двойным кликом переключаем её в состояние true;
6. В настройке FF вставляем наш прокси сервер и порт (Инструменты -> Настройка -> Дополнительный -> вкладка Сеть -> раздел Соединение -> Настроить -> Ручная настройка);
7. Все сохраняем и открываем нужный нам сайт- после того как выскочит приглашение на ввод пароля- вводим логин и ставим галку сохранить.

З.Ы. Ну и на закуску прикольный момент от FF- введите в адресной строке сервисный адрес about:robots и поймете, что программеры Mozilla не только читали Айзека Азимова, но и обладают чувством юмора. Также если ввести адрес about:mozilla то будут показываться цитаты из выдуманной книги Mozilla, адрес же about:about выведет весь список возможных адресов (данный функционал не поддерживается в версии 3.6)

SOCKS сервера я откинул сразу, ибо при всей многофункциональности, они в плане работоспособности и быстродействия, значительно уступают HTTP прокси серверам. Для начала я воспользовался имевшимся у меня в наличии сборщиком прокси серверов, и напарсил себе с инета базу в районе 10к проксей. После этого, прогнав через пару чекалок, оставил около полутора штук, но после проверки на анонимность, выяснилось, что использовать можно от силы штук 300. На самом деле, относительно анонимности, я проверял только на счет полной перезаписи пакета, ведь не секрет что прокси сервер, в зависимости от своего типа, либо дописывает к заголовку свою инфу, и тогда отправитель выпаливается, словно он работает без прокси; или же заголовок сетевого пакета переписывается полностью, и тогда для целевого хоста, отправителем будет являться прокси сервер. Но помимо этого, если уж мы говорим про анонимность в интернете, то также надо интересоваться логированием на прокси сервере, ибо через него проходит много различной инфы. Собственно то, что называется элитные прокси, как раз и является сервером полной анонимности- с полной перезаписью пакета, по так называемому level 1 проксирования.

После этой фильтрации я приступил к работе с оставшимся списком, но терпения хватило на день, так как прокси сервера постоянно то уходили в бан, то были недоступны, то начинали дико тупить. Пересканив первоначальную базу, я обнаружил, что часть IP стала недоступной, а часть, напротив, поднялась. Тем более что и софтина тоже тормозила и фейкала, так что, не мудрствуя лукаво, я решил обратиться к публичным спискам.

С ними, по сути, получилась такая же тема, как и со спарсенными проксями, то есть как тока прокси сервер появлялся в списке, с ним некоторое время возможно было работать, после чего на него, по видимому, приходила вся толпа юзверей, в результате чего прокси либо начинал дико тормозить, либо уходил в бан. И так же как и со спарсенными списками, больше времени уходило на поддержку актуальных и работающих списков, чем на работу с ними. Так что вариант оставался только один – купить прокси сервер. Но поскольку покупка анонимного прокси сервера вещь муторная, то пришлось порыться в инете, пока я не нашел обьяву на одном из вебмастерских форумов, в которой предлагали купить пачками анонимный прокси сервер в США и Европе. Списавшись с ТС, я довольно быстро прикупил пару проксей на тест. Со слов продавца- это безлимитные прокси сервера, на которых живет максимум 3 человека. Потестив, я получил со стримовской сетки время отклика: от европейских прокси порядка 230ms, а от прокси в Америке порядка 340ms.

Приколол конечно ответ продавца, когда я двинул тему на счет того, что будет, если я например решу использовать данные прокси для брута (чисто гипотетически) на что получил ответ, что в принципе продавцу по большому счету все равно в каких целях я планирую использовать купленные прокси сервера, но он надеется на мою добропорядочность. Так что в итоге я прикупил пачку из 10 прокси серверов из Америки и Европы, всего за 20$, которые и пользую в данный момент. Скорость действительно прилично возросла, так что позволяет теперь одновременно парсить поисковые системы, чекать результаты постинга и одновременно постить из двух копий. Единственный момент, что прокси серверы эпизодически попадают в бан у поисковых систем, но он спадает где то в течении получаса. Однако все таки, уже подумываю о том чтобы еще купить прокси серверов хотя бы штук 10, тем более что и хрумак все таки надо брать в ближайшее время.

Ну и поскольку продавец проксей обещал выдать в следующий раз небольшую скидку  на покупку анонимных прокси в Америке, то даю линк по которому  можно купить прокси сервер в США и Европе.

В этом ключе я хотел бы затронуть безопасность веб-сервера или хостинга, ибо при получении к нему доступа, злоумышленник способен использовать посетителей уязвленного ресурса для своих целей- самыми мягкими из которых будут перенаправление трафика на свои ресурсы. Поэтому так важно минимизировать вероятность несанкционированного доступа к вашему ресурсу.

Для начала крайне желательно что бы каждый сайт на хостинге принадлежал отдельному пользователю, и под каждый сайт была бы заведена отдельная SQL база с различными правами доступа. Крайне желательно, чтобы движок сервера баз данных использовал для своей работы только соединение через localhost. Права на все файлы в папках ваших сайтов должны быть выставлены на чтение, кроме тех где необходимы права на исполнение или запись. Для каждого сайта желательно иметь собственного пользователя FTP, который бы имел доступ только в корневую папку сайта. По хорошему- общий доступ к папке сайтов лучше отключить, или привязать к своему IP. Если у вас IP динамический, то перепривязать его из панели управления займет лишнюю минуту, но это обезопасит ваш сайт от взлома ftp аккаунта или кражи пароля из ftp клиента.

После этого можно приступать к настройке защиты через консоль управления хостингом. Я расскажу про cpanel, ибо я предпочитаю использовать именно её, так как меня устраивает функционал и интерфейс, при том что на моем хостинге она стоит на 4 бакса дороже чем никакой DirectAdmin. Итак в cpanel есть раздел Security Center, который и отвечает за закручивание гаек в системе безопасности веб-сервера. О всех рассказывать не стану, так как там довольно много разделов, а поведаю о наиболее, на мой взгляд, важных:

1. mod_userdir Protection : здесь можно отключить возможность чтобы ваши домены были доступны по имени пользователя под которым заведен сайт, по адресу: хттп://дефолтныйхостнейм/~username
В принципе этот функционал советуют отрубать, иначе все переходы по данным урлам будут засчитаны для дефолтного домена, то есть в случае реселла вас смогу легко накалывать благодарные юзвери. Но если вы используете хостинг только для себя, я не уверен что это так уж и страшно.
2. Compiler Access: отрубает доступ к компилятору С на веб-сервере, для не привилегированных юзверей, в том числе и владельцев сайта. Очень полезная штука, ограничивающая возможности злоумышленника при попытке взлома со стороны пхпшных шеллов.
3. cPHulk Brute Force Protection: одна из самых полезных штук, позволяющая предотвращать атаку переборки паролей. Включив этот твит- вы будите удивлены тому, как часто вам пытаются ломануть аккаунт, так что в итоге я выставил 3 максимальные попытки, после которых идет бан по IP адресу на 2 недели. Также можно настроить уведомления о логинах рута и отловленных атаках, тогда в этих случаях будет приходить письмо в линками на бан IP и сеток по маскам 16 и 24. Но вам надо будет настроить в зоне домена сервисный субдомен для бана, а также привыкнуть к тому, что вам будет падать уведомление и о системных входах рута.
4. Host Access Control: фактически фаервол, позволяющий настроить права доступа для определенных сервисов к хостингу. В случае динамических адресов, может стать проблемой, так как придется либо открывать сетке, либо пересоздавать правила каждый раз.
5. Manage root’s SSH Keys: очень полезная штука, позволяющая обезопасить ssh соединение с сервером, путем использования аутентификации не паролями, а на уровне сертификатов. Для начала надо сгенерировать сертификаты, путем клика на Generate a New Key и следуя указаниям (пароль и логин следует запомнить, а лучше записать). Создав их – говорим для ключей download key, после чего копируем представленный текст в блокнот и сохраняем под одним именем файла: Public Keys с расширением pub, а  Private Keys без расширения файла. После чего ныкаем файлы куда-нить вглубь операционки. После чего заводим новое соединение, выбрав в качестве метода аутентификации сертификат, и указываем публичный ключ (он должен находиться в одной директории с приватным), после чего вводим имя пользователя которым хотим залогиниться в систему, например root, и пароль который мы вводили при создании сертификата. Если соединение прошло успешно, то идем в раздел SSH Password Authorization Tweak и отключаем аутентификацию по паролю. Так что теперь к нашему ssh серверу мы можем подключиться исключительно с использованием сертификатов.
6. Quick Security Scan: здесь можно просканить сервер на предмет не нужных портов и сервисов, запущенных по умолчанию.
7. Scan for Trojan Horses: очень полезная штука, позволяющая сканить ваши директории, на предмет выявления троянов, подсунутых вам в систему. Рекомендуется эпизодически запускать, чтобы быть уверенным что у вас на сайте не шуршит какая нибудь нечисть.
8. Shell Fork Bomb Protection: полезная штука для ресселеров, позволяющая предотвратить запуск из шела каких либо циклов и процессов, способных переполнить память и тем самым привести к краху системы.
9. Security Questions: также полезная опа, для предотвращения несанкционированного доступа к системе, путем создания листа разрешенных IP адресов, и при попытке логина с не зарегистрированного IP адреса выдающего вопрос. В случае правильного ответа- пользователь входит в систему, а IP вносится в базу разрешенных адресов.
10. SMTP Tweak: заточка SMTP, которую также можно произвести на странице настроек – Server Configuration >> Tweak Settings, которые я настоятельно  рекомендую просмотреть, так как там можно поотключать много чего не нужного.

Собственно эти небольшие настройки позволят повысить безопасность вашего веб-сервера простыми настройками из понятного интерфейса cpanel и придать вашему сну размеренность и спокойное дыхание.

После внесения изменений в правила фаервола, данные правила можно применить без перезагрузки фаервола, просто перечитав файл правил, причем это может быть как дефолтовый файл, так и рандомный:
# ipf -Fa -f /etc/ipf.rules
где,
-Fa сброс всех правил фаервола.
-f указывает фаайлец с новыми правилами фаервола (так что не ошибитесь, ибо как вы помните фаервол мы собираели с блоком по умолчанию)

Полную статистику работы фаервола с момента загрузки системы  можно просмотреть командой
# ipfstat
При этом ключ -ih выдаст количество входящих пакетов, со статистикой прохождения или блокировок с попаданием в правила,
ключ -oh выдаст туже статистику для исходящих пакетов. Это отличное подспорье в оптимизации работы фаервола, путем помещения наиболее часто используемых правил фаервола наверх таблицы.
Обнулить эту статистику можно командой
# ipf -Z
Просмотреть проходящие пакеты в режиме реального времени, можно командой
# ipmon
собственно её вывод и пишется в логфайл.

При использовании ключа  -n адреса и порты будут преобразованы в хостнеймы и сервисы, что довольно удобно для мониторинга того- кто где сидит в данный момент,
а при использовании ключа -x данные проводящих пакетов будут выводиться в hex-коде, что тоже может доставить много интересных минут сисадмину.
Используя команду ipnat можно просматривать таблицу состояния адрес трансляций:
# ipnat -l выведет все открытые на данный момент трансляции адресов
# ipnat -s выводит статистику работы адрес трансляции
# ipnat -F обнуляет все активные соединения из актуальной таблицы адрес трансляций

У ipnat есть, по умолчанию вшитое, количество возможных открытых сессий, и проверить его можно командой:
# ipf -T list | grep nattable
и вероятнее всего вы получите ответ что максимальное число открытых сессий 30к, что для большой сети не так уж и много, так что увеличить это число можно добавив в файл rc.conf следующую строчку:
ipfilter_flags=”-D -T ipf_nattable_sz=10009,ipf_nattable_max=200000 -E”
и перегрузив ipfilter, тем самым увеличив число сессий до 200к.
Также если ваш ipnat.rules предполагает более 127 правил, которые установлены по умолчанию, вам необходимо  также добавить в переменную ipfilter_flags файла rc.conf ключики ipf_natrules_sz=1023,ipf_rdrrules_sz=1023
Еще один момент касаемый уменьшения таймаута TCP сессии, что также позволит оптимизировать работу NAT, так как многие сессии сохраняются в таблице не смотря на то что соединение уже давно закончилось. Для этого добавляем во флаги, также ключи fr_tcptimeout=180,fr_tcpclosewait=60,\
fr_tcphalfclosed=7200,fr_tcpidletimeout=172800
В итоге на выходе в rc.conf имеем следующее выражение:
ipfilter_flags=”-D -T ipf_nattable_sz=10009,ipf_nattable_max=200000,fr_tcptimeout=180,\
fr_tcpclosewait=60,fr_tcphalfclosed=7200,fr_tcpidletimeout=172800,\
ipf_natrules_sz=1023,ipf_rdrrules_sz=1023 -E”

Наконец то дошли руки, до воссоздания манула по настройке фаервола на базе системы FreeBSD, который помимо стабильности, надежности и безопасности отличается еще одним немаловажным, для многих компаний, качеством – это бесплатный фаервол. Большая часть настроек выработана годами опытной эксплуатации, так что они означают уже припомнить довольно сложно, да и к тому же  займет еще полстатьи, так что вероятнее всего часть настроек, которые я не рассматривал в данной статье, я распишу несколько позднее.

Переведем данное мероприятие сразу же в плоскость экономической выгоды для сисадмина, ибо на мой взгляд, настройка программного брандмауэра находится на втором месте, после лечения компьютера от вирусов, и перед восстановлением данных- по соотношению заработанных средств к затраченному времени. Поскольку на настройку программного фаервола на базе FreeBSD тратится от 6 до 10 часов, с момента как вы включили пустую машину, до момента когда вы можете уже включать данный сервер в разрез сети. Естественно, что поднять сам фаервол займет от силы полтора-два часа на создание и обкатку правил: большую часть времени занимает пересборка и апгрейд системы.

Также надо отметить, что данный пост повествует исключительно о настройке фаервола, а не унифицированного средства защиты с потоковым антивирусом и IPS, о которых я возможно поговорю позднее.

Итак- настраиваем программный фаервол на базе FreeBSD.

Ставить буду ipfilter, исключительно по идейным соображениям работы ipfw с NAT и тем что сам функционал ipfilter для меня проще и давно изучен (опять же про установку PF расскажу как нить позже, но его ставить на конторский фаервол усомнился, так как имеются траблы с многопоточностью). Описывать процедуры я буду не полностью, так как, о части работ я уже писал ранее, так что просто отошлю к этим постам.

Для начала поднимаем сервер FreeBSD (я для последнего раза выбрал систему FreeBSD 8.2), на котором проводим обновление системы и дерева портов, после чего раздракониваем нашу систему на предмет повышения безопасности. После этого пересобираем ядро системы, отключая не нужные нам дрова (тут не лишне будет перелопатить dmesg на предмет наличия устройств, чтобы не забанить что-нить архиважное- например IPv4 вместо IPv6), и предварительно включив в ядре поддержку ipfilter:
options     IPFILTER # поддержка IPFilter
options     IPFILTER_LOG # поддержка логирования IPFilter
options     IPFILTER_DEFAULT_BLOCK # блокируем все пакеты по умолчанию
options     IPFILTER_LOOKUP
также, если не добавляли при настройке усиленной системы, то ставим следующие опции ядра
options IPSTEALTH # не увеличивает счетчик TTL при прохождении пакета
options TCP_DROP_SYNFIN # дропаем SYN/FIN пакеты, но не работает вроде как с 7 ветки
options SC_DISABLE_REBOOT # запрет перезагрузки сервера через Ctrl+Alt+Del
options         SOFTUPDATES # включение технологиии softupdate для тюнинга работы системы

По хорошему, перед правкой ядра стоит на всякий случай почитать следующие файлы, хотя бы для повышения личной образованности, а уж в случае наличия ошибок при сборке ядра- однозначно:
/usr/sys/UPDATING
/usr/src/sys/conf/NOTES

Пересборку ядра проводим с включенными опами, только в случае локальной установки, в случае же удаленной установки, от греха- сначала настраиваем правила ipf и врубаем поддержку фаервола в rc.conf, только после чего пересобираем ядро, чтобы не получилось лока фаервола в удаленном офисе, что является классическим косяком удаленного админа.

Затем включаем в системе поддержку фаервола, путем добавления следующих операндов в файл /etc/rc.conf :
######################################
ipfilter_enable=”YES”
ipnat_enable=”YES”
ipfilter_rules=”/etc/ipf.rules”
ipnat_rules=”/etc/ipnat.rules”
gateway_enable=”YES”
icmp_bmcastecho=”YES”
ipmon_enable=”YES”
ipmon_flags=”-D /var/log/ipmon.log &”
########################################

Создаем вышеупомянутые файлы ipf.rules и ipnat.rules , делаем их владельцем root и задаем на них права 644. Затем создаем правило полного доступа для всех в файле /etc/ipf.rules. Естественно что помимо lo0, добавляем все имеющиеся в системе интерфейсы и особенно те, через которые мы и настраиваем сервер- в моем случае это внутренний интерфейс rl0.
#################################
pass in quick on lo0 all
pass out quick on lo0 all
pass out quick on rl0 all
pass in quick on rl0 all
#################################

После этого можем пересобирать ядро и перегружать машину с тем, чтобы инстальнуть новое ядро, а затем, сыграв победное соло на бубне, по корректной загрузке машины, продолжить настройку остальных опций.

Далее несколько подправляем работу ядра через файл настроек  /etc/sysctl.conf для добавления всяческих фич противодействия DoS и DDoS атакам, а также повышению безопасности системы, которые сохраняются, благодаря файлу, в системе и после перезагрузки. Здесь их подробно описывать не буду, а как нить позже приведу полный разбор полетов- пока просто вписываем в указанный файл следующие значения (файл создаем при его отсутствии):

net.inet6.ip6.redirect=0
kern.ipc.somaxconn=32768
net.inet.tcp.blackhole=1
net.inet.udp.blackhole=1
net.inet.tcp.msl=7500
net.inet.tcp.sendspace=32768
net.inet.tcp.recvspace=32768
net.inet.tcp.syncookies=1
net.inet.tcp.log_in_vain=1
net.inet.udp.log_in_vain=1
net.inet.tcp.sack.enable=1
net.link.ether.inet.max_age=1200
net.inet.ip.redirect=0
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.ttl=64
net.inet.ip.random_id=1
net.inet.ip.forwarding=1
net.inet.ip.check_interface=1
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
net.inet.icmp.maskrepl=0
net.inet.icmp.icmplim=30
net.inet.icmp.icmplim_output=0
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1

net.inet.tcp.drop_synfin=1 # если подключили в ядре опцию TCP_DROP_SYNFIN

Затем настраиваем ротацию логов фаервола, для чего устанавливаем пакет logrotate:
# cd /usr/ports/sysutils/logrotate/
# make && make install && make clean
Создаем и настраиваем конфиг ротации логов:
# cp /usr/local/etc/logrotate.conf.sample /usr/local/etc/logrotate.conf
добавляем в файл logrotate.conf следующие строки
############### logrotate.conf
/var/log/ipmon.log {
Daily # какова периодичность ротации логов
rotate 14 # какое количество логов хранить
missingok # игнорировать отсуствие файла ipmon.log
notifempty #  не обрабатывать лог файл, если он пустой
noolddir # содержать все файлы логов в одном каталоге
compress #  сжимать обработанные логи
postrotate # описание что делать  с ipmon после ротации
/sbin/killall -HUP ipmon # в нашем случае перезапустить ipmon
endscript #  конец описания действия после ротации
} #   конец описания ротации файла протокола ipfilter
###########################

Добавляем наш ротатор логов в крон:
0 1 * * * /usr/local/sbin/logrotate -s /var/lib/logrotate.status /usr/local/etc/logrotate.conf

Создаем сам лог файл через команду
# touch /var/log/ipmon.log
ибо автоматом он не создастся, и с чувством глубокого удовлетворения переходим к настройке правил фаервола и адрес-трансляции пакетов.

Начем с правил NAT ибо их меньше и они проще (предположим что внешний интерфейс fxp0). Надо отметить что правило проксирования исходящих ftp-сессий ставится первым, за ним идут адрес-трансляции для внутренних серверов (адрес Server-FW_external_IP поднимается алиасом на внешнем интерфейсе фаервола), если их необходимо представить в инете, а за ними уже следуют правила ната для сетки:
####### /etc/ipnat.rules #######

map fxp0 internal_NET_IP/24 -> FW_external_IP/32 proxy port ftp ftp/tcp
### Безусловная трансляция на внутренний адрес
map fxp0 Server_exnternal_IP/32  -> Server-FW_external_IP/32
bimap fxp0 Server_external_IP/32 -> Server-FW_external_IP/32
##########
### Редирект порта с внешнего интерфейса фаервола на внутреннюю машину (как пример RDP)
rdr fxp0 external_GW_IP port 3389 -> Server_internal_IP port 3389 tcp
#########
map fxp0 internal_NET_IP/24 -> 0.0.0.0/32
map fxp0 internal_NET_IP/24 -> FW_external_IP/32 portmap tcp/udp 20000:64000 # натим порты
############################

Теперь переходим к настройке самого муторного- правилам фаервола. Помним о том, что в классическом фаерволе перебор правил идет сверху вниз, поэтому все блокировки помещаем вниз, кроме единственных закрывающих атаки cifs. Также разрешаем внутрисетевой трафик в нашей локальной сети, что мы уже определили первыми правилами в самом начале (rl0 у нас внутренний интерфейс):
####### /etc/ipf.rules #######
### Разрешаем внутрисетевой трафик
pass in quick on lo0 all
pass out quick on lo0 all
pass out quick on rl0 all
pass in quick on rl0 all
### Лочим все прорезки в виндовые уязвимости
block in log quick on fxp0 proto tcp from any to any port = 113
block in log quick on fxp0 proto tcp/udp from any to any port = 135
block in log quick on fxp0 proto tcp/udp from any to any port = 136
block in log quick on fxp0 proto tcp/udp from any to any port = 137
block in log quick on fxp0 proto tcp/udp from any to any port = 138
block in log quick on fxp0 proto tcp/udp from any to any port = 139
block out log on fxp0 proto tcp/udp from any to any port = 135
block out log on fxp0 proto tcp/udp from any to any port = 136
block out log on fxp0 proto tcp/udp from any to any port = 137
block out log on fxp0 proto tcp/udp from any to any port = 138
block out log on fxp0 proto tcp/udp from any to any port = 139
block out log on fxp0 proto tcp/udp from any to any port = 445
### Разрешаем NS-запросы из сети
pass out quick on fxp0 proto tcp from any to DNS1 port = 53 flags S keep state keep frags
pass out quick on fxp0 proto udp from any to DNS1 port = 53 keep state keep frags
pass out quick on fxp0 proto tcp from any to DNS2 port = 53 flags S keep state keep frags
pass out quick on fxp0 proto udp from any to DNS2 port = 53 keep state keep frags
### Разрешаем выход пассивного FTP протокола
pass out quick on fxp0 proto tcp from any to any port = 20 flags S keep state keep frags
pass out quick on fxp0 proto tcp from any to any port = 21 flags S keep state keep frags
### Разрешаем работу по ssh на нашем фаерволе на своем порту
pass in quick on fxp0 proto tcp from any to any port = 19212 flags S keep state
### Разрешаем протокол smtp только к почтовому серверу, для предотвращения работы потенциальных спам-ботов
pass out quick on fxp0 proto tcp from any to MAIL_SERVER_IP port = 25 flags S keep state keep frags
#### Разрешаем работу whois из сети
pass out quick on fxp0 proto tcp from any to any port = 43 flags S keep state keep frags
#### Разрешаем просмотр сайтов по http
pass out quick on fxp0 proto tcp from any to any port = 80 flags S keep state keep frags
### Получаем почту по pop3
pass out quick on fxp0 proto tcp from any to any port = 110 flags S keep state keep frags
### Разрешаем работу по протоколу https
pass out quick on fxp0 proto tcp from any to any port = 443 flags S keep state keep frags
pass out quick on fxp0 proto tcp from any to any port = 591 flags S keep state keep frags
### Разрешаем работу по FTP в пассивном режиме, когда сервер выбирает порт для работы
pass out quick on fxp0 proto tcp from any to any port > 1023 flags S keep state keep frags
# Разрешаем работу traceroute
pass out quick on fxp0 proto udp from any to any port 33434 >< 33525 keep state keep frags
# Разрешаем пинг во вне
pass out quick on fxp0 proto icmp from any to any keep state keep frags
### Разрешаем вход внутрь сетки по RDP
pass in log quick on fxp0 proto tcp from any to RDP_Server_IP port = 3389 flags S keep state keep frags
### Разрешаем из сети работу линейки
pass out quick in fxp0 proto tcp/udp from Client_IP to  217.117.182.1 port > 10 keep state
pass in quick on fxp0 proto tcp/udp from  217.117.182.1 to GW_internal_IP port > 10 keep state
pass out quick in fxp0 proto tcp/udp from any to any port = 2106 keep state
pass in quick on fxp0 proto tcp/udp from any to any port = 2106 keep state
### Обрабатываем работу icmp протокола
pass in on fxp0 proto icmp from any to any icmp-type echo
pass in on fxp0 proto icmp from any to any icmp-type echorep
pass in quick on fxp0 proto icmp from any to any icmp-type 3 keep state keep frags
pass in quick on fxp0 proto icmp from any to any icmp-type 11 keep state keep frags
block return-icmp (3) in proto udp from any to any port > 30000
block return-icmp (3) in on fxp0 proto icmp from any to any icmp-typenunreach code 3
block in proto icmp all
### Блокируем все остальное
block out log first quick on fxp0 all
block in quick on fxp0 from 192.168.0.0/16 to any    #RFC 1918 private IP
block in quick on fxp0 from 172.16.0.0/12 to any     #RFC 1918 private IP
block in quick on fxp0 from 10.0.0.0/8 to any        #RFC 1918 private IP
block in quick on fxp0 from 127.0.0.0/8 to any       #loopback
block in quick on fxp0 from 0.0.0.0/8 to any         #loopback
block in quick on fxp0 from 169.254.0.0/16 to any    #DHCP auto-config
block in quick on fxp0 from 192.0.2.0/24 to any      #reserved for docs
block in quick on fxp0 from 204.152.64.0/23 to any   #Sun cluster interconnect
block in quick on fxp0 from 224.0.0.0/3 to any       #Class D & E multicast
block in log quick on fxp0 all with frags
block in log quick on fxp0 proto tcp all with short
block in log quick on fxp0 all with opt lsrr
block in log quick on fxp0 all with opt ssrr
block in log first quick on fxp0 proto tcp from any to any flags FUP
block in log quick on fxp0 all with ipopts
block in log quick on fxp0 proto icmp all icmp-type 8
block in log first quick on fxp0 all
block in log all
block out log all
#####################

Также добиваем сюда правила необходимые для вашей локальной сети, например банки-клиенты, специфические программы- игрушки, и добавляем их в секцию разрешенных пакетов. Только мой совет- обязательно описывайте отдельно все порты отличные от стандартных, ибо в большой сети, через полгода опытной эксплуатации фаервола- смотреть на фаервольные правила можно будет только сквозь слезы и с вооружившись бутылкой коньяка. Если что то не работает или не понимаете как ЭТО следует разрешать, то отсматривайте логи- обычно инфы о блокировках из них вполне достаточно для того, чтобы понять что именно следует разрешать.

Хотелось бы также заметить следующий момент- при любых правках вносимых в таблицу правил, создавайте ревизию, и тогда в случае ошибки, вы сможете максимально быстро откатиться к предыдущей версии и после этого уже искать случайно поставленный или, наоборот, забытый символ, ибо правила также считываются от начала файла, и как только пакет встречает не разрешимый символ или выражение- применение правил заканчивается и вы получаете только тот набор правил, что успели всосаться в систему.

З.Ы. Хотел написать об этом моменте в отдельном посте, но решил что это будет не очень корректно, так что привожу в виде небольшого послесловия. Дело в том, что файл правил фаервола ipf поддерживает набор переменных, что конечно же гораздо удобнее для системного администратора, так как позволяет переносить файл правил с одного шлюза на другой, корректируя только объявления переменных в самом начале файла. Одна беда, что сам пакет ipf не понимает переменные и файл с ними надо сохранять в отдельный скрипт /etc/ipf.rules.script, запуская который пользователь создает или обновляет правила в файле ipf.rules. В сам скрипт пишется следующее:
### ipf.rules.script ###

### Описание переменных
oif=”fxp0″ # имя внешнего интерфейса
odns=”DNS1-IP” # IP адрес внешного DNS сервера
mynet=”172.168.0.0″ # Внутренняя сетка
ks=”keep state”
fsks=”flags S keep state”
###
cat > /etc/ipf.rules << EOF
# Доступ из сети к внешнему DNS серверу
pass out quick on $oif proto tcp from any to $odns port = 53 $fks
pass out quick on $oif proto udp from any to $odns port = 53 $ks
# Разрешить выход из сети во вне по http
pass out quick on $oif proto tcp from $mynet to any port = 80 $fks
#### ну и так далее

После изменения правил фаервола необходимо запустить данный скрипт, что бы правила перечитались и файл ipf.rules обновился:
# sh /etc/ipf.rules.script

Так, по инфе на вчерашний вечер, некоторых клиентов секс-шопа Sexyz.ru уже начали троллить в социальной сети “ВКонтакте”, ибо у них обнаружились какие то нереальные списки заказанных сексуальных игрушек.

Новость изначально коснулась только Яндекса, но позднее выяснилось что все эти данные также доступны и на большинстве поисковиков- Mail, Rambler, Google. Собственно как и в случае утечки информации с сайта Мегафон- индексация поисковиками стала возможной в связи с некорректной работой файла индексации интернет-магазина robots.txt.

Искренне сомневаюсь, что данная ошибка появилась вчера, скорее всего кто то из пытливых умов просто вышел на эту дырку безопасности, которому подвержена часть интернет магазинов, причем скорее всего их объединяет, помимо неправильно заполненного robots.txt, криворукие веб-мастера, которые создавали движок интернет магазина таким образом, что статусы заказов клиентов находятся в открытом доступе, и единственной защитой от индексации поисковыми системами является файл robots.txt. Надо отметить, что за подобное распространение личной информации интернет-магазин вполне реально может налететь на не плохой штраф.

Подобная проблема уже была с поисковой системой Google когда несколько лет назад она была лучшей помощницей хакера, так как помимо страниц сайтов, также индексировала всевозможные служебные страницы и фингерпринты CMS, так что её использовали для поиска сайтов подверженных тем или иным уязвимостям.

Так что прежде чем запускать какой либо сайт- проверьте имеется ли у вас вообще файл robots.txt и что в нем написано.Тем более учитывая тенденцию того что подобные бреши начали всплывать одна за другой, то вполне возможно что это целенаправленный слив информации, призванный повысить спрос на аудиты безопасности сайтов и информационных систем, то есть вполне возможно что поиском подобных брешей занимаются не любители, а специально набранная команда тестировщиков и специалистов по безопасности, у которых следуя слогану Яндекса- точно найдется все.

Мог бы понаписать много чего еще, но пошел проверять роботсы на своих сайтах. Ибо чем Яндекс не шутит.

З.Ы: Поковырявшись на сайте вышеозначенного сексшопа и других героев ленты яндекса, обнаружил что собственно это одна и та же платформа, и как оказалось- это сугубо российская поделка Shop-Script – за который люди еще платят бобло порядка 300 американских рублей. Полагаю что после такого замечательного и главное показательного пиара в интернете, у парней их поделка будет продаваться уже менее успешно. Так что развитие ситуации было видимо таким, что кто то случайно пробил Sexyz.ru, и дальше уже по фингерпринту движка ситуация пошла развиваться дальше. Тем более что для этого даже не надо было терзать поисковые системы запросами, а просто зайти на офф.сайт shop-script.ру в раздел партнеров, где и выложена часть сайтов, использующих данный движок. Сексшопов естественно в данном списке нет.

На самом деле что касается сексошопов, то это вообще, если вдуматься очень скользкая тема, так как помимо моральных уродов которые будут доводить законопослушных граждан измывательствами, однозначно проявятся гоблины которые попробуют из этой информации выдавить копеечку, то есть это грозит как минимум шантажом, а в худшем и прямой наводкой на квартиру.

В дополнение к этому почтовые адреса этих граждан, попавшие в тираж также являются дорогостоящим продуктом, так как уже сами по себе сортированы по группам интересов, то есть именно то что называется Sales Lead.

Так что учитывая тот факт, что на Мегафон тем не менее уже подают в суд с исками в 30-50к рублей, то здесь все гораздо серьезнее и все таки у мегафона имеется своя сильная юридическая база, чего лишены торговцы самотыками, так что их однозначно будут иметь как тузик грелку. А они в свою очередь перевыставлять претензии к создателям дырявого двигла. Так что полагаю и интернет магазины, использовавшие дырявое двигло Shop-Script и самих быдлокодеров, продающих не тестированную поделку, ждет не мало приятных минут общения с судейскими.

Более того, компании уже выделили грант от мелкомягких в районе 100к зелени, и на момент интервью чуваки искали лобби в госдуме, для того чтобы обязать всех провайдеров устанавливать в своих сетях их чудо кирогазы Pirate Pay. Но по новым публикациям они обязуются порвать всех к 1 сентября, так что надо полагать что лобби они себе нашли и видимо за не плохой процентик, ибо опубликованные цены радуют: от 30к до 300к в неделю за противодействие, либо же порядка 15% от доли прибыли. С другой стороны может и не так, так как в новых публикациях говорится о том, что они собираются работать на основе DHT спама, то есть обмена хэш-кодами между клиентами для нахождения пиров минуя трекер. То есть их продукт Pirate Pay создает шторм объяв по DHT среди которых теряются родные пиры.

Теперь прикинем: что же мы имеем в данном ключе, даже исходя из отрывочной и не полной информации?

На мой взгляд парни изобрели велосипед, которые не ездит, у которого не крутятся педали, у которого нет седла, но зато им можно запереть черный вход в подъезд, приперев ручку. Если конечно этот ход имеется. Ибо перед нами обычный потоковый сканер, который ставится в разрез канала и занимается глубоким разбором пакетов, на предмет выяснения фингерпринтов сетевого пакета. То есть BitTorrent он отлавливает, а вот Edonkey, работающий на том же p2p, пропускает, ровно как и другие программные продукты. При этом как быть с сетями i2p, на котором крутится iMule? Все они остаются не у дел, то есть получается что парни отлавливают только небольшую часть трафика, и при этом просят за это огромные бабки.

Если же верна информация относительно спама по DHT, то получается что это вообще ни о чем, так как клиент может пользоваться этим протоколом, а может и не пользоваться. К тому же как быть с закрытыми комьюнити не использующими DHT по умолчанию, ровно как и протоколы и программы которые его не используют, ибо он поддерживается от силы десятком программ. В то время как для тех кто данный протокол будет использовать,  продукт Pirate Pay будет генерить огромное количество мусорного трафика, который приведет к забиванию канала.

Собственно получается, что в любом случае раком ставится провайдер- как в случае установки комплекса у него, так и в случае спама по DHT, поскольку у него забивается канал- при проверке пакетов, или же созданием мусорного трафика от ложных DHT пиров. Любой минимальный разбор пакета, просаживает скорость канала как минимум на 30%. При этом надо отметить, что поскольку спам основан на хэше файла, то никто не мешает пересоздать новый образ, чей хэш уже будет других, и как следствие не будет подпадать под действие DHT спама, в результате чего сотрудники клиента должны дни и ночи торчать на открытых сообществах и мониторить все появляющиеся новинки. Но помимо этого у нормальных клиентов есть автоматически создаваемые листы битых пиров, куда добавляются битые, не качественные и прочий спамный мусор, причем без участия пользователя. Ну и для того кто хочет скачать фильм имеются шифрованные сети, инкапсулируя протокол в которые, мы обходим все продукты Pirate Pay поскольку наши пакеты не разбираются никем, а на тему спама DHT- не факт что ложные пиры Pirate Pay для шлюза в штатах будут ближайшими и наиболее быстрыми.

Не говоря о том, что весь этот функционал уже давно имеется в серьезных коммерческих продуктах, и позволяющий не играть в бирюльки, а просто банить торренты, skype, сетевые игры, и помимо этого предоставляющий богатый функционал защиты; так еще и не понятна законодательная подоплека создания мусорного шторма DHT, который запросто может квалифицироваться как DDOS атака на сети провайдера, достаточно большому числу клиентов запросить файлы находящиеся под защитой Pirate Pay. А это уже другой разговор.

Так что вся эта свистопляска больше смахивает на вакханалию в стране победившего идиотизма, чьей основной задачей является присосаться к общественной сиське и государственной кормушке под эгидой борьбы с пиратством и пользуясь тем что в материале находится не такое большое количество народа, чтобы поднять бучу на тему поднятия цен на диски, или же абонентской платы у провайдеров, чем был например чреват запрет на skype о котором говорилось в прошлом году.

После чего зашедшему на сайт пользователю суется исполняемый php или javascript который базируясь на уязвимости системы, инсталяет в систему некий злонамеренный код, который подтягивается зачастую с использованием внедренных элементов iframe, или же flash редирект, когда предлагается загрузить сторонний кодек для просмотра видеоролика (преимущественно порнографического содержания). Таким же образом эта атака происходит, когда злоумышленникам удается внедрить данный метод XSS-атаки и на “честные” сайты имеющие некоторые уязвимости безопасности, которые и эксплуатируются негодяйскими негодяями для внедрения злонамеренного кода на машину потенциальной жертвы. И не смотря на постоянную борьбу Google с подобными сайтами, следствием которой вы можете видеть красную заставку, предупреждающую вас о потенциальной угрозе, исходящей с данного сайта, популярность данного вида мошенничества неумолимо растет в и данный момент (по состоянию 2010 года) составляет порядка 17% от всех топовых поисковых запросов Goolge, то есть переходя по ссылкам из топа выдачи, в 17 случаях из 100 вы попадаете на специально сконфигурированный сайт, или же подвергшийся компрометации. И не малое значение здесь конечно играют компании, специализирующиеся на разработке и распространении подобных продуктов, в чьи партнерки с радостью и подключаются не сильно разборчивые в средствах заработка веб-мастера, ибо что продвигать педофильско-зоофильские партнерки, что клепать и подсовывать буржуйским лохам мальвары- все едино, тем более что заработки подобных веб-мастеров, именно на мальварных партнерках исчисляются десятками тысяч долларов.

Так вот- зовется эта штука MACDefender и цепляется она точно таким же образом как и в случае с винюками, через бродилку Safari, подсовываясь либо с зараженных сайтов, либо со специально созданных заглушек, выведенных в гугле-топ по ламерски-популярным запросам с помощью  SEO инструментария. Причем себя она представляет как адский антивирусник. Надо отметить, что это крайне прибыльный бизнес, так как редаевская контора, на подобных поделках, поднимает десятки миллионов грин в месяц именно на распространяя подобные продукты, которые распространяются через партнерскую программу, но имхо дают оооочень большой минус к карме, не смотря на фантастические суммы заработка вебмастеров.

Собственно советы по предотвращению, абсолютно такие же как и для винюковой машины- все отрицать:
т.е. если вы видите де то надпись “MACDefender Setup Installer”, то не надо с ней соглашаться и устанавливать данную тулзу;
также следует отключить в Safari возможность автоматического запуска и открытия  файлов (Preferences -> General tab и снять галку с кнопки “Open ‘safe’ files after downloading”)
С помощью следующих шагов можно MACDefender:
Запускаем диспетчер приложений Activity Monitor (находится в /Applications/Utilities/) и сортируем приложения по имени, ибо данный продукт представляется своим собственным MACDefender или MacDefender.app. Если он есть в списке, то грохаем его;
Открываем System Preferences -> Accounts -> Login Items и высматриваем в списке MACDefender или какую любую другую необычную запись. Обнаружив, сносим её, нажимая на “-”, для тгго чтобы она не стартовала при входе в систему;
Открываем папку с прогами (/Applications/) и выискиваем тоже MACDefender или MacDefender, после чего грохаем приложение.

Отлавливается эта пакость риалтаймовыми антивирусниками VirusBarrier X5 и VirusBarrier X6 с сегодняшними обновлениями от 2 мая, которые не только борятся с вируснями, но и с мальварами и различными злонамерными кодами, подсовываемыми с веб-страниц.

Более подробно о происхождении и работе  данного фейкового антивиря расписано в блоге Intego, которые вроде как и отыскали эту самую пакость.

Итак для начала мы ставим винды, предположим это будет win7 pro. Естественно гораздо проще бы было поставить какой нить user-friendly Linux, врубить родной фаервол, добить это дело кем нить вроде eset или clamavd и работать под юзерскими правами- это бы значительно упростило жизнь мне, но не конечному пользователю (всем любителям пофлудить на тему: я пользователь линукс и хочу поинтересоваться, что такое вирусы- рекомендую погуглить на сабж: пару сотен, причем червей, найдете довольно быстро), тем более что хорошо заточенный винюк не сильно опаснее прикрытого линуха, и уж стопудово лучше MacOS без анттвиря.

Итак, поставив Windows 7, следом ставим Firefox 4 и навсегда прощаемся с Яшей ака IE. После этого прикручиваем к FF дополнение noscript, которое будет висеть в трее бродилки и ругаться на все опасные и не очень интерактивы. Затем ставим фаервол Comodo Firewall Pro и следом за ним Eset Smart Security. Если вам жалко заплатить за хороший, не тормозной антивирь 600 рублей, то можете конечно поставить антивирус от того же Comodo, или какой либо другой на ваш вкус- я предпочитаю именно эту связку, перейдя на нее года четыре назад с Outpost Firewall+Eset,  в те прекрасные времена когда аутпост отправлял core2 в BSOD при использовании Firefox. И надо признаться, что за все это время ни разу не имел каких либо проблем что под XP, что под семеркой. Хотя тут опять же надо заметить, что мои наиболее неспокойные клиенты все же умудрялись ловить различных ботов, но об этом ниже. После установки этой связки, не перегружая машину, дружим оба программных продукта, добавляя их в исключение друг к другу, иначе при загрузке машины вы станете свидетелем двухактовой трагедии ‘чужой против хищника’, в которой всегда выигрывает Eset. Да, перед установкой всего этого богатства, отключите встроенный виндовый фаервол, ибо этому фейку не место на нормальной машине.

После этого ставим Comodo в режим обучения, отвечая ‘да’, только если вы инициировали подключение или понимаете о чем разговор. После недели терзаний фаервол можно спокойно переключать в safe mode. Затем устанавливаете хорошую тулзу Search-and-Destroy которая будет следить за всякими адварями и мальварами, а также отлавливать попытки изменения конфигурации машины.

Ну и теперь переходит к основной части марлезонского балета: качаем себе бесплатную виртуальную машину Sun VirtualBox или VMWare Player, которую благополучно и ставим на свою рабочую станцию. После чего устанавливаем в нее винду-мак или линух, создаем на диске копию виртуальной машины, и уже из под виртуалки спокойно лазим по тем самым сайтам, с которых и начиналась наша эпопея.

Если тема с виртуалками вам по той или иной причине не подходит, то создайте себе для работы пользователя с ограниченными правами, из под которого вы будите работать или хотя бы лазить в инет.  После чего настройте себе хранение всех документов, почты и всего прочего на дополнительном разделе или жестком диске, доставьте все нужные программы и сделайте резервную копию системного раздела, что бы в случае серьезной заразы откатиться к работоспособной версии операционки за 15-20 минут. Копию системного диска можно сделать с помощью Acronis True Image, и держать резервную копию естественно также на дополнительном разделе, чтобы после просто загрузиться с диска True Image и перезалить систему.

Ну и на десерт основные правила инет-серфинга: все вышеуказанные действия, кроме настройки виртуальной машины, совсем не панацея, ибо они лишь призваны помочь пользователю сохранить свою машину в безопасности, но безопасность сама по себе- это комплекс мер, включающий помимо настройки всех необходимых сервисов, также и включение головы пользователя, который не должен скачивать и устанавливать какие то программы и утилиты из неизвестных источников, использовать ломанные программы желательно также в виртуальном окружении, поскольку зачастую ломалки содержат всевозможные трояны, не устанавливать дополнительные кодеки, которые вам предлагают установить для просмотра того или иного ролика, ибо это с вероятностью 100% будет попытка подсунуть вам злонамеренный код, не кликать по всевозможным popup окнам и прежде чем нажимать на “ДА”- читать что вам предлагают или спрашивают. И естественно ходить по проверенным ресурсам, ибо большая часть порева является так называемыми саттелитами, на которых хитроумные вебмастера не размещают ничего кроме рекламы партнерского сайта, а в последнее время, в связи с расширением бизнеса редая, вешают те самые программные модули, которые при заходе на сайт потенциальной жертвы, сами устанавливаются на компьютер пользователя и начинают просить денег на лечение. Так что подытоживая все выше сказанное хочу заметить, что лучшая защита от вирусов и ботов- это не антивирус, а голова и здравый смысл пользователя.

В итоге ребутнули сервак ESXi, все поднялось, так что вечером я выехал на удаленную площадку. Прибыв на место, немного пошакалил по свичам, ибо решил было, что проблема крылась в них, но все было вроде нормально, так что я приступил снова к настройке Untangle. Надо отметить, что я, как истинный российский одмин, хотя и веселюсь на эту тему, некоторое время уже как читаю мануал только после того как все сломалось, так что в данном случае я полагал, что официального wiki how-to-install untangle вполне достаточно для того чтобы поставить платформу. Стартанул сервак на ESXi, и как только, судя по процентным соотношениям загрузки, платформа запустила сетевые интерфейсы у меня снова полегла сеть. Это меня подвигло в совершеннейшие не понятки, поскольку сеть лежала наглухо- то есть она отсутствовала как класс- пинги не проходили даже до свича, в который была воткнута машина, не говоря уже про какие то шлюзы и сервера, сидевшие на соседях по каскаду. Рубанув сервер, снова поднял ESXi и удалил с него Untangle, решив поднять его в тестовом варианте у себя на машине. В итоге на след. день, подняв его в оболочке VMware Workstation я так же радостно положил сетку своего офиса, но поскольку доступ к виртуальной среде у меня уже был не по сети, то отрубив интерфейсы на виртуально машине, я полез в инет с извечным вопросом “whatafuck?”.

Оказалось, что в платформе Untangle реализована технология Re-Router (до этого мне с ней как то не доводилось встречаться), благодаря которой данная платформа безопасности  интегрируется в существующую сетевую топологию без каких либо дополнительных перенастроек инфраструктуры, путем заворачивания на себя всего трафика на уровне L2 протоколов. Примерно тоже самое происходит при уязвимости men-in-middle, когда машина внутри сетки производит так называемую атаку ARP spoofing, отвечая на все ARP broadcasts “ЭТО ЙА!” и тем самым беря на себя функционал центрального шлюза и вообще всех машин в сетке, так что в ARP таблице свичей все пакеты замыкаются на интерфейсе Untangle,и даже после падения платформы трафик не будет проходить до динамического изменения ARP таблицы.  Данная технология интегрирована в ядро, и в первом приближении не отключабельна, так что на форуме Untangle тамошние спецы рекомендуют относиться к ней как к данности, и в этой связи, в обязательном порядке, использовать на сервере два интерфейса, даже в случае необходимости использования одного- как в моем варианте VPN-сервера. Но в этом случае рабочий интерфейс надо делать внешним, а внутренний переводить в режим bridge и бриджевать его на внешний интерфейс
Настройка в админской части Untangle: Config -> Networking -> Internal Interface
Config Type: bridge
Bridge to: External (static)

Кстати таким же образом можно организовывать проброс трафика к внешнему шлюзу, но это уже другой разговор. В случае виртуальной машины, как у меня, я просто добавил в работающую конфигурацию еще один интерфейс, подтянул его встроенным detect’ом и привязал к внешнему интерфейсу, после чего лежащая сетка ожила в течении 30 секунд. Еще в течении 15 минут поднял VPN-сервер и настроил подключение. Самое приятное, что openVPN сервер сам генерит клиентскую часть, так что просто логинимся через бродилку к VPN-серверу, заходим внутрь и из настроек openVPN сервера, раздела Clients, говорим для определенного пользователя Distribute Client, после чего либо скачиваем его по приложенным ссылкам, либо отправляем его на email который можно вписать в форму отправки. Клиент после установки получает полностью настроенный OpenVPN клиент, не требующий уже никаких вводов логина и дополнительных настроек.

Почитав немного про Untangle на их оффсайте, пришел в неописуемый восторг, поскольку производитель этого open-source продукта предлагает большое количество бесплатных, и платных модулей к своему решению, построенному на базе Debian GNU/Linux. Само по себе решение очень классное и представляет наборный шлюз, который поднимается в минимальной конфигурации и управляется через веб-консоль, при этом давая возможность сисадмину подключать и отключать те или иные модули, предлагаемые в виде дополнительного софта: spam blocker, phish blocker, spyware blocker, web filter, kaspersky antivirus, commtouch spam booster, wan failover, wan balancer, virus blocker, IPS, protocol control, firewall, captive portal, ad clocker, policy manager, directory connector, openVPN, attack blocker, bandwidth control, web cache и некоторое количество тулзов для управления.
Самое главное, что часть основных блейдов (по аналогии с checkpoint назову их так) предоставляется бесплатно- это фаерволл, openVPN, web filter lite, virus/spam/attack/phish/spyware blocker. Остальные можно поставить на 14дней и поковырявшись, прикупить себе уже в нормальное использование- меня например сразу заинтересовали bandwidth control и wan failover поскольку воротить такое руками муторно, а у производителя Untangle эти решения стоят по:
630 баксов на три года за bandwidth – позволяющий QoSить и лимитить юзверей по использованию канала;
126 баксов за три года wan failover, позволяющего построить полноценный isp redundancy, который у checkpoint например стоит полтора косаря за год;
модуль Каспера, позволяющий поднять полноценное сканирование на ходу от всевозможных угроз на всем многообразии протоколов, обойдется в 252 бакса на три года;
полноценный Web-filter выйдет в 630 грина на три года, при том что фильтрует по 53 категориям, на 20 языках, и держит в базе на данный момент около 450М веб-сайтов.
Управление порталом очень удобное и более того- он встает как на стандартную машину с минимальной конфигурацией: P4 Processor (или аналогичный AMD), 80 GB HDD, 2 NIC и 1 GB RAM; так и на VMware Workstation и ESXi- единственный момент что в случае ESXi надо заводить ручками диск и карточки, так как Untangle не понимает vmware дрова использующиеся платформой ESXi, поэтому пришлось драйв ставить BusLogic, а сетевухи e1000.  На Workstation же встал без проблем (кстати на том в 16 гигов), в течении буквально 10-15 минут элементарного инсталлятора.  Также на сайте компании, предлагается приобрести у них либо сервак, спецом заточенный под платформу Untangle, либо же специальную UTM’ку их же производства.

Но вот после установки на сервер, начались довольно интересные грабли, о которых я расскажу несколько позднее.

Но в процессе запуска- выяснилось что машинка не подхватывает IP адрес по DHCP, при работе в bridged mode, а при попытке задать статический IP я получал ругань на тему того, что данный IP уже используется, при том что данный адрес был однозначно свободен. Озадачившись данной проблемой проверил на всякий случай фаервол винды, но как оказалось он был отключен. Поковырявшись в меру возможностей в серваке и vmware, решил не озадачивать клиентского админа, а переставил Player на Workstation и попробовал поднять виртуалку в таком варианте. Но проблема осталась той же самой, при этом когда я переключил сетки в NAT вариант-  поднимался внутренний IP и все начинало нормально шуршать.

В итоге обратился к админу с описанием проблемы и предположением о том, что какая то тулза препятствует нормальному прохождению пакетов, выступая видимо фаерволом. Поковырявшись, админ сказал что обнаружил что на серваке зачем то был установлен, тысячу лет назад, kerio vpn client, который он благополучно снес. После данной манипуляции все зашуршало прекрасно, так что причина крылась именно в kerio vpn client который видимо как любой ipsec клиент имеет встроенный фаервол у которого имеются свои взгляды на прохождение пакетов. У клиента от checkpoint, например, таких проблем замечено не было.

Определимся сразу, что бот сам по себе зовется Darkness Ddos Bot, а вот сетка выстроенная на использовании данного бота относится к серии Optima. Бот то конечно весьма популярный в инете, и найти можно огромное количество мест откуда скачивается как сам бот, так и его админская часть, через которую и вводятся целевые урлы, а также типы атак, запуски копий и прочая муть. То есть раздобыть данный бот не возникает никакой проблемы, хотя обычно такие вещи как DDOS на популярные ресурсы, скидывается в качестве заказа серьезным ботоводам имеющим в своем гараже десятки, а то и сотни тысяч зараженных машин, посредством которых и производится распределенная DOS атака.

А теперь отвлечемся от родословной данного бота, и на минуточку подумаем о задаче данной атаки.

Основная задача DDOS атаки, абсолютно такая же как и обычной DoS атаки, то есть тот самый пресловутый отказ в обслуживании- Denial of Service, чьей задачей является выведение ресурса из строя с целью: хальта системы на какое то время, прикрытие для более таргетированной хакерской атаки и скрытие следов этой активности, или же попытка выполнения какого либо кода, подвергая ПО цели стрессовой нагрузке. Сама DDoS атака представляет собой тот же самый DoS только с использованием огромного количества компьютеров со всего мира, что становится доступным при использовании вышеупомянутых ботов.

Теперь воткнув в эту тему, берем на разбор блог Навального:

Что Навальный имеет от своего блога в ЖЖ?
Это что, интернет магазин, чье падение и простой влечет за собой многомиллионные потери финансов?
Или же сайт какой то компании, которая также теряет потенциальных клиентов?
К тому же DDos атака сама по себе долбит все блоги, находящиеся на той или иной площадке, подвергающейся распределенной атаке.
И кто такой Навальный сам по себе, для того чтобы хакер, положивший сервис ЖЖ, мог сказать денить из Китая: I halted Navalnyi Blog! и надеяться что ему эта фраза принесет несусветные барыши.

Собственно исходя из вышесказанного, блог Навального никому не интересен в этом мире, поскольку перехватить управление его блогом невозможно, так как в любом случае акк вернется обратно владельцу. Вывод его из строя на неделю или даже месяц, ничего не даст заказчику, кроме как не понятных финансовых потерь, ибо организация подобной атаки стоит пару штук в день. Заказать подобную атаку мог только чеканутый недоумок с баблом, которому нечего делать кроме как ддосить социалку.

Пытались сорвать какую то публикацию? Тоже крайне сомнительно, ибо тема блога сродни крикам “Держи вора!”, когда он уже вышел две остановки назад, тем более что никакого КПД эти крики так и не приносят.

А вот как раз акция самопиара, на фоне обострившейся пиар-компании по продвижению личности Навального, выглядит крайне убедительно, ибо все доводы и рассказы об этой DDOS атаке выглядят очень и очень смешно, когда ты хотя бы прочел пару статей на вики о предмете разговора. Еще более радует экспертные мнения Каспера, который собирается поставлять СУПу- владельцу ЖЖ, какие то антидосовские плюшки, которые не дают никакого эффекта при части DDOS атак, так как лучший способ ухода от подобной атаки- шатдаун сервиса и пережидание этой атаки, так как часть атак просто забивает канал на стороне провайдера- и будь ты тут хоть Касперский, хоть Дюк Нюкем- ты ничего с данной атакой сделать не сможешь. Тем более, что разговоры о предотвращении DDoS беспочвенны, так как оборудование или решения для борьбы в данным видом атак- преследуют одну лишь цель- не дать уронить конечный сервер, НО отрубают сети они на основе анализа заголовков пакета, то есть используя свои вычислительные мощности, и при действительно мощной атаке, сами становятся причиной отказа в доступе, так как 100% не смогут справится с многомиллионным флудом пакетов, то есть для пользователя интернета ничего не изменится- он точно также не сможет достучаться до любимого блога Алексея Навального и еще тысячи других ресурсов, но в данном случае ляжет уже вся ЖЖшная ферма, прикрытая мощной грудью атидосовского решения.

Тем более, что те люди с которыми “воюет” новый российский мессия Навальный, не решают данный вид проблем какими то DDoS атаками. Какой смысл это делать, если проще закрыть Алексей Навального или прессануть его, нежели договариваться с каким то ботоводами. Как говорится- информационная безопасность и шифрование данных не панацея- доказано IT-менеджером компании ЮКОС.

Я не берусь утверждать, что Алексей Навальный сам заказал DDoS атаку на собственный ресурс, но мне кажется что наиболее вероятная версия, то что он очень своевременно воспользовался моментом, когда некая группа хакеров провела массированную атаку на сам сервис ЖЖ, тем самым продемонстрировав свою крутизну и подняв собственную цену на данный вид услуг. Или как еще более простой вариант, то что при прикручивании каких то очередных плюшек к блог-сервису, админы сами интеллигентно положили платформу, о чем говорит повторный выход из строя сервиса, а чтобы сохранить хорошую мину при плохой игре- поведали миру о злобных хакерах, хотя точно также могли выдать гипотезу, например о “блуждающих токах”.  А радостные интернет хомячки, с радостью подхватили брошенную им кость и понесли по всему рунету знамя свободы на которую никто не покушался.

З.Ы/13.04: надыбал в инете интересную статью в которой высказывается предположение о том, что так называемая ddos-атака на сервис жж была последствием попытки прикрутить на сервисе новый механизм кеширования.

Вообщем тиха украинская ночь, но сало нужно перепрятать.. в том смысле что сменить пароли на вебманю.. и почту.. и ключ от двери..

Старый сервер однопроцессорный, второй двухпроцессорный.

Стали выяснять, оказалось что помимо R65 Adv Routing клиент устанавливает также HFA70, то есть получается что утилита upgrade_import на старой машине и новой различается версиями.  Собственно не смотря на поучения нашего продакта, который полез в глубины кластеризации шлюзов, посоветовал клиентам попробовать использовать одинаковые версии утилиты upgrade_import.

Сегодня получил ответ, что все прошло нормально и процедура экспорта старой конфигурации на новый сервер завершилась успешно.
Ставим галочку.

При работе пользователю блокируется доступ к локальному диску, так что пользоваться он может только файлами, хранящимися на флеш-носителе, или полученными по сети. Использование оперативной памяти разделено с компьютером, поэтому вирусы и другое злонамеренное ПО не способно проникнуть внутрь виртуальной системы, что предохраняет от угрозы заражения как сами файлы пользователя, так и его корпоративную сеть, с которой он установит защищенное соединение. И главное этот механизм работы не требует дополнительных лицензий, как например стандартная виртуальная машина, как для операционной системы, так и для используемого ПО. Во время работы виртуальное окружение создает защищенный канал доступа к установленному на компьютере ПО, организуя безопасную работу пользователя с разрешенным политиками безопасности программами.Принцип работы таков, что после успешного логина, в виртуальном окружении, запускается новая оболочка explorer.exe  и все остальные процессы запускаются по отношению к этому процессу как к родительскому, что и позволяет Abra контролировать выполнение приложений с безопасной среде. Все вызовы к приложениям перенаправляются к флеш драйву, то есть все приложения запускаемые внутри виртуальной системы работают внутри виртуальной файловой системы и реестра, находящихся на флеш-носителе, где они шифруются сразу в процессе записи на носитель.

Благодаря устройству Abra пользователь может получить доступ к своим файлам и корпоративной сети практически с любой машины, подпадающей под определение не доверенных узлов, не боясь нанести урон своей сети или данным хранимым на носителе. Также в случае потери, данные не станут доступны похитителям или людям, случайно нашедшим утерянный флеш-носитель, а ведь не секрет, что большинство громких утечек данных на западе были вызваны кражей или потерей ноутбуков. Более того, данное решение позволяет пользователю отказаться от стандартного ноутбука, который постоянно приходится носить с собой и который свои фактом присутствия, уже является целью для воров. С Abra весь функционала ноутбука помещается к кармане рубашки или джинсов, позволяя использовать мощности любого доступного пользователю компьютера, не задумываясь при этом о потенциальных угрозах которые может нести сторонний компьютер не подпадающий под используемые в компании политики безопасности. И тем самым для нас, это еще один лишний довод перед начальством за то, чтобы работать удаленно- из-за домашнего компьютера.

# wget ‘http://www.splunk.com/index.php/download_track?file=4.1.4/freebsd/splunk-4.1.4-82143-FreeBSD-i386.tgz&ac=&wget=true&name=wget&typed=releases’
# tar -xzvf splunk-4.1.4-82143-FreeBSD-i386.tgz

Поскольку, как оказалось, пакет пришел нам в уже собранном виде, то оправляем его по месту постоянного жительства:
# cp -R splunk /usr/local/

Перед запуском системы необходимо внести изменения в конфигурационные файлы:

/boot/loader.conf
kern.maxdsiz=”2147483648″ # 2GB
kern.dfldsiz=”2147483648″ # 2GB
machdep.hlt_cpus=0

/etc/sysctl.conf
vm.max_proc_mmap=2147483647

После этого перегружаем сервер для того чтобы изменения вступили в силу. При желании можем создать ручками пользователя от которого будет работать splunk, а также и его группу, но мне что то сегодня в ломы. Поэтому запускаем сервис: перед первым запуском сервера необходимо согласиться с лицензионным соглашением, для этого стартуем:
# $SPLUNK_HOME/bin/splunk start –accept-license

После некоторого диалога, сервер сообщит, что он теперь запущен на http://our_server_hostname:8000 хотя зайти можно и по адресу http://our_server_IP:8000. В данном случае 8000 это дефолтный порт нашего веб сервера.

Теперь переходим к настройке сервера.
Логин и пароль по умолчанию для входа в web-консоль:
username: admin
password: changeme

В верхнем правом углу белеет на темном фоне кнопочка Manager, нажав на которую мы попадаем в общирное меню, позволяющее нам настроить наш сервер в разделе System configurations, а также добавить необходимые модули Apps, собития, поиски и прочая в разделе Apps and knowledge.

В System settings задается хостнейм и настраиваются веб-морда сервера, а также параметры индексирования. Также настраивается отправка алертов по почте и всевозможные уровни логирования, которых доступно шесть вариантов: DEBUG, INFO, WARN, ERROR, CRIT, FATAL.

На сегодня хватит, на днях распишу больше- но по сути настройка системы заканчивается именно на этом разделе- дальше идет уже тюнинг, причем интерфейс интуитивно понятен и прост.

Со слов разработчиков, да и по вебинару тоже, следует, что устанавливать и настраивать Splunk  проще простого и сама установка займет не более 10 минут, причем для начала можно поставить решения на свою машину, с тем чтобы потом перенести его на серверное оборудование дата-центра.

Splunk  может индексировать и обрабатывать данные полученные практически из любых источников, любыми возможными способами, причем в режиме реального времени. Выгрузка файлов журналирования идет через syslog, WMI polling, мониторинга логов, мониторингом изменений файловых систем или реестра Windows, netflow, SNMP и многое другое. Splunk индексирует все эти объемы информации без применения специфических парсеров или адаптеров, для получения и размещения в собственной области данных (аналогичной файловой системе), в виде сжатых и обработанных данных, уже готовых для поиска, аудита и анализа.

В случаях когда доступ центрального Splunk сервера к журнальным данным удаленных систем невозможен, но необходим, используются так называемые Splunk перенаправители, которые являясь легковесными серверами Splunk, собирают всю необходимую информацию: от выводов статус команд и заканчивая конфигурациями и атрибутами файловых систем, после чего передают данные на центральный сервер, используя защищенные соединения, также в режиме реального времени. Поскольку это легковесные сервера, то их установка и интеграция занимает очень ограниченное время и при этом эти решения бесплатны.

При увеличении объемов обрабатываемых данных, скорость доступа к журнальным данным не должна снижаться, и решение Splunk  позволяют просматривать миллионы записей за секунды, благодаря масштабируемости решения, путем добавления вспомогательных серверов, между которыми, благодаря имеющемуся функционалу балансировки нагрузки, распределяются данные, снижая тем самым время отклика, повышая отказоустойчивость и оптимизируя процесс поиска.

Splunk поддерживает архитектуру распределенных систем, то есть имея несколько дата-центров, информацию с них можно аккумулировать на одном центральном узле, собирая в режиме реального времени миллионы записей со всех распределенных систем, и при этом локальные администраторы филиалов будут иметь возможность также просматривать журнальную информацию со своих систем.

Splunk  обеспечивает высокий уровень защиты, как обмена информации, так и использование пользователями web и командного интерфейса, и системной активности посредством Splunk API. Можно задавать пользователям определенные права, дающие им возможность просматривать те или иные блоки данных, таких как отладочная информация или инциденты безопасности.

Система Splunk позволяет использовать модули разработанные сторонними разработчика, для расширения функционала программного продукта, или отслеживания какого либо класса устройств или производителя.

Система Splunk доступна в следующих реализациях:
Windows XP, 2003, Vista, Windows 7, 2008, 2008 R2 (32/64-bit)
2.6+ kernel Linux distributions (32/64-bit)
2.4+ kernel Linux distributions with NPTL (32-bit)
Solaris 9, 10
OSX 10.6/10.5
FreeBSD 6.x (32-bit)
FreeBSD 6.2 (64-bit)
AIX 5.2, 5.3
HP-UX 11i v2/v3

Подробнее об этой системе можно почитать на её официальном сайте: http://www.splunk.com

Варианты прошивок для устройств Sofaware:
n8.1.37n.img  новая прошива для устройств нового поколения N-серии которое выгружается через GUI
x8.1.37x.img прошивка для устройств предыдущего поколения X-серии которое выгружается через GUI
8.1.37x.tftp прошивка для устройств предыдущего поколения X-серии которое выгружается через TFTP

Существуют ли какие нибудь специфические версии прошивок?
Версия 7.5.55_w6x.img имеет функционал WLAN-Client. Этот функционал будет введен в прошивке версии 9.
SofaWare предлагает специфическую прошивку по запросу, если клиенту требуется поддержка BGP

Имеются ли различия в прошивках с DSL-модемами
Да имеется отдельные прошики для версии аннеск А и аннекс В. Также существуют две версии прошивки SW2.0.*_pri.firm (primary) и SW2.0.*_sec.firm (secondary) которые идут в комплекте поставки. Первичное используется для загрузки устройство, а вторая создается при резервировании устройства и к нему откатываются в случае возврата к фабричным настройкам.

При использовании ADSL моделей необходимо сделать следующую процедуру, чтобы предотвратить попытку восстановления DSL сессии, которая происходит по умолчанию каждые 1 час 14 минут:
Идем по адресу нашего шлюза  https://my.firewall.
Далее идем по адресу Setup -> Tools -> кнопочка Command
В появившемся интерфейсе набираем  set port adsl auto-sra mode disable
Нажимаем Go

При управлении устройствами Edges из SmartCenter настоятельно не рекомендуется инсталить политики более чем на 10 устройств одновременно

Когда мигает индикатор PWR/SEC LED красным цветом, это означает что фаервол заблокировал какое либо соединение

Там же указано, что Sofaware действительно признает тот факт, что для управление устройством следует производить через IE, ибо Safari и Mozilla имеют проблемы работоспособности.

Существуют не явные страницы для диагностики устройства:

http://my.firewall/pop/Diagnostics.html

http://my.firewall/vpntopob.html  для старых версий (7.0.x и ниже) использовать http://my.firewall/vpntopo.html
https://my.firewall/dnstopo.html доступно для новых версий прошивок (с версии 7.5+)

http://my.firewall/Log.html

http://my.firewall/Ports.html

http://my.firewall/pub/test.html – не документированная страница на которой доступна служебная и лицензионная информация

SmartDefense как и следовало ожидать, отключить невозможно. Единственно что можно- минимизировать его работу путем выставления параметров его работы в None.  В случае центрального управления можно выставить настройку не распространять политику SmartDefense на этот шлюз. Для этого в объекте Edge необходимо пройти SmartDefense > Profile Assignment и включить галку Do not apply SmartDefense on this gateway

Существует специализированная дебажная прошивка, которая дает более богатый функционал логирования, путем запуска команды debug.  Также можно запустить с SmartCenter сервера, отредактировав файл SofawareLoader.ini , для чего найти строку DebugLevel в секции [LOG] и выставить её в параметр Debug или  Info. Для того чтобы запустить SofaWareLoader ручками необходимо в командной строке ввести fwm load -S -M -l41 policy_name.W <Edge>

Если при попытке соединения Edge со SmartCenter вываливается сообщение “Connection Refused: This UTM-1 Edge is not registered to the Service Center.” то следует проверить версию устройства в свойствах объекта на менеджмент сервере, чтобы они соответствовали действительной.

После инсталляции политики на менеджмент сервере Edge подхватывает политику спустя какое время, из-за того что устройства опрашивают менеджмент сервер на предмет обновленной политики, каждые 20 минут.

Полная версия в которой много информации по кластеризации устройств и использовании центрального менеджмента, можно найти по адресу:

http://www.cpug.org/forums/check-point-utm-1-edge-appliances/6341-utm-1-edges-faq.html

По утверждению Microsoft уязвимости больше всего подвержены машины через использование внешних томов, но при этом в случае отключения функции автозапуска, пользователь должен сам запустить ярлык из необходимой папки, для того чтобы система была уязвлена.  Для систем Windows 7 функция автозапуска с внешних томов отключена по умолчанию.

И хотя в данный момент мелкомягкие ведут работы по устранению этой пакостной дырки безопасности, тем не менее для систем Win2Yk и XP SP2, уже снятых с поддержки , ожидать каких либо обновлений безопасности не следует. В этой связи рекомендуется запретить винде выводить иконки для любых ярлыков, а также запретить сервис WebClient для предотвращения атаки через протокол WebDAV.

И хотя винда с отключенным рендерингом иконок выглядит более чем убого, тем не менее если вы решите отключить эту, одну их основных, фич винюка, то необходимо открыть редактор реестра regedit.exe и пройти в ветвь реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Экспортируем данную ветку, для того чтобы зарезервировать её, после чего очищаем значение.

Также Microsoft настоятельно рекомендует ограничить пути запуска программ, сократив их до необходимых системных папок типо C:\, C:\Windows, C:\Program Files. Для этого лезем в оснастку «Локальная политика безопасности», которая находится по следующему маршруту  Пуск -> Настройка  -> Панель управления -> Администрирование. Там выбираем раздел Политики ограниченного использования программ, и так как они не определены по умолчанию, выбираем Действие -> Создать политики ограниченного использования программ, после чего выбираем дополнительные правила и в правом поле щелкаем правой клавишей мышки, выбирая Создать правило для пути. там же можно запрещать запуск программ как по их пути, так и по хэшу исполняемого файла. Также можно перечислить приложения в ключе реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, правда я не пробовал можно ли там открыть доступ к целой папке.

Ну и естественно использовать хостовые ips, фаерволы и антивирусы, на которых своевременно поддерживать актуальные обновления.

И вот при использовании утилиты стали возникать эпизодические проблемы связанные с тем, что политики там или иначе не открывались в InfoView, сопровождая это матерной руганью “Error occured while trying to copy local_plugins_list.C from Gui library” и “The connection has been refused because the database could not been opened”. Собственно удалось побороть это следующим образом: первое сообщение убралось после того, как клиент установил на своем сервере последнюю версию утилиты cpinfo (на данный момент cpinfo_911000096_2) и снова собрал данные по своей системе. Второе сообщение появилось первый раз при открытии, но после того как выпав в Demo-режим, ручками указывалось что следует открывать вариант InfoView, открылась корректно, после чего повторно стала открываться без ошибок.

Так что получается что проблемы лечатся установкой последних версий cpinfo и InfoView, хотя у коллеги на рабочем XP (я пробовал на своем Server 2003 и двух чистых виртуалках XP и 2Yk) выскакивает ошибка, указывающая на то что при открытии возникают какие то проблемы с буффером памяти, что вероятнее всего находится в зависимости от каких то установленных программ или патчей.

Кстати, в процессе копания вскрылся интересный момент что cpinfo собранный на R65 открывается нормально в версии R65.3 SmartDashboard, в то время как в обычной R65, открытие политик приводит к возникновению ошибки The connection has been refused because the database could not been opened.

Большим преимуществом Check Point является возможность централизованного менеджмента, и управления всем парком шлюзов и иных устройств из единой консоли управления. К тому же, в случае Check Point, администрирование правил фильтрации трафика гораздо проще и понятнее чем управление устройством cisco, где текстовое представление правил может занимать не одну сотню строк. Но в решениях Check Point, менеджмент- это отдельное решение, чья цена также не учитывается при сравнении оборудования этих производителей, тем более что управлять asa можно и из командной строки, в то время как со шлюзами Check Point такое действие не пройдет- для управления ими необходим менеджмент сервер в обязательном порядке, чаще всего он входит в бангл аппаратной платформы (везде кроме Power), но в случае большого количества узлов сервер управления также необходимо лицензировать по количеству управляемых шлюзов, а с новых версий и по числу нод входящих в кластер. Но как говорят цискари GUI менеджмент у cisco оставляет желать лучшего ибо java-решения всегда отличались своей особой и неповторимой неторопливостью в работе.

Далее возьмем характеристики по которым сравнивается оборудование Check Point и Cisco. Чаще всего отправными параметрами являются скорость фильтрации трафика, скорость VPN, число конкурирующих сессий, количество защищаемых пользователей, а для решений высшего эшелона и форм-фактор, ибо разница между 2U и 4U, даже в решении 4нодового кластера, уже весьма ощутима в пределах одной стойки. Секрет в том, что Cisco указывает в своих спецификациях параметры работы при рабочей нагрузке, в то время как Check Point указывает параметры работоспособности при так называемых дефолтных правилах, то есть все разрешено. Как только добавляется 20-30 правил, эта заявленная производительность падает на 20-30%. Тоже самое касается и работы IPS, малейшее усложнение дефолтной конфигурации приводит к потерям до трети заявленной скорости.

Теперь поговорим о стоимости обслуживания оборудования. Знатные цисководы, имеющие большой опыт работы говорят о том, что стать сертифицированным специалистом Cisco в разы сложнее чем специалистом по Check Point, как по количеству экзаменов (в cisco их 6 штук, в то время как в CP максимум 2), так и в смысле качественности экзаменов- на сертификации CP есть только теоретические вопросы, даже если и ситуационные, и не никаких лабораторных работ.

Согласуясь со всем вышесказанным я бы отметил следующие аспекты: не надо безусловно верить всем маркетинговым таблицам, ибо приводимые данные разнятся у различных компаний; следует четко понимать что именно вы хотите от решения- какой функционал и какие задачи оно должно обслуживать; естественно важна стоимость обслуживания. Сложно давать какие либо советы при выборе, но в случае единичного решения от которого требуется исключительно фильтрация трафика, я бы скорее всего остановил свой выбор на Cisco (а то и на бесплатных брандмауэрах под Unix системами , особенно если имеются инженеры этого вендора, которых по статистике гораздо больше чем сертифицированных специалистов Check Point. В случае же если необходимо сложное функциональное решение, или целый парк устройств, то выбор скорее всего тяготел бы в сторону Check Point именно благодаря облегченности менеджмента и более глубоким возможностям как управления, так и мониторинга и анализа проходящего сетевого трафика и происходящих инцидентов.

Тут мне сваливается очередной запрос от нашего нового “недопродакт” менеджера по продуктам checkpoint- подобрать аналог решению cisco asa. Надо отметить, что такие запросы последние полгода сваливаются довольно часто, в связи с тем, что cisco решив работать вбелую, поимела огромные проблемы с доставкой оборудования в области инфобезопасности на 1/6 часть  суши, ибо наши доблестные фсбшники попросту не выдают им соответствующих сертификатов на оборудование. В этой связи кстати, также пропали все рутеры от LinkSyS, пару лет назад купленной Cisco- ведь wi-fi это же тоже адское шифрование и требует обязательной сертификации.

Вообщем приходит запрос на ASA 5505 8 портов, DES/AES и 10 пользователей. Ну я решив поднять себе настроение отписываюсь о том, что это в принципе SofaWare, но если исходить из того что нужен VPN, то вполне вероятно UTM 130, поскольку у него скорость VPN аналогична заявленной скорости ASA 5505- 100Мб/c. У Edge и Safe@Office этот параметр равен 35 Мб/c,и только у версии N заявлен под 200, но они отгружаются из Check Point в течении месяца-полутора. И тут я делаю стратегическую ошибку, решив пошутить в людьми не очень секущими в теме, и пишу что дескать есть конечно очень надо 8 портов, то следует остановить выбор на 2070, а это уже порядка 25к+ грина, против 600 долларов за ASA 5505, ну и сопровождаю это дело смайликом. С человеком который до этого был на этом месте, у нас это был стандартный способ общения, и я как то не предполагал что продавцам придет в голову отправлять клиенту предложение замены 600 долларового оборудования, оборудованием стоимостью в 25к зелени

Так что поимев двухдневную войну с нач.отдела по поводу того кто из нас троих в этой ситуации идиот, причем инженер из cp принял нейтралитет, заявив что 130 решение не подходит только по цене, а по функционалу полностью соответствует; видимо буду составлять матрицу аналогов между Checkpoint и Cisco, которую и выложу несколько позднее.

Собственно починяется подобная вещь либо вводом кода, который я приведу ниже, либо нехитрыми пассами с Live CD. То есть мы грузим систему с сидюка, после чего заходим в файловую систему системного диска и чистим все директории временных файлов, temp и содержимое темпов Documents and Settings/%username% , после чего система загружается нормально и загрузив её, разлочиваем все функции с помощью avz -> восстановление системы и перегружаемся в безопасный режим. Там прогоняем систему антивирусами и антишпионами. Поскольку эта процедура долгая и муторная, то можно сделать все в разы быстрее, если ввести запрашиваемый код и после этого начать сразу с восстановления системы.

Список кодов разблокировки различных порнобаннеров и винлокеров: