Одминский блог

Оптимизация работы ipf и ipnat

В дополнение ко вчерашней статье о настройке фаервола, хотел бы упомянуть также некоторые моменты касаемые эксплуатации программного фаервола на базе пакета ipfilter или ipf, которые могут всплыть в процессе работы с указанным фаерволом. А также несколько фич, используя которые можно оптимизировать работу фаервола и механизма NAT.

После внесения изменений в правила фаервола, данные правила можно применить без перезагрузки фаервола, просто перечитав файл правил, причем это может быть как дефолтовый файл, так и рандомный:
# ipf -Fa -f /etc/ipf.rules
где,
-Fa сброс всех правил фаервола.
-f указывает фаайлец с новыми правилами фаервола (так что не ошибитесь, ибо как вы помните фаервол мы собираели с блоком по умолчанию)

Полную статистику работы фаервола с момента загрузки системы  можно просмотреть командой
# ipfstat
При этом ключ -ih выдаст количество входящих пакетов, со статистикой прохождения или блокировок с попаданием в правила,
ключ -oh выдаст туже статистику для исходящих пакетов. Это отличное подспорье в оптимизации работы фаервола, путем помещения наиболее часто используемых правил фаервола наверх таблицы.
Обнулить эту статистику можно командой
# ipf -Z
Просмотреть проходящие пакеты в режиме реального времени, можно командой
# ipmon
собственно её вывод и пишется в логфайл.

При использовании ключа  -n адреса и порты будут преобразованы в хостнеймы и сервисы, что довольно удобно для мониторинга того- кто где сидит в данный момент,
а при использовании ключа -x данные проводящих пакетов будут выводиться в hex-коде, что тоже может доставить много интересных минут сисадмину.
Используя команду ipnat можно просматривать таблицу состояния адрес трансляций:
# ipnat -l выведет все открытые на данный момент трансляции адресов
# ipnat -s выводит статистику работы адрес трансляции
# ipnat -F обнуляет все активные соединения из актуальной таблицы адрес трансляций

У ipnat есть, по умолчанию вшитое, количество возможных открытых сессий, и проверить его можно командой:
# ipf -T list | grep nattable
и вероятнее всего вы получите ответ что максимальное число открытых сессий 30к, что для большой сети не так уж и много, так что увеличить это число можно добавив в файл rc.conf следующую строчку:
ipfilter_flags=”-D -T ipf_nattable_sz=10009,ipf_nattable_max=200000 -E”
и перегрузив ipfilter, тем самым увеличив число сессий до 200к.
Также если ваш ipnat.rules предполагает более 127 правил, которые установлены по умолчанию, вам необходимо  также добавить в переменную ipfilter_flags файла rc.conf ключики ipf_natrules_sz=1023,ipf_rdrrules_sz=1023
Еще один момент касаемый уменьшения таймаута TCP сессии, что также позволит оптимизировать работу NAT, так как многие сессии сохраняются в таблице не смотря на то что соединение уже давно закончилось. Для этого добавляем во флаги, также ключи fr_tcptimeout=180,fr_tcpclosewait=60,\
fr_tcphalfclosed=7200,fr_tcpidletimeout=172800
В итоге на выходе в rc.conf имеем следующее выражение:
ipfilter_flags=”-D -T ipf_nattable_sz=10009,ipf_nattable_max=200000,fr_tcptimeout=180,\
fr_tcpclosewait=60,fr_tcphalfclosed=7200,fr_tcpidletimeout=172800,\
ipf_natrules_sz=1023,ipf_rdrrules_sz=1023 -E”

Рубрика: FreeBSD, IT безопасность | Ваш отзыв »

Настройка программного фаервола на базе FreeBSD

Наконец то дошли руки, до воссоздания манула по настройке фаервола на базе системы FreeBSD, который помимо стабильности, надежности и безопасности отличается еще одним немаловажным, для многих компаний, качеством – это бесплатный фаервол. Большая часть настроек выработана годами опытной эксплуатации, так что они означают уже припомнить довольно сложно, да и к тому же  займет еще полстатьи, так что вероятнее всего часть настроек, которые я не рассматривал в данной статье, я распишу несколько позднее.

Переведем данное мероприятие сразу же в плоскость экономической выгоды для сисадмина, ибо на мой взгляд, настройка программного брандмауэра находится на втором месте, после лечения компьютера от вирусов, и перед восстановлением данных- по соотношению заработанных средств к затраченному времени. Поскольку на настройку программного фаервола на базе FreeBSD тратится от 6 до 10 часов, с момента как вы включили пустую машину, до момента когда вы можете уже включать данный сервер в разрез сети. Естественно, что поднять сам фаервол займет от силы полтора-два часа на создание и обкатку правил: большую часть времени занимает пересборка и апгрейд системы.

Также надо отметить, что данный пост повествует исключительно о настройке фаервола, а не унифицированного средства защиты с потоковым антивирусом и IPS, о которых я возможно поговорю позднее.

Итак- настраиваем программный фаервол на базе FreeBSD.

(more…)

Рубрика: FreeBSD, IT безопасность | 1 отзыв »

Еще одна утечка личной информации в поисковики

Не успела улечься шумиха с утечкой мегафоновских смсок в Яндекс, как крупнейшая российская поисковая система оказалась снова замешана в инциденте с утечкой данных. На этот раз в свободное плаванье по индексу поисковой системы отправились данные клиентов российских интернет магазинов. При наборе в строке поиска Яндекса «inurl:0 inurl:b inurl:1 inurl:c статус заказа» поисковик возвращает 1к статусов последних заказов, в которых можно найти ФИО клиента, его домашний адрес, IP, а также то, что служит наибольшей причиной лулзов- собственно сам заказ.

Так, по инфе на вчерашний вечер, некоторых клиентов секс-шопа Sexyz.ru уже начали троллить в социальной сети “ВКонтакте”, ибо у них обнаружились какие то нереальные списки заказанных сексуальных игрушек.

Новость изначально коснулась только Яндекса, но позднее выяснилось что все эти данные также доступны и на большинстве поисковиков- Mail, Rambler, Google. Собственно как и в случае утечки информации с сайта Мегафон- индексация поисковиками стала возможной в связи с некорректной работой файла индексации интернет-магазина robots.txt.

Искренне сомневаюсь, что данная ошибка появилась вчера, скорее всего кто то из пытливых умов просто вышел на эту дырку безопасности, которому подвержена часть интернет магазинов, причем скорее всего их объединяет, помимо неправильно заполненного robots.txt, криворукие веб-мастера, которые создавали движок интернет магазина таким образом, что статусы заказов клиентов находятся в открытом доступе, и единственной защитой от индексации поисковыми системами является файл robots.txt. Надо отметить, что за подобное распространение личной информации интернет-магазин вполне реально может налететь на не плохой штраф.

Подобная проблема уже была с поисковой системой Google когда несколько лет назад она была лучшей помощницей хакера, так как помимо страниц сайтов, также индексировала всевозможные служебные страницы и фингерпринты CMS, так что её использовали для поиска сайтов подверженных тем или иным уязвимостям.

Так что прежде чем запускать какой либо сайт- проверьте имеется ли у вас вообще файл robots.txt и что в нем написано.Тем более учитывая тенденцию того что подобные бреши начали всплывать одна за другой, то вполне возможно что это целенаправленный слив информации, призванный повысить спрос на аудиты безопасности сайтов и информационных систем, то есть вполне возможно что поиском подобных брешей занимаются не любители, а специально набранная команда тестировщиков и специалистов по безопасности, у которых следуя слогану Яндекса- точно найдется все.

Мог бы понаписать много чего еще, но пошел проверять роботсы на своих сайтах. Ибо чем Яндекс не шутит.

З.Ы: Поковырявшись на сайте вышеозначенного сексшопа и других героев ленты яндекса, обнаружил что собственно это одна и та же платформа, и как оказалось- это сугубо российская поделка Shop-Script – за который люди еще платят бобло порядка 300 американских рублей. Полагаю что после такого замечательного и главное показательного пиара в интернете, у парней их поделка будет продаваться уже менее успешно. Так что развитие ситуации было видимо таким, что кто то случайно пробил Sexyz.ru, и дальше уже по фингерпринту движка ситуация пошла развиваться дальше. Тем более что для этого даже не надо было терзать поисковые системы запросами, а просто зайти на офф.сайт shop-script.ру в раздел партнеров, где и выложена часть сайтов, использующих данный движок. Сексшопов естественно в данном списке нет.

На самом деле что касается сексошопов, то это вообще, если вдуматься очень скользкая тема, так как помимо моральных уродов которые будут доводить законопослушных граждан измывательствами, однозначно проявятся гоблины которые попробуют из этой информации выдавить копеечку, то есть это грозит как минимум шантажом, а в худшем и прямой наводкой на квартиру.

В дополнение к этому почтовые адреса этих граждан, попавшие в тираж также являются дорогостоящим продуктом, так как уже сами по себе сортированы по группам интересов, то есть именно то что называется Sales Lead.

Так что учитывая тот факт, что на Мегафон тем не менее уже подают в суд с исками в 30-50к рублей, то здесь все гораздо серьезнее и все таки у мегафона имеется своя сильная юридическая база, чего лишены торговцы самотыками, так что их однозначно будут иметь как тузик грелку. А они в свою очередь перевыставлять претензии к создателям дырявого двигла. Так что полагаю и интернет магазины, использовавшие дырявое двигло Shop-Script и самих быдлокодеров, продающих не тестированную поделку, ждет не мало приятных минут общения с судейскими.

Рубрика: Сайты и их проблемы | Ваш отзыв »

Pirate Pay – профанация или очередной развод

В инете нашел инфу о неких пермских парнях разработавших какую то фантастическую, судя по радостным всхлипам журналистов, панацею, которая поставит жирный крест на пиратском распространении всяких материалов, защищенных авторскими правами, через пиринговые сети по протоколу BitTorrent. Именуется эта гроза пиратов Pirate Pay.
Ну понятно, что журналисты пишут про адовые технологии, которые не раскрываются, тоже самое написано и на офф. сайте приблуды, так что пришлось несколько погуглить на предмет инфы, так что в конце концов набрел на интервью Дмитрия Шуваева- директора по развитию грозного проекта Pirate Pay, из которого следует что данная приблудина ставится в сеть провайдера и контролирует bittorrent-трафик на предмет соответствия  запрашиваемого контента с базой данных запрещенного, который составляется на основе обращений правообладателей. В случае если контент запрещен к распространению, то пользователь не получает отклика от трекера с актуальным списком пиров. Причем правообладатель своими силами изыскивает материалы, нарушающие его права и доступные для скачивания через сети BitTorrent.

Более того, компании уже выделили грант от мелкомягких в районе 100к зелени, и на момент интервью чуваки искали лобби в госдуме, для того чтобы обязать всех провайдеров устанавливать в своих сетях их чудо кирогазы Pirate Pay. Но по новым публикациям они обязуются порвать всех к 1 сентября, так что надо полагать что лобби они себе нашли и видимо за не плохой процентик, ибо опубликованные цены радуют: от 30к до 300к в неделю за противодействие, либо же порядка 15% от доли прибыли. С другой стороны может и не так, так как в новых публикациях говорится о том, что они собираются работать на основе DHT спама, то есть обмена хэш-кодами между клиентами для нахождения пиров минуя трекер. То есть их продукт Pirate Pay создает шторм объяв по DHT среди которых теряются родные пиры.

(more…)

Рубрика: IT безопасность, Интернет | Отзывов: 9 »

Пару слов про атаку SEO Poisoning

В связи с ниже сказанным, относительно нового фейкового антивиря под MacOS, выпущенного все таки видимо нашими русскими умельцами, хотелось бы упомянуть о получившей в последнее время широкой распространении атаке, именуемой SEO Poisoning. Атака представляет собой создание некоего ресурса, который раскручивается всеми известными, в том числе и Blackhat SEO способами, до топа поисковых систем- преимущественно google и yahoo, так как в основном эти атаки направлены на бургонет. Оказываясь в выдаче выше легитимных ресурсов, подобный сайт получает огромное число кликов и переходов с поисковых систем, как например было в случае прошлогодней ситуации с выдачей целебсов, когда переходя по топу выдачи гугля – клиент попадал на специально сконфигурированный сайт.

После чего зашедшему на сайт пользователю суется исполняемый php или javascript который базируясь на уязвимости системы, инсталяет в систему некий злонамеренный код, который подтягивается зачастую с использованием внедренных элементов iframe, или же flash редирект, когда предлагается загрузить сторонний кодек для просмотра видеоролика (преимущественно порнографического содержания). Таким же образом эта атака происходит, когда злоумышленникам удается внедрить данный метод XSS-атаки и на “честные” сайты имеющие некоторые уязвимости безопасности, которые и эксплуатируются негодяйскими негодяями для внедрения злонамеренного кода на машину потенциальной жертвы. И не смотря на постоянную борьбу Google с подобными сайтами, следствием которой вы можете видеть красную заставку, предупреждающую вас о потенциальной угрозе, исходящей с данного сайта, популярность данного вида мошенничества неумолимо растет в и данный момент (по состоянию 2010 года) составляет порядка 17% от всех топовых поисковых запросов Goolge, то есть переходя по ссылкам из топа выдачи, в 17 случаях из 100 вы попадаете на специально сконфигурированный сайт, или же подвергшийся компрометации. И не малое значение здесь конечно играют компании, специализирующиеся на разработке и распространении подобных продуктов, в чьи партнерки с радостью и подключаются не сильно разборчивые в средствах заработка веб-мастера, ибо что продвигать педофильско-зоофильские партнерки, что клепать и подсовывать буржуйским лохам мальвары- все едино, тем более что заработки подобных веб-мастеров, именно на мальварных партнерках исчисляются десятками тысяч долларов.

Рубрика: IT безопасность, Сайты и их проблемы | Ваш отзыв »

Фейковый антивирус MACDefender под MacOS

Майские праздники порадовали тем, что появилось пугало для многих трепачей, обожающий в стандартную холивару на тему “какой антивирус лучше” всунуть свои пять грошей про линух или макаку. Линух пока не трогаем, а вот к MacOS появился тот самый мальвар, за которые так ругают винду, и на которых последнее время не плохо поднимает бабуськи не безызвестный рейдай- клепая такую хню под винду и предлагая после, прикупить псевдоантивирь за 60-70 грин, который занимается только тем что устраняет данную пакость.

Так вот- зовется эта штука MACDefender и цепляется она точно таким же образом как и в случае с винюками, через бродилку Safari, подсовываясь либо с зараженных сайтов, либо со специально созданных заглушек, выведенных в гугле-топ по ламерски-популярным запросам с помощью  SEO инструментария. Причем себя она представляет как адский антивирусник. Надо отметить, что это крайне прибыльный бизнес, так как редаевская контора, на подобных поделках, поднимает десятки миллионов грин в месяц именно на распространяя подобные продукты, которые распространяются через партнерскую программу, но имхо дают оооочень большой минус к карме, не смотря на фантастические суммы заработка вебмастеров.

Собственно советы по предотвращению, абсолютно такие же как и для винюковой машины- все отрицать:
т.е. если вы видите де то надпись “MACDefender Setup Installer”, то не надо с ней соглашаться и устанавливать данную тулзу;
также следует отключить в Safari возможность автоматического запуска и открытия  файлов (Preferences -> General tab и снять галку с кнопки “Open ‘safe’ files after downloading”)
С помощью следующих шагов можно MACDefender:
Запускаем диспетчер приложений Activity Monitor (находится в /Applications/Utilities/) и сортируем приложения по имени, ибо данный продукт представляется своим собственным MACDefender или MacDefender.app. Если он есть в списке, то грохаем его;
Открываем System Preferences -> Accounts -> Login Items и высматриваем в списке MACDefender или какую любую другую необычную запись. Обнаружив, сносим её, нажимая на “-”, для тгго чтобы она не стартовала при входе в систему;
Открываем папку с прогами (/Applications/) и выискиваем тоже MACDefender или MacDefender, после чего грохаем приложение.

Отлавливается эта пакость риалтаймовыми антивирусниками VirusBarrier X5 и VirusBarrier X6 с сегодняшними обновлениями от 2 мая, которые не только борятся с вируснями, но и с мальварами и различными злонамерными кодами, подсовываемыми с веб-страниц.

Более подробно о происхождении и работе  данного фейкового антивиря расписано в блоге Intego, которые вроде как и отыскали эту самую пакость.

Рубрика: IT безопасность | Ваш отзыв »

Для тех кто любит погорячее

В очередной раз занимался лечением компутера одного порнофила, как водится на условиях дружбы и взаимопомощи, то есть за чай и коньяк. И в этой связи решил написать краткую памятку для всех порно-маньяков о том как можно и нужно серфить по порнонету, с тем чтобы не ныть потом по друзьям-знакомым: вылечите мне компьютер, ну пожалуууйста. Тем более что в этот раз я столкнулся с цепучей пакостью винлокер порнобаннера, который крепко сидел в автозагрузке во всех видах операционки, так что взвесив время которое я бы затратил на чистку компа, решил все переставить с нуля и заточить так, чтобы с этой стороны увеличить период времени, через которое данный порнолюбитель обратится ко мне вновь.

Итак для начала мы ставим винды, предположим это будет win7 pro. Естественно гораздо проще бы было поставить какой нить user-friendly Linux, врубить родной фаервол, добить это дело кем нить вроде eset или clamavd и работать под юзерскими правами- это бы значительно упростило жизнь мне, но не конечному пользователю (всем любителям пофлудить на тему: я пользователь линукс и хочу поинтересоваться, что такое вирусы- рекомендую погуглить на сабж: пару сотен, причем червей, найдете довольно быстро), тем более что хорошо заточенный винюк не сильно опаснее прикрытого линуха, и уж стопудово лучше MacOS без анттвиря.

Итак, поставив Windows 7, следом ставим Firefox 4 и навсегда прощаемся с Яшей ака IE. После этого прикручиваем к FF дополнение noscript, которое будет висеть в трее бродилки и ругаться на все опасные и не очень интерактивы. Затем ставим фаервол Comodo Firewall Pro и следом за ним Eset Smart Security. Если вам жалко заплатить за хороший, не тормозной антивирь 600 рублей, то можете конечно поставить антивирус от того же Comodo, или какой либо другой на ваш вкус- я предпочитаю именно эту связку, перейдя на нее года четыре назад с Outpost Firewall+Eset,  в те прекрасные времена когда аутпост отправлял core2 в BSOD при использовании Firefox. И надо признаться, что за все это время ни разу не имел каких либо проблем что под XP, что под семеркой. Хотя тут опять же надо заметить, что мои наиболее неспокойные клиенты все же умудрялись ловить различных ботов, но об этом ниже. После установки этой связки, не перегружая машину, дружим оба программных продукта, добавляя их в исключение друг к другу, иначе при загрузке машины вы станете свидетелем двухактовой трагедии ‘чужой против хищника’, в которой всегда выигрывает Eset. Да, перед установкой всего этого богатства, отключите встроенный виндовый фаервол, ибо этому фейку не место на нормальной машине.

После этого ставим Comodo в режим обучения, отвечая ‘да’, только если вы инициировали подключение или понимаете о чем разговор. После недели терзаний фаервол можно спокойно переключать в safe mode. Затем устанавливаете хорошую тулзу Search-and-Destroy которая будет следить за всякими адварями и мальварами, а также отлавливать попытки изменения конфигурации машины.

Ну и теперь переходит к основной части марлезонского балета: качаем себе бесплатную виртуальную машину Sun VirtualBox или VMWare Player, которую благополучно и ставим на свою рабочую станцию. После чего устанавливаем в нее винду-мак или линух, создаем на диске копию виртуальной машины, и уже из под виртуалки спокойно лазим по тем самым сайтам, с которых и начиналась наша эпопея.

Если тема с виртуалками вам по той или иной причине не подходит, то создайте себе для работы пользователя с ограниченными правами, из под которого вы будите работать или хотя бы лазить в инет.  После чего настройте себе хранение всех документов, почты и всего прочего на дополнительном разделе или жестком диске, доставьте все нужные программы и сделайте резервную копию системного раздела, что бы в случае серьезной заразы откатиться к работоспособной версии операционки за 15-20 минут. Копию системного диска можно сделать с помощью Acronis True Image, и держать резервную копию естественно также на дополнительном разделе, чтобы после просто загрузиться с диска True Image и перезалить систему.

Ну и на десерт основные правила инет-серфинга: все вышеуказанные действия, кроме настройки виртуальной машины, совсем не панацея, ибо они лишь призваны помочь пользователю сохранить свою машину в безопасности, но безопасность сама по себе- это комплекс мер, включающий помимо настройки всех необходимых сервисов, также и включение головы пользователя, который не должен скачивать и устанавливать какие то программы и утилиты из неизвестных источников, использовать ломанные программы желательно также в виртуальном окружении, поскольку зачастую ломалки содержат всевозможные трояны, не устанавливать дополнительные кодеки, которые вам предлагают установить для просмотра того или иного ролика, ибо это с вероятностью 100% будет попытка подсунуть вам злонамеренный код, не кликать по всевозможным popup окнам и прежде чем нажимать на “ДА”- читать что вам предлагают или спрашивают. И естественно ходить по проверенным ресурсам, ибо большая часть порева является так называемыми саттелитами, на которых хитроумные вебмастера не размещают ничего кроме рекламы партнерского сайта, а в последнее время, в связи с расширением бизнеса редая, вешают те самые программные модули, которые при заходе на сайт потенциальной жертвы, сами устанавливаются на компьютер пользователя и начинают просить денег на лечение. Так что подытоживая все выше сказанное хочу заметить, что лучшая защита от вирусов и ботов- это не антивирус, а голова и здравый смысл пользователя.

Рубрика: IT безопасность | Отзывов: 2 »