Одминский блог

Как я пинганул врата АДА

Подходил к концу 10ти часовой аврал проброса портов на внутренний сервак, в течении которого я обточил сервак, пропатчил его и перешел к самому тривиальному- настройке NAT’а на безусловный редирект в DMZ. Надо заметить, что все это производилось на шлюзе под FreeBSD 8.2 на которой столовалась внутренняя сеть 192.168.0.0/24, сопряженная 192.168.15.0/24, а также живущем на нем VPN сообществе с сетью 172.16.0.0/24.

Все тривиально и просто.

Все вроде просто, да на поверку не очень. Сначала поднял DMZ сетку 172.16.10.0 но почему то тут же упал VPN. Решив, что видимо глюк openvpn, забил и сменил сетку на 192.168.20.0, но ничего не заработало. Ковырялся вокруг да около очень долго, но в итоге часу в третьем ночи, понял, что не работает и естественно решил, что это тот же глюк VPN, так что решил взять вообще нигде не использовавшуюся сетку 10.10.10.0

(more…)

Рубрика: Дела Одминские, Одмины шутят | Ваш отзыв »

Проброс виртуальной машины ESXi в DMZ

Возникла необходимость высунуть машинку хостящуюся на виртуальной ферме VMware ESXi в дикий интернет, с ограничением доступа к локалке. Точнее возникла необходимость дать к ней доступ левым людям из вне с полными правами на рута. В связи с чем поднялся вопрос о том как пробросить одну из виртуальных машин в DMZ.

Надо отметить, что, порыв сообщества на тему атаки на хост ESXi, я не смог найти достаточно инфы об уязвимостях позволяющих получить доступ к ноде или соседям по ноде, поэтому собственно и решил, что оптимальным решением будет убрать хост в DMZ, предоставив к нему доступ из интернета и закрыв локалку. Другое дело что существуют различные варианты атаки на L2 OSI теоретически позволяющие ломануть DMZ на уровне VLAN’а, но это уже совсем другая история, не имеющая отношения к этой. Тем более что и современные средства организации VLAN’ов предоставляют богатый функционал защиты и минимизируют риски от подобных атак. Если кому то интересно покопать на тему атак на VLAN, то дам несколько ключевых букаф:
CAM flooding;
MAC flooding;
VLAN Cross-talk Attacks;
VLAN Hopping;
ARP spoofing;
Spanning-Tree attacks;
VRRP / HRSP tampering

(more…)

Рубрика: IT безопасность, Сети | Ваш отзыв »

Многофункциональный NAS от Synology

Со вчера на сегодня имел продолжительное знакомство в томом хранения данных NAS Synology RS812- удобное сетевое хранилище на 4 хотсвопных винта, которое оказалось совсем не простой железкой для хранения файлов.

Собственно еще при выборе конфигурации порадовало, что железка предлагает не только стандартные RAID 1/5, но и различные экзотические вариации вроде RAID 6/10/RAID 5+Spare. Также читал по разным форумам, что железка удобная для использования, но все равно не предполагал, что настолько. После запуска кирогаза, на комп ставится прилада Synology Assistant которая позволяет произвести первичную конфигурацию аппарата: пользователей, сетевые настройки, и загрузить имидж управляющей аппратом OS – DiskStation Manager (DSM), после чего можно коннектиться через бродилку в основную менюху.

(more…)

Рубрика: Обзоры | Ваш отзыв »

Новый троянский конь от Google?

Началось все довольно прозаично- увидел надстройку на Google Chrome, позволяющую установить удаленное соединение с компьютером опосредством браузера, но кроме этого никакой инфы на странице описания не было, так что решил поставить, для чистоты эксперимента на CentOS 5.7, но тут же уперся в то, что сусевский дистрибутив отказывается вставать, ругаясь на отсуствие libcurl.so.4 и lsb >= 3.2.

(more…)

Рубрика: IT безопасность | Ваш отзыв »

Организация беспроводного моста на больших расстояниях

Пригласили меня тут на некую железнодорожную станцию, на которой находится офис и удаленная от него площадка разгрузки вагонов. На площадке находится видео-наблюдение, которое транслируется в офис. Расстояние между ними где то метров 600-700, и со слов клиента сообщение идет через инет.

Приехал в офис и стал ломать голову каким образом все коннектится, ибо естественно ни в какой интернет пакеты не уходят, а ломятся на внутреннюю адресацию. В итоге оказалось, после длительных лазаний под столами и трейсов пакетов, что все замучено через так называемый wi-fi мост, с которым я морочился на уровне совмещения рутеров Linksys. Тоже самое поднимается на беспроводных точках доступа от D-link, но тут все было завернуто через оборудование Ubiquiti Networks- американского производителя беспроводного оборудования для 4G и WiMax.

(more…)

Рубрика: Сети | Ваш отзыв »

Повышение безопасности VPN сообщества

В дополнение к статье об установке OpenVPN сервера в инфраструктуру предприятия, хочется разродиться измышлениями о том, каким образом можно повысить безопасность при работе через VPN соединение. Ведь не секрет, что работники бывают разные, как в плане пакостности, так и в плане рассеянности, и наличие соединения которое устанавливается одним кликом- в самое сердце предприятия, не есть здорово.

В этой связи можно произвести некоторые телодвижения, которыми возможно если не обезопасить, то хотя бы минимизировать риски, при работе сотрудников через удаленное соединение.

В первую очередь право раздачи удаленных доступов возложить на руководство отделов, а лучше компании, с тем чтобы избежать последующих воплей- как же ты мог допустить!!! Организации всех доступов только по письму начальника отдела. Никаких за шоколадку, на вечер, дочка болеет и прочей слюнявой шняги, ибо если что, то иметь будут персонально вашу задницу.

Крайне желательно, чтобы пользователи не имели вообще никакого доступа к сети, кроме терминального соединения со своей машиной, на которую бы они входили зная свою учетную запись, и IP адрес компьютера, с тем чтобы левому человеку было бы сложно отсканить сетку. В этой связи необходимо создавать базу пользователей и соответствия логинов (и как следствие сертификатов) и IP адресов машин, и поскольку мы заранее знаем какой IP получит сотрудник, то и на фаерволе на виртуальном интерфейсе разрешать прохождение не все ко всем, а определенный IP удаленного клиента, на определенный IP компьютера внутри сети. И только по RDP. Никаких 135, 137 и т.д портов. Ну или же, если у вас в сети есть терминальный сервер, то всех пользователей – на терминальный сервер.

Как я это не ни люблю, но необходимо вести полное логирование безопасности- входов в домен и выходов, а также действий внутри домена.

Естественно, что для удаленного использования, оптимально было бы задействовать двухфакторную аутентификацию, основанную не только на шифровании на основе сертификата, но и на вводе пароля. Ибо если пользователь профуфыкает сертификат, то между логином и доступом в защищенное пространство сети, остается прокладочка в виде пароля. Для этого, для генерации сертификата пользователя, следует использовать команду:
# ./build-key-pass vpn-client
естественно не забывая проделывать все необходимые для генерации процедуры. Но тут мы можем упереться в пользователей не желающих вводить два пароля подряд- их конечно понять можно, но тут уже зависит от вашей настойчивости. Мне, если честно, мои нервы, в этом плане, всегда были дороже.

Если вы устанавливаете удаленных клиентов на ноутбуки сотрудников, то повторно рекомендую организовать хранение сертификатов на флешках, или, что еще лучше, на шифрованных носителях- крипт-контейнерах. Настройка клиента в этом случае, указана в конце статьи по установке сервера OpenVPN.

Надеюсь, что указанные шаги, помогут вам повысить безопасность вашего VPN-сообщества, без погружения в пучину админской паранойи.

Рубрика: IT безопасность | Ваш отзыв »

Настройка VPN-сообщества под FreeBSD и OpenVPN

Возникла тут необходимость дать видеоинженерам клиента удаленный доступ в локалку. Видеоинженеры же народ ленивый- хочет монтировать передачи и ролики, не отрывая задницу от домашнего дивана, так что этим они несколько похожи на одминов. Поскольку клиент оказался нераскручивываем на приобретение CheckPoint UTM-1, а фаервол я ему уже как то поднимал под FreeBSD, то пришлось мутиться с настройкой VPN сервера под фряхой 8.2. Хотя я и хотел поставить Untangle, про который уже как то рассказывал, но по итогам решил, что проще будет поднять все на одной машине, но под управлением хорошо зарекомендовавшего себя пакета OpenVPN, который помимо того что поддерживает все вариации подключений, так еще и идет со своим клиентом. Поднимать все это богатство я решил на сертификатах открытых ключей Х.509 под управлением RSA Key Management. Лить воду на жернов копирайта по поводу выбора сертификации мне неохота, так как меня от этой темы трясет еще с экзаменов CCSA, так что сразу перейду к настройке решения. Ставить будем на нашу любимскую FreeBSD, предварительно заточив её по всем правилам науки.

(more…)

Рубрика: FreeBSD, IT безопасность | Ваш отзыв »