Одминский блог

Установка поддержки SNX и Endpoint Connect на шлюзах

Установка поддержки SNX R71 на шлюз VPN-1 R65+ и портал Connectra Gateway

Для того, чтобы проапгрейдить движок SNХ на шлюзе VPN-1, делаем следующие процедуры:

1. Резервируем директорию $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл апгрейд-патча SNX_for_VPN1_Win7.tgz
3. Распаковываем скаченный файл, в директорию $FWDIR/conf/extender/CSHELL
4. Перемещаем файлы cashell_ver.txt и slim_ver.txt в директорию $FWDIR/conf/extender
5. Устанавливаем на шлюзе имеющиеся политики

Для того, чтобы установить патч на портал Connectra Gateway, необходимо проделать следующие шаги:

1. Резервируем директорию $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл апгрейд-патча SNX_for_Connectra_Win7.tgz
3. Распаковываем ранее скаченный файл в директорию $CVPNDIR/htdocs/SNX/CSHELL
4. Устанавливаем политики на портал

Установка поддержки Endpoint Connect R73 на шлюз VPN-1 R65+ HFA40 и портал Connectra Gateway
Для установки поддержки Endpoint Connect R73 на шлюзе VPN-1, начиная с версии R65 HFA 40, необходимо провести следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt содержащиеся в директории $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл поддержки клиентского софта
   Check_Point_Endpoint_Connect_R73_For_Windows_835000022.cab
3. Перемещаем файл в директорию $FWDIR/conf/extender/CSHELL и переименовываем его в TRAC.cab
4. Задаем правильные права доступа к файлу поддержки клиента: chmod 750 TRAC.cab
5. Редактируем файл trac_ver.txt изменив build number содержащийся внутри файла, на новый 835000022
6. Устанавливаем политтику на шлюз

Для установки поддержки Endpoint Connect R73 на портале Connectra Gateway совершаем следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt из директории $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл поддержки обновленной версии клиента
   Check_Point_Endpoint_Connect_R73_For_Windows_B835000022.cab
3. Перемещаем файл в директорию  $CVPNDIR/htdocs/SNX/CSHELL и переименовываем его в TRAC.cab
4. Даем команду chmod 750 TRAC.cab для того чтобы задать необходимые права доступа к файлу
5. Изменяем в файле file trac_ver.txt версию build number, изменив имеющийся на 835000022
6. Устанавливаем политики на портал

Теги: Checkpoint, IT безопасность, vpn

Checkpoint Secure Client VPN для 64битных Windows 7

После анонсирования новой системы Windows 7, вскрылась новая проблема, на которую никто не обращал внимания до этого, не смотря на то, что она уже была озвучена применительно еще к системам Vista: на 64-битных системах Windows Vista/7 невозможно использование IPSEC VPN клиента от Checkpoint – Secure Client, с помощью которого удаленный хост может подключаться к шлюзам Connectra, VPN-1, UTM-1 и Power-1 используя протоколы стандарта IPSEC. Это продукт отлично себя зарекомендовал на большинстве систем Microsoft и Mac, но к сожалению, после установки на 64-битную систему, пакет Secure Client не запускается в принципе, так что использование его невозможно.

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

Теги: Checkpoint, IT безопасность, vpn, Windows, windows 7, Сетевые протоколы, Сети

Генетическая DDOS атака

Вычитал тут на одном форуме интересную выкладку по DDoS атаке человеческого генома:

1. Одна человеческая клетка содержит 75Мб генетической информации.
2. Один сперматозоид содержит 37.5Мб.
3. В одном миллилитре содержится около 100 млн сперматозоидов.
4. В среднем, эякуляция длится 5 секунд и составляет 2.25 мл спермы.
5. Таким образом, пропускная способность мужского члена будет равна (37.5Мб x 100M x 2.25)/5 = (37 500 000  байт/сперматозоид x 100 000 000 сперматозоид/мл x 2.25 мл) / 5 секунд = 1 687 500 000 000 000 байт/секунду = 1,6875 Терабайт/с Получается, что женская яйцеклетка выдерживает эту DDoS-атаку на полтора терабайта в секунду, пропуская только один выбранный пакет данных и является самым офигенным в мире хардварным фаерволом… Но тот один пакет, который она пропускает, кладет систему на 9 месяцев…

Теги: IT безопасность, юмор

Организация глобального внутреннего алиаса средствами exim

Очень часто возникает необходимость создать некоторое количество внутренних почтовых адресов, например по отделам и административным группам (sales@ , acct@) или безусловную рассылку на все почтовые адреса компании, что нибудь вроде all@ или office@. Этот алиас мы присваиваем всем имеющимся почтовым пользователям, но через пару недель использования, а то и сразу на него начинает сыпаться дикое количество спама, ибо за день на стандартные потовые адреса может приходить до нескольких сотен сообщений, которые в ситуации с глобальным алиасом будут падать на все конторские ящики, выводя пользователей из себя и портя нервы админу. Естественно, что лучшим выходом в данной ситуации будет закрыть это адрес для внешней пересылки, оставив его только для внутреннего общения компании. Но как это сделать?

Если для внутренней пересылки используется внутренний почтовый сервер, то это одно дело, но если сервер у нас один и на нем необходимо завести этих пользователей, запретив отправку на них почты извне?

Тут нам в очередной раз приходит на помощь такой гибкий инструмент управления почтовым сервером Exim, как его конфигурационный файл exim.conf

В разделе MAIN CONFIGURATION SETTINGS у  нас уже должны быть заданы IP адреса для которых разрешена отправка через наш почтовый север. Обычно в этот список включается только localhost для того чтобы сервер мог пересылать сам через себя, но можно также включить и пользователей локальной сети, например:

hostlist relay_from_hosts = 127.0.0.1 : 192.168.16.0/24

В разделе  ACL CONFIGURATION создаем правило для нашего глобального алиаса, по которому использование данного адреса будет разрешено только для хостов указанных в списке relay_from_hosts или прошедших аутентификацию.

deny    message     = Go Away! This address not permitted for external use!
hosts              = !+relay_from_hosts
local_parts       = GLOBAL_ALIAS
!authenticated   = *

Данное правило можно расширить списком определенных доменов, но это даст возможность просачиваться спаму, использующему обратные адреса принадлежащие к нашим локальным доменам. Поэтому я это правило исключил после некоторого периода тестового использования.

domains        = +local_domains

После этого для каждого создаваемого пользователя мы добавляем глобальный алиас, или же можно созрать список рассылки без добавления отдельных алиасов, для этого в раздел ROUTERS CONFIGURATION добавляем следующее выражение:

virtual_allusers:
driver = redirect
domains = +local_domains
allow_fail
allow_defer
condition = ${if eq {$local_part}{all|еще какие-нить алиасы}{yes}{no}}
data = ${lookup mysql{SELECT CONCAT(login,»@»,domain) FROM users}}

Также можно объявить разрешенных отправителей для этого адреса, если количество внутриофисных спамеров ограничено:
senders = localspammer@odminblog.ru

Теги: exim, домен, почтовые системы

На злобу дня

Захожу сегодня в бухгалтерию, прислушиваюсь к разговору и медленно офигеваю. Бухгалтеры нагло обсуждают, как правильно пишется мой админский пароль к серверу, Керио и 1С. Минутный шок, потом прозрение. Надо же было этому чёртовому вулкану Эйяфьятлайокудль проснуться! Спал бы себе мирно подо льдом Исландии ещё двести лет! А мне теперь все пароли менять…

Теги: IT безопасность, юмор

Установка движка форума phpBB

Популярный и широко используемый движок для форумов phpBB, помимо стабильности и надежности, является бесплатным, поэтому тысячи сайтов по всему миру посвящены работе с ним. Я достаточно долго думал какой мне движок поставить для моего нового проекта и решил остановиться на нем.
Итак установка phpBB.

Для начала создаем на нашем хостинге базу данных с которой будет работать движок, для это пользуемся либо стандартной консолью хостинга, либо приложением phpMyAdmin. Я пользуюсь стандартным функционалом cPanel, для чего идем в раздел  Databases -> MySQL Databases и там заводим базу и пользователя, после чего в разделе Add User To Database назначаем созданному пользователю права на базу данных, нажатием кнопки Add и расстановкой галочек привилегий. После этого, ну или до этого, скачиваем с офф.сайта http://www.phpbb.com/downloads/ последнюю стабильную версию двигла, и распаковав архив, закачиваем его по фтп в корневую директорию своего сайта, на различным хостингах это обычно папка public_html. В распакованном виде движок занимает порядка 10Мб.

Выставляем права на запись, по маске 666, для файла config.php (или -rw-rw-rw-)
Выставляем полные права для всех, по маске 777, для следующих папок:  store/, cache/, files/ and images/avatars/upload/  (или -rwxrwxrwx)
После этого идем бродилкой по адресу нашего сайта- корневой http://domain.ru/ или http://domain.ru/forum
Устанавливаем и подклчючаем поддержку php для следующих модулей: zlib compression,  remote FTP, GD graphics, XML, Imagemagick.
Кликаем на вкладку INSTALL и стартуем процесс установки. Смотрим все ли у нас установлено, если необходимы какие то дополнительные модули, подключаем их, после чего заполняем всю необходимую информацию, которую нам предоставляет хостер и мы записали, я по крайней мере, при выполнении подготовительных работ
После завершения установки,удаляем каталог install и меняем права на config.php, оставив права на запись только для владельца, по маске 644 или -rw-r–r–

Теперь можно переходить к настройке движка форума.

Теги: phpBB, сайты, социальные сети

Подключение домена на дополнительный IP в cPanel WHM

Столкнулся с тем, что на VPS от Webintellect я могу завести только один домен на дополнительном IP адресе, причем по результатам переписки около двух дней мы только пришли к тому, что мне видимо придется менять хостинг. Но как говорится- хочешь все испортить, поручи другому, так что от безысходности я полез разбираться дальше, и оказалось что все делается весьма элементарно, просто через создание реселлеровского аккаунта. Уж не знаю, из природной вредности или действительно от незнания, технари мне не смогли подсказать этот вариант.

Итак имеем cPanel WHM.

Для начала создадим реселера.
Идем в раздел:  Account Functions -> Create a New Account и заполняем всю необходиую информацию об аккаунте, после чего в разделе Reseller Settings ставим галочку “Make the account a Reseller” и в Account Functions -> Change Site’s IP Address назначаем данному аккаунту дополнительный IP адрес.

Теперь содаем другой домен, который повесим также на дополнительный адрес. В разделе Account Functions -> Create a New Account создаем новый аккаунт, затем идем в Account Information -> List Accounts кликаем в иконку редактирования, в последнем столбце Owner, нашего нового аккаунта. Из выпадающего меню Change OwnerShip выбираем нашего реселлера и говорим Ок. Возвращаемся в список аккаунтов Account Information -> List Accounts  и идем в столбец IP нашего нового аккаунта. Убеждаемся что в строке New Address стоит новый IP адрес, на который бал назначен наш новый реселлер, и нажимаем Change. Теперь наш сайт привязан к дополнительному IP адресу, и точно также мы сможем привязать к нему любое количество доменов.

Но я не делаю больше 15-20 доменов на один адрес, ибо это чревато баном или попаданием под поисковые фильтры, особенно если планируется линковать сайты между собой.

Теги: домен, интернет, поисковики, сайты, техподдержка, хостинг