Причем смысл в том, что прописываются в них ограничения для всех пакетов относящихся к INET сервисам. В принципе это конечно довольно удобно, то что не надо лазить по разным конфигам, а настраивается в одном файле, но имхо- все же в конфиге софта было бы понятнее.

Принцип настройки как в фаерволе, по умолчанию разрешено все, что ни запрещено, то есть помимо того, чтобы прописывать разрешения в hosts.allow, надо запретить все в hosts.deny. То есть пути работы с этими разрешениями два: либо банить какие то адреса в hosts.deny, либо прикрывать все и разрешать какие то IP в  hosts.allow, у которого есть приоритет перед запретами. Выглядеть это будет следующим образом, скажем для фтп и ссх:

#### hosts.allow
ALL : localhost
sshd : 192.168.0.100
proftpd : 192.168.0.0/24

#### hosts.deny
sshd : ALL
proftpd : ALL

Либо же идти дальше и врубать имеющую место быть, двухфакторную аутентификацию, одним из параметров которой как раз и является IP адрес.

Надо отметить, что, порыв сообщества на тему атаки на хост ESXi, я не смог найти достаточно инфы об уязвимостях позволяющих получить доступ к ноде или соседям по ноде, поэтому собственно и решил, что оптимальным решением будет убрать хост в DMZ, предоставив к нему доступ из интернета и закрыв локалку. Другое дело что существуют различные варианты атаки на L2 OSI теоретически позволяющие ломануть DMZ на уровне VLAN’а, но это уже совсем другая история, не имеющая отношения к этой. Тем более что и современные средства организации VLAN’ов предоставляют богатый функционал защиты и минимизируют риски от подобных атак. Если кому то интересно покопать на тему атак на VLAN, то дам несколько ключевых букаф:
CAM flooding;
MAC flooding;
VLAN Cross-talk Attacks;
VLAN Hopping;
ARP spoofing;
Spanning-Tree attacks;
VRRP / HRSP tampering

У VMware, кстати, имеется специальный продукт под это дело, именуемый vShield Zones. Но сейчас не о нем речь.

Так вот- VLAN’ы: VMware понимает VLAN только одного типа Ethernet фреймов 802.1Q. Для организации VLAN желательно использовать технологию virtual switch tagging (VST), которая позволяет предотвратить часть атак L2 направленных на компрометацию MAC адреса, путем запрета его изменения, а также блокировок поддельных передач. Чуть более подробно можно прочесть на офф.сайте VMWare.  Более того, в отличии от VGT Mode, VST не требует дополнительно драйвера в операционке для поддержки 802.1Q транка, что естественно является неоспоримым преимуществом в плане простоты и легкости интеграции.

Перед манипуляциями с ESXi необходимо настроить свич, для чего переводим порт к которому подключается ESXi в состояние транка, не забывая про единственно поддерживаемый тип фрейма IEEE 802.1Q (dot1q). В режиме VST Mode ESX/ESXi  не поддерживает так называемые родной (native) VLAN ID, поэтому при присвоении портам того же VLAN ID что и на ESXi такие пакеты будут дропаться на стороне VMWare. Более подробно о настройке конфигурации VST, можно на офф.сайте.

Настраиваем VLAN транк на ESXi, для чего открываем WebSphere щелкаем на нашу ноду и в правом фрейме идем Configuration -> Networking -> Properties.
Выбираем виртуальный коммутатор (virtual switch / portgroups) во вкладке Ports и идем в его редактуру: General -> присваиваем номер VLAN в поле VLAN ID -> вкладка NIC Teaming -> из списка Load Balancing выбираем Route based on originating virtual port ID. После этого проверяем что в активных адаптерах кто то есть, после чего все сохраняем и тестим соединение с другой стороной VLAN’а.

Но самое веселое во всем этом, что данная уязвимость была найдена итальянским безопастником Луиджи Ориемма аж в мае 2011 года, и данные о ней были переданы в Microsoft, которые разродились срочным патчем только после того, как данные об этой дырке просочились в инет.

Но еще более забавно, что уже 15 марта на китайских сайтах уже появился эксплоит использующий данную уязвимость и по заголовкам внутри кода, имеется предположение, что ноги данного эксплоита растут из Microsoft MSRC – лаборатории мелкомягких, как раз по отлову подобных дырок.

Так что если у вас таки торчат какие то серваки в инет, то привет от майкрософта- патчите срочняком по данной ссылке с офф.сайта. Хотя конечно памятуя о работе мелкомягких по срочному устранению кртических уязвимостей- как бы эта заплатка не наделала еще больших дырок.

Так что клиентский админ поехал выяснять в чем дело. Опытным путем выяснили что при подъеме канала по каким то причинам не поднимался маршрут, то есть пакеты которые должны были идти через VPN канал в офисную сеть, не инкапсулировались, а вместо этого стучались по дефолтному маршруту. Я с таким пару раз сталкивался на Checkpoint VPN если не правильно задавались параметры сообщества, но тут явно проблема была в системе.

В итоге опытным путем выявили, что проблема в правах на запуск клиента OpenVPN, так как в системе Windows 7 настройки сети устанавливаются с правами администратора, поэтому и клиент должен запускаться с правами администратора, но после установки новых драйверов или устройства принтера эти права почему то съехали на не привилегированного пользователя. Возможно це не багу, це фича Apple’вских систем, но починить удалось именно переназначением прав.

Для того чтобы минимизировать возможные финансовые потери я хотел бы обратить внимание на некоторые аспекты работы, зная о которых можно избежать треволнений и различных потерь. Естественно что эти советы пересекаются с другими темами о компьютерной безопасности, о которых я писал на блоге.

1. Основная задача финансового благополучия состоит в том, чтобы отделить мух от котлет, то есть завести под финансовые дела отдельную машину, естественно виртуальную, и изолированную от общей системы. В неё ставится весь фарш, вроде фаервола, IPS, антивируса, закрываются все не нужные порты, а также программы вроде Webmoney Keeper, бродилки FF с NoScript. Естественно что пользовать эту виртуалку стоит только для проведения финансовых операций, и уж точно не для серфинга и переписки. Жрет такая машина не много, так что 512Мб думаю ей хватило бы за глаза.

2. В Webmoney следует закрыть всю личную информацию как на сайте passport.webmoney.ru, так и в events.webmoney.ru . Зачем кому то, пусть даже и из списка контактов, знать что вы часто меняете баксы или евро на рубли, или обращаетесь к каким то гарантам.

3. При логине в банк рекомендуется использовать виртуальную клавиатуру, естественно если она есть. Если её нет, то пароли также можно держать на виртуальной машине- однозначно имидж в 30гиг у вас не украдут, но обмен данными через буфер обмена лучше обрезать. Ну и даже на виртуальной машине, такие данные лучше всего хранить в шифрованных контейнерах.

4. Всюду где возможно подключить подтверждение транзакций по телефону, который естественно лучше не светить. Оптимально так вообще завести отдельную симку под эти дела, чтобы о её существовании никто не знал, ибо помимо гипотетической возможности клонирования sim карты, возможно умышленное заражение вашего телефона программным кодом, сливающим информацию. Также нельзя сбрасывать со счетом не чистых на руку сотрудников мобильных операторов. Ведь по сути- решение всех вопросов зависит от целевой суммы.

5. Меньше трепите про свои успехи в делах и бизнесе. Интернету совсем не обязательно знать сколько вы выводите с сапы, или сколько выводите с ваших кошельков. Ибо занимаясь всякими финстрипами, вы не только повышаете собственное ЧСВ, но и прикармливаете различных жуликов. Сюда же стоит отнести советы о том, что меньше следует трепаться о  предстоящих поездках, например в социальных сетях. Или хотя бы не озвучивать точные сроки поездки.

6. Старайтесь меньше оставлять следов в интернете- ФИО, личные телефоны, домены с незакрытыми whois- все это может быть использовано против вас.

7. Все сомнительные сделки проводите через гаранта- лучше переплатить 3-4%, чем потерять все. Сказать по себе, я вообще стараюсь не иметь дела со стремными персонажами, разве только прикола ради.

8. Естественно что не стоит скачивать с инета, социалок, форумов не известное ПО и тем более запускать его на своей машине. Для этого стоит завести либо отдельную виртуалку, либо по крайней мере использовать chroot.

9. Если ваши данные находятся на ноутбуке или флешке, позаботьтесь о том, чтобы дисковый массив был зашифрован, так как вероятность того, что вашими данными воспользуются при краже, хоть и низка, но тем не менее не равна 0, а менять стопяцот паролей придя в себя – не лучший выход. Также на шифрованных дисках лучше хранить копии ключей и сертификатов, так как никто не будет ломать ваш PGP диск, так как время потраченное на попытки его вскрытия, кидалы натянут не одну сотню людей.

10. Для платежей в интернете, лучше использовать не ваш банковский счет, или кредитку, а сделать под ней собственный chroot в виде карты виртуал, откуда невозможно списать больше определенной суммы.

11. Не стал бы я и ставить различные платежные терминалы или Webmoney на телефон, ибо телефонам свойственно теряться, и тут можно отписать примерно тоже самое что и в пункте 9.

12. При общении с потенциальным заказчиков или гарантом- не поленитесь сверить номера ICQ, WMID, пробить их по гуглю и если надо, провести какую нить проверку, вроде отправки мейла на гарантированный адрес, например указанный у гаранта на сайте (особенно если персонаж постучался к вам сам). При платежах используйте двухфакторную аутентификацию, вроде кода протекции, который скидываете в личную почту, или же личку на форуме. Лучше показаться параноиком, чем остаться на бобах.

13. Перед оплатой заказа, если совершаете заказ в первый раз, уточните детали- обычно кидалы палятся на том, что не вполне ориентируются в теме, а по ленности и скудоумию не считают нужным поднабраться информации по сабжу.

14. В связи с участившимися в последнее время схемами кидка через третий WMID с высоким BL, не отправляйте средства отправленные вам по ошибке, через выставление счета, а требуйте WMID для прямой отправки средств, и перед отправкой сверьте его с тем, с которого вроде как был проведен ошибочный перевод. Также не стоит переводить платежи на кошельки с BL около 0, и сроком регистрации в несколько дней или недель.

15. Никогда не торопитесь. Это основной постулат, который применим как для онлайна, так и для реальной жизни. Просто не спешите, и скурпулезно изучайте полученную информацию, не поддаваясь на “быстрей, давай, только сейчас, горит!!”

З.Ы Вместо резюме: на самом деле я не улавливаю, почему в данный момент преступники мало внимания уделяют онлайн бизнесу, ибо его представители в своем большинстве молоды и то что называется вдувабельны, то есть повышенное ЧСВ не подкреплено абсолютно ничем, так что в случае серьезного наезда, дети теряются что делать, так как связей у них, по причине антисоциального (в плане социума) существования, нет; милиции они боятся, так как знают из интернетов, что там тоже негодяи одни обитают, так что при кидке в 10-15к рублей жертва никуда не идет. Тем более что ситуация с онлайн бизнесом и налогами в России-Украине, смахивает на ситуацию рэкета цеховиков в 70е года, когда и те и другие юридически были вне закона.

Пока же, по большому счету, преступлениями в этой сфере занимаются дилетанты, по сути те же малолетки, считающиеся себя мега хитрыми, но не имеющие мозгов поднатореть в материале по которому они работают. Наиболее показательной в этом плане, была ситуация с Бормалеем, когда якобы популярного блоггера держали взаперти, переписывая на себя домены и сливая деньги с партнерок.  В последствии вся эта тема оказалась довольно сомнительной в плане правдоподобности, так как в рассказе было много не состыковок и все больше походило на самопиар, но тема такова, что в последние годы выходят сидельцы по серьезным срокам, севшие в начале-середине 90х, и в данный момент они оказываются не у дел. А учитывая, что в интернетах число не пуганных лохнесских чудовищ зашкаливает, то вполне вероятно что сферы интереса, будут постепенно смещаться в онлайн, так что вопрос анонимности в интернете становится с каждым годом все более и более актуальным.

Причем чем хороша и полезна хакерская атака, тем что ей может воспользоваться как оппозиционер, для того чтобы показать всем свою опасность для режима и оцененность потенциальным противником- вы думаете я бяклан какой то, а мне вот блог атакуют, DDoS делают; так и официальный орган существующей власти.

Вот и в это воскресенье эпический epic fail российской космонавтики, разворованной и разрушенной за последние 20 лет напрочь, вылился в какой то абсурдный водевиль с переодеванием. Исследовательский корабль, чьей точкой назначения был Марс, а конечной точкой прибытия стала таки транзитная остановка на земной орбите, в эти выходные должен был упасть кому то на голову, так что в итоге половина земного шара, затаив дыхание следила за точкой приземления улик не целевого вложения 5ккк рублей. Но Роскосмос, по каким то причинам решил притормозить с инфой о месте падения, вероятнее всего ими руководила невозможность определить место падения (мы ведь помним, что наш супер экстра-марсоход, о котором трубили все каналы,  первыми таки обнаружили европейцы, сдав его с потрохами нашим). Ну и вот в этой ситуации лучшим способом сделать хорошую мину при плохой игре, оказалась DDoS атака направленная на сайт Роскосмоса, который оказывается хостится на Мастерхосте. Так что сайт Роскосмоса был в дауне всю ночь и заработал только 16 января, после того как военные уже отыскали место падения спутника. При том в СМИ идет инфа про какого то стрелочника, который обнаружив возросшую нагрузку на сервер, рубанул рубильник. Прям постановка Гамлета в пионерском лагере какая то.

Отличная связка на самом деле – говнохостинг с которого нормально идут DDoS атаки, и который находится во всех возможных блэклистах, причем не только RBL, но и Google, считающего что их пул IP адресов является рассадником говносайтов (так что Мастерхост это кошмарный сон seo’шнега); и космическое бюро, у которого падает все что только можно. Причем абсурд доходит до того, что людям хватает наглости нести такой вот бред: “Глава Роскосмоса Владимир Поповкин ранее сообщил “Известиям”, что не исключает, что авария при запуске межпланетной станции могла произойти из-за внешнего на него воздействия. “Не хочется никого обвинять, но сегодня есть очень мощные средства воздействия на космические аппараты, возможности применения которых нельзя исключать”, – заявил он в интервью изданию.” Единственное что забыли добавить- “и заговорщицки подмигнул правым глазом” ©.

Интересно было бы конечно пообщаться  с IT директором Роскосмоса, не только сделавшим такой правильный выбор в пользу Мастерхоста, не имеющего достаточных средств защиты от DDoS атак (про DDoS Mitigation надо полагать в Мастерхосте и не слышали никогда), так что приходится гасить клиентские серваки; но и видимо создавшим команду, где инженеры тоже не вкуривают, как защиищаться от DDoS атак, что такое зеркала сайта или кэширующие сервера для критичных сервисов. Ну или же, что более вероятно, как обычно все списали на айтишников.

И вот случайно набрел на один форум, где зарегался, после чего полез смотреть, что пишут. И оказалось что это форум являющийся поддержкой некоего программного продукта под названием  Sandboxie. Как явствует из названия, продукт представляет собой песочницу для винды, то есть витиевато выражаясь: виртуальное, защищенное окружение эмулирующее для устанавливаемой программы или запущенного процесса полноценную работы системы, без необходимости установки в систему. При этом сам sandbox изолирует все процессы от ядра системы и выделяет ограниченную зону дискового пространства для записи в систему, тем самым повышая безопасность  работы хостовой машины, и позволяя запускать не доверенные процессы и приложения, не прибегая к помощи виртуальных машин. Также подойдет, например, для использования при браузинге в интернете, так как пробив браузера, не нанесет машине никакого урона, так как все злонамеренные действия эксплоита будут проходить в виртуальной изоляции песочницы.

Программа написана на C++ и поддерживает всю линейку продуктов рабочих станций от Win2Yk до Windows 7, как 32, так  и 64битных версий.
Выглядит убедительно, к тому же на официальном сайте программы sandboxie много положительных отзывов, и ссылок на ревьюхи, но я пока тестирую в виртуалке, от греха и ядра подальше. Приложение простое в работе и быстрое, так что даже пытался запустить какие то ломалки, но все прошло успешно.

Естественно что для крупного корпоративного сайта, да и простого интернет-магазина, завязанных на продажах через интернет, каждый час простоя чреват финансовыми потерями, а при заинтересованности злоумышленников, или заказчика, подобная атака может идти неделями. Тем более что и стоимость атак может розниться от 3-4к зелени в день за атаку на ресурсы уровня ЖЖ, до сотни баксов за аут небольшого интернет магазина, хостящегося на шаред хостинге. Помимо финансовых потерь, для небольших проектов DDoS атака чревата баном аккаунта, так как большинству хостеров не нужны проблемы подобного характера, так как при распределенной атаке страдает не только целевой сайт, а как минимум вся хостинг ферма атакуемого сервера, а в случае небольшой компании подобная атака может привести к недоступности всех его ресурсов. К тому же целью DDoS атаки может быть как вывод сервера из строя, так и попытка скрыть более серьезные действия злоумышленников по получению несанкционированного доступа к атакуемым серверам и сайтам.

В этой связи существуют несколько видов борьбы с DDoS атаками:
1. Прежде всего ваш хостинг должен иметь защиту на уровне провайдера, так как часть атак можно отфильтровать на уровне доступа к сети, путем бана определенных пакетов, или же определенных IP адресов и сетей. Естественно что подобное оборудование весьма дорогостоящее, и только небольшая часть хостингов предлагает подобную защиту.
2. На самом сервере должны быть установлены необходимые заплатки, позволяющие не реагировать на различные типы DDoS атак, а также анализатор пакетов позволяющий отправлять в бан атакующие адреса.
3. Использовать сторонние сервисы, на которые средствами DNS заворачивается трафик, и они либо проксируют доступ к серверу, либо выдают статический контент на своей стороне. Естественно что эти услуги крайне не дешевы, поскольку используют избыточные серверные мощности.

Вот собственно на подобных сервисах, я бы и хотел остановиться отдельно:
1. Qrator.net – расписано все очень слажено, но по деньгам выходит жестковато. Пишут, что работают на ура, и все проблемы решабельны. Правда и денег за эт просят не мало.

2. DDoS-protection – тоже выглядит довольно убедительно и отзывы хорошие, но не понятно что по деньгам. Видимо такие суммы, что не стоит публиковать, чтобы не отпугнуть потенциальных клиентов. Но судя по подборке клиентов, сервисом много кто пользуется.

3. Как сказали на мауле хостинг Hostace вроде как специализируется на подобных решениях. У них в услугах не указано, так что видимо это выводится из личной беседы со спецами, типо как аренда хрумака. О которой никто не говорит, но она подразумевается.

4. Также на мауле есть чел, который как раз предлагает фронт-энд на своем или вашем оборудовании. Собственно его контакты есть в теме.

Попытка поставить или обновить не увенчалась успехом, так что стал копаться и обнаружил что оказывается Chrome не дружит с веткой RHEL5, и поддерживается только в версии RHEL6. Переставлять операционку мне уже не хотелось, так что пошукав по инету, нашел пофиксенный исходник Chromium переписанный Ryoji Kamei, который можно скачать с его сайта. Ставится ручками из yum, после добавления репозитория, но там собственно все расписано довольно подробно.

Но поскольку у меня операционка была сделана для определенных задач, то места оказалось не достаточно, так как требуется около 400Мб, и в итоге я, плюнув на все с прибором, полез смотреть работу данной прилады таки в винду. Тут конечно пришлось пошайтанить с проксями и впнами, чтобы гугель не совсем понял откуда пришел данный запрос, но вообщем установил я эту приладу  с данной страницы WebStore – надо отметить, что это бета-версия и весит она 20 метров. К тому же цепляется данная тулза к вашему аккаунту в системе google.

После установки на ваш компьютер, а точнее в вашу бродилку, данная прилада генерит уникальный 12ти значный код, на основе которого и происходит инициализация сессии. Код действителен порядка нескольких минут, в течении которых вы можете инициировать подключение, введя данный код в машине с которой необходимо подключиться. После чего вы получаете совместный доступ к компьютеру, по аналогии с TeamViewer, а целевой рабочий стол получает предупреждение что к нему подключился пользователь с мылом, которое вы указывали при логине в Google. Сама сессия строиться через рандомныйID@id.talk.google.com, и на самом деле довольно ощутимо подтормаживает, именно ввиду того что вы соединяетесь не peer-to-peer, а через средства Google. И вот тут встает большой вопрос, насколько данный вид связи безопасен и закрыт для третьих глаз, поскольку сообщение идет через ssl канал и канал Google-talk, но через гуглевые серваки: 74.125.43.126:443 и 173.194.35.227:19295.

Естественно, что помимо RDP вы получаете еще и видео-чат связь, но помнится еще Гомер изрек “Бойтесь данайцев, дары приносящих”, ибо SSL вещь хорошая, но памятуя о разговорах вокруг зарождения компании Google и участия в этом министерства обороны США, есть небольшое подозрение в том, что никто не мешает ставить на стороне данайцев в смысле компании Google так называемый ssl-декодер, который занимается дешифровкой сессии, преобразуя её в удобочитаемый, для “операторов”, формат. А учитывая что люди предоставляющие данный сервис, через бродилку Google Chrome пробивают практически любые защиты- у меня были пробиты: фаервол конечной машины, виртуальный NAT и фаервол хостовой машины, а также внешний рутер, то подобная тулза становится отличным способом влезть к вам в компьютер, и что самое главное – абсолютно добровольно с вашей стороны.

Благо данная сессия закрывается вместе с Chrome, или же нажатием на кнопку разорвать соединение, но теперь надо просимофорить что случается после её закрытия, так как в моем случае дополнительных сессий после закрытия сессии я не обнаружил, но тема с таким вот доступом к своему компьютеру, причем с полными правами, вплоть до выключения, не может не радовать.

И именно поэтому необходимо дать доступ нескольким доверенным IP адресам, занеся их в белый список доверенных IP. В моем случае я дал доступ паре терминальных серверов, к которым имею доступ, двум купленным прокси серверам, а также к консоли еще пары серваков, которые удаленно администрирую по ssh. Ибо если у вас нет доступного терминального сервера, или же вы не можете использовать доверенный прокси сервер, то можно дать доступ хотя бы на какой нибудь собственный VPS с которого и можно разблокировать доступ к Cpanel WHM используя командную строку, путем обнуления базы брута.

Делается это следующим образом. Заходим в консоль, а дальше залезаем в командную строку мускуля:
# mysql
mysql> use cphulkd;
mysql>BACKUP TABLE `brutes` TO ‘/path/to/backup_file’;
Смотрим что вообще у нас есть в базе бана брута
mysql> SELECT * FROM `brutes`;
После этого, если список большой, то выбираем из базы свой IP и удаляем его
mysql> SELECT * FROM `brutes` WHERE `IP`=’X.X.X.X’;
mysql> DELETE FROM `brutes` WHERE `IP`=’X.X.X.X’;
mysql>\q

Узнать свой IP можно либо трейсом, либо зайдя на рутер либо воспользовавшись любым из многочисленных сервисов, определяющих IP адрес- ну хотя бы этот: WhatIsMyIP

Стал ковыряться и обнаружил в логах ipmon интересные записи:
Date em1 @0:38 b LAN_IP,port -> VoIP_server,port PR tcp len 20 60 -S OUT OOW
Date em1 @0:58 b VoIP_server,port -> LAN_IP,port  PR tcp len 20 81 -AP IN OOW NAT
Date em1 @0:58 b VoIP_server,port -> GW_LAN_IP,port  PR tcp len 20 81 -AP IN OOW NAT

Собственно самое интересно в этом флаг OOW, который переводится как out of window, и является багом фильтарции пакетов для которых правило идет со статусом keep state, то есть в момент установленного уже соединения, которое фаервол должен пропускать, он вдруг решает, что это неожиданный пакет и банит его именно по причине OOW. В моем случае- все эти прохождения пакетов были разрешены, и все блокировки были именно по флагу OOW.
Бороться с этим можно двумя способами: либо пропатчив фаервол, либо исключая из правила флаг keep state. Я предпочел последний, тем более что у меня баг срабатывает только на VOIP трафик, тогда как остальной продолжает ходить с флагом keep state.

Самое унылое во всем этом, что судя по инетам данная проблема была пофиксена еще на версии 1.3b5, тогда как у меня в данный момент используется:
# ipf -V
ipf: IP Filter: v4.1.28 (400)
Kernel: IP Filter: v4.1.28
так что видимо с оказией надо будет подумать об обновлении на текущую версию 5.1.0

Кстати просмотреть пакеты дропающиеся по out of window можно с помощью команды:
# ipmon -oI
Тогда как увидеть список загруженных правил можно с помощью команды:
# ipfstat -nio

В этой связи можно произвести некоторые телодвижения, которыми возможно если не обезопасить, то хотя бы минимизировать риски, при работе сотрудников через удаленное соединение.

В первую очередь право раздачи удаленных доступов возложить на руководство отделов, а лучше компании, с тем чтобы избежать последующих воплей- как же ты мог допустить!!! Организации всех доступов только по письму начальника отдела. Никаких за шоколадку, на вечер, дочка болеет и прочей слюнявой шняги, ибо если что, то иметь будут персонально вашу задницу.

Крайне желательно, чтобы пользователи не имели вообще никакого доступа к сети, кроме терминального соединения со своей машиной, на которую бы они входили зная свою учетную запись, и IP адрес компьютера, с тем чтобы левому человеку было бы сложно отсканить сетку. В этой связи необходимо создавать базу пользователей и соответствия логинов (и как следствие сертификатов) и IP адресов машин, и поскольку мы заранее знаем какой IP получит сотрудник, то и на фаерволе на виртуальном интерфейсе разрешать прохождение не все ко всем, а определенный IP удаленного клиента, на определенный IP компьютера внутри сети. И только по RDP. Никаких 135, 137 и т.д портов. Ну или же, если у вас в сети есть терминальный сервер, то всех пользователей – на терминальный сервер.

Как я это не ни люблю, но необходимо вести полное логирование безопасности- входов в домен и выходов, а также действий внутри домена.

Естественно, что для удаленного использования, оптимально было бы задействовать двухфакторную аутентификацию, основанную не только на шифровании на основе сертификата, но и на вводе пароля. Ибо если пользователь профуфыкает сертификат, то между логином и доступом в защищенное пространство сети, остается прокладочка в виде пароля. Для этого, для генерации сертификата пользователя, следует использовать команду:
# ./build-key-pass vpn-client
естественно не забывая проделывать все необходимые для генерации процедуры. Но тут мы можем упереться в пользователей не желающих вводить два пароля подряд- их конечно понять можно, но тут уже зависит от вашей настойчивости. Мне, если честно, мои нервы, в этом плане, всегда были дороже.

Если вы устанавливаете удаленных клиентов на ноутбуки сотрудников, то повторно рекомендую организовать хранение сертификатов на флешках, или, что еще лучше, на шифрованных носителях- крипт-контейнерах. Настройка клиента в этом случае, указана в конце статьи по установке сервера OpenVPN.

Надеюсь, что указанные шаги, помогут вам повысить безопасность вашего VPN-сообщества, без погружения в пучину админской паранойи.

После чего через полученный доступ на сайт заливается многотысячник якобы содержащий драйвера различных устройств, а по сути как раз модификации троянца Trojan.Mayachok.1 , который, установившись на целевой компьютер, при обращении к ряду популярных сайтов, перенаправляет пользователя на фишинговый сатй, предлагая ввести номер телефона и ответить на полученное смс, вроде как от администрации ресурса.

В связи с чем компания Dr.Web на начало сентября зафиксировала более 21к случая заражения сайтов, которые после хищения паролей стали донорами для распространения заразы по интернету.

В связи с чем хотелось бы напомнить всех пользователям интернета элементарные правила интернет-гигиены: работать в Интернете только при наличии актуально обновленных антивируса + фаервола и системы предотвращения вторжений IPS, не открывать ссылки от неизвестных адресатов, а при открытии – копировать их из почтовой программы в окно браузера и проверять соответствие конечного адреса и желаемого. При открытии странной странницы, вызывающей недоверие, не нажимать никаких кнопок- как ОК, так и просто каких либо диалогов- максимум что можно- это по-тихому закрыть окно. Также не рекомендуется ротозеям хранить пароли в ftp-клиентах, хранящих их в открытом виде, хотя как пишут – шифрованные пароли также становятся жертвой взлома. Также стоит ограничивать пользователя под которым вы лазите по интернету, в правах на машину, и желательно давно уже перейти на Windows 7, как наиболее защищенную из всех имеющихся в наличии, на данный момент, систем.

# cd /usr/ports/security/openvpn
# make && make install
# make clean
в логе инсталяшки видим напоминалку о том, что надо бы врубить работу пакета в /etc/rc.conf, синтаксис которого описан в файле /usr/local/etc/rc.d/openvpn. В этой связи добавляем в /etc/rc.conf следующие строки:
openvpn_enable=”YES”
openvpn_if=”tun”              # driver(s) to load, set to “tun”, “tap” or “tun tap”
openvpn_configfile=”/usr/local/etc/openvpn/openvpn.conf”
openvpn_dir=”/usr/local/etc/openvpn”
Поскольку указанных директорий и файлов у нас нет, то создаем их:
# mkdir /usr/local/etc/openvpn
# touch /usr/local/etc/openvpn/openvpn.conf
а также всю внутреннюю структуру папки /usr/local/etc/openvpn
# mkdir /usr/local/etc/openvpn/ccd
# mkdir /usr/local/etc/openvpn/keys

Надо отметить, что в работе openvpn использует openssl и его структуру, так что если мы планируем еще тщательнее защищаться, то нам надо весь фарш из папки /etc/ssl переносить в нашу папку /usr/local/etc/openvpn/ , включая как папки certs, crl, serial, private, так и  базы данных сертификатов serial и index.txt. Поскольку я бился на удаленной системе посредством ssh, а переться в офис мне совсем не хотелось, то я оставил все на месте, минимизировав перенастройку openssl.

После этого переходим к созданию сертификатов RSA, для чего следуем в папку /usr/local/share/doc/openvpn/easy-rsa/2.0 где редактируем файл /usr/local/share/doc/openvpn/easy-rsa/2.0/vars где прописываем свои настройки, чтобы этого не делать при создании сертификатов:
export KEY_COUNTRY=”RU”
export KEY_PROVINCE=”RF”
export KEY_CITY=”Moscow”
export KEY_ORG=”Peredelka”
export KEY_EMAIL=”admin@odminblog.ru”
export KEY_CN=vpn-server
export KEY_NAME=odmin_root
export KEY_OU=Adminz

После этого надо дать права на исполнение для некоторых файлов:
# chmod +x whichopensslcnf vars clean-all build-ca pkitool build-key-server build-key build-dh
после чего можно инициировать создание файлов ключей (если вы используете bash, то первую команду можно опустить):
# sh
# . vars
# ./clean-all
# ./build-ca
где собственно в диалоге уже будут прописаны наши данные, так что стоит ограничиваться только нажатием энтера.
Теперь создаем сертификат X.509 для нашего сервера, который мы указали в KEY_CN=vpn-server, при этом нам будет предложено задать пароль для обмена ключами, а также надо отметить, что переменную An optional company name [] следует задавать той же что и была указана для создания корневого сертификата Organization Name (eg, company). После этого подписываем наш сертификат своими силами.
# ./build-key-server vpn-server
Создаем сертификат X.509 для клиентской части, при этом имя клиента KEY_CN мы указываем отличным от имени сервера, например vpn-client.
# ./build-key vpn-client
Теперь генерим ключи Диффи-Холмана, которые будут использоваться при хендшейках и обмене ключами:
# ./build-dh
генерация займет некоторое время, но она идет на автомате. На последок создаем файл для TLS аутентификации:
# openvpn –genkey –secret keys/ta.key
после чего в папке keys смотрим полученные ключики, которые соотносятся следующим образом.

Ключи сервера:
ca.crt , vpn-server.crt , vpn-server.key, dh1024.pem, ta.key
Ключи клиентской части:
ca.crt , vpn-client.crt , vpn-client.key, ta.key
Серверные ключики копируем из папки создания в папку openvpn, созданную нами первоначально  /usr/local/etc/openvpn/keys, после чего переходим к редактированию файла конфигурации /usr/local/etc/openvpn/openvpn.conf
### openvpn.conf  ###
dev tun0
port 5656
proto udp
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/vpn-server.crt
key /usr/local/etc/openvpn/keys/vpn-server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
client-config-dir ccd
# задаем подсеть сервера VPN
server 172.16.0.0 255.255.255.0
# Прописываем маршрутизацию на внутреннюю сетку (у меня 192.168.0.0)
push “route 192.168.0.0 255.255.255.0″
# Маршрутизация для клиента
route 172.16.0.0 255.255.255.252
tls-server
tls-timeout 120
comp-lzo
auth MD5
cipher BF-CBC
keepalive 10 120
max-clients 100
user nobody
group nobody
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
#########
Создаем файл c именем клиентского хоста, заданным при генерации сертификата:
# echo “ifconfig-push 172.16.0.2 172.16.0.1″ > /usr/local/etc/openvpn/ccd/vpn-client
при этом у нас получается подсеть для клиента с маской 255.255.255.252 которую мы указывали в файле настроек, так что в нашем случае это будет туннель с клиентской частью 172.16.0.2, серверной частью 172.16.0.1, широковещательным адресом 172.16.0.3 и адресом сетки 172.168.0.0, так что последующих клиентов эта запись будет иметь вид (в файлах для их имён и сертификатов):
ifconfig-push 172.16.0.6 172.16.0.5
ifconfig-push 172.16.0.10 172.16.0.9
ifconfig-push 172.16.0.14 172.16.0.13
если кто не понял то адресация IP идет +4

также создаем файлы журналирования:
# mkdir /var/log/openvpn
# touch /var/log/openvpn/openvpn-status.log
# touch /var/log/openvpn/openvpn.log
Открываем на нашем фаерволе входящий трафик на порт udp/5656 для того чтобы внешние клиенты могли подрубаться к нашему VPN серверу, а также разрешить прохождение трафика через интефрейс OpenVPN и внутресетвой трафик.

Теперь копируем сертификаты клиентской части на внешний носитель, так как они нам буду нужны на локальной машине при настройке удаленного клиента.

Вроде как теперь все должно работать, так что для того чтобы все запустилось- перезапускаем сервер, и настраиваем клиента на локальной машине.
На локальной машине, ставим пакет OpenVPN, который можно взять с офф.сайта. После этого сливаем клиентские файлы: ca.crt , vpn-client.crt , vpn-client.key, ta.key в папочку C:\Program Files\OpenVPN\config (или той куда ставили клиента) и создаем в ней файл клиентских настроек openvpn.ovpn, в который прописываем следующие параметры:
#### openvpn.ovpn ###
dev tun0
proto udp
# внешний IP VPN-сервера
remote X.X.X.X
# порт подключения
port 5656
client
resolv-retry infinite
ca ca.crt
cert vpn-client.crt
key vpn-client.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 3
#########

После этого запускаем клиента и он автоматом ломится на наш сервак и устанавливает сессию.

Собственно на этом можно было бы закочить, если бы в сети не жили беспокойные парни, которым обязом надо поставить себе Windows 7, да еще и x64. Для запуска OpenVPN под Windows 7 следует ставить версию openvpn-2.1_rc19 (или какую нить другую от _rc15). Выкачиваем её и щелкаем правой кнопкой на инсталлер: Свойства -> Совместимость -> Запустить пакет в режиме Windows Vista , а также выставить галку “Выполнять эту программу от имени администратора“. После этого можно запускать инсталлер, который встанет без проблем, после чего на значке OpenVPN GUI надо будет также выставить, что запускать его следует от админа.

Для особо беспокойных, живущих в режиме параноик-мод, файлы ключиков, можно записать например на шифрованный диск или внешний носитель, и запускать клиент только после того как диск будет подмонтирован, тогда в openvpn.ovpn , пути настроек будут выглядеть следующим образом (сертификаты расположены в папке keys):
ca  “X:\\keys\\ca.crt”
cert “X:\\keys\\vpn-client.crt”
key “X:\\keys\\vpn-client.key”
tls-auth “X:\\keys\\ta.key” 1

При установке клиента под Линух, файл конфигурации клиента openvpn.conf должен лежать в папке /usr/local/etc/openvpn , местоположение ключиков задаем естественно из него.

На тему настройки клиента под Mac я видимо отпишусь позже, так как мне это поставили на вид, но настраивать я не стал, так как макаки у меня под рукой нет, а убивать полдня на поиск имиджа по виртуалку меня заломало. Так что как только мне выдадут подопытную обезьяну, то отпишусь по результатам.

способен положить практически любой веб-сервер под управлением Apache, если на нем не выставлены лимиты на размер выделяемой памяти под процесс. Скрипт эксплуатирует ошибку в реализации поддержки загрузки частей файла с использованием gzip-компрессии передаваемых данных, которая вынуждает сервер расходовать на каждый фрагмент слишком большое количество памяти.

Сразу надо отметить, что данной уязвимости не подвержены сервера на которых php собран без поддержки gzip. Также по идее можно выставить лимиты на использование памяти, и подключений с одного IP адреса. Тем не менее, даже не смотря на это, по заверениям спецов Apache, по интернету последние несколько дней прокатилась волна DoS атак на сервера под управлением Apache. Для Apache 2.2.x в самое ближайшее время обещают выпустить патч, устраняющий данную уязвимость, а вот пользователям 1.3.х придется довольствоваться закрытием данной уязвимости на своих серверах, посредством некоторого количества уловок, так как ветка 1.3.х уже не поддерживается.

Закрывается данная уязвимость с помощью:
1. блокировки длинных последовательностей Range через mod_rewrite (для обеих веток):
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* – [F]
2. с помощью mod_header, выставлением RequestHeader unset Range
3. с помощью SetEnvIf для Apache 2.Х:
# Удаляем заголовок Range, если в нем более 5 диапазонов
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range
# помещаем в лог попытки атаки
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
4. использования лимита для максимального размера поля LimitRequestFieldSize 200, где 200 – размер параметров в байтах
5. также данная уязвимость может быть локализована за счет использования проксирования сервером ngix, путем запреты проксирования опасных заголовков:
proxy_set_header Range “”;

SOCKS сервера я откинул сразу, ибо при всей многофункциональности, они в плане работоспособности и быстродействия, значительно уступают HTTP прокси серверам. Для начала я воспользовался имевшимся у меня в наличии сборщиком прокси серверов, и напарсил себе с инета базу в районе 10к проксей. После этого, прогнав через пару чекалок, оставил около полутора штук, но после проверки на анонимность, выяснилось, что использовать можно от силы штук 300. На самом деле, относительно анонимности, я проверял только на счет полной перезаписи пакета, ведь не секрет что прокси сервер, в зависимости от своего типа, либо дописывает к заголовку свою инфу, и тогда отправитель выпаливается, словно он работает без прокси; или же заголовок сетевого пакета переписывается полностью, и тогда для целевого хоста, отправителем будет являться прокси сервер. Но помимо этого, если уж мы говорим про анонимность в интернете, то также надо интересоваться логированием на прокси сервере, ибо через него проходит много различной инфы. Собственно то, что называется элитные прокси, как раз и является сервером полной анонимности- с полной перезаписью пакета, по так называемому level 1 проксирования.

После этой фильтрации я приступил к работе с оставшимся списком, но терпения хватило на день, так как прокси сервера постоянно то уходили в бан, то были недоступны, то начинали дико тупить. Пересканив первоначальную базу, я обнаружил, что часть IP стала недоступной, а часть, напротив, поднялась. Тем более что и софтина тоже тормозила и фейкала, так что, не мудрствуя лукаво, я решил обратиться к публичным спискам.

С ними, по сути, получилась такая же тема, как и со спарсенными проксями, то есть как тока прокси сервер появлялся в списке, с ним некоторое время возможно было работать, после чего на него, по видимому, приходила вся толпа юзверей, в результате чего прокси либо начинал дико тормозить, либо уходил в бан. И так же как и со спарсенными списками, больше времени уходило на поддержку актуальных и работающих списков, чем на работу с ними. Так что вариант оставался только один – купить прокси сервер. Но поскольку покупка анонимного прокси сервера вещь муторная, то пришлось порыться в инете, пока я не нашел обьяву на одном из вебмастерских форумов, в которой предлагали купить пачками анонимный прокси сервер в США и Европе. Списавшись с ТС, я довольно быстро прикупил пару проксей на тест. Со слов продавца- это безлимитные прокси сервера, на которых живет максимум 3 человека. Потестив, я получил со стримовской сетки время отклика: от европейских прокси порядка 230ms, а от прокси в Америке порядка 340ms.

Приколол конечно ответ продавца, когда я двинул тему на счет того, что будет, если я например решу использовать данные прокси для брута (чисто гипотетически) на что получил ответ, что в принципе продавцу по большому счету все равно в каких целях я планирую использовать купленные прокси сервера, но он надеется на мою добропорядочность. Так что в итоге я прикупил пачку из 10 прокси серверов из Америки и Европы, всего за 20$, которые и пользую в данный момент. Скорость действительно прилично возросла, так что позволяет теперь одновременно парсить поисковые системы, чекать результаты постинга и одновременно постить из двух копий. Единственный момент, что прокси серверы эпизодически попадают в бан у поисковых систем, но он спадает где то в течении получаса. Однако все таки, уже подумываю о том чтобы еще купить прокси серверов хотя бы штук 10, тем более что и хрумак все таки надо брать в ближайшее время.

Ну и поскольку продавец проксей обещал выдать в следующий раз небольшую скидку  на покупку анонимных прокси в Америке, то даю линк по которому  можно купить прокси сервер в США и Европе.

В этом ключе я хотел бы затронуть безопасность веб-сервера или хостинга, ибо при получении к нему доступа, злоумышленник способен использовать посетителей уязвленного ресурса для своих целей- самыми мягкими из которых будут перенаправление трафика на свои ресурсы. Поэтому так важно минимизировать вероятность несанкционированного доступа к вашему ресурсу.

Для начала крайне желательно что бы каждый сайт на хостинге принадлежал отдельному пользователю, и под каждый сайт была бы заведена отдельная SQL база с различными правами доступа. Крайне желательно, чтобы движок сервера баз данных использовал для своей работы только соединение через localhost. Права на все файлы в папках ваших сайтов должны быть выставлены на чтение, кроме тех где необходимы права на исполнение или запись. Для каждого сайта желательно иметь собственного пользователя FTP, который бы имел доступ только в корневую папку сайта. По хорошему- общий доступ к папке сайтов лучше отключить, или привязать к своему IP. Если у вас IP динамический, то перепривязать его из панели управления займет лишнюю минуту, но это обезопасит ваш сайт от взлома ftp аккаунта или кражи пароля из ftp клиента.

После этого можно приступать к настройке защиты через консоль управления хостингом. Я расскажу про cpanel, ибо я предпочитаю использовать именно её, так как меня устраивает функционал и интерфейс, при том что на моем хостинге она стоит на 4 бакса дороже чем никакой DirectAdmin. Итак в cpanel есть раздел Security Center, который и отвечает за закручивание гаек в системе безопасности веб-сервера. О всех рассказывать не стану, так как там довольно много разделов, а поведаю о наиболее, на мой взгляд, важных:

1. mod_userdir Protection : здесь можно отключить возможность чтобы ваши домены были доступны по имени пользователя под которым заведен сайт, по адресу: хттп://дефолтныйхостнейм/~username
В принципе этот функционал советуют отрубать, иначе все переходы по данным урлам будут засчитаны для дефолтного домена, то есть в случае реселла вас смогу легко накалывать благодарные юзвери. Но если вы используете хостинг только для себя, я не уверен что это так уж и страшно.
2. Compiler Access: отрубает доступ к компилятору С на веб-сервере, для не привилегированных юзверей, в том числе и владельцев сайта. Очень полезная штука, ограничивающая возможности злоумышленника при попытке взлома со стороны пхпшных шеллов.
3. cPHulk Brute Force Protection: одна из самых полезных штук, позволяющая предотвращать атаку переборки паролей. Включив этот твит- вы будите удивлены тому, как часто вам пытаются ломануть аккаунт, так что в итоге я выставил 3 максимальные попытки, после которых идет бан по IP адресу на 2 недели. Также можно настроить уведомления о логинах рута и отловленных атаках, тогда в этих случаях будет приходить письмо в линками на бан IP и сеток по маскам 16 и 24. Но вам надо будет настроить в зоне домена сервисный субдомен для бана, а также привыкнуть к тому, что вам будет падать уведомление и о системных входах рута.
4. Host Access Control: фактически фаервол, позволяющий настроить права доступа для определенных сервисов к хостингу. В случае динамических адресов, может стать проблемой, так как придется либо открывать сетке, либо пересоздавать правила каждый раз.
5. Manage root’s SSH Keys: очень полезная штука, позволяющая обезопасить ssh соединение с сервером, путем использования аутентификации не паролями, а на уровне сертификатов. Для начала надо сгенерировать сертификаты, путем клика на Generate a New Key и следуя указаниям (пароль и логин следует запомнить, а лучше записать). Создав их – говорим для ключей download key, после чего копируем представленный текст в блокнот и сохраняем под одним именем файла: Public Keys с расширением pub, а  Private Keys без расширения файла. После чего ныкаем файлы куда-нить вглубь операционки. После чего заводим новое соединение, выбрав в качестве метода аутентификации сертификат, и указываем публичный ключ (он должен находиться в одной директории с приватным), после чего вводим имя пользователя которым хотим залогиниться в систему, например root, и пароль который мы вводили при создании сертификата. Если соединение прошло успешно, то идем в раздел SSH Password Authorization Tweak и отключаем аутентификацию по паролю. Так что теперь к нашему ssh серверу мы можем подключиться исключительно с использованием сертификатов.
6. Quick Security Scan: здесь можно просканить сервер на предмет не нужных портов и сервисов, запущенных по умолчанию.
7. Scan for Trojan Horses: очень полезная штука, позволяющая сканить ваши директории, на предмет выявления троянов, подсунутых вам в систему. Рекомендуется эпизодически запускать, чтобы быть уверенным что у вас на сайте не шуршит какая нибудь нечисть.
8. Shell Fork Bomb Protection: полезная штука для ресселеров, позволяющая предотвратить запуск из шела каких либо циклов и процессов, способных переполнить память и тем самым привести к краху системы.
9. Security Questions: также полезная опа, для предотвращения несанкционированного доступа к системе, путем создания листа разрешенных IP адресов, и при попытке логина с не зарегистрированного IP адреса выдающего вопрос. В случае правильного ответа- пользователь входит в систему, а IP вносится в базу разрешенных адресов.
10. SMTP Tweak: заточка SMTP, которую также можно произвести на странице настроек – Server Configuration >> Tweak Settings, которые я настоятельно  рекомендую просмотреть, так как там можно поотключать много чего не нужного.

Собственно эти небольшие настройки позволят повысить безопасность вашего веб-сервера простыми настройками из понятного интерфейса cpanel и придать вашему сну размеренность и спокойное дыхание.

После внесения изменений в правила фаервола, данные правила можно применить без перезагрузки фаервола, просто перечитав файл правил, причем это может быть как дефолтовый файл, так и рандомный:
# ipf -Fa -f /etc/ipf.rules
где,
-Fa сброс всех правил фаервола.
-f указывает фаайлец с новыми правилами фаервола (так что не ошибитесь, ибо как вы помните фаервол мы собираели с блоком по умолчанию)

Полную статистику работы фаервола с момента загрузки системы  можно просмотреть командой
# ipfstat
При этом ключ -ih выдаст количество входящих пакетов, со статистикой прохождения или блокировок с попаданием в правила,
ключ -oh выдаст туже статистику для исходящих пакетов. Это отличное подспорье в оптимизации работы фаервола, путем помещения наиболее часто используемых правил фаервола наверх таблицы.
Обнулить эту статистику можно командой
# ipf -Z
Просмотреть проходящие пакеты в режиме реального времени, можно командой
# ipmon
собственно её вывод и пишется в логфайл.

При использовании ключа  -n адреса и порты будут преобразованы в хостнеймы и сервисы, что довольно удобно для мониторинга того- кто где сидит в данный момент,
а при использовании ключа -x данные проводящих пакетов будут выводиться в hex-коде, что тоже может доставить много интересных минут сисадмину.
Используя команду ipnat можно просматривать таблицу состояния адрес трансляций:
# ipnat -l выведет все открытые на данный момент трансляции адресов
# ipnat -s выводит статистику работы адрес трансляции
# ipnat -F обнуляет все активные соединения из актуальной таблицы адрес трансляций

У ipnat есть, по умолчанию вшитое, количество возможных открытых сессий, и проверить его можно командой:
# ipf -T list | grep nattable
и вероятнее всего вы получите ответ что максимальное число открытых сессий 30к, что для большой сети не так уж и много, так что увеличить это число можно добавив в файл rc.conf следующую строчку:
ipfilter_flags=”-D -T ipf_nattable_sz=10009,ipf_nattable_max=200000 -E”
и перегрузив ipfilter, тем самым увеличив число сессий до 200к.
Также если ваш ipnat.rules предполагает более 127 правил, которые установлены по умолчанию, вам необходимо  также добавить в переменную ipfilter_flags файла rc.conf ключики ipf_natrules_sz=1023,ipf_rdrrules_sz=1023
Еще один момент касаемый уменьшения таймаута TCP сессии, что также позволит оптимизировать работу NAT, так как многие сессии сохраняются в таблице не смотря на то что соединение уже давно закончилось. Для этого добавляем во флаги, также ключи fr_tcptimeout=180,fr_tcpclosewait=60,\
fr_tcphalfclosed=7200,fr_tcpidletimeout=172800
В итоге на выходе в rc.conf имеем следующее выражение:
ipfilter_flags=”-D -T ipf_nattable_sz=10009,ipf_nattable_max=200000,fr_tcptimeout=180,\
fr_tcpclosewait=60,fr_tcphalfclosed=7200,fr_tcpidletimeout=172800,\
ipf_natrules_sz=1023,ipf_rdrrules_sz=1023 -E”

Наконец то дошли руки, до воссоздания манула по настройке фаервола на базе системы FreeBSD, который помимо стабильности, надежности и безопасности отличается еще одним немаловажным, для многих компаний, качеством – это бесплатный фаервол. Большая часть настроек выработана годами опытной эксплуатации, так что они означают уже припомнить довольно сложно, да и к тому же  займет еще полстатьи, так что вероятнее всего часть настроек, которые я не рассматривал в данной статье, я распишу несколько позднее.

Переведем данное мероприятие сразу же в плоскость экономической выгоды для сисадмина, ибо на мой взгляд, настройка программного брандмауэра находится на втором месте, после лечения компьютера от вирусов, и перед восстановлением данных- по соотношению заработанных средств к затраченному времени. Поскольку на настройку программного фаервола на базе FreeBSD тратится от 6 до 10 часов, с момента как вы включили пустую машину, до момента когда вы можете уже включать данный сервер в разрез сети. Естественно, что поднять сам фаервол займет от силы полтора-два часа на создание и обкатку правил: большую часть времени занимает пересборка и апгрейд системы.

Также надо отметить, что данный пост повествует исключительно о настройке фаервола, а не унифицированного средства защиты с потоковым антивирусом и IPS, о которых я возможно поговорю позднее.

Итак- настраиваем программный фаервол на базе FreeBSD.

Ставить буду ipfilter, исключительно по идейным соображениям работы ipfw с NAT и тем что сам функционал ipfilter для меня проще и давно изучен (опять же про установку PF расскажу как нить позже, но его ставить на конторский фаервол усомнился, так как имеются траблы с многопоточностью). Описывать процедуры я буду не полностью, так как, о части работ я уже писал ранее, так что просто отошлю к этим постам.

Для начала поднимаем сервер FreeBSD (я для последнего раза выбрал систему FreeBSD 8.2), на котором проводим обновление системы и дерева портов, после чего раздракониваем нашу систему на предмет повышения безопасности. После этого пересобираем ядро системы, отключая не нужные нам дрова (тут не лишне будет перелопатить dmesg на предмет наличия устройств, чтобы не забанить что-нить архиважное- например IPv4 вместо IPv6), и предварительно включив в ядре поддержку ipfilter:
options     IPFILTER # поддержка IPFilter
options     IPFILTER_LOG # поддержка логирования IPFilter
options     IPFILTER_DEFAULT_BLOCK # блокируем все пакеты по умолчанию
options     IPFILTER_LOOKUP
также, если не добавляли при настройке усиленной системы, то ставим следующие опции ядра
options IPSTEALTH # не увеличивает счетчик TTL при прохождении пакета
options TCP_DROP_SYNFIN # дропаем SYN/FIN пакеты, но не работает вроде как с 7 ветки
options SC_DISABLE_REBOOT # запрет перезагрузки сервера через Ctrl+Alt+Del
options         SOFTUPDATES # включение технологиии softupdate для тюнинга работы системы

По хорошему, перед правкой ядра стоит на всякий случай почитать следующие файлы, хотя бы для повышения личной образованности, а уж в случае наличия ошибок при сборке ядра- однозначно:
/usr/sys/UPDATING
/usr/src/sys/conf/NOTES

Пересборку ядра проводим с включенными опами, только в случае локальной установки, в случае же удаленной установки, от греха- сначала настраиваем правила ipf и врубаем поддержку фаервола в rc.conf, только после чего пересобираем ядро, чтобы не получилось лока фаервола в удаленном офисе, что является классическим косяком удаленного админа.

Затем включаем в системе поддержку фаервола, путем добавления следующих операндов в файл /etc/rc.conf :
######################################
ipfilter_enable=”YES”
ipnat_enable=”YES”
ipfilter_rules=”/etc/ipf.rules”
ipnat_rules=”/etc/ipnat.rules”
gateway_enable=”YES”
icmp_bmcastecho=”YES”
ipmon_enable=”YES”
ipmon_flags=”-D /var/log/ipmon.log &”
########################################

Создаем вышеупомянутые файлы ipf.rules и ipnat.rules , делаем их владельцем root и задаем на них права 644. Затем создаем правило полного доступа для всех в файле /etc/ipf.rules. Естественно что помимо lo0, добавляем все имеющиеся в системе интерфейсы и особенно те, через которые мы и настраиваем сервер- в моем случае это внутренний интерфейс rl0.
#################################
pass in quick on lo0 all
pass out quick on lo0 all
pass out quick on rl0 all
pass in quick on rl0 all
#################################

После этого можем пересобирать ядро и перегружать машину с тем, чтобы инстальнуть новое ядро, а затем, сыграв победное соло на бубне, по корректной загрузке машины, продолжить настройку остальных опций.

Далее несколько подправляем работу ядра через файл настроек  /etc/sysctl.conf для добавления всяческих фич противодействия DoS и DDoS атакам, а также повышению безопасности системы, которые сохраняются, благодаря файлу, в системе и после перезагрузки. Здесь их подробно описывать не буду, а как нить позже приведу полный разбор полетов- пока просто вписываем в указанный файл следующие значения (файл создаем при его отсутствии):

net.inet6.ip6.redirect=0
kern.ipc.somaxconn=32768
net.inet.tcp.blackhole=1
net.inet.udp.blackhole=1
net.inet.tcp.msl=7500
net.inet.tcp.sendspace=32768
net.inet.tcp.recvspace=32768
net.inet.tcp.syncookies=1
net.inet.tcp.log_in_vain=1
net.inet.udp.log_in_vain=1
net.inet.tcp.sack.enable=1
net.link.ether.inet.max_age=1200
net.inet.ip.redirect=0
net.inet.ip.sourceroute=0
net.inet.ip.accept_sourceroute=0
net.inet.ip.ttl=64
net.inet.ip.random_id=1
net.inet.ip.forwarding=1
net.inet.ip.check_interface=1
net.inet.icmp.bmcastecho=0
net.inet.icmp.maskrepl=0
net.inet.icmp.maskrepl=0
net.inet.icmp.icmplim=30
net.inet.icmp.icmplim_output=0
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1

net.inet.tcp.drop_synfin=1 # если подключили в ядре опцию TCP_DROP_SYNFIN

Затем настраиваем ротацию логов фаервола, для чего устанавливаем пакет logrotate:
# cd /usr/ports/sysutils/logrotate/
# make && make install && make clean
Создаем и настраиваем конфиг ротации логов:
# cp /usr/local/etc/logrotate.conf.sample /usr/local/etc/logrotate.conf
добавляем в файл logrotate.conf следующие строки
############### logrotate.conf
/var/log/ipmon.log {
Daily # какова периодичность ротации логов
rotate 14 # какое количество логов хранить
missingok # игнорировать отсуствие файла ipmon.log
notifempty #  не обрабатывать лог файл, если он пустой
noolddir # содержать все файлы логов в одном каталоге
compress #  сжимать обработанные логи
postrotate # описание что делать  с ipmon после ротации
/sbin/killall -HUP ipmon # в нашем случае перезапустить ipmon
endscript #  конец описания действия после ротации
} #   конец описания ротации файла протокола ipfilter
###########################

Добавляем наш ротатор логов в крон:
0 1 * * * /usr/local/sbin/logrotate -s /var/lib/logrotate.status /usr/local/etc/logrotate.conf

Создаем сам лог файл через команду
# touch /var/log/ipmon.log
ибо автоматом он не создастся, и с чувством глубокого удовлетворения переходим к настройке правил фаервола и адрес-трансляции пакетов.

Начем с правил NAT ибо их меньше и они проще (предположим что внешний интерфейс fxp0). Надо отметить что правило проксирования исходящих ftp-сессий ставится первым, за ним идут адрес-трансляции для внутренних серверов (адрес Server-FW_external_IP поднимается алиасом на внешнем интерфейсе фаервола), если их необходимо представить в инете, а за ними уже следуют правила ната для сетки:
####### /etc/ipnat.rules #######

map fxp0 internal_NET_IP/24 -> FW_external_IP/32 proxy port ftp ftp/tcp
### Безусловная трансляция на внутренний адрес
map fxp0 Server_exnternal_IP/32  -> Server-FW_external_IP/32
bimap fxp0 Server_external_IP/32 -> Server-FW_external_IP/32
##########
### Редирект порта с внешнего интерфейса фаервола на внутреннюю машину (как пример RDP)
rdr fxp0 external_GW_IP port 3389 -> Server_internal_IP port 3389 tcp
#########
map fxp0 internal_NET_IP/24 -> 0.0.0.0/32
map fxp0 internal_NET_IP/24 -> FW_external_IP/32 portmap tcp/udp 20000:64000 # натим порты
############################

Теперь переходим к настройке самого муторного- правилам фаервола. Помним о том, что в классическом фаерволе перебор правил идет сверху вниз, поэтому все блокировки помещаем вниз, кроме единственных закрывающих атаки cifs. Также разрешаем внутрисетевой трафик в нашей локальной сети, что мы уже определили первыми правилами в самом начале (rl0 у нас внутренний интерфейс):
####### /etc/ipf.rules #######
### Разрешаем внутрисетевой трафик
pass in quick on lo0 all
pass out quick on lo0 all
pass out quick on rl0 all
pass in quick on rl0 all
### Лочим все прорезки в виндовые уязвимости
block in log quick on fxp0 proto tcp from any to any port = 113
block in log quick on fxp0 proto tcp/udp from any to any port = 135
block in log quick on fxp0 proto tcp/udp from any to any port = 136
block in log quick on fxp0 proto tcp/udp from any to any port = 137
block in log quick on fxp0 proto tcp/udp from any to any port = 138
block in log quick on fxp0 proto tcp/udp from any to any port = 139
block out log on fxp0 proto tcp/udp from any to any port = 135
block out log on fxp0 proto tcp/udp from any to any port = 136
block out log on fxp0 proto tcp/udp from any to any port = 137
block out log on fxp0 proto tcp/udp from any to any port = 138
block out log on fxp0 proto tcp/udp from any to any port = 139
block out log on fxp0 proto tcp/udp from any to any port = 445
### Разрешаем NS-запросы из сети
pass out quick on fxp0 proto tcp from any to DNS1 port = 53 flags S keep state keep frags
pass out quick on fxp0 proto udp from any to DNS1 port = 53 keep state keep frags
pass out quick on fxp0 proto tcp from any to DNS2 port = 53 flags S keep state keep frags
pass out quick on fxp0 proto udp from any to DNS2 port = 53 keep state keep frags
### Разрешаем выход пассивного FTP протокола
pass out quick on fxp0 proto tcp from any to any port = 20 flags S keep state keep frags
pass out quick on fxp0 proto tcp from any to any port = 21 flags S keep state keep frags
### Разрешаем работу по ssh на нашем фаерволе на своем порту
pass in quick on fxp0 proto tcp from any to any port = 19212 flags S keep state
### Разрешаем протокол smtp только к почтовому серверу, для предотвращения работы потенциальных спам-ботов
pass out quick on fxp0 proto tcp from any to MAIL_SERVER_IP port = 25 flags S keep state keep frags
#### Разрешаем работу whois из сети
pass out quick on fxp0 proto tcp from any to any port = 43 flags S keep state keep frags
#### Разрешаем просмотр сайтов по http
pass out quick on fxp0 proto tcp from any to any port = 80 flags S keep state keep frags
### Получаем почту по pop3
pass out quick on fxp0 proto tcp from any to any port = 110 flags S keep state keep frags
### Разрешаем работу по протоколу https
pass out quick on fxp0 proto tcp from any to any port = 443 flags S keep state keep frags
pass out quick on fxp0 proto tcp from any to any port = 591 flags S keep state keep frags
### Разрешаем работу по FTP в пассивном режиме, когда сервер выбирает порт для работы
pass out quick on fxp0 proto tcp from any to any port > 1023 flags S keep state keep frags
# Разрешаем работу traceroute
pass out quick on fxp0 proto udp from any to any port 33434 >< 33525 keep state keep frags
# Разрешаем пинг во вне
pass out quick on fxp0 proto icmp from any to any keep state keep frags
### Разрешаем вход внутрь сетки по RDP
pass in log quick on fxp0 proto tcp from any to RDP_Server_IP port = 3389 flags S keep state keep frags
### Разрешаем из сети работу линейки
pass out quick in fxp0 proto tcp/udp from Client_IP to  217.117.182.1 port > 10 keep state
pass in quick on fxp0 proto tcp/udp from  217.117.182.1 to GW_internal_IP port > 10 keep state
pass out quick in fxp0 proto tcp/udp from any to any port = 2106 keep state
pass in quick on fxp0 proto tcp/udp from any to any port = 2106 keep state
### Обрабатываем работу icmp протокола
pass in on fxp0 proto icmp from any to any icmp-type echo
pass in on fxp0 proto icmp from any to any icmp-type echorep
pass in quick on fxp0 proto icmp from any to any icmp-type 3 keep state keep frags
pass in quick on fxp0 proto icmp from any to any icmp-type 11 keep state keep frags
block return-icmp (3) in proto udp from any to any port > 30000
block return-icmp (3) in on fxp0 proto icmp from any to any icmp-typenunreach code 3
block in proto icmp all
### Блокируем все остальное
block out log first quick on fxp0 all
block in quick on fxp0 from 192.168.0.0/16 to any    #RFC 1918 private IP
block in quick on fxp0 from 172.16.0.0/12 to any     #RFC 1918 private IP
block in quick on fxp0 from 10.0.0.0/8 to any        #RFC 1918 private IP
block in quick on fxp0 from 127.0.0.0/8 to any       #loopback
block in quick on fxp0 from 0.0.0.0/8 to any         #loopback
block in quick on fxp0 from 169.254.0.0/16 to any    #DHCP auto-config
block in quick on fxp0 from 192.0.2.0/24 to any      #reserved for docs
block in quick on fxp0 from 204.152.64.0/23 to any   #Sun cluster interconnect
block in quick on fxp0 from 224.0.0.0/3 to any       #Class D & E multicast
block in log quick on fxp0 all with frags
block in log quick on fxp0 proto tcp all with short
block in log quick on fxp0 all with opt lsrr
block in log quick on fxp0 all with opt ssrr
block in log first quick on fxp0 proto tcp from any to any flags FUP
block in log quick on fxp0 all with ipopts
block in log quick on fxp0 proto icmp all icmp-type 8
block in log first quick on fxp0 all
block in log all
block out log all
#####################

Также добиваем сюда правила необходимые для вашей локальной сети, например банки-клиенты, специфические программы- игрушки, и добавляем их в секцию разрешенных пакетов. Только мой совет- обязательно описывайте отдельно все порты отличные от стандартных, ибо в большой сети, через полгода опытной эксплуатации фаервола- смотреть на фаервольные правила можно будет только сквозь слезы и с вооружившись бутылкой коньяка. Если что то не работает или не понимаете как ЭТО следует разрешать, то отсматривайте логи- обычно инфы о блокировках из них вполне достаточно для того, чтобы понять что именно следует разрешать.

Хотелось бы также заметить следующий момент- при любых правках вносимых в таблицу правил, создавайте ревизию, и тогда в случае ошибки, вы сможете максимально быстро откатиться к предыдущей версии и после этого уже искать случайно поставленный или, наоборот, забытый символ, ибо правила также считываются от начала файла, и как только пакет встречает не разрешимый символ или выражение- применение правил заканчивается и вы получаете только тот набор правил, что успели всосаться в систему.

З.Ы. Хотел написать об этом моменте в отдельном посте, но решил что это будет не очень корректно, так что привожу в виде небольшого послесловия. Дело в том, что файл правил фаервола ipf поддерживает набор переменных, что конечно же гораздо удобнее для системного администратора, так как позволяет переносить файл правил с одного шлюза на другой, корректируя только объявления переменных в самом начале файла. Одна беда, что сам пакет ipf не понимает переменные и файл с ними надо сохранять в отдельный скрипт /etc/ipf.rules.script, запуская который пользователь создает или обновляет правила в файле ipf.rules. В сам скрипт пишется следующее:
### ipf.rules.script ###

### Описание переменных
oif=”fxp0″ # имя внешнего интерфейса
odns=”DNS1-IP” # IP адрес внешного DNS сервера
mynet=”172.168.0.0″ # Внутренняя сетка
ks=”keep state”
fsks=”flags S keep state”
###
cat > /etc/ipf.rules << EOF
# Доступ из сети к внешнему DNS серверу
pass out quick on $oif proto tcp from any to $odns port = 53 $fks
pass out quick on $oif proto udp from any to $odns port = 53 $ks
# Разрешить выход из сети во вне по http
pass out quick on $oif proto tcp from $mynet to any port = 80 $fks
#### ну и так далее

После изменения правил фаервола необходимо запустить данный скрипт, что бы правила перечитались и файл ipf.rules обновился:
# sh /etc/ipf.rules.script

Более того, компании уже выделили грант от мелкомягких в районе 100к зелени, и на момент интервью чуваки искали лобби в госдуме, для того чтобы обязать всех провайдеров устанавливать в своих сетях их чудо кирогазы Pirate Pay. Но по новым публикациям они обязуются порвать всех к 1 сентября, так что надо полагать что лобби они себе нашли и видимо за не плохой процентик, ибо опубликованные цены радуют: от 30к до 300к в неделю за противодействие, либо же порядка 15% от доли прибыли. С другой стороны может и не так, так как в новых публикациях говорится о том, что они собираются работать на основе DHT спама, то есть обмена хэш-кодами между клиентами для нахождения пиров минуя трекер. То есть их продукт Pirate Pay создает шторм объяв по DHT среди которых теряются родные пиры.

Теперь прикинем: что же мы имеем в данном ключе, даже исходя из отрывочной и не полной информации?

На мой взгляд парни изобрели велосипед, которые не ездит, у которого не крутятся педали, у которого нет седла, но зато им можно запереть черный вход в подъезд, приперев ручку. Если конечно этот ход имеется. Ибо перед нами обычный потоковый сканер, который ставится в разрез канала и занимается глубоким разбором пакетов, на предмет выяснения фингерпринтов сетевого пакета. То есть BitTorrent он отлавливает, а вот Edonkey, работающий на том же p2p, пропускает, ровно как и другие программные продукты. При этом как быть с сетями i2p, на котором крутится iMule? Все они остаются не у дел, то есть получается что парни отлавливают только небольшую часть трафика, и при этом просят за это огромные бабки.

Если же верна информация относительно спама по DHT, то получается что это вообще ни о чем, так как клиент может пользоваться этим протоколом, а может и не пользоваться. К тому же как быть с закрытыми комьюнити не использующими DHT по умолчанию, ровно как и протоколы и программы которые его не используют, ибо он поддерживается от силы десятком программ. В то время как для тех кто данный протокол будет использовать,  продукт Pirate Pay будет генерить огромное количество мусорного трафика, который приведет к забиванию канала.

Собственно получается, что в любом случае раком ставится провайдер- как в случае установки комплекса у него, так и в случае спама по DHT, поскольку у него забивается канал- при проверке пакетов, или же созданием мусорного трафика от ложных DHT пиров. Любой минимальный разбор пакета, просаживает скорость канала как минимум на 30%. При этом надо отметить, что поскольку спам основан на хэше файла, то никто не мешает пересоздать новый образ, чей хэш уже будет других, и как следствие не будет подпадать под действие DHT спама, в результате чего сотрудники клиента должны дни и ночи торчать на открытых сообществах и мониторить все появляющиеся новинки. Но помимо этого у нормальных клиентов есть автоматически создаваемые листы битых пиров, куда добавляются битые, не качественные и прочий спамный мусор, причем без участия пользователя. Ну и для того кто хочет скачать фильм имеются шифрованные сети, инкапсулируя протокол в которые, мы обходим все продукты Pirate Pay поскольку наши пакеты не разбираются никем, а на тему спама DHT- не факт что ложные пиры Pirate Pay для шлюза в штатах будут ближайшими и наиболее быстрыми.

Не говоря о том, что весь этот функционал уже давно имеется в серьезных коммерческих продуктах, и позволяющий не играть в бирюльки, а просто банить торренты, skype, сетевые игры, и помимо этого предоставляющий богатый функционал защиты; так еще и не понятна законодательная подоплека создания мусорного шторма DHT, который запросто может квалифицироваться как DDOS атака на сети провайдера, достаточно большому числу клиентов запросить файлы находящиеся под защитой Pirate Pay. А это уже другой разговор.

Так что вся эта свистопляска больше смахивает на вакханалию в стране победившего идиотизма, чьей основной задачей является присосаться к общественной сиське и государственной кормушке под эгидой борьбы с пиратством и пользуясь тем что в материале находится не такое большое количество народа, чтобы поднять бучу на тему поднятия цен на диски, или же абонентской платы у провайдеров, чем был например чреват запрет на skype о котором говорилось в прошлом году.

Как только это запалили особо вдумчивые граждане, эта весть полыхнула по инету, так что в данный момент на spreadsheets.google выложен парсинг Яндекса на предмет данного материала, со всеми страстями и номерами телефонов (линк давать не буду чистэ из этических убеждений). Компания “Мегафон” отреагировала довольно оперативно и запросила у Яндекса удалить эти данные, так что Яндекс почистил индекс (или же кэш выдачи) от упомянутых записей, но при этом они остались на региональных зеркалах поисковой системы. В данный момент они удаляются и оттуда- но пока еще что то и где то можно почитать.

Для того чтобы получить листинг этих сообщений, в строке поиска Яндекс нужно ввести следующий запрос:
url:www.sendsms.megafon.ru* | url:sendsms.megafon.ru*

и после этого приступать к длительному и увлекательному чтению. Судя по комментам Яндекс эти данные попали в открытый доступ так как не были закрыты от индексирования файлов robots.txt, хотя на самом деле совершенно непонятно, каким образом они вообще оказались в открытом доступе, ибо по идее- должны только писаться в базу где хранятся отосланные смски, а уж никак не уходить в открытый  для всего инета фронтэнд базы.

И что будут делать мегафоновцы, когда спарсенную базу просто растащат на цитаты- ибо там есть что почитать, да еще и с телефонами. Тем более что обсуждабельные интимные подробности могут стать не только поводом для лулзов, но  и для шантажа от нечистоплотных граждан, которых в инете предостаточно. По идее по данной тематике Мегафон должен ждать очень и очень хороший штраф как минимум, а как максимум многотысячные иски от каждого засветившегося в этой базе. Причем судя по толкотне в инете, уже были перехвачены какие то почтовые ящики с многолетней перепиской и другие аккаунты, так что Мегафону уж с этой стороны точно предстоит выслушать много нелицеприятного. Ну а нам- лишний урок- никогда не отправлять все данные через один канал связи, а в идеале использовать вариации двухфакторной аутентификации, когда часть отдаем смской, а часть голосом или письмом.

Надо полагать что здесь админы Мегафона поработали на славу, уподобившись коллегам из ЖЖ и отрабатывая новые версии софта не на кошечках, а на самой что ни на есть рабочей системе.

Ну и напоследок, пара мемов, которым явно не хватает кнопочки ILikeIt:
Алкоголь, дым и дикий секс… На первый взгляд пошло и неправильно. Но бывают моменты, когда хочется только этого.

Ашап алабыз аннан тышта зшлэргэ кирэк мунча житешкэнче Бэлки бераз помидор утыртып куярмын Буген су сибеп тормыйбыз инде Ярый хэзергэ Кичкэ таба язарм.

со мной сейчас клиент тааак заигрывал. я бля чуть под стул от стыда не сползла. ну что за день-то.

Борь, я не электрик и тем более мне не до этого.Я понимаю что тебя мучает совесть,опять тебя нет рядом и мне приходится все проблемы решать одной.

Сегодня поедем в сексшоп и блинов поедим заодно или никогда

я буду вынуждена разойтись с тобой–если содержать семью ты не можешь.ты взрослый мужчина–я недолжна маме тебя вешать на шею?я не хочу терять тебя.

После чего зашедшему на сайт пользователю суется исполняемый php или javascript который базируясь на уязвимости системы, инсталяет в систему некий злонамеренный код, который подтягивается зачастую с использованием внедренных элементов iframe, или же flash редирект, когда предлагается загрузить сторонний кодек для просмотра видеоролика (преимущественно порнографического содержания). Таким же образом эта атака происходит, когда злоумышленникам удается внедрить данный метод XSS-атаки и на “честные” сайты имеющие некоторые уязвимости безопасности, которые и эксплуатируются негодяйскими негодяями для внедрения злонамеренного кода на машину потенциальной жертвы. И не смотря на постоянную борьбу Google с подобными сайтами, следствием которой вы можете видеть красную заставку, предупреждающую вас о потенциальной угрозе, исходящей с данного сайта, популярность данного вида мошенничества неумолимо растет в и данный момент (по состоянию 2010 года) составляет порядка 17% от всех топовых поисковых запросов Goolge, то есть переходя по ссылкам из топа выдачи, в 17 случаях из 100 вы попадаете на специально сконфигурированный сайт, или же подвергшийся компрометации. И не малое значение здесь конечно играют компании, специализирующиеся на разработке и распространении подобных продуктов, в чьи партнерки с радостью и подключаются не сильно разборчивые в средствах заработка веб-мастера, ибо что продвигать педофильско-зоофильские партнерки, что клепать и подсовывать буржуйским лохам мальвары- все едино, тем более что заработки подобных веб-мастеров, именно на мальварных партнерках исчисляются десятками тысяч долларов.

Так вот- зовется эта штука MACDefender и цепляется она точно таким же образом как и в случае с винюками, через бродилку Safari, подсовываясь либо с зараженных сайтов, либо со специально созданных заглушек, выведенных в гугле-топ по ламерски-популярным запросам с помощью  SEO инструментария. Причем себя она представляет как адский антивирусник. Надо отметить, что это крайне прибыльный бизнес, так как редаевская контора, на подобных поделках, поднимает десятки миллионов грин в месяц именно на распространяя подобные продукты, которые распространяются через партнерскую программу, но имхо дают оооочень большой минус к карме, не смотря на фантастические суммы заработка вебмастеров.

Собственно советы по предотвращению, абсолютно такие же как и для винюковой машины- все отрицать:
т.е. если вы видите де то надпись “MACDefender Setup Installer”, то не надо с ней соглашаться и устанавливать данную тулзу;
также следует отключить в Safari возможность автоматического запуска и открытия  файлов (Preferences -> General tab и снять галку с кнопки “Open ‘safe’ files after downloading”)
С помощью следующих шагов можно MACDefender:
Запускаем диспетчер приложений Activity Monitor (находится в /Applications/Utilities/) и сортируем приложения по имени, ибо данный продукт представляется своим собственным MACDefender или MacDefender.app. Если он есть в списке, то грохаем его;
Открываем System Preferences -> Accounts -> Login Items и высматриваем в списке MACDefender или какую любую другую необычную запись. Обнаружив, сносим её, нажимая на “-”, для тгго чтобы она не стартовала при входе в систему;
Открываем папку с прогами (/Applications/) и выискиваем тоже MACDefender или MacDefender, после чего грохаем приложение.

Отлавливается эта пакость риалтаймовыми антивирусниками VirusBarrier X5 и VirusBarrier X6 с сегодняшними обновлениями от 2 мая, которые не только борятся с вируснями, но и с мальварами и различными злонамерными кодами, подсовываемыми с веб-страниц.

Более подробно о происхождении и работе  данного фейкового антивиря расписано в блоге Intego, которые вроде как и отыскали эту самую пакость.

Итак для начала мы ставим винды, предположим это будет win7 pro. Естественно гораздо проще бы было поставить какой нить user-friendly Linux, врубить родной фаервол, добить это дело кем нить вроде eset или clamavd и работать под юзерскими правами- это бы значительно упростило жизнь мне, но не конечному пользователю (всем любителям пофлудить на тему: я пользователь линукс и хочу поинтересоваться, что такое вирусы- рекомендую погуглить на сабж: пару сотен, причем червей, найдете довольно быстро), тем более что хорошо заточенный винюк не сильно опаснее прикрытого линуха, и уж стопудово лучше MacOS без анттвиря.

Итак, поставив Windows 7, следом ставим Firefox 4 и навсегда прощаемся с Яшей ака IE. После этого прикручиваем к FF дополнение noscript, которое будет висеть в трее бродилки и ругаться на все опасные и не очень интерактивы. Затем ставим фаервол Comodo Firewall Pro и следом за ним Eset Smart Security. Если вам жалко заплатить за хороший, не тормозной антивирь 600 рублей, то можете конечно поставить антивирус от того же Comodo, или какой либо другой на ваш вкус- я предпочитаю именно эту связку, перейдя на нее года четыре назад с Outpost Firewall+Eset,  в те прекрасные времена когда аутпост отправлял core2 в BSOD при использовании Firefox. И надо признаться, что за все это время ни разу не имел каких либо проблем что под XP, что под семеркой. Хотя тут опять же надо заметить, что мои наиболее неспокойные клиенты все же умудрялись ловить различных ботов, но об этом ниже. После установки этой связки, не перегружая машину, дружим оба программных продукта, добавляя их в исключение друг к другу, иначе при загрузке машины вы станете свидетелем двухактовой трагедии ‘чужой против хищника’, в которой всегда выигрывает Eset. Да, перед установкой всего этого богатства, отключите встроенный виндовый фаервол, ибо этому фейку не место на нормальной машине.

После этого ставим Comodo в режим обучения, отвечая ‘да’, только если вы инициировали подключение или понимаете о чем разговор. После недели терзаний фаервол можно спокойно переключать в safe mode. Затем устанавливаете хорошую тулзу Search-and-Destroy которая будет следить за всякими адварями и мальварами, а также отлавливать попытки изменения конфигурации машины.

Ну и теперь переходит к основной части марлезонского балета: качаем себе бесплатную виртуальную машину Sun VirtualBox или VMWare Player, которую благополучно и ставим на свою рабочую станцию. После чего устанавливаем в нее винду-мак или линух, создаем на диске копию виртуальной машины, и уже из под виртуалки спокойно лазим по тем самым сайтам, с которых и начиналась наша эпопея.

Если тема с виртуалками вам по той или иной причине не подходит, то создайте себе для работы пользователя с ограниченными правами, из под которого вы будите работать или хотя бы лазить в инет.  После чего настройте себе хранение всех документов, почты и всего прочего на дополнительном разделе или жестком диске, доставьте все нужные программы и сделайте резервную копию системного раздела, что бы в случае серьезной заразы откатиться к работоспособной версии операционки за 15-20 минут. Копию системного диска можно сделать с помощью Acronis True Image, и держать резервную копию естественно также на дополнительном разделе, чтобы после просто загрузиться с диска True Image и перезалить систему.

Ну и на десерт основные правила инет-серфинга: все вышеуказанные действия, кроме настройки виртуальной машины, совсем не панацея, ибо они лишь призваны помочь пользователю сохранить свою машину в безопасности, но безопасность сама по себе- это комплекс мер, включающий помимо настройки всех необходимых сервисов, также и включение головы пользователя, который не должен скачивать и устанавливать какие то программы и утилиты из неизвестных источников, использовать ломанные программы желательно также в виртуальном окружении, поскольку зачастую ломалки содержат всевозможные трояны, не устанавливать дополнительные кодеки, которые вам предлагают установить для просмотра того или иного ролика, ибо это с вероятностью 100% будет попытка подсунуть вам злонамеренный код, не кликать по всевозможным popup окнам и прежде чем нажимать на “ДА”- читать что вам предлагают или спрашивают. И естественно ходить по проверенным ресурсам, ибо большая часть порева является так называемыми саттелитами, на которых хитроумные вебмастера не размещают ничего кроме рекламы партнерского сайта, а в последнее время, в связи с расширением бизнеса редая, вешают те самые программные модули, которые при заходе на сайт потенциальной жертвы, сами устанавливаются на компьютер пользователя и начинают просить денег на лечение. Так что подытоживая все выше сказанное хочу заметить, что лучшая защита от вирусов и ботов- это не антивирус, а голова и здравый смысл пользователя.

В итоге ребутнули сервак ESXi, все поднялось, так что вечером я выехал на удаленную площадку. Прибыв на место, немного пошакалил по свичам, ибо решил было, что проблема крылась в них, но все было вроде нормально, так что я приступил снова к настройке Untangle. Надо отметить, что я, как истинный российский одмин, хотя и веселюсь на эту тему, некоторое время уже как читаю мануал только после того как все сломалось, так что в данном случае я полагал, что официального wiki how-to-install untangle вполне достаточно для того чтобы поставить платформу. Стартанул сервак на ESXi, и как только, судя по процентным соотношениям загрузки, платформа запустила сетевые интерфейсы у меня снова полегла сеть. Это меня подвигло в совершеннейшие не понятки, поскольку сеть лежала наглухо- то есть она отсутствовала как класс- пинги не проходили даже до свича, в который была воткнута машина, не говоря уже про какие то шлюзы и сервера, сидевшие на соседях по каскаду. Рубанув сервер, снова поднял ESXi и удалил с него Untangle, решив поднять его в тестовом варианте у себя на машине. В итоге на след. день, подняв его в оболочке VMware Workstation я так же радостно положил сетку своего офиса, но поскольку доступ к виртуальной среде у меня уже был не по сети, то отрубив интерфейсы на виртуально машине, я полез в инет с извечным вопросом “whatafuck?”.

Оказалось, что в платформе Untangle реализована технология Re-Router (до этого мне с ней как то не доводилось встречаться), благодаря которой данная платформа безопасности  интегрируется в существующую сетевую топологию без каких либо дополнительных перенастроек инфраструктуры, путем заворачивания на себя всего трафика на уровне L2 протоколов. Примерно тоже самое происходит при уязвимости men-in-middle, когда машина внутри сетки производит так называемую атаку ARP spoofing, отвечая на все ARP broadcasts “ЭТО ЙА!” и тем самым беря на себя функционал центрального шлюза и вообще всех машин в сетке, так что в ARP таблице свичей все пакеты замыкаются на интерфейсе Untangle,и даже после падения платформы трафик не будет проходить до динамического изменения ARP таблицы.  Данная технология интегрирована в ядро, и в первом приближении не отключабельна, так что на форуме Untangle тамошние спецы рекомендуют относиться к ней как к данности, и в этой связи, в обязательном порядке, использовать на сервере два интерфейса, даже в случае необходимости использования одного- как в моем варианте VPN-сервера. Но в этом случае рабочий интерфейс надо делать внешним, а внутренний переводить в режим bridge и бриджевать его на внешний интерфейс
Настройка в админской части Untangle: Config -> Networking -> Internal Interface
Config Type: bridge
Bridge to: External (static)

Кстати таким же образом можно организовывать проброс трафика к внешнему шлюзу, но это уже другой разговор. В случае виртуальной машины, как у меня, я просто добавил в работающую конфигурацию еще один интерфейс, подтянул его встроенным detect’ом и привязал к внешнему интерфейсу, после чего лежащая сетка ожила в течении 30 секунд. Еще в течении 15 минут поднял VPN-сервер и настроил подключение. Самое приятное, что openVPN сервер сам генерит клиентскую часть, так что просто логинимся через бродилку к VPN-серверу, заходим внутрь и из настроек openVPN сервера, раздела Clients, говорим для определенного пользователя Distribute Client, после чего либо скачиваем его по приложенным ссылкам, либо отправляем его на email который можно вписать в форму отправки. Клиент после установки получает полностью настроенный OpenVPN клиент, не требующий уже никаких вводов логина и дополнительных настроек.

Почитав немного про Untangle на их оффсайте, пришел в неописуемый восторг, поскольку производитель этого open-source продукта предлагает большое количество бесплатных, и платных модулей к своему решению, построенному на базе Debian GNU/Linux. Само по себе решение очень классное и представляет наборный шлюз, который поднимается в минимальной конфигурации и управляется через веб-консоль, при этом давая возможность сисадмину подключать и отключать те или иные модули, предлагаемые в виде дополнительного софта: spam blocker, phish blocker, spyware blocker, web filter, kaspersky antivirus, commtouch spam booster, wan failover, wan balancer, virus blocker, IPS, protocol control, firewall, captive portal, ad clocker, policy manager, directory connector, openVPN, attack blocker, bandwidth control, web cache и некоторое количество тулзов для управления.
Самое главное, что часть основных блейдов (по аналогии с checkpoint назову их так) предоставляется бесплатно- это фаерволл, openVPN, web filter lite, virus/spam/attack/phish/spyware blocker. Остальные можно поставить на 14дней и поковырявшись, прикупить себе уже в нормальное использование- меня например сразу заинтересовали bandwidth control и wan failover поскольку воротить такое руками муторно, а у производителя Untangle эти решения стоят по:
630 баксов на три года за bandwidth – позволяющий QoSить и лимитить юзверей по использованию канала;
126 баксов за три года wan failover, позволяющего построить полноценный isp redundancy, который у checkpoint например стоит полтора косаря за год;
модуль Каспера, позволяющий поднять полноценное сканирование на ходу от всевозможных угроз на всем многообразии протоколов, обойдется в 252 бакса на три года;
полноценный Web-filter выйдет в 630 грина на три года, при том что фильтрует по 53 категориям, на 20 языках, и держит в базе на данный момент около 450М веб-сайтов.
Управление порталом очень удобное и более того- он встает как на стандартную машину с минимальной конфигурацией: P4 Processor (или аналогичный AMD), 80 GB HDD, 2 NIC и 1 GB RAM; так и на VMware Workstation и ESXi- единственный момент что в случае ESXi надо заводить ручками диск и карточки, так как Untangle не понимает vmware дрова использующиеся платформой ESXi, поэтому пришлось драйв ставить BusLogic, а сетевухи e1000.  На Workstation же встал без проблем (кстати на том в 16 гигов), в течении буквально 10-15 минут элементарного инсталлятора.  Также на сайте компании, предлагается приобрести у них либо сервак, спецом заточенный под платформу Untangle, либо же специальную UTM’ку их же производства.

Но вот после установки на сервер, начались довольно интересные грабли, о которых я расскажу несколько позднее.

Но в процессе запуска- выяснилось что машинка не подхватывает IP адрес по DHCP, при работе в bridged mode, а при попытке задать статический IP я получал ругань на тему того, что данный IP уже используется, при том что данный адрес был однозначно свободен. Озадачившись данной проблемой проверил на всякий случай фаервол винды, но как оказалось он был отключен. Поковырявшись в меру возможностей в серваке и vmware, решил не озадачивать клиентского админа, а переставил Player на Workstation и попробовал поднять виртуалку в таком варианте. Но проблема осталась той же самой, при этом когда я переключил сетки в NAT вариант-  поднимался внутренний IP и все начинало нормально шуршать.

В итоге обратился к админу с описанием проблемы и предположением о том, что какая то тулза препятствует нормальному прохождению пакетов, выступая видимо фаерволом. Поковырявшись, админ сказал что обнаружил что на серваке зачем то был установлен, тысячу лет назад, kerio vpn client, который он благополучно снес. После данной манипуляции все зашуршало прекрасно, так что причина крылась именно в kerio vpn client который видимо как любой ipsec клиент имеет встроенный фаервол у которого имеются свои взгляды на прохождение пакетов. У клиента от checkpoint, например, таких проблем замечено не было.

Определимся сразу, что бот сам по себе зовется Darkness Ddos Bot, а вот сетка выстроенная на использовании данного бота относится к серии Optima. Бот то конечно весьма популярный в инете, и найти можно огромное количество мест откуда скачивается как сам бот, так и его админская часть, через которую и вводятся целевые урлы, а также типы атак, запуски копий и прочая муть. То есть раздобыть данный бот не возникает никакой проблемы, хотя обычно такие вещи как DDOS на популярные ресурсы, скидывается в качестве заказа серьезным ботоводам имеющим в своем гараже десятки, а то и сотни тысяч зараженных машин, посредством которых и производится распределенная DOS атака.

А теперь отвлечемся от родословной данного бота, и на минуточку подумаем о задаче данной атаки.

Основная задача DDOS атаки, абсолютно такая же как и обычной DoS атаки, то есть тот самый пресловутый отказ в обслуживании- Denial of Service, чьей задачей является выведение ресурса из строя с целью: хальта системы на какое то время, прикрытие для более таргетированной хакерской атаки и скрытие следов этой активности, или же попытка выполнения какого либо кода, подвергая ПО цели стрессовой нагрузке. Сама DDoS атака представляет собой тот же самый DoS только с использованием огромного количества компьютеров со всего мира, что становится доступным при использовании вышеупомянутых ботов.

Теперь воткнув в эту тему, берем на разбор блог Навального:

Что Навальный имеет от своего блога в ЖЖ?
Это что, интернет магазин, чье падение и простой влечет за собой многомиллионные потери финансов?
Или же сайт какой то компании, которая также теряет потенциальных клиентов?
К тому же DDos атака сама по себе долбит все блоги, находящиеся на той или иной площадке, подвергающейся распределенной атаке.
И кто такой Навальный сам по себе, для того чтобы хакер, положивший сервис ЖЖ, мог сказать денить из Китая: I halted Navalnyi Blog! и надеяться что ему эта фраза принесет несусветные барыши.

Собственно исходя из вышесказанного, блог Навального никому не интересен в этом мире, поскольку перехватить управление его блогом невозможно, так как в любом случае акк вернется обратно владельцу. Вывод его из строя на неделю или даже месяц, ничего не даст заказчику, кроме как не понятных финансовых потерь, ибо организация подобной атаки стоит пару штук в день. Заказать подобную атаку мог только чеканутый недоумок с баблом, которому нечего делать кроме как ддосить социалку.

Пытались сорвать какую то публикацию? Тоже крайне сомнительно, ибо тема блога сродни крикам “Держи вора!”, когда он уже вышел две остановки назад, тем более что никакого КПД эти крики так и не приносят.

А вот как раз акция самопиара, на фоне обострившейся пиар-компании по продвижению личности Навального, выглядит крайне убедительно, ибо все доводы и рассказы об этой DDOS атаке выглядят очень и очень смешно, когда ты хотя бы прочел пару статей на вики о предмете разговора. Еще более радует экспертные мнения Каспера, который собирается поставлять СУПу- владельцу ЖЖ, какие то антидосовские плюшки, которые не дают никакого эффекта при части DDOS атак, так как лучший способ ухода от подобной атаки- шатдаун сервиса и пережидание этой атаки, так как часть атак просто забивает канал на стороне провайдера- и будь ты тут хоть Касперский, хоть Дюк Нюкем- ты ничего с данной атакой сделать не сможешь. Тем более, что разговоры о предотвращении DDoS беспочвенны, так как оборудование или решения для борьбы в данным видом атак- преследуют одну лишь цель- не дать уронить конечный сервер, НО отрубают сети они на основе анализа заголовков пакета, то есть используя свои вычислительные мощности, и при действительно мощной атаке, сами становятся причиной отказа в доступе, так как 100% не смогут справится с многомиллионным флудом пакетов, то есть для пользователя интернета ничего не изменится- он точно также не сможет достучаться до любимого блога Алексея Навального и еще тысячи других ресурсов, но в данном случае ляжет уже вся ЖЖшная ферма, прикрытая мощной грудью атидосовского решения.

Тем более, что те люди с которыми “воюет” новый российский мессия Навальный, не решают данный вид проблем какими то DDoS атаками. Какой смысл это делать, если проще закрыть Алексей Навального или прессануть его, нежели договариваться с каким то ботоводами. Как говорится- информационная безопасность и шифрование данных не панацея- доказано IT-менеджером компании ЮКОС.

Я не берусь утверждать, что Алексей Навальный сам заказал DDoS атаку на собственный ресурс, но мне кажется что наиболее вероятная версия, то что он очень своевременно воспользовался моментом, когда некая группа хакеров провела массированную атаку на сам сервис ЖЖ, тем самым продемонстрировав свою крутизну и подняв собственную цену на данный вид услуг. Или как еще более простой вариант, то что при прикручивании каких то очередных плюшек к блог-сервису, админы сами интеллигентно положили платформу, о чем говорит повторный выход из строя сервиса, а чтобы сохранить хорошую мину при плохой игре- поведали миру о злобных хакерах, хотя точно также могли выдать гипотезу, например о “блуждающих токах”.  А радостные интернет хомячки, с радостью подхватили брошенную им кость и понесли по всему рунету знамя свободы на которую никто не покушался.

З.Ы/13.04: надыбал в инете интересную статью в которой высказывается предположение о том, что так называемая ddos-атака на сервис жж была последствием попытки прикрутить на сервисе новый механизм кеширования.

Вообщем тиха украинская ночь, но сало нужно перепрятать.. в том смысле что сменить пароли на вебманю.. и почту.. и ключ от двери..

Просмотрел для начала автозагрузки и иже с ними, и обнаружил что эта пакость сделала невидимым файл
C:\WINDOWS\system32\drivers\etc\hosts и понаписала в него всякого дикого мусора, среди которого промелькивали осмысленные строки:
##############################################
91.193.194.141 odnoklassniki.ua
91.193.194.141 vkontakte.ru
91.193.194.141 www.durov.ru
91.193.194.141 www.odnoklassniki.ru
91.193.194.141 wap.vkontakte.ru
91.193.194.141 vk.com
91.193.194.141 www.durov.vkontakte.ru
91.193.194.141 www.wap.vkontakte.ru
91.193.194.141 www.vkontakte.ru
91.193.194.141 www.pda.vkontakte.ru
91.193.194.141 durov.vkontakte.ru
91.193.194.141 odnoklassniki.ru
91.193.194.141 pda.vkontakte.ru
91.193.194.141 www.vk.com
91.193.194.141 www.odnoklassniki.ua
91.193.194.141 durov.ru
##############################################

а также создала еще один файл в этой же папке с названием hюsts в который навалила следующего флуда:

##############################################
windows
765765765765765765765765765765765767575
765765765765765765765765765765765767575
765765765765765765765765765765765767575
##############################################

Собственно редирект IP на фишинг страничку которая и предлагает прислать бабусек за анлок сайтов. IP’шник литовский и принадлежит ISP: Odessa Hosting Service
Учитывая про при последовавшем прогоне системы через все многообразие имеющихся антивирей- было найдено пара троянов, застывших в ужасе, в темповой папке, после чего я полез смотреть кто из них проделывает эту пакость и оказалось что троянчики тут не при чем- а эта лажа приходит из социальной сети “В Контакте”, где на стену приходит ссылко вида http://09g020923jf9jdq.ru/?edcvfr=101036702 при проходе на которую предлагается к скачиванию файлец
PODAROK.exe, который и проводит указанную манипуляцию с файлом hosts.

А троянчики были просто залетные, видимо оставшиеся от дикого и неуемного серфинга по сети.

При работе пользователю блокируется доступ к локальному диску, так что пользоваться он может только файлами, хранящимися на флеш-носителе, или полученными по сети. Использование оперативной памяти разделено с компьютером, поэтому вирусы и другое злонамеренное ПО не способно проникнуть внутрь виртуальной системы, что предохраняет от угрозы заражения как сами файлы пользователя, так и его корпоративную сеть, с которой он установит защищенное соединение. И главное этот механизм работы не требует дополнительных лицензий, как например стандартная виртуальная машина, как для операционной системы, так и для используемого ПО. Во время работы виртуальное окружение создает защищенный канал доступа к установленному на компьютере ПО, организуя безопасную работу пользователя с разрешенным политиками безопасности программами.Принцип работы таков, что после успешного логина, в виртуальном окружении, запускается новая оболочка explorer.exe  и все остальные процессы запускаются по отношению к этому процессу как к родительскому, что и позволяет Abra контролировать выполнение приложений с безопасной среде. Все вызовы к приложениям перенаправляются к флеш драйву, то есть все приложения запускаемые внутри виртуальной системы работают внутри виртуальной файловой системы и реестра, находящихся на флеш-носителе, где они шифруются сразу в процессе записи на носитель.

Благодаря устройству Abra пользователь может получить доступ к своим файлам и корпоративной сети практически с любой машины, подпадающей под определение не доверенных узлов, не боясь нанести урон своей сети или данным хранимым на носителе. Также в случае потери, данные не станут доступны похитителям или людям, случайно нашедшим утерянный флеш-носитель, а ведь не секрет, что большинство громких утечек данных на западе были вызваны кражей или потерей ноутбуков. Более того, данное решение позволяет пользователю отказаться от стандартного ноутбука, который постоянно приходится носить с собой и который свои фактом присутствия, уже является целью для воров. С Abra весь функционала ноутбука помещается к кармане рубашки или джинсов, позволяя использовать мощности любого доступного пользователю компьютера, не задумываясь при этом о потенциальных угрозах которые может нести сторонний компьютер не подпадающий под используемые в компании политики безопасности. И тем самым для нас, это еще один лишний довод перед начальством за то, чтобы работать удаленно- из-за домашнего компьютера.

# wget ‘http://www.splunk.com/index.php/download_track?file=4.1.4/freebsd/splunk-4.1.4-82143-FreeBSD-i386.tgz&ac=&wget=true&name=wget&typed=releases’
# tar -xzvf splunk-4.1.4-82143-FreeBSD-i386.tgz

Поскольку, как оказалось, пакет пришел нам в уже собранном виде, то оправляем его по месту постоянного жительства:
# cp -R splunk /usr/local/

Перед запуском системы необходимо внести изменения в конфигурационные файлы:

/boot/loader.conf
kern.maxdsiz=”2147483648″ # 2GB
kern.dfldsiz=”2147483648″ # 2GB
machdep.hlt_cpus=0

/etc/sysctl.conf
vm.max_proc_mmap=2147483647

После этого перегружаем сервер для того чтобы изменения вступили в силу. При желании можем создать ручками пользователя от которого будет работать splunk, а также и его группу, но мне что то сегодня в ломы. Поэтому запускаем сервис: перед первым запуском сервера необходимо согласиться с лицензионным соглашением, для этого стартуем:
# $SPLUNK_HOME/bin/splunk start –accept-license

После некоторого диалога, сервер сообщит, что он теперь запущен на http://our_server_hostname:8000 хотя зайти можно и по адресу http://our_server_IP:8000. В данном случае 8000 это дефолтный порт нашего веб сервера.

Теперь переходим к настройке сервера.
Логин и пароль по умолчанию для входа в web-консоль:
username: admin
password: changeme

В верхнем правом углу белеет на темном фоне кнопочка Manager, нажав на которую мы попадаем в общирное меню, позволяющее нам настроить наш сервер в разделе System configurations, а также добавить необходимые модули Apps, собития, поиски и прочая в разделе Apps and knowledge.

В System settings задается хостнейм и настраиваются веб-морда сервера, а также параметры индексирования. Также настраивается отправка алертов по почте и всевозможные уровни логирования, которых доступно шесть вариантов: DEBUG, INFO, WARN, ERROR, CRIT, FATAL.

На сегодня хватит, на днях распишу больше- но по сути настройка системы заканчивается именно на этом разделе- дальше идет уже тюнинг, причем интерфейс интуитивно понятен и прост.

По утверждению Microsoft уязвимости больше всего подвержены машины через использование внешних томов, но при этом в случае отключения функции автозапуска, пользователь должен сам запустить ярлык из необходимой папки, для того чтобы система была уязвлена.  Для систем Windows 7 функция автозапуска с внешних томов отключена по умолчанию.

И хотя в данный момент мелкомягкие ведут работы по устранению этой пакостной дырки безопасности, тем не менее для систем Win2Yk и XP SP2, уже снятых с поддержки , ожидать каких либо обновлений безопасности не следует. В этой связи рекомендуется запретить винде выводить иконки для любых ярлыков, а также запретить сервис WebClient для предотвращения атаки через протокол WebDAV.

И хотя винда с отключенным рендерингом иконок выглядит более чем убого, тем не менее если вы решите отключить эту, одну их основных, фич винюка, то необходимо открыть редактор реестра regedit.exe и пройти в ветвь реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Экспортируем данную ветку, для того чтобы зарезервировать её, после чего очищаем значение.

Также Microsoft настоятельно рекомендует ограничить пути запуска программ, сократив их до необходимых системных папок типо C:\, C:\Windows, C:\Program Files. Для этого лезем в оснастку «Локальная политика безопасности», которая находится по следующему маршруту  Пуск -> Настройка  -> Панель управления -> Администрирование. Там выбираем раздел Политики ограниченного использования программ, и так как они не определены по умолчанию, выбираем Действие -> Создать политики ограниченного использования программ, после чего выбираем дополнительные правила и в правом поле щелкаем правой клавишей мышки, выбирая Создать правило для пути. там же можно запрещать запуск программ как по их пути, так и по хэшу исполняемого файла. Также можно перечислить приложения в ключе реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, правда я не пробовал можно ли там открыть доступ к целой папке.

Ну и естественно использовать хостовые ips, фаерволы и антивирусы, на которых своевременно поддерживать актуальные обновления.

Собственно починяется подобная вещь либо вводом кода, который я приведу ниже, либо нехитрыми пассами с Live CD. То есть мы грузим систему с сидюка, после чего заходим в файловую систему системного диска и чистим все директории временных файлов, temp и содержимое темпов Documents and Settings/%username% , после чего система загружается нормально и загрузив её, разлочиваем все функции с помощью avz -> восстановление системы и перегружаемся в безопасный режим. Там прогоняем систему антивирусами и антишпионами. Поскольку эта процедура долгая и муторная, то можно сделать все в разы быстрее, если ввести запрашиваемый код и после этого начать сразу с восстановления системы.

Список кодов разблокировки различных порнобаннеров и винлокеров: