Построение IPSec VPN туннеля средствами Linux

Мы уже писали о настройке шифрованных VPN-туннелей на различном сетевом оборудовании. На этот раз рассмотрим построение бюджетного варианта туннеля средствами каналообразующего оборудования на базе Linux.

Операционная система: Ubuntu Server 10.10, информация о туннеле:

Public_IP – внешний IP туннеля с другой стороны
Our_Public_IP – наш внешний IP
Phase1: sha1, 3des, dh-group2, lifetime 28800 sec
Phase2: sha1, 3des, lifetime 3600, без PFS
PSK – preshared key.
LAN_IP_Range – наша подсеть
Dest_LAN_IP_Range – подесть назначения

Проверка подлинности на уровне сети (NLA)

Проблемы безопасности и скорости работы серверов стояла всегда, и с каждым годом их актуальность только растет. В связи с этим, компания Microsoft перешла от первоначальной модели аутентификации на стороне сервера к проверке подлинности на уровне сети.

В чем же разница этих моделей?

Аутентификация по лицу при входе в Windows

Заинтересовался темой аутентификации по лицу при входе в Windows при помощи Web-камеры. Решил проверить на конкретных программах в действии, а именно: принцип работы, удобство, безопасность, дополнительные возможности. И так, тестированию подверглись следующие программные продукты:

• Rohos Face Logon;
• VeriFace;
•  Luxand Blink!

Linux, Software RAID, загрузка с любого винчестера

Для отказоустойчивости сервера и сохранности информации правильным является использование RAID. А использование Software RAID в Linux, не требует дополнительных затрат на оборудование.

Однако, при установке Linux, GRUB устанавливается только на первый диск. Поэтому, при выходе этого диска из строя,  загрузиться с других не получиться.

Чтобы этого предотвратить и ускорить восстановление необходимо после установки ОС добавить загрузчик на остальные диски массива.

Для просмотра существующих дисков используем:

fdisk -l

Определяем название дисков и собственно устанавливаем GRUB на необходимый:

grub-install /dev/sdb (в примере установка на второй диск)

При успехе получим ответ:

Installation finished. No error reported.

Можно проверить загрузку, отключая по очереди каждый из дисков.

Сергей Семенец

Шифрованные флэш-накопители для хранения данных

Перед каждым из нас когда-то вставала необходимость скрыть от чужих глаз какую-либо информацию. Компания Kingston представила свои разработки в этой сфере.
Флэш-накопители Kingston DataTraveler 6000, Kingston DataTraveler Locker+ G2, Kingston DataTraveler Vault Privacy прекрасное решение для людей, перед которыми стоит задача перенести конфиденциальную информацию из одного места в другое, при этом позаботившись о сохранности самой информации.

Статья "Облачный сервер. Контроль работы и средство обучения персонала"

На нашем сайте опубликована статья, в которой терминальный сервер рассматривается как инструмент для контроля деятельности сотрудников. Естественно, что рычагами контроля и управления можно пользоваться и в целях обучения персонала.

В статье описываются задачи, которые решаются посредством контроля работников, причины, побуждающие работодателей наблюдать за деятельностью персонала, и те преимущества, которые получает бизнес. Например, падает эффективность сотрудников. Работодатель внедряет контроль за персоналом, и оказывается, что огромное количество рабочего времени работники тратят на соц. сети и личную переписку. Далее производится блокировка соц. сетей и развлекательных порталов, а среди сотрудников проводится разъяснительная работа об оплате труда и контроле со стороны руководства. Результат: работники, осознавая возможность контроля, воздерживаются от разбазаривания рабочего времени - повышение производительности труда.

Ознакомиться со статьей можно на этой странице.

Резервирование канала интернет на маршрутизаторе Cisco 881

Для реализации такой схемы нам необходимо:
- cisco 881
- два канала интернет, ISP1 и ISP2

Допустим, ISP1 подключен в WAN порт Cisco FastEthernet 4, тогда необходимо для подключения второго провайдера один из оставшихся портов вывести из 1-го Vlan'а. А именно, создать интерфейс Vlan2 и включить его на интерфейсе:

Проблема с буфером обмена при подключении Windows 7 и 8 к Windows Server 2003 по RDP

При подключениях на удаленный рабочий стол с ОС Windows 7,8 на сервер Windows Server 2003 возникает проблема с работоспособностью "проброса" буфера обмена между сервером и пользовательской ОС.
Даже при разрешении на сервере и клиенте возможности "проброса" буфера обмена с пользовательской ОС на сервер буфер обмена работать не будет. Это связано с различием версий сервера и клиента удаленного рабочего стола.

Идентификация по отпечаткам пальцев

Идентификация по отпечаткам пальцев — самая распространенная, надежная и эффективная биометрическая технология. Универсальность этой технологии позволяет применять ее в любой сфере для решения задач, где есть необходимость идентификации пользователей.

Характеристики идентификаторов

Отпечатки всех пальцев каждого человека уникальны и различаются между собой даже у близнецов. Отпечатки пальцев не меняются в течение всей жизни взрослого человека, они легко и просто предъявляются при идентификации. Если один из пальцев поврежден, для идентификации можно воспользоваться «резервным» отпечатком, сведения о которых, как правило, также вносятся в биометрическую систему при регистрации пользователя.

Обработка идентификаторов

Для получения сведений об отпечатках пальцев применяются специализированные сканеры. Известны три основных типа сканеров отпечатков пальцев: емкостные, прокатные, оптические.

Ребрендинг: группа компаний "Эффективные решения" стала носить имя EFSOL

До сегодняшнего дня мы были группой компаний. Она состояла из компаний «Эффективные решения», «ЭР Софт» и «МЦОБ» («Московский центр обслуживания бизнеса»).

Но все течет - все меняется. Вот и мы растем и меняемся, двигаясь вверх и вправо (да поймут меня не только дизайнеры).

Теперь нашу команду опытных и сильных специалистов объединяет название EFSOL.

Эмуляция дискеты под Windows

В последнее время, все чаще обновляется парк компьютеров. Новые компьютеры не комплектуется floppy drive, не говоря уже о ноутбуках и нетбуках. При этом, до сих пор многие клиент-банки и программы отчетности для хранения ключей и сертификатов используют только дискеты.

Да, можно дополнительно заказать FDD-привод или купить USB-FDD, но всем известно о качестве дискет.

Предлагаю инструкцию по подключению виртуального привода дискет и автоматическому монтирование образа при загрузке системы. Для этого будем использовать бесплатную утилиту ImDisk Virtual Disk Driver.

ImDisk - это драйвер виртуального диска для Windows NT/2000/XP/Vista/7/8 и Windows Server 2003/2008/2012. Утилита может создавать виртуальные жесткие диски, дискеты (floppy) или CD/DVD диски используя файл образа или системную память. Установочный пакет инсталлирует консольную программу imdisk.exe и апплет для Панели управления. И так.

Альтернативный SSH клиент KiTTY

Для системного администратора, подключение к удаленным серверам на linux - обыденное дело. Обычно для этого используется известный в широких кругах клиент PuTTY, и он достаточно удобен. Но, как ни крути, недостатки в нем есть. Например, когда у тебя не одно, или два, а пара сотен соединений, то хотелось бы это все разместить в какую-то логическую структуру - по папкам. Также удобен был бы поиск по соединениям. Именно с такой целью создавался KiTTY - для удобства.

Вот цитата со страницы программы:

"KiTTY — это модифицированная версия программы PuTTY версии 0.61, лучшего telnet / SSH клиента в мире."

Сейчас рассмотрим основные возможности клиента.

Разграничение доступных ресурсов для групп пользователей на сервере терминалов

Довольно часто возникает необходимость разграничить возможности пользователей сервера терминалов. Например, менеджер создает и распечатывает расходную накладную, отправляет получателя с документами на склад. В свою очередь, кладовщик сверяет накладную с данными в учетной программе, отпускает материальные ценности и делает соответствующие отметки в программе. Однако кладовщик не должен иметь прав распечатывать что-либо или копировать в буфер обмена.

Безусловно, подобное реализуется изменением настроек подключения клиента, но более-менее грамотный пользователь может сменить их. Групповая политика безопасности? Да. Но что делать, если нет контроллера домена, а "подымать" его для 5-10 пользователей особого смысла нет?

Для решения подобной задачи создаем два подключения к серверу на разных портах с независимыми настройками для двух групп. А чтобы пользователи одной группы не могли воспользоваться подключением для другой, в настройках каждого подключения делаем соответствующие разрешения. Далее приведу пошаговый пример.

Мониторинг и оповещения состояния критичных приложений

Со временем все ИТ-специалисты понимают, что лучше предупреждать проблемы? чем потом «разгребать» их последствия. Основными инструментами, которые помогают в этом не легком деле, есть автоматизация и мониторинг. Поскольку в любой компании есть программные продукты, на которых все завязано, и простой которых несет за собой громадные убытки, необходимо постоянно следить за их состоянием и быстро реагировать на возникающие проблемы.

Самым лучшим показателем состояния «здоровья» любой программы служат ее логи, но постоянно заходить и смотреть их – не целесообразно: лучше, чтобы программа сама сообщала, когда ей «плохо». Ниже описан способ мониторинга ошибок в логах любой программы с помощью бесплатной системы мониторинга корпоративного класса Zabbix.

Для примера, возьмем мониторинг логов программного продукта Microsoft SQL Server, его экземпляра, который называется просто MSSQL.

Сборка тонкого клиента Thinstation

В предыдущем посте мы построили сервер PXE для централизованной загрузки тонких клиентов. И не смотря на то, что в сети есть много примеров образов тонких клиентов, вряд ли всем они смогут подойти. Поэтому в этой статье рассмотрим процедуру сборки образа тонкого клиента. Для этого нам понадобится рабочая станция под управление ОС Linux (я буду использовать CentOS) и платформу Thinstation (последнюю версию можно взять здесь).

Скачанный архив распаковываем в любую папку. Установка платформы проходит автоматически. Для установки необходимо выполнить команду:

./setup-chroot

Настройка Web-фильтрации на маршрутизаторах Juniper SRX

Многие компании после внедрения проектов по безопасности локальной сети, и создания надежных шлюзов хотят расширить возможности и  внедрить новые методы, который призваны обезопасить бизнес.

            Один из типовых примеров, использование маршрутизаторов Juniper SRX, в качестве WEB-фильтра. Начиная с версии JunOS 12.1 данная возможность в них появилась используя Unified Threat Management. Данная опция лицензируется отдельной програмной лицензией и может быть куплена как у дилеров, так и заказан триал на официальном сайте производителя.

Лицензия имеет название — anti_spam_key_sbl и её наличие можно проверить командой – show system license. (Для установки ключа воспользуемся командой –  request system license add terminal)

            И так, лицензию мы получили/установили, и теперь нам необходимо настроить политики и объекты для фильтрации. Для начала создадим два списка содержащий запрещённые и разрешенные сайты:

Безопасный доступ к консоли Windows и автоматизация выполнения удаленных команд

Многие ИТ-специалисты применяют удаленное подключение к командной строке различных устройств, наиболее популярным протоколом является SSH в силу того, что он обеспечивает безопасное соединение. SSH используется для управления аппаратными роутерами и коммутаторами, а также для подключения к серверам на базе *Nix операционных систем. В стандартном наборе компонентов Windows нет SSH сервера, но его возможно установить отдельно. Возьмем, например, FreeSSHd - это бесплатный SSH сервер, который возможно скачать с сайта разработчика.

            Устанавливается он как обычное приложение и интегрируется в виде службы. Заходим в свойства и выполняем основные настройки. Выглядит окно настроек следующим образом:

Реализация концепции тонкого клиента в сети предприятия

В процессе внедрения одного из клиентов была поставлена задача из «зоопарка» старых рабочих станций построить отказоустойчивую систему работы с сервером терминалов.

Для реализации задания на уровне рабочих станций была выбрана концепция тонких клиентов, загружаемых по сети с двух серверов PXE.

Для воплощения схемы в жизнь понадобится: сервер, на котором собственно будет реализован PXE-сервер, DHCP-сервер (можно использовать два в одном).

Этап 1. Настройка DHCP-сервера

В конфигурации DHCP-сервера необходимо добавить опцию “next-server”, описывающий IP-адрес сервера PXE.

Приведу пример конфигурации DHCP-сервера на Cisco 881:

Конвентируем .bat в .exe

В повседневной практике ИТ-администраторы, с целью автоматизации, часто используют простые скрипты, которые хранятся в файлах *.bat. Но у "батников" есть один веский недостаток – его легко открыть, посмотреть код изменить и т.д. Часто для осуществления автоматических подключений, запусков приложений и пр. в файле сценария должны содержатся учетные данные доступа, но хранить его в таком виде очень не безопасно.

 Для того, чтобы избежать вышеуказанных недостатков можно компилировать bat-файл в exe, который не так просто "распарсить", и получить из него строки кода или данные для аутентификации. 

Для подобных целей существует простая бесплатная программа "Bat To Exe Converter", которую можно свободно скачать с сайта производителя.

Программа проста в использовании и выглядит следующим образом: 

Настройка туннеля IPSEC между Juniper и Cisco

Сегодня очень часто возникает проблема кооперации оборудования разных вендоров. Особенно остро эта проблема касается сетевого оборудования такого типа, как маршрутизаторы. Эта задача осложняется тем, что у каждого производителя есть собственные проприетарные стандарты реализации тех или иных протоколов статической и динамической маршрутизации, сервисов, предоставляемых маршрутизатором. Одной из таких сложностей есть реализация шифрованного туннеля IPSEC между удаленными офисами на оборудовании Juniper и Cisco.

Внедрение безопасной корпоративной сети Wi-Fi

Специалисты отдела ИТ-внедрений и информационной безопасности закончили проект по обеспечению безопасности сети Wi-Fi центрального офиса общества с ограниченной ответственностью «Профит» (торговая марка RTD Bottlers). Внедрена модель аутентификации WPA2-Enterprise, которая ориентирована на повышение безопасности и гибкость администрирования в условиях компании с инфраструктурой на доменных политиках. «Гостевой» Wi-Fi вынесен в демилитаризованную зону VLAN с тем, чтобы посетители офиса могли уютно пользоваться интернетом через каналы компании, но не иметь доступа к внутренним ресурсам информационной системы компании.

Анонимность в интернете "для чайников". Приватный режим (режим инкогнито) в браузерах

Мы все уже привыкли к тому, что Интернет о нас всё знает. Зайдешь, бывает, в интернет-магазин одежды, а он тебе и размер подскажет, и расскажет, что твои друзья из ВК покупали. Или вздумается тебе поискать стихотворения Маяковского, а дружелюбный браузер вмиг тебя отправит на  сайт библиотеки, да ещё и укажет время, когда ты туда последний раз заходил.  И это только  вершина айсберга. Контекстная реклама, которую генерируют Яндекс и Гугл на основе ваших запросов, предложение потенциальных друзей в соц. сетях, анализ вашего поведения на сайтах и многое другое, что помогает жить, но в тоже время определяет нас.

«Что же делать?» – спросите вы. Для тех, кому не нравится вторжение в частную жизнь, и прочих параноиков есть замечательная функция - “режим инкогнито”  или “приватный просмотр”. Суть данной функции: браузер не передает в сеть и не сохраняет на диск информацию, которая может вас идентифицировать, а, следовательно, может быть использована против Вас. Данный режим также полезен, если вы выходите в интернет с общественного компьютера – на нем не сохраниться ни история посещения сайтов, ни логины и пароли, ни любые другие личные данные.

Информационная система для малого и среднего бизнеса: проектирование, построение, защита

Когда открывается новая компания, мало кто из руководителей задумывается об ее информационной системе. Покупается несколько компьютеров, приходящий админ связывает их в сеть - никто на том этапе не задумывается ни об архитектуре, ни о масштабируемости, ни о функциональности.

Компания растет – докупаются компьютеры, офисная техника, сетевые устройства: все это «цепляется» к уже существующей структуре. Это даже невозможно назвать информационной системой, потому что отсутствует системный подход к построению инфраструктуры. И вот наступает «момент истины»: компания перерастает те рамки, которыми ее ограничивает существующая структура. Система сбоит, ее мощностей не хватает для обеспечения выросших потребностей предприятия. Финансовые вливания в старую структуру уже не дают былого эффекта: затраты значительны, а прирост производительности в целом незаметен.

Новое в Mozilla Firefox 19

19 февраля разработчики Mozilla объявили об официальном выходе новой версии обозревателя Firefox 19. Сегодня, 21 февраля, браузер доступен для скачивания и обновления через канал release.

Первое, что бросается в глаза, - сокращенное время запуска обозревателя. Это достигается тем, что первоначально загружается интерфейс пользователя и домашняя страница, а следом догружаются остальные компоненты.

Также приятно порадовало встроенное средство просмотра PDF файлов, которое значительно быстрее сторонних надстроек, которым, к тому же, еще необходимо время для запуска. Mozilla Foundation рассказывают, что инструмент полностью разработан на JavaScript, и использует технологию HTML5. Такой подход значительно безопасней, чем его реализация в двоичном коде.

Разработчики проекта сообщают об устранении в новой версии браузера 14 уязвимостей.

"Что нового?" на русскоязычном форуме проекта.

Сomplete list of changes.

Виктор Лукаш

Решение проблемы при подключении Mac OS к серверу терминалов

Достаточно часто к нам обращаются клиенты с проблемой подключения к серверу терминалов. Ошибка происходит при попытке подключиться через Microsoft Remote Desktop Connection Client for Mac к серверу терминалов на базе Microsoft Windows 2008/ 2008 R2/ 2012. Иногда ошибка проявляется и при подключении к удаленному рабочему столу Windows с компьютеров Apple (Mac OS X) через клиент RDP. Соединение не устанавливается, а пользователю выводится сообщение об ошибке следующего содержания: «Из-за неполадок при работе протокола лицензирования произошло отключение от компьютера с операционной системой Windows.»

Следующие шаги помогут Вам решить проблему.

Программа для шифрования файлов или текста: простая, но мощная

Мы уже публиковали обзор средств шифрования, но он был посвящен мощным средствам шифрования, которые шифруют разделы жесткого диска целиком, либо работают с криптоконтейнерами.

Но что делать, когда необходимо зашифровать только один файл, а не создавать целые хранилища?

Оптимальным решением может стать программа VSEncryptor.

Фишинговая атака на клиентов украинского Приватбанка

Здравствуйте, читатели блога.
Отдел информационной безопасности группы компаний "Эффективные решения" сообщает о фишинговой атаке на клиентов украинского ПриватБанка.

Мошенники рассылают по электронной почте сообщение от имени сервиса Приват24 о том, что аккаунт клиента якобы заблокирован из соображений безопасности. Клиенту предлагается выполнить вход в сервис для разблокировки. Однако ссылка в письме ведет не на настоящий сайт сервиса Приват24, а на поддельный сайт злоумышленников по адресу http://mail.kablonet.com.tr/privat24.ua