KB.ATraining.ru

Оффтопик: Атака на SSL от THC (THC-SSL-DOS) – противодействие

Posted on October 27, 2011 by rkarmanov| 1 Comment

Подробнее про атаку можно посмотреть здесь:

http://www.opennet.ru/opennews/art.shtml?num=32136

На данный момент нет 100% решения для защиты от неё. Однако, практически у любой компании есть публично доступные сервисы, где SSL/TLS выключить просто нельзя (тот же Exchange 2010). Я дописал в статью про TLS/SSL раздел про то, как в текущей ситуации можно защититься по крайней мере от выложенного в public 24.10 эксплойта.

http://kb.atraining.ru/beast-move-from-ssl-to-tls/

Крайне рекомендуется изучить указанные в статье действия. А зайдя в раздел Программы – скачать утилиту, которая позволит просто и удобно отключить пересогласование TLS на серверах.

Протокол VTPv3

Posted on October 16, 2011 by rkarmanov| 1 Comment

Привет.

Как и обещал, пишу про VTPv3.

Введение

Предполагаю, что Вы уже читали статью про VTP 1й и 2й версий. Поэтому в данной статье я буду ссылаться и сравнивать с предыдущей, исходя из этого предположения.

Краткое описание нововведений в протоколе VTPv3
Включаем VTPv3
Что стало с VTP pruning в VTPv3
Проблема с VTP-паролем – решение в VTPv3
Проблема с добавлением коммутатора в VTP-домен
Изменения в операционной работе VTPv3
Поддержка Private VLAN

Читать полностью »

NRPT: Управляем безопасным DNS на Windows-клиенте

Posted on October 14, 2011 by rkarmanov| 3 Comments

Привет.

Введение

Эта статья – про отдельную, но достаточно важную функцию по управлению DNS-подсистемой на стороне клиента. В частности, NRPT будет помогать и при использовании DNSSEC, и про работе с DirectAccess, в общем знание работы NRPT необходимо, чтобы обладать пониманием всей системы DNS на предприятии. Без NRPT Вы можете хорошо представлять, как взаимодействуют сервера друг меж другом и с внешними источниками, но безопасная ‘последняя миля’ без NRPT не настраивается. Я вообще хотел это сделать частью статьи про DNSSEC, но и эта тема заслуживает отдельного описания, и та статья уже достаточно масштабна и имеет тенденцию к росту. Поэтому заранее делаем отдельно.

Технология NRPT реализована в Windows 7, поэтому разговор будет именно про эту ОС. Я предполагаю, что Вы ознакомились со статьями про безопасность DNS в Windows Server 2008 R2 и про DNSSEC в Windows Server 2008 R2.

Многие предполагают, что NRPT – исключительно “внутридоменная” технология. Это не так, и NRPT настраиваема и для отдельных хостов. Далее – подробнее.

Что такое NRPT – Name Resolution Policy Table
Про Windows 7 DNS Client
Глобальные настройки NRPT
- Network Location Dependency
- Query Failure
- Query Resolution
- Просмотр текущего значения глобальных настроек NRPT
Правила NRPT и DNSSEC / DirectAccess
Настройка NRPT в домене
Настройка NRPT на отдельном хосте
Как изменится алгоритм работы DNS Resolver с NRPT
Проверяем работу NRPT

Читать полностью »

DNSSEC в Windows Server 2008 R2 – функционал и использование

Posted on October 12, 2011 by rkarmanov| 15 Comments

Привет.

Введение

Технология DNSSEC существует достаточно давно и реализована в Windows Server 2008 R2 и Windows 7. Не идеально, но реализована.
Но пользуются ей (в основном из-за смутности её плюсов и пугающей своей неочевидностью настройки) единицы.
За последний год я использовал эту технологию в двух проектах, и после устного общения с коллегами (которые в большинстве своём в IT далеко не первый год) выяснил, что DNSSEC вообще является мёртвой зоной – она вроде есть в плане технической реализации, но её вроде и нет. В enterprise её вообще не заметно, разве что только у малой части провайдеров (например, в рунете я нашёл только одного регистратора – R01, который декларирует поддержку DNSSEC для доменов).

Это нужно исправлять, так как в DNS достаточно много негатива, который не лечится совсем, либо для которого существуют “костыльные” решения.
Я предполагаю, что Вы знаете, как работает обычный DNS, плюс прочитали статью про обеспечение безопасности DNS на Windows Server 2008R2. Если ещё не сделали это – сейчас самое время.

Все записи DNS, IP-адреса и прочие выбраны случайно и не имеют никакого отношения к реальности. Совпадения случайны. Цель придумывания этих значений – наглядность изложения и упрощение понимания технологии DNSSEC. Их (имена записей и IP-адреса) не надо добуквенно копировать к себе, а потом удивляться артефактам поведения системы DNS. Я предупредил.

Что делает DNSSEC
Не рано ли внедрять DNSSEC?
Как работает DNSSEC
DNSSEC и логика кэширования
Терминология DNSSEC
- Записи SIG и RRSIG
- Записи NXT и NSEC
- Запись NSEC3
- Ключевые пары – ZSK и KSK
- Записи DNSKEY, они же “Якори доверия”, они же trust anchors
- Записи DS
- Записи DLV – “подстраховка”
Включаем DNSSEC: Создаём ключи
- Создание ключей защиты ключей (KSK)
- Создание ключевой пары для зоны (ZSK)
- Резервное копирование ключей DNSSEC
Включаем DNSSEC: Операции с DNS-зонами
- Подписываем зону
- Распространяем её trust anchor’ы
Включаем DNSSEC: Подготавливаем DNS-сервера
DNSSEC: Настройки со стороны клиентов (NRPT)
Тестируем DNSSEC

Читать полностью »

Защищаем и оптимизируем RDP

Posted on October 9, 2011 by rkarmanov| 18 Comments

Привет.

Вчера, общаясь с Иваном Никитиным, получил дельный совет осветить работу и настройку протокола RDP. Мысль дельная, дальше – подробнее.

Введение

Протокол RDP – удобное, эффективное и практичное средство для удалённого доступа как для целей администрирования, так и для повседневной работы.
Учитывая, что его реализации есть практически везде (различные платформы и ОС), и их много, нужно хорошо представлять его возможности.
По крайней мере, это будет нужно по ряду причин:

Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что “встроенный RDP минимальный и ничего не умеет”.
Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на “тонкие клиенты”, да и просто организация терминальных серверов), бытует мнение что “RDP плохой потому что встроенный”.
Есть стандартный миф про то, что “RDP нельзя без VPN наружу выставлять, ломанут” (миф имеет под собой обоснование, но уже давно не актуален).
Ну, раз уж про мифы заговорили – бытует мнение, что “Перейдя с RDP на Citrix трафик в пару раз падает”. Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.

Все эти мифы – ерунда и смесь устаревших “дельных советов”, актуальных во времена NT 4.0, а так же откровенных вымыслов, не имеющих никаких причин к существованию. Так как IT – это точная наука, надо разобраться. Хорошо настроеный протокол RDP новых версий, с учётом всех новых функциональных возможностей, является достаточно хорошим и надёжным инструментом для организации удалённого доступа.

Поэтому мы займёмся:

Кратким упоминанием про версии RDP
Настройкой режима защиты RDP-сессии
Настройкой шифрования для RDP
Привязкой к конкретному адаптеру и порту
- Меняем стандартный порт на нужный
- Делаем раздельные настройки RDP для нескольких сетевых адаптеров
Включением NLA
- Как включается NLA со стороны RDP-сервера
- NLA и Windows XP
- Как включить CredSSP в XP
Выбором правильного сертификата для RDP
Блокированием подключений по RDP учётным записям с пустым паролем
Настройка ACL для подключения по RDP
Оптимизацией скорости RDP
- Отключаем редирект неиспользуемых устройств
- Настраиваем общую логику оптимизации визуальных данных RDP
Оптимизацией сжатия RDP
- Настраиваем общее сжатие RDP
- Настраиваем сжатие аудиопотока RDP
Оптимизацией соотношения потоков данных RDP
Включением Require secure RPC communication для RDP

Приступим.
Читать полностью »

Протокол VTP v1/2 – реализация и настройка

Posted on October 2, 2011 by rkarmanov| 1 Comment

Привет.

Введение

Протокол VTP является одним из самых известных вендорских протоколов, занимающихся L2-задачами, знание которых нужно по многим причинам – по крайней мере, чтобы понимать, что реально приобретается с поддержкой этого протокола, а что – нет. Это необходимо для ухода от крайностей как вида “раз цисковский протокол, то без него / его поддержки жить нельзя в принципе, надо сразу удавиться”, так и “раз его не смогло разработать опенсорсное коммунити, то это не нужный протокол”.

История протокола VTP достаточно продолжительна – первый раз он появляется в CatOS 2.1 (это Cisco Catalyst 2900 и 5000), после чего слегка модернизируется до второй версии и живёт очень долго. Третья версия, в которой реально много полезных изменений, вышла несколько лет назад, но до сих пор не поддерживается на многих устройствах начального уровня. Однако это не обозначает, что её не нужно изучать.

Зачем нужен VTP
Как технически реализован VTP
Как работает протокол VTP
VTP pruning – что это?
Базовая настройка протокола VTP
Расширенная настройка протокола VTP
Типовые ошибки настройки VTP
Ситуация с добавлением нового коммутатора в существующую VTP-инфраструктуру
Протокол VTPv3

Читать полностью »

Уходим с SSL на TLS

Posted on September 29, 2011 by rkarmanov| 19 Comments

Привет.

Введение

Протоколу SSL уже много времени, и ему пора на покой. Тем более – замена ему достаточно давно уже есть. Выглядит она как протокол TLS, который вырос, возмужал, и готов к работе. Я попробую чуть-чуть пробежаться по тому, что и как для этого надо сделать в Windows Server и основных серверных приложениях.

Краткая история вопроса – SSL
Версии и преимущества TLS
- Про TLS 1.0
- Про TLS 1.1
- Про TLS 1.2
- Про TLS 1.2 и Windows XP SP3
- Про TLS 1.2 и Windows 2003 SP2
BEAST: как работает атака на SSL 2.0/3.0 и TLS 1.0
Включаем TLS на Windows-системе
Отключаем SSL на Windows-системе
Закручиваем гайки: Включаем безопасное пересогласование TLS на Windows-системе
Атака на SSL/TLS – THC-SSL-DOS
Закручиваем гайки: настройки криптоалгоритмов на хосте
Управляем настройками согласования SSL/TLS в браузерах
Проверяем работу TLS 1.1 и 1.2
Что делать, если у меня нет возможности включить TLS новых версий