В этой статье будут рассмотрены сценарии атаки защищенных сегментов корпоративной сети с помощью pivoting-техник, metasploit framework и proxychains.

В предыдущих статьях мы рассматривали разведывательные способы добывания информации о человеке в интернете, но ни разу не затронули тему защиты от подобных действий со стороны наших недоброжелателей. Теперь время пришло, и мы это сделаем. Перед погружением в сегодняшнюю тему небольшой дисклеймер:

Все события и участники являются вымышленными. Любые совпадения случайны. Автор не несет ответственности за любые негативные последствия в случае внедрения рассматриваемых контрмер, в том числе физические травмы, полученные в результате неконтролируемого приступа ревности, возникшего у вашей второй половинки. Помните: усиление мер защиты может привлечь ненужное внимание и вызвать подозрения.

Говорят, что нельзя полностью понять систему, пока не поймёшь её сбои. Ещё будучи студентом я ради забавы написал реализацию TCP, а потом несколько лет проработал в IT, но до сих пор продолжаю глубже и глубже изучать работу TCP — и его ошибки. Самое удивительное, что некоторые из этих ошибок проявляются в базовых вещах. И они неочевидны. В этой статье я преподнесу их как головоломки, в стиле Car Talk или старых головоломок Java. Как и любые другие хорошие головоломки, их очень просто воспроизвести, но решения обычно удивляют. И вместо того, чтобы фокусировать наше внимание на загадочных подробностях, эти головоломки помогают изучить некоторые глубинные принципы работы TCP.

Знаете ли вы, что в большинстве случаев уязвимость системы безопасности можно устранить добавив необходимые заголовки ответа?

Безопасность не менее важна, чем содержание или поисковая оптимизация сайта. Тысячи сайтов взламываются из-за ошибок в конфигурации или недостаточной защиты. Если вы владелец сайта или специалист по защите информации, и интересуетесь защитой сайта от кликджекинга, внедрения кода, уязвимостей MIME типов, XSS-атак и т.д., то данная инструкция будет вам полезна.

В этой статье я расскажу о разных заголовках HTTP для использования с различными веб-серверами, сетевой периферией или сетями доставки контента, чтобы повысить уровень защищенности сайта.

Утечки данных происходят почти каждый день. Согласно индексу утечки данных, с 2013 года более 4,762,376,960 записей было утеряно или украдено.

Долго ли коротко ли, но шестерни в очередной раз провернулись и linkmeup встал на ступень Tier 2. И несколько достаточной платёжоспособности энтерпрайзов проявили заинтересованность в организации связи между своими филиалами через сети linkmeup.

L3VPN, который мы рассмотрели в прошлом выпуске, покрывает собой огромное количество сценариев, необходимых большинству заказчиков. Огромное, но не все. Он позволяет осуществлять связь только на сетевом уровне и только для одного протокола — IP. Как быть с данными телеметрии, например, или трафиком от базовых станций, работающих через интерфейс E1? Существуют также сервисы, которые используют Ethernet, но тоже требуют связи на канальном уровне. Опять же ЦОДы между собой любят на языке L2 общаться.

Вот и нашим клиентам вынь да положь L2.

Традиционно раньше всё было просто: L2TP, PPTP да и всё по большому счёту. Ну в GRE ещё можно было спрятать Ethernet. Для всего прочего строили отдельные сети, вели выделенные линии ценою в танк (ежемесячно).

Однако в наш век конвергентных сетей, распределённых ЦОДов и международных компаний это не выход, и на рынок выплеснулось некоторое количество масштабируемых технологий випиэнирования на канальном уровне.

Мы же в этот раз сосредоточимся на MPLS L2VPN.

Введение

Эта статья рассчитана на людей, имеющих начальные знания по квантовой механике, обычно входящей в вузовский курс теоретической физики, а также живой интерес к ней. Квантовая механика, как матанализ, требует определенных начальных знаний, и без этого любое чтение будет либо беллетристикой, либо приведет к неправильным представлениям. Все обещания квантовой механики для всех и даром сродни социалистическим предвыборным лозунгам. Тем не менее эти необходимые знания не так велики, как может показаться, особенно для знающих математику. В начале изучения у многих возникает проблема — вероятностный смысл волновой функции и связанные с этим вещи: процесс измерения и гипотеза редукции волновой функции, трудны для понимания. Тем более, что в дальнейшем при решении задач этот вероятностный смысл или интерпретация, как правило, не требуются, поэтому многие даже не задумываются над этим. Тем не менее хотелось бы разобраться, откуда это взялось и зачем вообще нужно, и нужно ли вообще. Оказывается, что соображения, которые, вероятно, легли в основу столь сложных и противоречивых постулатов, утратили силу по мере прогресса квантовой электродинамики. Глубоких знаний для понимания не потребуется — можно просто поверить хорошо известным результатам из учебников, но начальный уровень все же необходим.

По проблеме интерпретации волновой функции споры велись с самого начала разработки квантовой механики. Наиболее известный – дискуссия Бора и Эйнштейна, длившаяся много лет. Интерпретация волновой функции, как амплитуды вероятности, разработана, в-основном, Борном [1] и дополнена Бором и Гейзенбергом [2] — физиками «Копенгагенской школы». В дальнейшем в литературе было принято название «Копенгагенская интерпретация», далее КИ. Я использую стандартные обозначения, принятые в «Курсе теоретической физики» Л.Д.Ландау и Е.М.Лифшица [3] и в большинстве других аналогичных учебников. Во второй части статьи предлагаются критические эксперименты, которые могли бы опровергнуть или подтвердить КИ. К сожалению, они неосуществимы технически в наше время.

Так как я довольно давно использую ZFS (ещё со времён OpenSolaris), и очень доволен данной ФС в Linux, несмотря на её «неправославную» лицензию, то естественно прочитал свежую статью об установке данной ФС на CentOS.

Заметив в руководстве к свершению подвига несколько ошибок, решил не пройти мимо, как я это делаю обычно. К сожалению, в комментариях отвечать не могу, по совершенно очевидной причине.

Работа над ошибками, и некоторые полезные советы под катом.

Предпосылки и философские размышления

Как и у многих моих коллег по программистскому цеху, особенно у тех, кто рано начал пробовать свои силы в области компьютерных технологий, у меня где-то на задворках сознания хранится набор самых тёплых и романтических воспоминаний о первых опытах. Когда-то, в далёком 1987 году, отец впервые взял меня в выходной к себе на работу, где торжественно усадил на стул перед гудящей «Искрой-1030-11». Примерно тогда я твёрдо понял, чем хочу заниматься в своей дальнейшей жизни.

До недавнего времени в Одноклассниках в качестве основного Linux-дистрибутива использовался частично обновлённый OpenSuSE 10.2. Однако, поддерживать его становилось всё труднее, поэтому с прошлого года мы перешли к активной миграции на CentOS 7. На подготовительном этапе перехода для CentOS были отработаны все внутренние процедуры, подготовлены конфиги и политики настройки (мы используем CFEngine). Поэтому сейчас во многих случаях миграция с одного дистрибутива на другой заключается в установке ОС через kickstart и развёртывании приложения с помощью системы деплоя нашей разработки — всё остальное осуществляется без участия человека. Так происходит во многих случаях, хотя и не во всех.

Но с самыми большими проблемами мы столкнулись при миграции серверов раздачи видео. На их решение у нас ушло полгода.

Введение

В процессе настройки клиентов службы AD под управлением ОС Ubuntu Linux, я столкнулся с несвоевременным обновлением записей на DNS сервере средствами Samba, а также с некорректной работой команды «net ads dns register». Что вызывает сопуствующие проблемы при работе с доменными компьютерами.

Например, наличие двух DNS серверов в dhclient.conf приводит к появлению ошибки «ERROR_DNS_GSS_ERROR» после выполнения «net ads dns register -P».

В поисках решения этой проблемы я перечитал много статей и баг-репортов, и наткнулся на статью Warlock_ua «Безопасное динамическое обновление DNS записей в Windows домене из Linux (GSS-TSIG)». Идея показалась мне интересной. Но мне не понравилось решение с созданием отдельной учетной записи пользователя домена, которая имеет права на изменение всех записей DNS-зоны. Во-первых, это потенциально небезопасно. Во-вторых, в Windows уже существуют готовое решение: каждая учетная запись компьютера имеет право изменять свою запись на DNS. Почему бы этим не воспользоваться?

За основу я взял скрипт learn-address.sh от Warlock_ua, и доработал его с учетом своих нужд.

В одной из предыдущих моих статей был проведен опрос по наиболее интересующей читателей теме: «Конечные устройства умного дома (установка, подключение, использование...)». За нее высказалось 80% проголосовавших читателей. Эта статья будет посвящена общему описанию основных конечных устройств с подробными ссылками на информацию от производителя.

На плане 1 этажа показаны реальные устройства реального умного дома:



На плане располагаются все устройства умного дома: это датчики температуры и влажности, датчики тока, датчики освещенности, счетчики потока воды, датчики напряжения, контроллеры датчиков, умные розетки и т.п.

Третья часть статьи по установки и настройке OTRS на UbuntuServer в среде MS AD. Теперь поговорим об исправлениях различных косяков и прикручивании полезных плюшек. Первые две статьи более меняться не будут, а все остальны мои наработки будут дописываться в эту статью, получится такой неплохой howto.

Часть первая: подготовка системы
Часть вторая: установка и настройка OTRS
Часть третья: исправляем косяки прикручиваем плюшки

Вииду того, что статья и так получилась слишком большая, а к тому же хочеться добавить к ней её пару нюансов разбиваю её на несколько частей, и дальнейшие дополнения буду публиковать как отдельные части.

Часть первая: подготовка системы
Часть вторая: установка и настройка OTRS
Часть третья: исправляем косяки прикручиваем плюшки

Вместо введения

Любая достаточно крупная организация рано или поздно сталкивается с необходимостью внедрения системы тикетов или helpdesk. И наша организация не исключение, в связи с чем руководством была поставлена задача выбрать и внедрить систему.

Откровенно говоря сомнений по поводу выбора особых не было, по личным соображениям выбор пал на OTRS. Мощная и гибкая с огромным количеством отчётов, которые так любит руководство. Но как оказалось внедрить её совсем нетривиальная задача. Мучения продолжались две недели, были перелопачены тонны инофрмации, перепробовано куча различных мануалов, и складывалось впечатление, что я либо полный кретин, либо одно из двух, потому как во всех мануалах и в куче отзывов все в один голос утверждали что всё работает и отлично ставиться и настраивается, а у меня ни как.

На самом деле проблема всех этих мануалов в том, что всё вроде бы так же как у тебя, но где-то чуть-чуть не та версия пакета, чуть чуть не такая структура AD и т. д. Вот из-за всех этих чуть чуть и не складывается цветок каменный. Одним словом методом проб и ошибок, чтений документации и анализа мануалов был выработан свой, вполне рабочий метод, который я и хотел бы изложить.

Прошло уже более двух лет с момента выхода дистрибутива Kali 1.0. Сегодня вышла 2.0 версия этого дистрибутива.

Краткий экскурс: Kali linux представляет из себя дистрибутив, содержащий множество утилит для проведения тестирования на проникновение — от анализа уязвимостей веб-приложений, до взлома сетей и сервисов и закрепления в системе. Ранее этот дистрибутив был известен под названием Backtrack.

TL;DR: DNS-резолвер в Windows 10 отправляет запросы на все известные системе адреса DNS-серверов параллельно, привязывая запрос к интерфейсу, и использует тот ответ, который пришел быстрее. В случае, если вы используете DNS-сервер из локального сегмента, такое поведение позволяет вашему провайдеру или злоумышленнику с Wi-Fi-точкой подменять записи DNS, даже если вы используете VPN.

Современные версии Windows добавляют головные боли активным пользователям VPN. DNS-резолвер до Windows 7 включительно имел предсказуемое поведение, совершая запросы к DNS-серверам в порядке очереди и приоритета DNS-серверов, в общем-то, как и все остальные ОС. Это создавало так называемый DNS Leak (утечка DNS-запроса через внешний интерфейс при подключенном VPN) только в том случае, если DNS-сервер внутри VPN-туннеля не ответил вовремя, или ответил ошибкой, и, в целом, не являлось такой уж вопиющей проблемой.

Мои приключения за месяц вместе с детектором CO₂ от компании «МастерКит».



Про датчик углекислого газа и про то, как важно проветривание помещения для нормальной работы мозга IT-ишника я узнал из статьи Хроническая усталость, апатия, сезонная «депрессия» и многое другое: тривиальная причина (рекомендую прочитать ее всем). С тех пор я задумывался, а бывают ли такие моменты, когда нужно не терпеть духоту («Тыж мужик»), а предпринять активные действия.

Я повторил эксперимент BarsMonster`а и поразился, насколько быстро кончается воздух в комнате (особенно если вы там вдвоем). Так же понял какая динамика свежести воздуха ночью во время сна. Теперь окно всегда открыто и есть одеяла потеплее.

С тех пор я стал абсолютно безжалостным к тем, кто просит закрыть окошко, чтоб стало потеплее (пусть одеваются) в ущерб свежести воздуха (особенно если доходит до «красной отметки»). Не грызет меня совесть и за то, что могу выйти посреди лекции/семинара/совещания на воздух подышать (мне мой мозг важнее чем ваши KPI).

Опять же, как и с другими медгаджетами которые я тестил, основной результат в том, что прибор позволяет встроить и откалибровать способность чувствовать духоту. «Калибровка» занимает где-то месяц, потом уже доверяю собственному наработанному чутью.
Но все равно, детектор стал постоянным жителем моего рюкзака (он является веским аргументом в спорах).

Из разговора с работодателем:
— Видите, если желтая лампочка, мой мозг работает на 30% хуже, если красная — на 70% хуже. Обеспечьте мне благоприятные условия работы, иначе вы теряете деньги. Представьте себе, что вы ведете себя так же, как тот кто пьет пиво, разбавленное на 70%.

Принцип работы прибора простой — в зависимости от концентрации CO₂ он горит одним из 3-х цветов:


Под катом несколько мест, которые я посетил и пронаблюдал значения CO₂

Спасибо читателям за поддержку предыдущей статьи. Думаю, пора раскрыть самое интересное, что есть в этой игрушке — это правила.

Для тех, кто не в теме читал предыдущую статью. Правила позволяют очень гибко управлять умным домом неподготовленному человеку. Нужно только понимать, что такое Амперы, Ватты, понимать, как работает «и» и «или», чем отличается Edge trigger от Level trigger, ну и, наконец, иметь логический склад ума. В общем, не все так просто, но ведь и «издание», где публикуется эта статья тоже не для «полных гуманитариев».

Перейдем сразу к делу. Ниже показано правило, по которому отключается неприоритетная нагрузка при превышении общего потребления электричества на дачном участке 28 А.



Это правило отключает бойлер и обогреватели в комнатах, где нет воды. Аналогичную проверку можно делать, например, при превышении потребления в гостевом домике или в бане или просто на определенном автомате.

На входе после счетчика стоит автомат на 32 А. При длительном превышении общей нагрузки в 32 А отключится входящий автомат. Дачный участок останется без электричества. Правила настроены так, чтобы при превышении общего потребления от 25 А до 30 А отключались соответствующие неприоритетные потребители. При 30 А отключается все, что находится под управлением умного дома. Мимо него могут пройти сварочные работы на участке, использование других инструментов, требующих большого потребления таких как: пылесос, электрогриль, электрочайник и т.п.

OnlyOffice – больше чем просто офисный пакет в браузере. Это многофункциональный портал совместной работы, включающий в себя управление документами и проектами. Он позволяет Вам планировать рабочие задачи и вехи, хранить корпоративные или персональные документы и совместно работать над ними, использовать инструменты социальной сети, такие как блоги и форумы, а также общаться с членами коллектива через корпоративную программу обмена мгновенными сообщениями.