• Как мы внедряли SD-Access, и зачем это понадобилось


      Основная страница мониторинга.

      SD-Access — это реализация нового подхода к строительству локальных сетей от Cisco. Сетевые устройства объединяются в фабрику, поверх неё строится оверлей, и всем этим управляет центральный компонент — DNA Center. Выросло всё это из систем мониторинга сети, только теперь мутировавшая система мониторинга не просто мониторит, но собирает подробную телеметрию, конфигурирует всю сеть как единое устройство, находит в ней проблемы, предлагает их решения и вдобавок энфорсит политики безопасности.

      Забегая вперёд, скажу, что решение довольно громоздкое и на данный момент нетривиальное в плане освоения, но чем больше сеть и чем важнее безопасность, тем выгоднее на него переходить: серьёзно упрощает управление и траблшутинг.

      Предыстория – как мы на это решились?


      Заказчик переезжал в новый свежекупленный офис из арендуемого. Локальную сеть планировали сделать по традиционной схеме: коммутаторы ядра, коммутаторы доступа плюс какой-нибудь привычный мониторинг. В это время мы как раз развернули стенд с SD-Access в нашей лаборатории и успели немного пощупать решение и пройти обучение с очень кстати посетившим Москву экспертом из французского офиса Cisco.
      Читать дальше →
    • Настройка BGP для обхода блокировок, версия 3, без VPS

      • Tutorial

      Зачем всё это делается в принципе и как оно устроено логически — описано в первой и второй статьях.


      После их публикации я получил несколько вопросов от людей, которые пользуются VPN с не принадлежащих им ресурсов (например, приобретающих коммерческую услугу VPN). Этим людям раньше я советовал завести VPS для развертывания BGP-сервиса или каким-то еще образом получить доступ к серверу на Linux.


      Но с сегодняшнего дня для них (и для всех остальных) есть более удобный вариант — на бесплатном сервисе antifilter.download появилась возможность автоматически настраивать BGP-сессию с вашим маршрутизатором.

      Читать дальше →
    • Резервное копирование, часть 1: Назначение, обзор методов и технологий

        Backup? I don't need backup!!

        Зачем же нужно делать резервные копии? Ведь оборудование весьма и весьма надежное, к тому же есть «облака», которые по надежности лучше физических серверов: при правильной настройке «облачный» сервер запросто переживет отказ инфраструктурного физического сервера, а с точки зрения пользователей сервисов, будет небольшой, еле заметный скачок времени обслуживания. К тому же дублирование информации зачастую требует оплатить «лишнее» процессорное время, дисковую нагрузку, трафик сети.
        Читать дальше →
      • Шпаргалки по безопасности: Docker



          Docker контейнеры — самая популярная технология для контейнеризации. Изначально она использовалась в основном для dev и test окружений, со временем перешла и в production. Docker контейнеры начали плодиться в production среде, как грибы после дождя, однако мало из тех, кто использует данную технологию, задумывался о том, как же безопасно публиковать Docker контейнеры.

          Основываясь на OWASP, мы подготовили список правил, выполнение которых позволит значительно обезопасить ваше окружение, построенное на Docker контейнерах.
          Читать дальше →
          • +29
          • 23,1k
          • 5
        • Docker: вредные советы


            Когда я учился водить машину, на первом же занятии инструктор выехал на перекресток задним ходом, а потом сказал, что делать так нельзя — вообще никогда. Это правило я запомнил сразу и на всю жизнь.


            Читаешь детям «Вредные советы» Григория Остера, и видишь, как легко и непринужденно до них доходит, что так делать нельзя.


            О том, как правильно писать Dockerfile, написана куча статей. Но мне не попадалось инструкций, как писать неправильные Dockerfile. Восполняю этот пробел. И, может быть, в проектах, которые я получаю на поддержку, таких докерфайлов станет меньше.

            Читать дальше →
          • «Взломайте нас, чтобы было красиво»



              Дисклеймер


              Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.


              Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.


              Введение


              Чтобы читателям был понятен контекст, мы решили начать с бэкграунда. Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение (моим коллегой InfiniteSuns ).


              Работая с заказчиками, мы систематически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги. Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.


              Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи «nmap» с параметром «--script vuln». Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.

              Читать дальше →
            • Враг внутри: как я попался на инсайдерском редтиминге

              • Перевод


              У меня были все преимущества. Я уже был внутри сети. Я был вне подозрений. Но они обнаружили мой взлом, выкинули из сети… и выследили физически.
              Читать дальше →
            • Валидация сложных форм React. Часть 1

              Для начала надо установить компонент react-validation-boo, предполагаю что с react вы знакомы и как настроить знаете.

              npm install react-validation-boo

              Чтобы много не болтать, сразу приведу небольшой пример кода.

              import React, {Component} from 'react';
              import {connect, Form, Input, logger} from 'react-validation-boo';
              
              class MyForm extends Component {
                  sendForm = (event) => {
                      event.preventDefault();
              
                      if(this.props.vBoo.isValid()) {
                          console.log('Получаем введённые значения и отправляем их на сервер', this.props.vBoo.getValues());
                      } else {
                          console.log('Выведем в консоль ошибки', this.props.vBoo.getErrors());
                      }
                  };
                  getError = (name) => {
                      return this.props.vBoo.hasError(name) ? <div className="error">{this.props.vBoo.getError(name)}</div> : '';
                  };
                  render() {
                      return <Form connect={this.props.vBoo.connect}>
                          <div>
                              <Input type="text" name="name" />
                              {this.getError('name')}
                          </div>
                          
                          <button onClick={this.sendForm}>
                              {this.props.vBoo.isValid() ? 'Можно отправлять': 'Будьте внимательны!!!'}
                          </button>
                      </Form>
                  }
              }
              
              export default connect({
                  rules: () => (
                      [
                          ['name', 'required'],
                      ]
                  ),
                  middleware: logger
              })(MyForm);
              

              Читать дальше →
            • Типовые сценарии внедрения NGFW



                Disclaimer


                В данной статье приводятся лишь примеры типовых сценариев внедрения NGFW. Не стоит брать предложенные схемы за готовый шаблон. В реальной жизни, почти каждое внедрение уникально. Есть много подводных камней, на которые нужно обратить внимание перед планированием топологии сети. Но в целом, все варианты будут “крутиться” вокруг нескольких концептов. Их мы и постараемся обсудить.

                Типовая архитектура сети с точки зрения ИБ


                Прежде чем описывать варианты внедрения NGFW, мне бы хотелось обсудить несколько типичных сценариев использования средств сетевой защиты. Мы рассмотрим наиболее распространенные средства, которые есть практически в каждой компании (конечно же максимально упрощенно и поверхностно, иначе получится целая книга). Чаще всего на практике можно встретить три самых распространенных варианта:
                Читать дальше →
              • Отправляем «анонимное» СМС из Консоли на нужный номер используя сервис bytehand и C++

                • Tutorial
                Порой появляется необходимость отправки анонимного сообщения нужному адресату, не используя при этом своего телефона или тогда, когда под рукой только компьютер, работающий интернет и открытая консоль.

                Во многих фильмах есть момент, когда хакеру, взламывающего человека, нужно отправить сообщение на его номер, чтобы его отвлечь или напугать и в таких ситуациях самое важное, чтобы, когда человек позвонит на номер с которого пришло СМС у вас не загорелся экран смартфона и не заиграла музыка. Упс… Неловкая ситуация. В этой теме мы напишем программу на C++, которая позволит отправить СМС не используя вашего номера, сим-карты и души.

                Mr. Robot TV Show
                Читать дальше →
              • Балансировка трафика между Web-серверами при помощи IP CEF на сетевом оборудовании

                  Была поставлена задача о реализации отказоустойчивого решения для двух веб-серверов и, при возможности, реализация распределения нагрузки между веб-серверами, так как иногда одна база данных не справлялась со всеми запросами. Покупать специальное оборудование не было возможности, в связи с чем была придумана следующая схема. Возможно, идея неоригинальная, но в интернете ничего подобного не нашел. Топология у нас такая:

                  My Image
                  Читать дальше →
                • Просто о сложном. Часть 3, продолжаем создание беспроводного «умного дома». На основе технологий Z-Wave и ПО MajorDoMo

                  • Tutorial

                  В данной статье продолжаем первые шаги по созданию своего беспроводного “Умного Дома» на основе технологий и протокола по open source. На примере подключения одного устройства, работающего по технологии Z-Wave: умной розетки FIBARO Wall Plug Z-Wave (FGWPF-102_ZW5).

                  Выбор сделан по следующей причине: устройство имеет несколько функций: работает как реле и выключатель, можно включить/выключить как по требованию, так и по расписанию, измеритель потребляемой на данный момент мощности, счётчик электроэнергии за некоторый период времени.

                  В этой части инструкции будет довольно много картинок (скриншотов) и хотя всё относительно понятно на интуитивном уровне, я постараюсь, чтоб описание было бы доступно и понятно даже для пользователя не очень разбирающегося в современных технологиях и не являющимся IT специалистом.

                  Принцип такой, сделал заработало, перепроверил, дал задание с небольшими инструкциями своему старшему сыну повторить, возникли у него некоторые затруднения, объяснил, добавил информацию в инструкцию и сделал небольшие пояснения.
                  Читать дальше →
                • Просто о сложном. Начало создания беспроводного «умного дома». На основе технологии Linux, Z-Wave и ПО MajorDoMo

                  • Tutorial

                  Часть первая: Небольшая пошаговая инструкция по установке и первоначальной настройке «Умного дома»


                  image

                  Так случилось, что жизнь заставила приступить к частичной автоматизации квартиры, особенно в части её безопасности, краны, газ, вход, электричество, ну а потом уже всё остальное.

                  Для себя определил следующие критерии:

                  1. Место — квартира, где переделка (существенная переделка чего-либо не планируется).
                  2. Возможность интеграции всех решений в единую систему УД с открытым кодом .
                  3. Возможность постепенного расширения (масштабирования) функционала.
                  4. По-возможности, минимальные затраты.
                  5. По возможности покупка элементов системы в РБ или же в РФ, без всяких заказов с зарубежных сайтов. Пришел, посмотрел, купил.
                  6. По возможности русскоязычный интерфейс, документация, поддержка.

                  Для себя определил открытый протокол Z-wave, сердце системы – однопалатный компьютер Raspberry PI (как раз у меня по работе такой и был) с контроллером Razberry, работающем на протоколе Z-Wave+. Программное обеспечение выбрал MajorDoMo. И протокол и ПО удовлетворяют мои требования.

                  В качестве помощника решил привлечь своего старшего сына (школьника, закончил 8-ой класс). И понял существующая документация довольно сложна для обычного пользователя, не сталкивающегося с настройкой, конфигурированием и программированием.

                  Вот и решил немного восполнить этот пробел.
                  Читать дальше →
                • Пятничные вебинары: учимся программировать бесплатно

                    Тема сегодняшней подборки вебинаров — программирование. Как всегда, вебинары бесплатны, а спектр тем достаточно широк: мобильная разработка, Java, веб-разработка. Полезную информацию в них может почерпнуть как начинающий программист, так и уже опытный кодер.

                    image
                    Читать дальше →
                    • +4
                    • 11,4k
                    • 1
                  • Распространение программ на Go. Часть 1

                    Недавно прочел достаточно неплохую статью о инсталяции программ на Go. Где был показан простой пример того как можно реализовать установку бинарника под «любую» (unix friendly) операционную систему. Решил написать более подробный цикл статей на эту тему.

                    image

                    Читать дальше →
                    • +10
                    • 9,5k
                    • 3
                  • Эксфильтрация в Metasploit: DNS туннель для Meterpreter

                      Тема DNS туннеля для организации скрытного канала связи c командным сервером — (С2 или С&C) не нова, но мне многие годы не давало покоя одна вещь — отсутствовала реализация полнофункционального решения с пентестерской(хакерской) точки зрения (не считая кастомные вещи для себя). Не было удобного пути загрузки пейлода и контроля удаленного агента (трояна) в одном флаконе без использования сторонних сервисов типа Iodine или DNSCat2, которые не были созданы для скрытного прибывания в системе и делали много локального шума: открывали TCP порты, открывали активные соединения самостоятельно и вообще висели отдельным процессом, и все это характеризуется одним словом — «палево».

                      Год назад, мы в рамках нашей DEF CON группы DC7812, чисто ради «fun and profit» и для пользы сообщества, задались задачей решить эту проблему, и сделать нормальный DNS туннель в транспорте Metasploit для Meterpreter агента (пока только для MS Windows). Другими словами, что бы Meterpreter сам использовал этот туннель, нативным образом. Очевидно, что это же подразумевало и создание stager нагрузки (шеллкодов), что бы этот самый meterpreter (или иной другой пейлод MSF) грузить по тому же DNS прям из засплойченого процесса. Таким образом мы будем иметь стандартную нативную поддержку транспорта, что добавит дополнительные возможности пентестерам. Ну и я рад сообщить, что мы закончили разработку и теперь любой может это использовать или хотя бы потестить. Под катом можно почитать про интересные фичи и возможности нашей разработки (о чем мы рассказывали на конференции ZeroNights прошедшей в Москве в Ноябре).

                      Читать дальше →
                      • +21
                      • 8,3k
                      • 5
                    • Wi-Fi is over: вычисляем нарушителей беспроводного эфира


                         
                        Для выявления атак и аномалий беспроводного эфира можно использовать высокотехнологичные решения (как правило дорогие), которые позволяют контролировать беспроводные сети и выявлять попытки атак. В этой статье я расскажу о двух бесплатных утилитах, которые позволят вам контролировать беспроводной эфир и оперативно реагировать на вторжения злоумышленников.
                        Читать дальше →
                      • Kali Linux: политика безопасности, защита компьютеров и сетевых служб

                        • Перевод
                        → Часть 1. Kali Linux: политика безопасности, защита компьютеров и сетевых служб
                        → Часть 2. Kali Linux: фильтрация трафика с помощью netfilter
                        → Часть 3. Kali Linux: мониторинг и логирование
                        → Часть 4. Kali Linux: упражнения по защите и мониторингу системы

                        Недавно мы задавали сообществу Хабра вопрос о целесообразности перевода книги «Kali Linux Revealed». Поразмыслив, приняв к сведению результаты голосования и комментарии к материалу, мы решили перевести некоторые части книги. Начнём с главы 7: «Защита и мониторинг Kali». В частности, в этом материале приведён перевод разделов 7.1-7.3, которые посвящены политике безопасности системы, защите серверов, ноутбуков и сетевых служб.


                        Читать дальше →
                        • +23
                        • 41,5k
                        • 1
                      • Kali Linux: фильтрация трафика с помощью netfilter

                        • Перевод
                        → Часть 1. Kali Linux: политика безопасности, защита компьютеров и сетевых служб
                        → Часть 2. Kali Linux: фильтрация трафика с помощью netfilter
                        → Часть 3. Kali Linux: мониторинг и логирование
                        → Часть 4. Kali Linux: упражнения по защите и мониторингу системы

                        Представляем вашему вниманию продолжение перевода главы 7 книги «Kali Linux Revealed». В прошлый раз речь шла о политиках безопасности и о защите компьютеров и сетевых служб. Этот материал включает в себя перевод раздела 7.4, который посвящён файрволу и фильтрации пакетов.

                        image
                        Читать дальше →
                        • +25
                        • 25,2k
                        • 6
                      • Как я проходил собеседования на позицию Junior .Net Developer

                          Приветствую всех. Сегодня расскажу вам как я проходил собеседования в Москве на позицию .Net Developer. Усиленно готовился к собеседованиям месяц, целыми днями сидел и смотрел вопросы и пытался отвечать на них, а также читал книжки по С#. В статье привожу интересные задачки и вопросы, которые мне задавали в разных компаниях в Москве. Заранее скажу, что я попал в ту компанию, в которую хотел. Я прошел 4 собеседования в этой компании и меня наконец то взяли! Много статей было прочитано в частности здесь и надеюсь, что эту статью тоже будут читать начинающие Net разработчики и спрашивать все в комментариях.

                          Кому интересна тема прохождения собеседований, прошу под кат!
                          Читать дальше →