Блог компании Positive Technologies → Подготовка сетевой инфраструктуры для PHD
Текст Сергея Павлова и Дмитрия Курбатова
11 мая 2011 года, до форума Positive Hack Days остаётся одна неделя. Всё идёт почти по плану: помещение арендовано, гости приглашены, задания придуманы. Один из спонсоров привёз огромную корзину с блейдами HP, несколько коммутаторов Cisco Catalyst 2960, точки доступа и беспроводной контроллер WLC. Оборудование сложили в виде Пизанской башни, но даже включать не стали. Решили, что пока нет ни одного L3 коммутатора – настраивать считай нечего.
На следующий день прибыла партия 2960, один Catalyst 3750, коробка патч-кордов и удлинителей. Пришло время начать работу и сделать сеть. На сайте PHD были найдены схемы залов, в которых планировалось проведение форума. Само собой без информации о длине стен в метрах, а лишь с указанием игровых зон и мест проведения семинаров. Через час мозгового штурма был готов первый вариант схемы сети:
11 мая 2011 года, до форума Positive Hack Days остаётся одна неделя. Всё идёт почти по плану: помещение арендовано, гости приглашены, задания придуманы. Один из спонсоров привёз огромную корзину с блейдами HP, несколько коммутаторов Cisco Catalyst 2960, точки доступа и беспроводной контроллер WLC. Оборудование сложили в виде Пизанской башни, но даже включать не стали. Решили, что пока нет ни одного L3 коммутатора – настраивать считай нечего.
На следующий день прибыла партия 2960, один Catalyst 3750, коробка патч-кордов и удлинителей. Пришло время начать работу и сделать сеть. На сайте PHD были найдены схемы залов, в которых планировалось проведение форума. Само собой без информации о длине стен в метрах, а лишь с указанием игровых зон и мест проведения семинаров. Через час мозгового штурма был готов первый вариант схемы сети:
Информационная безопасность → Забавная система безопасности Вконтакте
Поначалу думал опубликовать это в ХабраЮморе. Но потом решил, что было бы смешно, если не было так печально.
С некоторых пор при заходе Вконтакт не из своего обычного места (предположительно из разных географических точек, т.к. при заходе из одного города такого сообщения нету) высвечивается вот такая страничка:
Казалось: что ж тут странного? Система безопасности работает как часы. А забавное здесь то, что предшествовало такой страничке попытка логина, в качестве которого указан свой телефон:
Т.е. и так ясно, что я знаю последние 4 цифры своего телефона, если я его указывал в качестве логина
Понимаю ещё, если бы была попытка авторизации через куки или через указание email как логина. Но в данной ситуации — просто полнейший абсурд!
P.S.
С некоторых пор при заходе Вконтакт не из своего обычного места (предположительно из разных географических точек, т.к. при заходе из одного города такого сообщения нету) высвечивается вот такая страничка:
Казалось: что ж тут странного? Система безопасности работает как часы. А забавное здесь то, что предшествовало такой страничке попытка логина, в качестве которого указан свой телефон:
Т.е. и так ясно, что я знаю последние 4 цифры своего телефона, если я его указывал в качестве логина
Понимаю ещё, если бы была попытка авторизации через куки или через указание email как логина. Но в данной ситуации — просто полнейший абсурд!
P.S.
ВКонтакте всегда заботится о Вашей безопасности!— © Vkontakte.ru
Информационная безопасность → Backdoor в Active Directory #2
В начале прошлого года мною уже поднималась тема пост-эксплуатации в домене Microsoft Active Directory. В предложенном ранее подходе рассматривался вариант ориентированный больше на случай утери административных привилегий, нежели их непосредственное использование. При этом само действо по возврату этих привилегий подразумевало «шумные» события и визуально палевные манипуляции в каталоге. Другими словами, для того, чтобы вернуть себе административные привилегии в домене, требовалось стать участником соответствующей группы безопасности, например, группы «Domain Admins».
Надо сказать, что администраторы очень волнуются, когда неожиданно осознают присутствие в своей системе кого-то еще. Некоторые из них бросаются всеми силами обрабатывать инцидент безопасности. Порой, самыми непредсказуемыми действиями ;))
Надо сказать, что администраторы очень волнуются, когда неожиданно осознают присутствие в своей системе кого-то еще. Некоторые из них бросаются всеми силами обрабатывать инцидент безопасности. Порой, самыми непредсказуемыми действиями ;))
Системное администрирование → Аутентификация на сетевых устройствах CISCO средствами Active Directory из песочницы
Интеграция CISCO AAA и Microsoft Active Directory
Наверняка многие системные администраторы рано или поздно сталкиваются с проблемой аутентификации на сетевых устройствах. Если руководствоваться best-practices, то учетные записи должны быть персонифицированными, пароли должны отвечать критериям устойчивости, время жизни паролей должно быть ограничено. Также не будем забывать о разграничении уровней доступа в соответствии с выполняемыми задачами и поддержке актуальности базы пользователей, связанной с изменениями в штате сотрудников. При соблюдении этих требований ведении базы пользователей на каждом устройстве становится трудоемкой и нетривиальной задачей, а на практике часто просто игнорируется, администраторы ограничиваются заданием паролей на физическую и виртуальную консоль и заданием пароля суперпользователя (enable). Логичным решением этой проблемы является ведение единой базы пользователей с контролем выдвигаемых к учетным записям требований. Если у нас есть Active Directory, почему бы не использовать его?
Рис.1 Топология системы
Информационная безопасность → Citrix XenServer Free: Hypervizor hardening with PAM and RBAC
Доброго времени суток, коллеги.
XenServer является одним из самых популярных гипервизоров на данный момент.
Во многом благодаря тому, что дает неплохой функционал «за бесплатно».
Поэтому многие решения сделаны на Free версии без возможностей Enterprise.
А в число «платных» фишек входит и авторизация средствами LDAP с возможностью разграничения прав пользователей.
Да-да, вы не ослышались. В бесплатном XenServer все пользователи равны. То есть имеют роль Pool Admin.
Попробуем разобраться, — как мы сможем «защитить» гипервизор в бесплатной версии?
XenServer является одним из самых популярных гипервизоров на данный момент.
Во многом благодаря тому, что дает неплохой функционал «за бесплатно».
Поэтому многие решения сделаны на Free версии без возможностей Enterprise.
А в число «платных» фишек входит и авторизация средствами LDAP с возможностью разграничения прав пользователей.
Да-да, вы не ослышались. В бесплатном XenServer все пользователи равны. То есть имеют роль Pool Admin.
Попробуем разобраться, — как мы сможем «защитить» гипервизор в бесплатной версии?
Информационная безопасность → Обновление одним файлом или объединяем несколько патчей
Большинство пользователей следят за обновлениями по безопасности и обновляют свои компьютеры и программы. Но как быть, если это локальная сеть, а интернет есть не у всех пользователей, а обновить Adobe продукты очень как хотелось бы? В данной статье будет расмотрено обновление для Adobe Reader 9.x для Microsoft Windows. На основе данного примера Вы сможете создавать и другие файлы обновлений для любых программ.
Исходные данные: у пользователей установлен/или не_установлен Adobe Reader 9.x. Необходимо установить/обновить его до последней версии. Посетив официальный сайт Adobe, видим что последняя версия 9.4. Однако обновления имеются до версии 9.4.7. Скачивание инкрементальных патчей и применение по очередности позволит нам истратить много времени для установки на каждом компьютере. Мы будем создавать единый файл с установщикой, который будет так же включать в себя и все обновления с помощью AutoIt..
Исходные данные: у пользователей установлен/или не_установлен Adobe Reader 9.x. Необходимо установить/обновить его до последней версии. Посетив официальный сайт Adobe, видим что последняя версия 9.4. Однако обновления имеются до версии 9.4.7. Скачивание инкрементальных патчей и применение по очередности позволит нам истратить много времени для установки на каждом компьютере. Мы будем создавать единый файл с установщикой, который будет так же включать в себя и все обновления с помощью AutoIt..
Я пиарюсь → Как сделать соревнование по компьютерной безопасности
На правах архитектора уже не одного соревнования в стиле CTF/HackQuest мне хотелось поделиться с уважаемым читателем основными моментами подготовки и проведения подобных мероприятий на примере PHDAYS CTF 2011. Нижеизложенный текст не претендует на инструкцию к действию. Относитесь к нему с долей юмора ;)
Блог компании Microsoft → Опубликована программа HTML5 Camp
Друзья, мы обубликовали программу нашей конференции HTML5 Camp, посвященной современному состоянию и будущему веб-разработки.
Среди докладчиков конференции будут эксперты из Microsoft, Opera, Adobe, Яндекса, 1С-Битрикс и Keiss Media.
Среди докладчиков конференции будут эксперты из Microsoft, Opera, Adobe, Яндекса, 1С-Битрикс и Keiss Media.
Flash-платформа → «Нарушение изолированной среды» при дебаге во FlashIDE
Небольшое посланьице, призванное облегчить жизнь таким лентяям, как я.
Допустим, Вы все еще собираете свой проект, компилируя все добро во Flash IDE. При этом Ваше добро тянет свои щупальца «наружу», например, коннектится к серверу или дергает какое-то внешнее АПИ. В таком случае при попытке запустить флешовый дебаг неизбежно вывалится что-то типа «Нарушение изолированной среды: myUberUnityHardcoreGame.swf не может загрузить данные из 188.0.100.500/index.php». Когда-то мои робкие попытки нагуглить решение не давали результата и при отлове ошибок я смиренно пичкал код trace'ами. Но однажды смежные проблемы с песочницей и безопасностью все же вынудили меня докопаться до истины.
Симптомы
Допустим, Вы все еще собираете свой проект, компилируя все добро во Flash IDE. При этом Ваше добро тянет свои щупальца «наружу», например, коннектится к серверу или дергает какое-то внешнее АПИ. В таком случае при попытке запустить флешовый дебаг неизбежно вывалится что-то типа «Нарушение изолированной среды: myUberUnityHardcoreGame.swf не может загрузить данные из 188.0.100.500/index.php». Когда-то мои робкие попытки нагуглить решение не давали результата и при отлове ошибок я смиренно пичкал код trace'ами. Но однажды смежные проблемы с песочницей и безопасностью все же вынудили меня докопаться до истины.
Блог компании Microsoft → HTML5 Camp приезжает в Санкт-Петербург!
Друзья!
Мир веб-разработки стремительно развивается — и мы решили, что самое время провести второй HTML5 Camp, чтобы снова встретиться и поговорить о веб-стандартах, браузерах, инструментах для веб-разработки и веб-дизайна и вопросах безопасности.
Второй камп будет проходить в Санкт-Петербурге — 30 ноября. Трансляция планируется. Программа будет анонсирована позже.
Подать заявку для участия в конференции можно на сайте http://html5camp.ru.