Недавно я организовал у себя на домашнем компьютере тестовый стенд под управлением Hyper-V. Я хотел управлять данным стендом когда я нахожусь на клиентский плошадках, в случае если мне потребуется что-либо протестировать. Используемый по умолчанию RDP порт 3389 часто сканируется хакерами и даже несмотря на то что в Server 2008 RDP стал намного более защищенным, существует вероятность того что данный порт заблокирован на корпоративных файерволах. Поэтому я внедрил схему с использованием SSH на 443-ом порту для доступа к RDP. Как я это сделал? Об этом и пойдет речь в данной статье.

После установки сервера, Hyper-V, обновлений и прочего я установил FreeSSHD, который можно скачать тут - www.freesshd.com.

Первым что я сделал было изменение порта SSH с 22-ого на 443-ий.

Для авторизации можно использовать либо пароли, либо публичный ключ. Для моих нужд вполне достаточно парольной защиты, поэтому я установил её значение в "требуется", однако дополнительно можно оставить возможность авторизоваться с помощью ключа.Далее...

Web Beaconing это метод, используемый в основном спамерами для проверки адресов электронной почты и информации о получателе. Web beacon обыкновенно представляет собой прозрачную однопиксельную картинку размещенную на вебсайте или в почтовом сообщении. Иногда они используются совместно с куками HTML для мониторинга поведения пользователя на вебсайте или проверки что получатель почтового сообщения существует, в случае если почтовое сообщение, содержащее web beacon было успешно открыто.

По умолчанию Web beacon и формы HTML установлены в значение “UserFilterChoice”, которое означает что они заблокированы, но пользователь может произвести разблокировку если ему это необходимо.

Далее...

В данной статьте я покажу как можно немного модифицировать страницу входа в SquirrelMail. По умолчанию она выглядит вот так:

Далее...

В данной статье я покажу как заставить OpenSSH сервер работать на IPv6 интерфейсах в Linux. Для этого служит директива ListenAddress в файле sshd_config, которая указывает на адреса, которые должен слушать sshd. У данной директивы следующий синтаксис:

ListenAddress host  
ListenAddress IPv4_addr:port  
ListenAddress [IPv6_addr]:port  

Отроем файл /etc/ssh/sshd_config:

# vi /etc/ssh/sshd_config

Для привязки sshd к любому IPv4 и IPv6 адресу на вашем сервере введите:Далее...

Первая часть данной статьи тут.

Теперь давайте посмотрим поближе на одну группу правил. Оригинальная конфигурация iptables содержала следующие строки:

	-A INPUT -i eth0 -j INBOUND 
   -A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
   -A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -p tcp -m tcp --dport 22 -j ACCEPT 
   -A INBOUND -s 10.3.14.0/255.255.255.0 -p udp -m udp --dport 22 -j ACCEPT 
   -A INBOUND -j LSI

Ещё раз посмотрим на скриншот правил:

Первое правило в цепочке INPUT пересоздано как правило #11 в наборе политик (выделено зеленым цветом). Параметр "-i eth0" пересоздан в объект интерфейса "eth0" и направление указано "Inbound". Далее...

В этой статье мы продолжаем знакомство с программой Firewall Builder, графическим интерфейсом для управление и конфигурации различных файерволов. В данной серии из двух статей я продемонстрирую как импортировать существующую конфигурацию iptables или Cisco в Firewall Builder. Для выполнения этой задачи есть два различных пути, либо использовать меню "File/Import Policy", либо "Tools/Discovery Druid" и затем выбрать опцию "Import configuration of a firewall or a router".

Импорт конфигурации iptables

Сохранить конфигурацию iptables мы может с помощью скрипта iptables-save. Скрипт "iptables-save" поставляется как часть стандартной установки iptables и присутствует во всех дистрибутивах Linux. Обычно найти его можено в директории /sbin/ . Сохраним конфигурацию в файл:

iptables-save > iptables_config.conf

Теперь запустите fwbuilder, выберите функцию "Import Policy" и используйте кнопку "Browse" для поиска сохраненного на предыдущем этапе файла iptables_config.conf. Не забудьте выбрать "iptables"в выпадающем меню "Platform".Далее...

В данной статье мы рассмотрим как можно ограничить количество подключений с одного IP адреса к нашему серверу. В этом нам поможет модуль connlimit, который позволяет ограничить количество параллельных TCP коннектов к серверу с IP адреса, либо блока адресов.

Синтаксис:

Синтаксис используемой поманды следующий:

/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset  
# save the changes see iptables-save man page, the following is redhat and friends specific command  
service iptables save

Пример: Ограничение SSH подключений с IP/хоста

Разрешим только 3 ssh подключения:Далее...

При попытке запроса сертификата из оснастки MMC Certificates на компьютере с установленным ISA Server, Threat Management Gateway (TMG) или Unified Access Gateway (UAG) вы можете получить следующее сообщение об ошибке:

“The RPC Server is unavailable”

Данная ошибка может проявится в следствии использования фильтра RPC в ISA Server/TMG. Фильтр RPC гарантирует безопасность проходящего через файервол трафика. DCOM трафик также попадает под действие данного фильтра и может отвергаться. Однако именно DCOM требуется для запроса сертификата.Далее...

В данной статье мы рассмотрим интересный скрипт для вывода статистики использования ActiveSync устройств в вашей организации. PowerShell скрипт, код которого приведен ниже экспортирует статистику по всем ActiveSync устройствам. Обратите внимание что туда включены все устройства, включая те, которые уже неактивны. В зависимости от размера вашей организации и количества устройств выполнение скрипта может занять продолжительное время.Далее...

Устанавливаем bind-chroot на оба сервера:

# yum install bind-chroot

Выполняем следующую команду на Primary DNS сервере

# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave
   Kmaster-slave.+157+50029

В результате получаем имя файла, содержащего наш новый ключ: в этом примере это Kmaster-slave.+157+50029.private. Номер это алгоритм DNSSEC (157=HMACMD5), и отпечаток ключа (50029).

Из ключа Kmaster-slave+157.50029.private извлекаем наш обший ключ:Далее...