J3qx

information archive

Archive for Август 2017

Группы Windows NT и Active Directory

Posted by j3qx на Август 19, 2017

Local и Domain Local, Global и Universal, Security и Distribution — вокруг них много фантазий и мифов. Разбираемся.

Для человека, который сталкивается с многообразием групп в Active Directory, разобраться с ними сходу весьма трудно. Local и Domain Local, Global и Universal, Security и Distribution – всё это осложняется ситуацией “кого в кого можно включать”, и в финале сопровождается выводом “нафиг столько нагородили, уму непостижимо”. Добавляет к этому бардаку сочности то, что в фирменных курсах Microsoft данная тема освещается всё обзорнее и обзорнее – и сводится буквально к паре слайдов “запомните вот эту табличку”, без объяснения причин того, почему всё работает именно так.

Такой подход понятен – задача Microsoft – максимально удешевить чтение курсов, снижая требования по знаниям у MCT, которые обычно сами не могут объяснить, почему с группами в Windows / Active Directory всё сложилось именно так. Нужен меньший уровень знаний, чтобы вслух ртом начитывать сверху вниз слайды – можно меньше платить – ниже расходы – выше прибыль у партнёров Microsoft – больше партнёров – больше прибыли Microsoft. Приводит это к предсказуемому результату – тему “проскакивают” на бегу с логикой “зазубрите табличку, потом дампы почитаете чуток и проходной балл на экзамене кое-как перевалите, да вообще всё это некритично на самом деле”, а после работают с группами наощупь, а-ля “я на форуме читал, что всё надо делать security global, а у distribution SID’а вообще нет, ко-ко-ко”, ну и с подобными мифами. Табличка “кого в куда включать можно”, будучи не понятой, быстро забывается, а вся тема остаётся мистическим облачком “ой там всё мутно, нереально разобраться, да и не нужно никому”.

Как обычно, у нас подход другой. Разберёмся, что и как с группами. Вам понадобится базовая подготовка на уровне материала курса Microsoft 20410D – можете скачать бесплатно его запись у нас и посмотреть, там несложно.

Группы Windows NT и Active Directory – что, зачем, как, почему

  • Часть первая – изначальная ситуация – одиночная система
  • Часть вторая – домен Windows NT – появление Domain Local и Security-групп
  • Лирическое отступление про максимальное количество групп и прочие технические мелочи
  • Поведение системы при переполнении маркера доступа
  • Часть третья – лес Active Directory – появление Universal-групп и разделения на Security и Distribution
  • Universal-группы и режимы работы домена
  • Можно ли жить в лесу Active Directory без Universal-групп, только с Global и Domain Local
  • Проблемы масштабирования при использовании только Global и Domain Local
  • Domain Local-группы и объекты Active Directory
  • Миф про сниженное быстродействие Universal-групп
  • Миф про одинаковость всех групп, потому что их можно друг в друга переключать

Приступим.

Читать далее…

Реклама

Posted in ITSecurity | Отмечено: , , , | Leave a Comment »

Настраиваем и защищаем SSH

Posted by j3qx на Август 19, 2017

Защищаем администрирование и передачу данных через SSH на различных платформах

Привет.

Протокол SSH уже продолжительное время является основным используемым средством для удалённого администрирования сетевых устройств и unix-ОС.

Гайдов по настройке SSH много. Часть из них устарела. Часть состоит из сверхценных советов “перевесьте на другой порт, например 2222, и не работайте под рутом”. Часть состоит из копипасты чьей-то конфиги с подписью “это секурно”. Часть содержит откровенно вредные советы.

Попробуем избежать всего вышеперечисленного.

В качестве подопытных и настраиваемых систем будет выбран Centos Linux 7й версии и семейство ОС Cisco IOS / NX-OS. Безусловно, можно добавить поддержку SSH и в Windows-системы, но отдельно останавливаться на настройках этого варианта нет особого смысла, т.к. настройки эти будут подмножеством функционала того же OpenSSH. В общем, предлагаемые меры по улучшению безопасности SSH будут применимы и для других ОС.

Поэтому в вашем случае, если используется другая *nix-ОС, расположение конфигурационных файлов, например, может быть иным. Это ничего критично не меняет.

Про настройку SSH в Cisco IOS есть отдельный вебинар из трека Advanced CCNA, запись которого бесплатно доступна на нашем YouTube, а настройку SSH в плане разграничения доступа – типа “хочу, чтобы на коммутаторы и маршрутизаторы могли заходить с админскими правами только участники группы ATRAINING\Cisco Admins из домена Active Directory” – мы делаем на онлайн-курсе Cisco IINS 3.0.

Начнём.

Фиксируем версию SSHv2

Стартовый зоопарк версий SSH – SSH 1.3, потом SSH 1.5, потом “специальная версия от Cisco, показывающая, что сервер умеет и 2.0 и предыдущие”, которая 1.99 – сейчас совершенно не актуален, т.к. весь софт умеет SSHv2. Найти ПО, которое поддерживает только SSH 1.x – реально сложная задача. Поэтому, конечно, убедитесь, что такого ПО у вас нет, и обновите при необходимости – но рассматривать мы будем функциональность и безопасность только второй версии SSH.

Читать далее…

Posted in ITSecurity | Отмечено: , | Leave a Comment »

EC (эллиптические кривые) – выбор

Posted by j3qx на Август 19, 2017

EC (эллиптические кривые) – выбор

Выбираем эллиптические кривые

Около 15 лет в IT-системах, связанных с безопасной передачей данных по недоверенным каналам, начали широко использоваться, помимо классических криптографических алгоритмов RSA и DH, сопоставимые с ними по функционалу, но более быстрые и, предположительно, не менее надёжные криптографические алгоритмы семейства EC или ECC – “elliptic curve” или “elliptic curve cryptography” – “на базе эллиптических кривых”.

Вопросы по функциональности этих алгоритмов и реальной стойкости мы рассмотрим отдельно, пока же сосредоточимся на вопросе “Наши системы поддерживают EC-криптографию; как же выбрать нужные настройки?”.

Список поддерживаемых EC

В случае *nix-систем, для распространённой библиотеки OpenSSL команда для вывода ASN1-имён всех поддерживаемых ECC-кривых будет такой:

openssl ecparam -list_curves

Читать далее…

Posted in ITSecurity | Отмечено: , | Leave a Comment »

Психология допросов

Posted by j3qx на Август 19, 2017

Иногда в процессе расследования перед следователем возникает задача изобличить во лжи как свидетеля или потерпевшего, так и подозреваемого либо обвиняемого. Допрашиваемый может давать ложные показания как в своих интересах, так и в ущерб им (например, при самооговоре).

Следственная тактика располагает целым арсеналом приемов изобличения подозреваемого и обвиняемого в даче ими ложных показаний, а также оказания на них правомерного психологического воздействия с целью получить правдивые показания. Рассмотрим основные.

1. Убеждение

Этот прием заключается в обращении следователя к здравому смыслу допрашиваемого, побуждении его к раскаянию и чистосердечному признанию путем разъяснения как вредных последствий запирательства и лжи, так и благоприятных последствий признания своей вины и активного содействия расследованию совершенного преступления, а также преступлений прошлых лет, оставшихся нераскрытыми.

Читать далее…

Posted in Психология | Отмечено: , | Leave a Comment »

10 способов манипуляции людьми

Posted by j3qx на Август 19, 2017

1. Правильный взгляд

Есть особенный взгляд, который заставляет людей считаться с вами, признавать в вас сильного противника на уровне подсознания.

Этот взгляд может пригодиться в любой спорной ситуации, когда вы хотите заявить, что с вами стоит считаться и решения здесь принимаете вы.

Нужно смотреть в глаза, но не на поверхность глаза, а как бы сквозь неё, заглядывая в душу. Получается пронзительный взгляд, который заявляет о вашем решительном настрое. И люди чувствуют это.

Читать далее…

Posted in Психология | Отмечено: , , | Leave a Comment »

Хотите зашифровать вообще любое TCP соединение? Теперь у вас есть NoiseSocket

Posted by j3qx на Август 19, 2017

Привет, %username%!

Не всё в этом мире крутится вокруг браузеров и бывают ситуации, когда TLS избыточен или вообще неприменим. Далеко не всегда есть необходимость в сертификатах, очень часто хватает обычных публичных ключей, взять тот же SSH.

А еще есть IoT, где впихивать TLS целиком это вообще задача не для слабонервных. И бэкенд, который, я почти уверен, у всех после балансера общается друг с другом по обычному HTTP. И P2P и еще и еще и еще…

Не так давно в сети появилась спецификация Noise Protocol Framework. Это по сути конструктор протоколов безопасной передачи данных, который простым языком описывает стадию хэндшейка и то, что происходит после неё. Автор — Trevor Perrin, ведущий разработчик мессенджера Signal, а сам Noise используется в WhatsApp. Так что, был отличный повод рассмотреть этот протокольный фреймворк поближе.

 

Читать далее…

Posted in linux | Отмечено: , , | Leave a Comment »

SELinux – описание и особенности работы с системой. Часть 1

Posted by j3qx на Август 4, 2017

О SELinux на Хабре уже писали, однако, не так много опубликовано подробных мануалов по данной системе. Сегодня мы публикуем именно такой, подробный мануал по SELinux, начиная от информации по системе, и заканчивая гибкой настройкой политик.
Для того, чтобы не превращать пост в «простыню», сложную для понимания, мы решили разделить мануал на две части. Первая будет рассказывать о самой системе, и некоторых ее особенностях. Вторая – о настройке политик. Сейчас публикуем первую часть, чуть позже будет опубликована и вторая часть.

1. Введение

SELinux (SELinux) — это система принудительного контроля доступа, реализованная на уровне ядра. Впервые эта система появилась в четвертой версии CentOS, а в 5 и 6 версии реализация была существенно дополнена и улучшена. Эти улучшения позволили SELinux стать универсальной системой, способной эффективно решать массу актуальных задач. Стоит помнить, что классическая система прав Unix применяется первой, и управление перейдет к SELinux только в том случае, если эта первичная проверка будет успешно пройдена.

Читать далее…

Posted in linux | Отмечено: , | Leave a Comment »

SELinux — описание и особенности работы с системой. Часть 2

Posted by j3qx на Август 4, 2017

Коллеги, в первой части статьи о SElinux мы рассмотрели основные особенности работы с системой SELinux. Как и обещано, теперь публикуем вторую часть, в которой основное внимание уделено настройке политик. Что же, приступим.

Индивидуальная настройка политик SELinux

Незначительные изменения в политиках SELinux можно проводить и без полного изменения самой политики. Для этого достаточно модифицировать логические значения, связанные с дополнительными функциями, определенными в политике. Эти функции позволяют, например, предоставлять доступ к домашним каталогам пользователей при помощи Samba или позволять Apache использовать файлы, находящиеся в домашнем каталоге.

Читать далее…

Posted in linux | Отмечено: , , | Leave a Comment »