K-NET s.c.

Czarna lista z adresami podsieci IP

Administratorzy mający w zwyczaju codzienne przeglądanie logów systemowych, bezpośrednio lub za pomocą np. logcheck, na pewno niejednokrotnie znajdują ślady działalności tzw. script-kiddies. Nie są to być może groźne próby włamania się przez usługę systemową z otwartym portem (zazwyczaj typu brute-force) ale na pewno niepotrzebnie obciążają zasoby serwera. Osobiście myślę, że warto postarać się aby źródła takich ataków zostały wpisane na czarną listę, która może zostać obsłużona przez iptables. W wersji bardziej przyjaznej to samo można osiągnąć za pomocą nakładki np. Shorewall. Może warto od razu rozważyć blokadę całej podsieci IP w miejsce pojedynczego adresu.

W sieci, pod adresem https://www.dan.me.uk/ipinfo dostępny jest serwis umożliwiający precyzyjne wyznaczenie podsieci IP dla każdego podanego adresu. Możemy sprawdzić 24 adresy dziennie. Nie jest to specjalnie dużo ale w większości przypadków wystarczy do zbudowania czarnej listy.

Informacje możemy uzyskać ręcznie, bądź cały proces nieco zautomatyzować pisząc skrypt, który doda wpisy do naszej listy. Przykładowa komenda odpytująca wspomniany serwis 'IP Information Tool’ może mieć postać:

wget -qO- https://www.dan.me.uk/ipinfo?ip=badany_adres_IP | →
→ grep -E "IP-Prefix:|IP-Country:"

Np. dla adresu 212.77.100.101 (www.wp.pl) otrzymamy odpowiedź:

IP-Prefix: 212.77.100.0/24
IP-Country: Poland

Druga, być może nie zawsze potrzebna, linijka wskazuje na kraj, z którego pochodzi atak (bądź na lokalizacje sewera proxy jeśli atakujący jest odrobinę bardziej rozgarnięty)
🙂

MG

Kopie zapasowe za pomocą rsync dla Windows – aktualizacja

Dokładnie 2 lata temu napisałem artykuł na temat kopii zapasowych za pomocą portu rsync dla Windows. 2 miesiące temu temat powrócił, jednak tym razem w roli głównej wystąpił Windows 2008 R2 Server. Co prawda posiada on bardzo rozbudowaną obsługę kopii zapasowych – na prawdę można przekonać się, że wiele poprawiono – aplikacja jest wygodna i niezawodna. Niemniej występują w niej niedogodności we współpracy z dyskami sieciowymi. Dla hostów windowsowych należących do Active Directory wszystko działa prawidłowo. Jednak zrzucenie kopii zapasowej na dysk udostępniony przez komputer z Linuxem (np. via SMB) stwarza problemy (szwankuje autoryzacja).

Nie pozostaje nic innego jak skorzstać ze starego, dobrego rsynca! Znalazłem w sieci bardzo dobry i stabilny port o nazwie DeltaCopy. Instalacja jest przyjemna i dość szczegółowo opisana na stronie autora. Program można uruchomić również w trybie bez instalacji. Posiada tryb usługi windows. W zasadzie jedyna rzecz, o której warto pamiętać to uprawnienia z jakimi uruchamiamy DeltaCopy w trybie usługi systemowej. Gdy zostaniemy zapytani podczas instalacji o konto i hasło dla użytkownika programu należy pozostawić puste pola. Następnie przechodzimy do widoku usług systemowych (przez Mendżer Serwera) i ustawiamy właściwości dla usługi DeltaCopy. W zakładce Logowanie należy wybrać opcję Lokalne konto systemowe.

W ten sposób otrzymujemy gotowy do użytku serwer rsync dla Windows. Należy jeszcze tylko pamiętać o otworzeniu portu 873 w Regułach przychodzących systemowego firewalla.

Ze strony komputera z Linuxem sprawa jest jeszcze prostsza (zakładam, że rsync został już zainstalowany). Przykładowe polecenie wykonujące kopie zapasową będzie miało postać:

rsync -arvz serwer.windows.2008r2::nazwa_udziału_rsync/ →
→ /sciezka_dostepu_do_katalogu_kopii_zapasowych/nazwa_kopii_zapasowej/

Dla wygody umieszczamy powyższą komendę w crontabie i możemy spać spokojnie… dopóki coś zowu się nie popsuje.

MG

Błąd MS SQL – Performance counter registry hive consistency check

Świat byłby zbyt piękny gdyby wszystko działało od razu bez problemu. Ostatnio, przy okazji instalacji SQL Server 2008 R2 Standard Edition na dziewiczym systemie operacyjnym Microsoft Windows Server 2008 R2 Standard, spotkałem się z problemem, którego rozwiązanie zajeło sporo czasu. Okazało się, że instalator zatrzymuje się na komunikacie o niespełnionej zależności – Performance counter registry hive consistency check. Nie będę się rozpisywał na temat tego błędu, który związany jest z nieprawidłowymi wpisami do rejestrów. Zresztą na internetowych forach pełno jest poradników na ten temat. Niestety większość metod nie pomaga. Na szczęście znalazłem skuteczną łatkę systemową SQL2008R2patch.exe, którą mogę szczerze polecić jako przetestowaną i działająca. Pozwala zaoszczędzić dużo czasu i bezproblemowo przygotować system do pracy 🙂

MG

Dlaczego musiałem zdegradować kontroler domeny Windows 2008 R2

Przez wiele lat byłem użytkownikiem Windowsów. Pamiętam takie czasy gdy Windows NT w wersji 4.0 był dla mnie podstawowym narzędziem pracy. Udało mi się nawet bezawaryjnie obsługiwać jedną z domen NT przez 10lat  (taki osobisty rekord w kategorii najdłużej działających serwerów bez zwisów, serwer dostarczał DHCP, DNS, WWW i pocztę elektroniczą). Potem nastał czas Unixa, Linuxa i tak aż do tego roku. Historia lubi zataczać koło i zostałem zmuszony do przypomnienia sobie paru rzeczy, nauczenia się nowych oraz odświeżenia znajomości z domenami Active Directory.

Razem z kolegą zaprojektowaliśmy i wykonaliśmy mała domenę AD na zlecenie. Głównymi jej elementami były dwu węzłowy klaster MS SQL, dwu węzłowy klaster HyperV przeznaczony na wirtualną maszynę z MS Exchange. Żeby całość funkcjonowała prawidłowo potrzebny był oczywiście jeszcze kontroler domeny. I tutaj zaczeły się schody. W opisanym wcześniej przypadku pojedynczy kontroler stanowi najsłabszy element sieci. Praktycznie wszystkie usługi domenowe korzystają z baz utrzymywanych przez kontroler. Nie musi to być najbardziej wydajna maszyna, powinna być jednak dobrze zabezpieczona. Ponieważ w międzyczasie zleceniodawca zdecydował się na dodanie do domeny jeszcze jednego serwera, potrzebnego do implementacji CRM, wpadłem na pomysł, że nadarza się okazja zaimplementowania na nim dodatkowego kontrolera domeny. Nic bardziej błędnego! Główne powody, dla których nie należy tak robić to:

• Komputer, który jest kontrolerem domeny nie ma możliwości dodawania użytkowników lokalnie
• Jeśli oprogramowanie instalowane na kontrolerze domeny dodaje nowe konta to stają się one kontami domenowymi
• Nie możemy ograniczyć uprawnień dla np. operatora serwera (odpowiedzialnego za lokalną usuługę np. wspomniany CRM) na tyle aby nie był on w  stanie zaszkodzić domenie

Wniosek jaki stąd płynie brzmi – jeśli myślisz o dodatkowych usługach w swojej domenie np. IIS, CRM itd. to instaluj je na serwerach będących wyłącznie członkami domeny (domain members). Pomio różnych opinii spotykanych w Internecie na ten temat skłaniam się ku kategorycznemu stwierdzeniu, że kontroler domeny powinien pozostać wyłącznie kontrolerem domeny. Jeśli sieć ma być w miarę bezpieczna rzecz jasna. A to z kolei prowadzi do wniosku, że projektując domene trzeba przyjąć, że co najmniej 2 serwery musimy przeznaczyć do tej roli. A więc płacz i płać:(

Nawiązując do tematu wpisu dałem złapać się w pułapkę i dlatego musiałem zdegradować (w dokumentacji technicznej Microsftu ta czynność nazywa się depromoting) całkiem zgrabny kontroler domeny. Poradnik jak to zrobić można znaleźć na stronie Microsoft TechNet w artykule „Removing a Domain Controller from a Domain„. Zanim jednak zaczniemy działać należy się upewnić, że:

1. Nie usuwamy ostatniego kontrolera w domenie (praktycznie oznacza to, że w sieci musi być jeszcze co najmniej jeden serwer przechowywujący Katalog Globalny GC) co nieodwracalnie ją zniszczy
2. Nie usuwamy podstawowego serwera DNS dla domeny Active Directory (jeśli tak to trzeba wcześniej przenieść tą rolę na inny serwer zawierający Katalog Globalny GC)

MG

Mozilla Thunderbird – filtry antyspamowe

Pomimo coraz bardziej zaawansowanych algorytmów filtrowania wiadomości zawierających, spam problem zasypywania naszych skrzynek pocztowych niechcianą pocztą jest ciągle aktualny. Ostatnio zetknąłem się z dość szczególnym zachowaniem użytkowników Mozilla Thunderbird. Aplikacja została wyposażona w dosyć dobre filtry antyspamowe. Nie ma sensu opisywanie w tym miejscu jak je włączyć i odpowiednio skonfigurować. Wystarczy skorzystać z Mozilla Zine, gdzie można znaleźć bardzo szczegółowe informacje na ten temat. Wracając do tematu, zauważyłem, że bardzo często użytkownicy z włączonymi filtrami po prostu nie uczą algorytmu co powoduje, że spam nie jest prawidłowo oznaczany i usuwany. W większości przypadków usuwają wiadomości zamiast oznaczyć je jako niechciane. Ponieważ Thunderbird wykorzystuje filtry Bayesa konieczne jest uczenie algorytmu co jest spamem a co nie. Z każdą kolejną iteracją czas poświęcany na naukę filtru skraca się znacząco. W praktyce po kilku dniach nie trzeba już wogóle ingerować w algorytm. Jednak co zrobić gdy mamy do czynienia z wyjątkowo opornym użytkownikiem, który twierdzi, że nie ma na to czasu (wbrew pozorom dosyć częsty przypadek:)? Wystarczy znaleźć użytkownika, który zakończył uczenie filtrów i przegrać od niego plik z danymi treningowymi. Wspomniany plik znajduje się w głównym katalogu profilu Mozlilli Thunderbird  i nosi nazwe training.dat. Teraz wystarczy podmienić wyżej wymieniony plik u użytkownika docelowego. W ten sposób filtr antyspamowy zacznie działać praktycznie od razu. Nie muszę dodawać, że im większy rozmiar  training.dat tym lepiej.

MG

Termometr IP dla ochrony serwerowni

Nadzorowanie parametrów życiowych naszej serwerowni może okazać się bardzo pomocne, szczególnie jeśli administrator budynku postanawia zaoszczędzić na agencji ochrony, zastępując ludzi systemem monitoringu. Zdarza się, że projekt monitoringu nie uwzględnia potrzeb działu IT. Nie rzadko byłem świadkiem awarii systemów chłodzenia co prowadziło do gwałtownego wzrostu temperatury w serwerowniach. Skoro nikt nie chce nam pomóc musimy radzić sobie sami.

Na rynku dostępnych jest wiele rozwiązań dla monitoringu parametrów pracy serwerowni. Mając na względzie zasobność kieszeni przeciętnego działu IT i łatwość oraz szybkość montażu urządzeń postanowiłem znaleźć coś stosunkowo taniego i działającego na zasadzie niezależnego hosta (serwera TCP/IP). Po paru godzinach poszukiwania wybór padł na termometr IP firmy Papouch. Kilka uwag praktycznych. Żeby sprowadzić termometr najlepiej bezpośrednio skontaktować się z polskim dystrtybutorem firmą Chip Electronics. Obsługa jest bezproblemowa i szybka. Cena końcowa wraz z kosztami przesyłki to około 740PLN brutto. Co dostajemy w zamian? Małe srebrne pudełko z interfejem FastEthernet. Podłączenie i konfiguracja przez interfejs www jest banalna. Ale na tym nie koniec. Wbudowany serwer www pozwala wysłać e-mail z komunikatem w przypadku wzrostu (lub spadku) temperatury powyżej (poniżej) wartości progowej. Obecnie możemy odbierać poczte elektroniczną za pomocą telefonu komórkowego. Ja postanowiłem jednak zmienić wiadomość elektroniczną w SMS, który możemy odebrać każdym telefonem. W tym celu zarejestrowałem się na polskiej bramce typu e-mail2sms http://www.gsmservice.pl. Powiązanie pierwszego konta nadawcy e-mail z kontem jest darmowe. Pozostaje tylko zapłacić z góry za pakiet SMSów. Zakładając, że awarie klimatyzacji nie są zbyt częste całe rozwiązanie jest tanie i niezawodne. Zatem do dzieła:)

MG

Ps.
Wiem, że opisane rozwiąznie można zrealizować za pomocą termistora podłączonego do portu USB i serwera z Linuxem ale co robić kiedy zabraknie czasu i zależy nam na szybkim wdrożeniu…

Jak wyłączyć użytkownikowi dostęp do Internetu – MS Windows

Możliwość wprowadzenia ograniczeń w dostępie do Internetu jest bardzo atrakcyjna dla wielu administratorów. Pozwala na kontrolowanie ruchu generowanego przez użytkowników. Zabezpiecza przed przeciążaniem łącza. Na temat architektury i kontroli sesji w Linuxie napisano już tony materiałów. Spotkałem się jednak ostatnio z podobnym problemem dotyczącym komputerów pracujących pod kontrolą Windows. W jaki sposób ograniczyć lub wyłączyć wogóle dostęp do Internetu dla wybranego użytkownika na komputerze z wieloma kontami? Szukałem metody na tyle prostej, że można ją zastosować w biegu bez instalowania i konfigurowania dodatkowego oprogramowania typu kontrola rodzicielska. Okazało się, że istnieje prosty zabieg wyłączający taki dostęp:

1. Dodajemy użytkownika do grupy lokalnej Administratorzy.
2. Logujemy się na jego konto.
3. Wybieramy kolejno „Panel sterowania/Opcje internetowe/Połączenia/Ustawienia sieci LAN”.
4. W sekcji „Serwer proxy” zaznaczamy opcje „Użyj serwera proxy dla sieci…”.
5. Wybieramy „Zaawansowane”
6. W polu opisanym „HTTP:” podajemy dowolny adres np. „10.10.10.1”
7. Zaznaczamy opcje „Użyj tego samego serwera proxy…”
8. Wybieramy 3x „OK”
9. Wylogowywujemy się z konta użytkownika.
10. Usuwamy konto użytkownika z lokalnej grupy „Administratorzy”.

Warto wspomnieć, że użytkownik będzie miał dostęp do lokalnych zasobów sieciowych natomiast skutecznie utrudnimy mu dostęp do Internetu;)

MG

Konfiguracja blacklist za pomocą Shorewalla

Shorewall to jeden z bardzo popularnych firewalli dla Linuxa. W rzeczywistości jest nakładką na IPTABLES ale ponieważ jest przejrzysty i łatwy w konfiguracji często używam go w środowiskach o dużej liczbie serwerów. W tym artykule chciałbym skupić się wyłącznie na konfiguracji pozwalającej na zastosowanie blacklist – czarnych list za pomocą shorewalla.

Każdy administrator serwera z publicznym adresem IP spotkał się z atakami słownikowymi na usługi. Większość z nich przeprowadzanych jest przez automaty i przy zachowaniu odpowiednich zasad bezpieczeństwa nie powinna stanowić zagrożenia. Jednak licho nie śpi i dlatego zastosowanie czarnych list na poziomie firewalla pozwala ograniczyć liczbę ataków.

Z pomocą shorewalla możemy utrzymywać własne czarne listy. Aby włączyć tą funkcję należy:

• Dodać opcję blacklist w pliku definicji interfejsów – interfaces (ścieżka domyślna: /etc/shorewall/interfaces)

net    eth0    detect    blacklist

• Utworzyć plik blacklist (ścieżka domyślna: /etc/shorewall/blacklist) z odpowiednią zawartością np.

1.232.0.0/13        tcp        22,2200,2222

Pierwsza opcja to adres IP w notacji CIDR, druga rodzaj protokołu (tcp,udp), zaś trzecia to port blokowany dla ruchu przychodzącego.

• Zrestartować demona shorewall:

/etc/init.d/shorewall restart

To wszystko:) Na zakończenie bonus w postaci gotowego pliku blacklist z aktualizowaną co tydzień czarną listą, który można pobrać pod adresem:

http://dl.dropbox.com/u/545869/Config/Shorewall/blacklist

MG

Czy świat jest naprawdę płaski?

Tym razem wpis nie do końca techniczny. Pomimo nawału zajęć postanowiłem znaleźć czas, żeby przeczytać książkę Thomasa L. Friedmana „Świat jest płaski. Krótka historia XXI wieku„. Pozycja dobrze znana i powszechnie komentowana. Omówione w niej teorie rewolucji przemysłowo-informatycznej mają chyba tyle samo przeciwników co zwolenników. Z punktu widzenia mieszkańca Europy Środkowej książka jest bardzo amerykańska. Pokazuje płaski, w sensie technologicznym świat, w którym wszyscy, niezależnie od miejsca zamieszkania, mają równy dostęp do zasobów stworzonych przez globalną sieć telekomunikacyjną. Muszę przyznać, że byłem nieco zaskoczony trafnością tej syntezy, bowiem gdzieś w połowie książki zorientowałem się, że od lat nie świadomie korzystam z takich mechanizmów. Przyziemny przykład? Proszę bardzo. Byłem świadkiem jak pewien serwis komputerowy dość długo borykał się z naprawą napędu DVD w laptopie klienta. Po kilku wizytach klient usłyszał, że ten typ tak ma. Otóż nie w płaskim świecie! Teraz nie ma problemu, żeby zalicytować i sprowadzić via Ebay oryginalną część z dostawą do domu. Nawet (a może przede wszystkim) z Hongkongu. Od 2 lat napęd działa bezawaryjnie. Prosty przykład na spłaszczenie świata. Jednak nawiązując ponownie do amerykańskości książki i jednocześnie wkładając kij w mrowisko wydaje mi się, że pan Friedman nie do końca chce się pogodzić ze wschodnią mentalnością. W płaskim świecie Amerykanie dzięki technologii współpracują z całym światem. Robią to w sposób mniej lub bardziej demokratyczny jako jedyne supermocarstwo.  Nie jestem pewien czy innym współuczetsnikom procesu również chodzi o wypracowanie wspólnego dobra. Jak pomyślę o coraz większej dominacji Chin czy Indii, które z determinacją zagarniają coraz większy kawałek światowego tortu to… Tak czy inaczej pozycja jest jak najbardziej godna polecenia.

MG

Zbuduj sam bezpieczną bramkę SMTP

Rzadko można spotkać w internecie aż tak dobre tutoriale. Rzecz dotyczy budowy bramki SMTP wraz z funkcją odfiltrowania SPAMu oraz WIRUSÓW. Mówiąc krótko nawet jeśli jesteś wielkim fanem rozwiązań typu MS Exchange to zawsze możesz obniżyć koszty kierując przychodzący ruch SMTP na wspomnianą bramkę, która z kolei odeśle odfiltrowane wiadomości na serwer pocztowy. W ten sposób nie musimy instalować dodatkowego oprogramowania AV na serwerze. Istnieją nawet firmy, które specjalizują się w tego typu rozwiązaniach jak np. Barracuda Networks oferująca Spam & Virus Firewall. Z doświadczenia wiem, że urządzenie to działa bardzo sprawnie. Jego cena niestety nie należy do najniższych. Dlatego jeśli dysponujesz wolnym komputerem oraz wolnym popołudniem to dobra chwila aby zmierzyć się z własną bramką. Poniższy poradnik sieciowy poprowadzi Cię za ręke – nawet jeżeli jesteś tylko średniozaawansowany:)

http://www200.pair.com/mecham/spam/spamfilter20090215.html

MG