Дублирование netflow и syslog-событий на два адреса.

Всем привет.

Повторение - мать учения. Или мучения, а кому как. Так вот, на днях поступила команда где с маршрутизатора Cisсo в срочном порядке надо перевести все события на новый NetFlow-сервер.

В приницпе с этим не должно возникнуть никаких проблем. Я об этом писал ранее.

Но меня вчера заинтересовал вопрос возможности дублирования как syslog-событий так и netflow на два, или больше, адреса (сервера). Так как старый log-сервер у нас продолжал успешно работать как и раньше.

Оказалось что для  Cisсo надо просто указать адресацию повторно той же командой (веделено жирным шрифтом). Но всем на заметку пишу весь блок команд для настройки  syslog и netflow протоколов.

# Syslog ################################

Отправка логов на syslog сервер:

Asa53xx231#conf t

Asa53xx231(config)#logging facility local0

Asa53xx231(config)#logging host server1

Asa53xx231(config)#logging host server2

Asa53xx231(config)#exit

ИЛИ

Asa53xx231#conf t

Asa53xx231(config)#logging trap ?

  <0-7>          Logging severity level

  alerts         Immediate action needed           (severity=1)

  critical       Critical conditions               (severity=2)

  debugging      Debugging messages                (severity=7)

  emergencies    System is unusable                (severity=0)

  errors         Error conditions                  (severity=3)

  informational  Informational messages            (severity=6)

  notifications  Normal but significant conditions (severity=5)

  warnings       Warning conditions                (severity=4)

Исключения из серии собраний в Teams.

Всем привет.

Время требует настройки проведения рабочих совещаний на каждый рабочий день. Запланировать такое в Teams просто, достаточно указать "каждый рабочий день с ПН по ПТ".

Дополнительное вмешательство в процесс планирования необходимо когда какой-либо рабочий день по серии вдруг является праздником. Новый год! Тогда потребуется отмена собрания на один день как "Отменить экземпляр". Не серию!

Обратная операция когда на выходной день надо включить собрание из серии для вас будет как создание нового собрания на один день. Тут вам созданная серия, увы, не поможет.

Успехов.

Скрытие имен файлов в архивах.

Всем привет.

Полагаю, что многие знают, что помимо сжатия файлов архиваторы дают возможность ограничивать доступ к содержимому архива посредством ввода пароля. Т.е. кроме экономии места на диске, пользователь получает еще и защищенные с помощью шифрования файлы. Такой возможностью обладают многие архиваторы, но я рассматриваю сегодня только WinRAR и 7-Zip как наиболее популярные.

Т.е. если вам необходимо просто передать ряд файлов особо их не сжимая (места на диске хватает, а времени мало), то выбираете "Без сжатия" и установку пароля на весь архив. Отлично, при этом имена файлов можно будет увидеть без ввода пароля, а вот извлечь какой либо из них только введя ваш пароль. 

Если вы пожелаете скрыть даже имена файлов например от антивируса, которые сейчас любят лазить по архивам, то вам следует выбрать соответствующую опцию "Шифровать имена файлов." При этом пароль на имена файлов и сами файлы будет один и тот же. Но следует учесть, что такая опция поддерживается только для форматов 7z и Rar соответственно. Zip этого не поддерживает.

Архивация:

%COMSPEC% /c 7z.exe a -mhe=on -p123456 Pix.7z *.jpg > nul

Извлечение:

%COMSPEC% /c 7z.exe x -y -p123456 Pix.7z оtvеt.jpg > nul

Следует заметить, что WinRAR шифрует прямой поток вместе с контрольной суммой, а не каждый файл и имя файла раздельно как 7-zip. Таким образом можно попробовать расшифровать только имя файла, а это гораздо проще и быстрее чем весь архив. Плюс ко всему для создания ключа AES-256 4000 символов (допустимый максимум) сильно избыточно, даже если 7-zip использует их все для создания ключа, то получается что можно подобрать другой пароль из которого получится точно такой же ключ AES-256. Следовательно для 7-zip можно подобрать несколько паролей которые подойдут для архива 7z, и подобрать их можно гораздо быстрее чем пароль к WinRAR, т.к. в 7-zip нет шифрования непрерывного потока. Поэтому используйте WinRAR если действительно заботитесь о безопасности. Таким образом шифрование имен файлов в 7-zip понижает защищенность архива в целом.

Идем дальше. Эти же форматы поддерживают шифрование файлов с РАЗНЫМИ паролями, т.е. для каждого файла свой пароль. Это может быть полезно, если вы передаете один архив группе лиц в котором для каждого человека предназначены различные файлы.

В этом же случае архиватор позволяет зашифровать и имена файлов. При этом имена шифруются паролем который был введен с последним файлом. Однако следует быть осторожным - теперь для извлечения файлов которые, по сути, шифрованы дважды вам необходимо будет ввести два пароля... и скорее всего, эти файлы для вас будут утеряны. В ходе проведенных тестов мне не удалось передать архиватору оба пароля корректно ни через командную строку, ни через GUI.

Так ли это было необходимо? Меня попросили проверить один простой фокус - существует ли возможность извлекать их архива один и тот же файл с РАЗНЫМ содержимым в зависимости от введеного пароля. Как вы понимаете при этом такой архив содержит несколько файлов которые похожи именами на 99%. Но спрятать эти имена из перечня, увы, не выйдет.

Удачи.

В общепринятом смысле.

Всем привет.

Вот странно как зимой чертовски хочется лета. Мысли из августа навеяли мне очередную почемучку.

    Популярный ресторан "Mc'Laud" в городе выгодно отличался как своим фирменным меню так и составом преданных посетителей. Она всегда сидела одна, и редко кто набирался смелости присесть за ее столик без приглашения. Но сегодня все было не так, к всеобщему удивлению завсегдатаев ресторанной богемы за ее столиком неожиданно нарисовался паренек по внешнему виду которого никак нельзя было сказать что он поклонник чьего-либо творчества. Про ее творческий талант знали только посвященные, а те кто был не в курсе по своей неопытности насыщались им первые десять минут и быстро оставляли свои тщетные попытки продлить совместное времяпрепровождение.

Сандра не прятала свое имя за никами и аватарками в сети, поэтому этап очного знакомства они быстро пропустили. Через пятнадцать минут официант выдержав положенный тайм-аут к своему удивлению взглянул на часы, хмыкнул и направился к ее столику выполнять свои прямые обязанности.

- Вы готовы сделать заказ? - официант своим слегка попытался вмешаться в разговор между ними. Алекс попытался передать ей меню.

- Нет, нет. Выбор сегодня это право гостя. Вы ведь тут впервые? - спросила она. 

- Ну да, впервые..., "и поди угадай что ей" - Алекс нетерпеливо забегал глазами по строчкам меню.

- Я слышала у вас новинка сегодня, "Пьяный американо", хочу его испытать. - чуть повернув голову в сторону официанта мягко сказала она не сводя глаз с Алекса.

- Всенепременно, мадам. А вы, сэр? - официант повернулся к Алексу.

- Если позволите, мне тоже самое. - быстро ответил он радуясь такому легкому выбору. 

Официант подозрително глянул на Алекса, еще раз хмыкнул, и удалился выполнять заказ.

Вскоре Алекс поймал себя на мысли что он тонул, тонул с каждой минутой, с каждой секундой в ее глазах, он барахтался в океане чувств которые одолевали его с первого ее взгляда. Он не знал причину этого если учесть что саму причину он еще не искал. Алекс плыл между ее словами стараясь не прекратить дышать раньше времени.

Отсутствие активности в ukr.net.

Всем привет.

В целях защиты моей почты на ukr.net доступ с внешних почтовых клиентов в прошлом году был переведен строго на протокол IMAP. Это касается и web-сервисов типа GMail.

Но казалось бы, если у меня на почтовом ящике включена пересылка ВСЕЙ входящей почты на другой адрес то доступ по протоколу IMAP мне, в принципе, не нужен. Так да нет так.

На днях получаю сообщение: 

"Прием входящей почты в ящик n···@ukr.net был автоматически прекращен вследствие отсутствия активности в ящике в течение 90 дней с момента последнего входа. Чтобы возобновить прием почты, необходимо выполнить вход в ящик n···@ukr.net."

Далее мне официально пояснили что получение и отправка писем были приостановлены в данном почтовом ящике из-за отсутствия активности в течение 3-х месяцев. Чтобы продолжить пользоваться почтовым ящиком, мне достаточно войти в него с помощью web-браузера. Отправленные ранее мне письма могут быть доставлены в случае наличия повторных попыток отправки со стороны отправителя. Я уверен что можно про них забыть -  я не знаю что я потерял за сутки или двое, да и никто повторно их слать мне не будет.

Как вы понимаете в моем случае активную пересылку почты на другой адрес провайдер сервиса ukr.net активностью не считает. Будем это учитывать в будущем. Самому провайдеру хочеть пожелать следующее - если такая политика для вас принципиальна, то включите ваше предупреждение о блокировке ящика за день-два ДО самого события чтобы пользователь не терял свои письма. Это может быть критично для него!

Успехов.

Power Automate - первый старт.

Всем привет. 

Рассказывая про Power BI нам мимоходом упомянули про Microsoft Power Platform. На этой платформе Microsoft сделала ставку на силу и собрала под одной крышей сервисы Power Apps, Power BI, Power Automate и Power Virtual Agents.

Поскольку для Power BI надо хорошо знать Power Query в котором я пока плаваю, я решил попробовать по ходу Power Automate чисто из практических целей для моей работы.

Microsoft Power Automate (ранее Microsoft Flow) - облачный сервис автоматизации рутинных и повторяющихся действий и рабочих процессов, позволяющий создавать быстрые и эффективные инструменты сбора и обработки данных из различных источников. 

Анонсы утверждают что Power Automate позволяет быстро типовые процедуры обмена информацией между приложениями и WEB-службами, ее синхронизацию на локальных и облачных ресурсах, перевод и сохранение в нужном формате и на нужных ресурсах. Эти процессы можно использовать для сбора данных, синхронизации файлов, получения уведомлений и других целей. 

Основная идея Microsoft Power Automate - потоки (flows), которые связывают события и последовательности действий (такими событиями и последовательностями могут быть службы и приложения) и передают данные между приложениями (как облачными, так и локальными). Потоки могут запускаться автоматически по событию, запускаться вручную нажатием кнопки или запускаться по расписанию. При этом Power Automate включает возможности логического ветвления потоков в зависимости от выполнения условий и выполнения операций над передаваемыми данными. Например, получение письма на заданный адрес может служить признаком запуска определенных процедур в том или ином приложении. При необходимости для разработчиков доступны API.

Пример 1.

Ну что ж, пробуем самое простое - хочу получать прогноз погоды. Все сообщения направляем себе на почту. Хотя также легко можно организовать push-сообщения на телефон.

Тут есть такая особенность - если вы находитесь там же и где и ваш провайдер интернет тогда можете использовать встроенные динамические переменные (долгота и широта), если же нет, то лучше указывать ваши GPS-координаты. Но не факт, что в MSN имеется прогноз погоды именно для вашей местности.

OpenVPN - ошибка TAP интерфейса в Windows 7.

Всем привет.

Количество клиентов с дистанционной работой увеличивается с каждым днем. Подтянулись пользователи с морально устаревшими ноутбуками и даже нетбуками где в лучшем случае используется Windows 7. Приходится и туда ставить клиента OpenVPN.

OpenVPN - полнофункциональная реализация VPN с открытым исходным кодом, поддержкой SSL VPN и гибкими настройками. Решение предназначено для организации безопасного и конфиденциального пребывания в Интернете.

OpenVPN поддерживает широкий спектр конфигураций и позволяет настраивать удаленный доступ, VPN-соединения типа “точка-точка”, безопасность Wi-Fi и корпоративные решения удаленного подключения с балансировкой нагрузки, отказоустойчивостью и тонкой настройкой управления доступа.

Заявлено что последняя версия 2.5.0(I601) подходит для  Windows 10, 8.1, 8, 7; Server 2012R2/2016/2019 32|64-bit.

Однако практика использования показал что для  Windows 7 Максимальная клиент OpenVPN падает с ошибкой TAP интерфейса: 

All TAP-Win32 adapters on this system are currently in use.

При этом TAP adapter в списке устройств выглядит с ошибкой (знак восклицания).

Напомню что TAP эмулирует Ethernet устройство и работает на канальном уровне модели OSI, оперируя кадрами Ethernet. Обновление драйвера не решает проблему. Поиск решения показывает что надо подобрать(понизить) версию драйвера TAP интерфейса для Windows 7.

Я вышел на более простое решение. Вначале ставим клиента версии 2.5.0 (у меня была на руках 2.4.8) без выбора ТАР-адаптера. А следом ставим ТАР-адаптер с инсталятора версии 2.3.18 где на все остальное отметки убираем. Именно в такой последовательномти: 2.4.8 -> 2.3.18.

И все будет ок.

Менеджер событий Cisco EEM.

Всем привет.

Сisco IOS Embedded Event Manager (EEM) - это подсистема Cisco IOS, которая позволяет создавать апплеты EEM. Аплеты EEM состоят из операторов, которые обнаруживают событие, произошедшее на устройстве IOS или в подключенной сети, и действий, которые должны выполняться при обнаружении события. В IOS доступен ряд детекторов событий, количество которых может варьироваться в зависимости от версии IOS. Действия EEM включают выполнение команд IOS, создание ловушки SNMP (SNMP trap), выполнение других политик EEM или отправку уведомления по электронной почте на адрес, указанный в политике и другие.

Следущая команда показывает какая версия EEM используется в вашем IOS и какие события (events) доступны:

R3#sh event manager version 

Далее рассмотрим несколько примеров использования апплетов ЕЕМ. Создадим резервироваие нашего канала в интернет и мониторинг сети с уведомлением администратора по email.

Для проверки доступности интернет будем пинговать DNS-сервер google 8.8.8.8 через ip sla если у нас два провайдера. Предварительно необходимо прописать маршрут, чтобы трафик до них всегда шел через нужного нам провайдера (ip route 8.8.8.8 255.255.255.255). Итак, запустим echo-запросы с таймаутом в 500 ms и проверкой раз в час.

ip sla 1

icmp-echo 8.8.8.8

timeout 500

frequency 3600

ip sla schedule 1 life forever start-time now

track 1 rtr 1 reachability

#1. Резервироваие канала интернет.

Создаем событие - если google не пингуются, в свойствах VPN-туннеля в качестве источника указываем WAN-интерфейс второго провайдера

event manager applet ISP1-DOWN

event track 1 state down

action 0.9 cli command "enable"

action 1.0 cli command "conf t"

action 1.1 cli command "int tu0"

action 1.2 cli command "tunnel source FastEthernet0/2/0"

action 1.3 syslog msg "ISP1 is Down"

action 1.4 cli command "end"

action 1.5 cli command "exit"

Теперь создаем событие - если google доступен, то возвращаемся обратно к первому провайдеру.

event manager applet ISP1-UP

event track 1 state up

action 0.9 cli command "enable"

action 1.0 cli command "conf t"

action 1.1 cli command "int tu0"

action 1.2 cli command "tunnel source FastEthernet0/1/0"

action 1.3 syslog msg "ISP1 is Up"

action 1.4 cli command "end"

action 1.5 cli command "exit"

Алгоритм начального расследования.

Всем привет.

Как-то я рассказывал про набор инструментов для начального реагирования на вирусную атаку. Чтобы напомнить себе еще раз пишу сегодня свежий алгоритм от того же автора.

Итак, прежде всего нам надо иметь изолированный от рабочей сети полигон для исследования. Можно подготовить физический ПК (рекомендуется свежая(без патчей) или клонировання среда Win7) или в видеVM в Virtualbox. Зловреды не любят VM, тогда вам надо будет убрать возможные признаки  виртуальности.  Paranoid-fish покажет по каким признакам можно отследить что вы использутете VM. Также стоит обратить внимание на установленные Guest tools и неправильное системное время.

Интернет подаем на полигон через WiFi-точку доступа или через NAT в случае с Virtualbox.

1. Ок, нам передали зловред testik.doc полученный в письме по почте. Забрасываем наш зловред в VM в архиве с паролем. Не помешает также скрыть имена файлов в архиве. Или проделываем туже операцию через онлайновый файлообменник.

2. Прежде всего следует определить реальный формат файла:

>file testik.doc

В этом плане полезный набор OLEtools:

>olevba testik.doc

>mraptor testik.doc

>rtfobj testik.doc

Перед "активацией" зловреда я бы не исключал вероятность того что вааш полигон заблокирует провайдер, если он начнет активно рассылать код в сеть.

Готовы? Тогда даем зловреду развернуться, открываем testik.doc в непропатченном MS Word 2007.

В Wireshark отслеживаем и захватываем сетевое взаимодействие зловреда в системе на каждом этапе исследования.

С помощью TCPhound и TCPView отслеживаем сетевые соединения которые порождает зловред в системе на каждом этапе исследования.

В ProcessMonitor (Process tree) отслеживаем процессы которые порождает зловред в системе на каждом этапе исследования.

В Autoruns остлеживаем закрепление зловреда в системе.

Ожидаем ситуацию установки стабильных сетевых соединений которые породил зловред (ESTABLISHED).

Закрываем MS Word 2007. Он нам больше не нужен.

В ProcessMonitor УБИВАЕМ процессы которые породил зловред в системе исследования.

Исследуем в Wireshark порожденные сетевые взаимодействия зловреда в тестовой системе. Определяем IOC, и находим полученную нагрузку (payload).

3. Паралелльно п.2. забрасываем testik.doc в онлайновые сервисы проверки типа virustotal.com: 

- еще раз проверяем filetype 

- закладка Сommunity покажут информацию может кто встречал с ним ранее

- закладка Relations может показать прямой путь к нагрузке(payload), возможно будет его загрузить по wget не вылавливая его на своем полигоне.

4. Анализируем полученный payload на ресурсах anayze.intezer.com, pastebin.com, quiksand.io, 

irish.malwageddon.com, cucko.cert.ee и прочих.

Как-то так. Что успел записать по следах семинара.