Данная статья посвящена объеденению нескольких домашних локальных сетей с предоставлением прозрачного общего доступа к ресурсам сетей с помощью VPN. За реализацию VPN взята openvpn. Клиенты и сервер openvpn установлены на роутерах домашних сетей, в конкретном случае роутеры семейства asus wl500, но данный мануал вполне применим и другим роутерам где есть досуп к OS и можно поставить openvpn.

Хотя подобных руководств в Интернете пруд пруди, они написаны больше для администраторов, которые имеют большой опыт общения с *nix системами, в то время как пользователями домашних роутеров являются в основном не хакеры, а обычные юзеры, может быть впервые увидевшие коммандную строку Linux на том самом роутере. Я постараюсь писать так чтобы было понятно всем.

Для тех кто не любит много букв, чтобы было понятно о чём речь под катом, привожу картинку

Доброго времени суток.
Это продолжение статьи Squid для самых маленьких
В этой части я расскажу вам про то, какие основные параметры необходимо менять, хотя и не обязательны, ведь разработчики самого сквида выставили довольно хорошо львиную долю значений. Итак, начнем по порядку…

Всему приходит время, и каждый начинающий сисадмин изучает новые программные пакеты для работы. Вот и дошло время для Squid, я думаю не стоит обьяснять что это такое, если вы это читаете значит вы уже представляете что такое сквид и для чего он нужен!

В общих чертах теорию и процесс атаки хорошо описал юзер n3m0 в своих статьях «Атаки на беспроводные сети», поэтому я не буду заострять внимание на многих теоретических моментах.
Я же хочу описать самые простейшие способы обхода защиты, но более подробно.

Сейчас в интернете бродит много слухов про то, что якобы первого апреля случится что-то страшное. Conficker (Downadup, Kido) начнет использовать новый алгоритм определения доменов для рассылки обновлений, поэтому многие придумывают всякие небылицы, вплоть до «конца интернета». Некоторые товарищи даже советую не выходить в интернет 1-ого апреля.
Вчера наши парни опубликовали FAQ про это в блоге F-Secure, а я тут привожу его перевод. Прочитайте, чтобы не поддаваться панике и знать, что именно произойдет 1-ого апреля.

Q: Я слышал, что что-то очень-очень плохое случится с интернетом 1 апреля. Так это?
A: Нет, не совсем.

Q: Серьезно, червь Conficker начнет делать что-то плохое 1-ого апреля, так?
A: Conficker aka Downadup немного изменит свой алгоритм работы, но это врядли приведет к каким-то видимым изменениям 1-ого апреля.

Q: Так что случится-то 1-ого апреля?
A: Сейчас Conficker генерирует 250 разных доменных имен каждый день и пытается скачать с них программу апдейта и запустить ее. 1 апреля новейшая версия Conficker-а начнет выбирать уже 500 из 50,000 доменов каждый день для той же цели — скачивания и запуска файлов.

Q: Последняя версия? Есть несколько разных версий чтоли?
A: Да, и последняя версия сейчас не самая распространенная. Большинство зараженных компьютеров сейчас заражены вариантом B, который начал распространяться в Январе. И в поведении этого варианта B ничего не изменится.

Q: Я только что проверил, что моя Windows машина не заражена. Что-нибудь случится с моим компьютером 1-ого апреля?
A: Нет!

Q: У меня Mac, что-нибудь случится с моим компьютером?
A: Нет!

Q: Итак, это значит, что хакеры смогут использовать этот новый канал для скачивания и запуска любой программы на всех машинах?
A: Да, на всех машинах, которые инфицированы последней версией червя.

Продолжаю развивать тему о защите флешек от вирусов (ранее мною публиковались материалы AUTOSTOP — скрипт для защиты флешки от autorun-вирусов и Panda USB and AutoRun Vaccine — лекарство от autorun-вирусов на флешке — там главным образом речь шла о защите флешки от записи на нее вредоносного файла autorun.inf). Тема интересна тем, что зачистка вирусов на компьютере — это борьба со следствием, а предохранение флешки от вирусов — это меры, направленные на устранение причины.

Защита флешки от записи новых файлов осуществляется путем определения свободного пространства на ней, с последующим полным его заполнением, используя утилиту fsutil. Такой метод отлично подходит, например, для защиты загрузочных флешек (имеющих файл autorun.inf), которые невозможно защитить созданием одноименного каталога AUTORUN.INF.


Далее следует описание метода, его анализ, и способ полной автоматизации.

Или галочка достала

У меня на работе, как и у многих других, Интернет работает через Proxy, естественно каждое утро (так как у меня ноут который всегда со мной) приходится ползти в настройки и ставить эту галочку, приходя домой с работы, опять же нужно ее убирать. В общем достало…

Антивирус — это хорошая штука. Он лечит и убивает, «если неизлечим». Только вот есть такие твари, которые оставляют после себя немало следов и порой неприятных, например, удаляют, создают и изменяют ключи в реестре, создают странные папки и текстовые файлы, переименовывают системные библиотеки и прочее. Порой картина выглядит так, что после очищения компьютера от обитателей серпентария вредоносного ПО всё равно хочется «снести винду».

Недавно мой комп на работе поразил чудесный вирус под названием Brontok. Запущенный в срочном порядке CureIt сделал своё дело, но осталось много интересного. Довольно быстро я наткнулся на таблетку — утилиту, которая занимается филигранной чисткой компьютера после конкретного вируса с последующим выводом отчёта и рекомендациями.

Чуть позднее подобные «аптечные киоски» обнаружились в нескольких местах. В принципе все они должны выполнять одну и ту же работу, но кто лучше, кто хуже, я не проверял и не сравнивал, сам пользовался утилитой Sophos'a.

www.sophos.com/support/disinfection
www.kaspersky.ru/removaltools
www.bitdefender.com/site/Downloads/browseFreeRemovalTool
www.avg.com/virus-removal
www.avira.com/en/support/antivir_removal_tool.html
www.eset.com/download/free-virus-remover.php
www.symantec.com/norton/security_response/removaltools.jsp
support.microsoft.com/kb/890830 — не совсем таблетка, но при беглом ознакомлении меня заинтересовала, как администратора, советую присмотреться к ней повнимательней.

Эти утилиты хороши для точечного удара по противнику, то есть когда вы знаете, кого надо бить.
В заключение хочется сказать лишь, что ни один антивирус не гарантирует стопроцентной защиты, в том числе самозащиты (кто-то их не использует и подавно). И нередко для получения качественного результата, нужно загрузиться в безопасном режиме, а то и вовсе с LiveCD. В этих случаях подобные утилиты — хорошее подспорье в работе.

Самое главное — они высокоэффективны, весят сущие килобайты, бесплатны и объясняют суть своих действий.

Предлагаю свой вариант борьбы с autorun-вирусами на флешках, т.к. существующие на сегодняшний день решения не устраивают меня по нескольким причинам.

Основные существующие способы можно разделить на 3 категории:

• Установка на компьютере резидентного монитора, который при подключении флешки проверяет наличие файла autorun.inf, и при наличии такового принимает меры. Минус — привязка к конкретной машине
• Защита флешки методом прав NTFS — отличный железобетонный способ, но его преимущества являются одновременно и его недостатками — NTFS не всегда применима (скажем в случае Win9x, или конкретной модели автомагнитолы или DVD-плеера, читающих только FAT).
• Метод создания на флешке одноименного каталога AUTORUN.INF. Из минусов можно отметить то, что новые вирусы научились удалять этот каталог, или переименовывать в случае невозможности удаления

Именно третий метод был взят мной за основу, и доработан. Внешне все выглядит вот так:



Принцип работы скрипта заключается в следующем:

Хочется дать несколько общих советов администраторам электронной почты. Новичкам надеюсь будет полезно, а опытным будет напоминание проверить состояние своих систем для нормального, беспрепятственного хождения электронной почты, а также для более качественной фильтрации спама с минимумом ложных срабатываний.

1. Обязательно прописывайте обратную зону для своего почтового сервера (ptr record). Это не так сложно сделать. В большинстве случаев достаточно написать вашему интернет провайдеру. Далее либо он сам пропишет в своих dns, либо делегирует вам вашу зону (in-addr.arpa).
2. Старайтесь держать в актуальности соответствие PTR записи с A, на которую указывает MX запись.
3. Используйте fqdn в приветствии HELO/EHLO
4. Проверьте, что не используете openrbl.org в списках RBL. Этот сервис давно закрылся и блокирует всех адресатов.
5. Включите позможность работы по защищенному tls соединению. Пусть даже с самоподписанным сертификатом, но у которого стоит корректное common name, совпадающее с вашей PTR записью. Используйте как SMTP over SSL так и submission сервисы.
6. Не запрещайте в своих почтовиках DSN (delivery status notification), они значительно позволяют упростить решение возникающих проблем.

Это совсем кратенькие советы, но исходя из своего опыта работы, выдерживают их не более 30% почтовых серверов на просторах СНГ.

P.S. Если потребуется, напишу как реализовать это применительно к postfix.

У каждого человека есть секреты. Личный дневник, пароль от банковского счета в Швейцарии, фотки укреплений вероятного противника, чертежи вечного двигателя, список любовниц, да мало ли что еще. Данные удобно хранить на USB флешке. Она маленькая, дешевая, емкая. Ее легко носить в кармане, просто спрятать или передать другому человеку. Но так же просто флешку потерять.

Задача: мне нужен USB флеш диск вся информация на котором зашифрованна. Когда я вставляю флешку в компьютер – она должна спрашивать пароль и без правильного пароля не расшифровываться. Флешка должна работать автономно, без установки на компьютер какого либо софта.

Берем любой доступный нам флеш диск и приступаем.

Как известно, сейчас все находятся в состоянии, именуемом «Финансовым кризисом». Пустующие офисы, безработица и все такое… Однако, существует надежда, что так длиться вечно не может, поэтому когда-нибудь и вашей конторе потребуется заехать в новый, красивый, оборудованный по последнему слову техники офис.Этот цикл статей — для тех, кто хочет понимать, из чего состоит современный офис с точки зрения ИТ-инфраструктуры — менеджеры по ИТ, руководители ИТ, старшие администраторы и просто интересующиеся. Я привожу здесь то, с чем столкнулся в процессе работы лично. По сути — предлагаю вам не набивать моих шишек :) Эта статья открывает цикл, вторая часть (про СКС и ЛВС) уже опубликована, как и продолжение про телефонию, wi-fi и планирование провайдерских вводов.По факту сбора и систематизации материала, выясняется, что в одну статью я, очевидно, не помещусь в связи с большим количеством информации, которую хочется донести. В этой статье я попробую раскрыть состав инженерных систем, составляющих работу офиса и описать один из подходов к проектированию таких систем. Полагаю, всего получится четыре статьи, которые я буду публиковать еженедельно. Буду рад соавторам, и, разумеется, возникающим вопросам.

-1. Из чего состоит современный офис?

Что же, вы (руководство компании, ваш начальник, вы сам, как руководитель своего бизнеса) решили, что пора менять офис. Поначалу, решение вызывает легкий трепет, ибо предполагает невероятный объем работы — планирование, различные согласования, надзор за исполнителями… Самое ужасное — deadline, как правило, прописан крайне жестко, и риск опоздания является напрямую финансовым риском.С другой стороны, правильный подход обеспечит вам, как минимум, исключительное удовольствие от результатов вашей работы а как максимум еще и понимание того, что все сделано правильно.Следует понимать, что как и в разработке любой сложной системы, при работе над инженерными системами здания, максимальное внимание следует уделять при планировании и проектировании, поскольку любая переработка в фазе, близкой к завершению будет крайне дорогостоящим удовольствием (особенно, при понимании того, что затрат можно было избежать при грамотном проектировании).Непосредственно, состав инженерных систем, формирующих работу здания с точки зрения IT-специалиста (слаботочных систем), включает в себя, в общем случае, следующие подсистемы:

1. СКС — структурированная кабельная система. Под этим понятием, в первую очередь, подразумевается кабельная структура, обеспечивающая работу вычислительной сети и телефонии офиса (раскрытие темы — в статье №2)
2. ЛВС, телефонная система и WiFi — активное сетевое оборудование (коммутаторы, маршрутизаторы, точки доступа и прочее) и телефонная станция. Я объединяю эти пункты, поскольку современная телефонная станция, как правило, содержит функции для обеспечения работы телефонов по ip, и, вообще говоря, прослеживается тенденция к тому, что все большее количество установленных АТС заточены, в первую очередь, на работу по ip (говорим о масштабах офиса от 10-15 постоянных рабочих мест) (раскрытие темы — в статье №2)
3. Организация внешних вводов. Вопрос, скорее, строительный, но вы, как ИТ-специалист, должны четко понимать, как именно будет, например, осуществляться подключение вашей серверной к внешним коммуникациям (раскрытие темы — в статье №2)
4. Система пожаротушения и противопожарного оповещения (раскрытие темы — в статье №3)
5. Системы обеспечения физической безопасности: система контроля доступа, система оповещения о проникновении (в т.ч., и оповещение служб пультовой охраны о внештатных ситуациях), система видеонаблюдения (раскрытие темы — в статье №3)
6. Система телевещания внутри офиса (например, ip-вещание или банальный НТВ+ в кабинетах руководства и переговорных) (раскрытие темы — в статье №3)
7. Системы «интеллектуального здания» — те самые, которые будут включать свет в кабинетах руководителей по щелчку пальцев, поддерживать оптимальный климат, экономить электроэнергию, применяя всякие умные алгоритмы и так далее. (раскрытие темы — в статье №4)
8. Система энергоснабжения всего перечисленного. Без электричества, увы, никуда поехать не удастся. К сожалению, личного опыта не везде хватает, посему отсылаю к первой части статьи Novikov — « Электрика в малом и среднем офисе». Может, он и на следующие части разродится :)Я, впрочем, включу свои соображения на этот счет в качестве бонус-трека к статьям, наравне с отдельными элементами системы кондиционирования (применительно к серверным помещениям).

Я намеренно включил в этот список вещи, которые не всегда поддерживаются ИТ-службой офиса, в связи с рядом факторов:

1. Вы (и вряд ли кто-то еще) будете обеспечивать координацию исполнителей по слаботочным системам; вообще говоря, вам сильно повезет, если подрядчик по всем слаботочным системам будет один — так намного проще. Однако, высока вероятность того, что в силу бюджетных или иных соображений, придется выбирать между несколькими или разделять фронт работ между ними
2. (следствие из первого пункта) Вы и никто другой будете отвечать перед руководством (или перед собой, да) за результат работы; Естественно, что удовлетворенность руководства и вас будет напрямую зависеть от качества и количества реализованных «хотелок»
3. В конце концов, современные инженерные системы, как правило высоко интегрированы с вычислительной техникой — многие системы уже напрямую, например, зависят от наличия ip и активно его используют; кроме того, зачастую многие аспекты управления инженерными системами завязаны на единый пульт управления, например, рабочее место управления системами безопасности.

Disclaimer: я не претендую на всю глубину изложения. Я принципиально опускаю моменты, требующие глубокого погружения в предмет, поскольку этот цикл статей не является энциклопедией инфраструктурщика. Кому надо больше — задавайте вопросы или ходите в ваш любимый поисковик :) Да, я лично готов ответить на все вопросы по существу. :)

Да, эта статья — продолжение цикла про организацию инфраструктуры современного офиса. Начало — здесь. Подоспело продолжение про телефонию, wi-fi и планирование провайдерских вводов

Как и в прошлый раз, при написании этой статьи я осознаю, что планка по объему материала взята слишком высоко — поэтому, в этот раз остановимся на вопросах организации СКС и общих аспектах организации сети (ЛВС). В следующий раз, стало быть, дойдем до беспроводных решений, телефонии и организации внешних вводов. В качестве необъявленного ранее бонус-трека последует отдельная статья о типовых решениях построения сети на оборудовании Allied Telesis.

СКС

Для специалиста по ИТ структурированная кабельная система является, по сути, базисом для всех систем, обеспечивающих функционирование офиса с точки зрения информационных технологий. Сама по себе СКС — совокупность пассивного коммутационного оборудования, обеспечивающего физическую взаимосвязь между геометрически распределенными элементами офиса. В состав СКС входит, в общем случае, следующее:

1. Кабельная продукция (витая пара, оптические кабели, коаксиальные кабели)
2. Коммутационные и кроссовые панели (патч-панели, плинты, муфты)
3. Оконечные (со стороны пользователя) устройства — всевозможные розетки и разъемы. Сюда же, кстати, стоит отнести и патч-корды, соединяющие вышеуказанные розетки непосредственно с клиентским оборудованием.

В настоящее время, СКС регламентируется рядом стандартов:

• EIA/TIA-568В Commercial Building Telecommunications Wiring Standard (американский стандарт)
• ISO/IEC IS 11801 Information Technology. Generic cabling for customer premises (международный стандарт)
• CENELEC EN 50173 Information Technology. Generic cabling systems (европейский стандарт)

В общем случае, проект вашей СКС должен соответствовать как минимум одному из указанных стандартов. К слову, наиболее употребимые формулировки категорий СКС — «5», «5e», «6» определены в американском стандарте. Если вы не подключены к интернет по WiFi, посмотрите на маркировку кабеля, который соединяет ваш компьютер с сетевой розеткой на стене — скорее всего, там будет присутствовать либо «5e», либо «6». По большому счету, от категории СКС зависит только теоретическая скорость передачи данных по кабелям, но об этом — чуть ниже.

А почему, кстати, сразу не воткнуть кабели в свитч — спросит въедливый читатель..

Свою первую статью я решил написать о том, о чем невольно задумывается каждый начинающий инженер Cisco: о Зарплате. Шучу, конечно о самообучении и Сертификации.

Не так давно столкнулся с проблемой (и ее решением) учитывая актуальность этой темы в последнее время, а также то, сколько людей сейчас страдают от этой беды, решил объединить информацию в одну статью. Может быть кому-то еще она будет полезной.

Начало

Пару недель назад я заметил странную активность, направленную на мой DNS-сервер. Сразу скажу, что использую шлюз на Linux, соответственно там установлен DNS-сервер bind. Активность заключалась в том, что на порт 53 (DNS) моего сервера сыпалось по несколько UDP пакетов в секунду с различных IP-адресов:

10:41:42.163334 IP 89.149.221.182.52264 > MY_IP.53: 22912+ NS?. (17)
10:41:42.163807 IP MY_IP.53 > 89.149.221.182.52264: 22912 Refused- 0/0/0 (17)

В России все больше внедряется практика оценивания выпускников школ методом сдачи единого государственного экзамена (ЕГЭ).

Уже несколько лет в экспериментах по всей стране сдавали ЕГЭ по самым разным предметам. В этом году впервые массово будет сдаваться ЕГЭ по информатике.

Что же внутри?

Существует много пособий по настройке программ (Операционок, сервисов, сайтов и тд), но редко можно встретить мануал по организационным вопросам связанным с системным администрированием. Сразу скажу, опыт работы у меня достаточный. Рассматриваться предмет будет на моем личном примере работы, сразу скажу что любые аргументированные дополнения, и исправления приветствуются. Также поясню для господ минусующих: «Не нравится? Сделай лучше!», и обязательно пришли ссылку, почитаю с большим удовольствием.