Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
Сообщество - Лига Сисадминов
Добавить пост

Лига Сисадминов

2 419 постов 18 940 подписчиков

Популярные теги в сообществе:

Все посты  Горячее  Лучшее  Поиск
0 просмотренных постов скрыто
24

О защите микротиков

К посту http://pikabu.ru/story/mikrotik__odin_iz_luchshikh_domashnik...

fail2ban для микротика, коротко и просто, открываем через winbox - new terminal и копипастим сии строки


/ip firewall filter

add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp

add action=drop chain=input comment="drop telnet brute forcers" dst-port=23 protocol=tcp src-address-list=telnet_blacklist

add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage3

add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage2

add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage1

add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp

add action=drop chain=input comment="drop winbox brute forcers" dst-port=8291 protocol=tcp src-address-list=winbox_blacklist

add action=add-src-to-address-list address-list=winbox_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage3

add action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage2

add action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage1

add action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp



По необходимости правим порты  на свои, добавляем копипастом необходимое.

Показать полностью
Системное администрирование Mikrotik Злобные хакеры Текст
40
142

Mikrotik — один из лучших домашних роутеров для гика

Домашних роутеров у меня было не так чтобы много, но определённое мнение о них сложилось.

Так вот, одним из лучших по соотношению цена-качество на сегодняшний день является тот самый прибалтийский микротик.


У него не торчит куча антенн, но при этом сигнал добивает во все точки дома (а у моего предыдущего, широко известного в узких кругах WR-1043ND, несмотря на три антенны сигнала не хватало как раз на туалет. Он, конечно, берёг моё здоровье, но мне это не нравилось).

У него достаточно процессора и памяти, чтобы без проблем прожёвывать кучу трафика (включая торренты) и не давиться (на этом месте передаю горячий привет компании Ростелеком и компании Элтекс, роутеры которой и использует РТК. Они, мягко говоря, не алё).

Наконец у него 100500 вариантов настройки и, нет, знать их все не обязательно.


В общем, сначала я распробовал его на RB951G-2HnD, по итогу сделал три вещи:


1. на работе был древний системник, который жрал электричество работал крокодилом достался мне в наследство от предшественника с древней версией убунту на борту, раздавал VPN и пытался автомагически переключать каналы с основного на резервный, если что-то случилось с основным. Делал он всё это откровенно плохо (не самое лучшее железо, не самая новая ОС, в меру криво настроен), поэтому списан был без малейших сожалений. Был заменён на RB750GL, показавшим себя с самой лучшей стороны.


2. отдал RB951G-2HnD тёще, потому что ТоррентТВ (через её ТВ-бокс, подключенный через роутер Элтекс) не просто тормозил, а попросту не работал. Честно говоря, я бы попросту подключил ей обычное кабельное телевидение, но вот ровно в этом доме в центре Улан-Удэ нет ни одного кабельного провайдера (да и интернет, отличный от диалапа был проброшен провайдером лично в мою тогда ещё квартиру благодаря личным знакомствам, горизонтальным связям и вот этому всему).


3. купил относительно дорогую модель hAP AC, руководствуясь соображениями ("зато круто и надолго!", "5Ггц тоже полезно", "йоптыть, вифи стандарт 802.11ac, это ж гигабит!!1расрас", "может получится оптику напрямую через SFP-модуль завести", "опять же можно 4G-модем купить, воткнуть и будет резерв").

По итогам, после экспериментов 4G-модем подарил другу, оптику завести пришлось через тот самый Элтекс (спасибо саппорту РТК, переключившему его в бридж, а то я начал понимать, почему некоторые мои знакомые пожалели о переезде с ADSL на оптику), вифи оказался шустрым, но провод всё же надёжнее (хотя до детской я провод так и не дотянул, сидят по воздуху), 5Ггц уже полезен (эфир засран не как в Москве, где-нибудь, но уже ощутимо), а вот насчёт крутизны — проще перечислю, что он у меня дома сейчас делает:


- заведено по 100 мбс от двух провайдеров (нет, я не зажрался, я удалёнщик. Когда мне РТК как-то рубанул сеть минут на 15 в ОЧЕНЬ неподходящий момент, седых волос у меня добавилось. Так что здоровье дороже).


- настроена балансировка каналов (т.е. работают поочерёдно, т.е. одно соединение через одного провайдера, второе — через другого. Если зайти на myip.ru и тыкать F5, IP постоянно меняется, довольно забавно. А вот торренты всасывают одновременно).


- выведен в интернеты уютный домашний сервер (он скорее NAS, но сервер звучит красивее).


- настроен QoS, т.е. удалённому доступу и телефонии выделен наивысший приоритет, страничкам пониже, а всяким закачкам — по остаточному принципу.


- заведён VPN, чтобы из чужих сетей ходить без опаски. L2TP с IPSec шифрованием и SSTP на случай, если попаду в места, где режут вообще всё (а SSTP работает по 443 порту). Тут, правда, есть засада — работают либо мои https-сайты, либо SSTP VPN (у меня один фиксированный IP), но поскольку он мне пока не особо нужен не парюсь. Сертификаты для сайтов и SSTP VPN получаю с Let's Encrypt автомагически.


- торренты качаются быстро, что на NAS-е (он же домашний сервер с сайтиками, почтой и всяким таким), что на ТВ-боксе (разного рода Торрент ТВ).


- ну и, чтобы было удобнее, поднят шифрованный ipip-туннель до рабочего микротика, настроена маршрутизация и, таким образом, у меня есть доступ к рабочей сети без VPN, регистрации и СМС. Удобно!


В целом, очень удачные железки, очень.


P.S. Пока в сомнениях, стоит ли писать на тему настройки или тема и так достаточно хорошо освещена в интернетах никому не интересна?

Показать полностью
[моё] Системное администрирование Mikrotik Длиннопост Текст
191
145

Псевдо защита от "плаксы"

На волне шумихи вокруг WannaCry появились "доброхоты" якобы помогающие защититься от новомодного вируса.
Сейчас как раз восстанавливаю последствия "паранои" и "псевдо-защиты" от "плаксы".....
Девочке рекламный баннер написал, что нужно защититься от вируса и она согласилась - ей поставили некую "чистилку" и "аваст" - после этого доступ к сетевым папкам пропал как класс...
Откатился на предыдущую точку восстановления и все снова заработало! ;)

Заодно решил проверить всю Сервисную сеть на уязвимости и к сожалению нашёл несколько Windows Server 2000 и 2003 с рядом уязвимостей, среди которых был сервер отвечающий за телефонию, на котором "админ" VoIP додумался в качестве Админской учётки использовать связку логин/пароль 1111, а на других серверах его зоны ответственности был чуть более секьюрный логин "Администратор" и пароль "12345678". Разговоры с этим недо-админом и нашим начальством ни к чему хорошему не привели, кроме того, что мне сделали выговор, что я полез в чужие сервера и оклеветал классного специалиста, гордость конторы и семьянина воспитывающего маленького ребёнка...

Показать полностью 2
[моё] Wannacry Linux и Windows Linux Windows Информационная безопасность Сисадмин Взлом Компьютерные сети
132
106

Системный администратор - базовые знания

Как всем известно, системных администраторов не выпускают в вузах - многие становятся ими именно на работе. Видеоролики помогли структурировать винегрет в голове. Возможно, продвинутым пользователям это покажется очень легким, но для новичка, по-моему, будет сверх полезно.
Сам просмотрел пока 3 главы за 2 дня и решил поделиться в благодарность автору и в помощь начинающим!

Сисадмин Системное администрирование Видео
40
31

Правильная установка Windows XP в KVM или Технонекрофилия на марше

По работе потребовалось, чтобы некая программа для windows была постоянно доступна.

Ставить её на пользовательские компьютеры смысла не имело, т.к. они бывает что и выключаются, а из серверов на windows у меня под рукой был контроллер домена и вешать на него всё подряд как-то не хотелось.


Поэтому в офисе по сусекам поскребли, по отсекам помели и нашли старую, покрытую пылью лицензию к Windows XP HE. А большего, в принципе, и не нужно. И вот, я стал запихивать её в виртуалку.


Естественным образом возник спортивный интерес, как бы сделать так, чтобы жрала она поменьше, а работала пошустрее.


Понятно, что для этого виртуальное оборудование должно не эмулировать реальное железо, а использовать виртуальное. Скажем, HDD должен быть не на шине IDE, а на virtio. То же касается и сетевой карты. Обычно рекомендуют сначала ставить ОС на виртуальный IDE-HDD, затем добавлять второй виртуальный винт virtio-HDD, ставить на него драйвера, а потом выключать машину, удалять ненужный уже второй винт и менять тип системного HDD с IDE на virtio.


Честно говоря, все эти вытребеньки показались мне какими-то избыточными, поэтому я процитировал одного известного политического деятеля на предмет пути, которым мы пойдём и взялся за дело по своему.


Для начала я убедился, что virt-manager постоянно создаёт образ диска в qcow2-формате, что само по себе неплохо, но в данном случае излишне, так что я руками создал образ диска в raw-формате.

truncate -s 4G winxp.raw

Затем, при создании виртуальной машины выбрал его и слегка поменял параметры (шину на VirtIO, кэширование на none):

Затем сменил модель сетевой карты на всё ту же VirtIO, для простоты поменял модель звуковой карты на AC97, а затем сделал самое интересное — добавил FDD и подключил в него образ дискеты, взятый отсюда: https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/latest-virtio/virtio-win_x86.vfd.


После этого, при установке жёсткий диск определяется без проблем, ОС устанавливается также без проблем (единственное, жалуясь на то, что драйвера не подписаны). Однако после установки видно, что не хватает драйверов для видео, сетевой карты и пары неизвестных устройств.


Проблем в этом нет, достаточно извлечь установочный образ CD и заменить его на ISO с драйверами. Дальше просто открываем диспетчер устройств, выбираем те, что без драйверов и ставим их через автопоиск.


В результате получаем маленькую, аккуратную виртуалку, с вполне достойной производительностью.

Вопрос кому и зачем она может понадобиться в 2017 году оставим за кадром. : )

Тем более, рекомендации вполне подходят и для актуальный версий windows.


P.S. На свежеустановленную и активированную Windows XP имеет смысл установить UpdatePack-XPSP3-Rus Live 14.5.1, а потом уже пытаться проверять наличие обновлений.

P.P.S. Поскольку на Home Edition RDP отсутствует как класс, моему коллеге предстоит увлекательный квест по освоению virt-viewer'а. Благо он простой, как пять копеек.

Показать полностью 2
[моё] Windows XP Виртуальная машина Kvm Длиннопост
16
80

Ловим WannaCry на живца

В исследовательско-хулиганских целях, решил поставить в виртуалке незащищённую ОС без обновлений, выставить её в интернет и посмотреть, как быстро пожрёт её WannaCry.


Итак, первая жертва. Windows 7 Home Premium SP1.

Ставим её в KVM, отключаем брандмауэр, пробрасываем порты 139 и 445 наружу и проверяем их через canyouseeme.org.

Всё ок, порты открыты, винда торчит незащищённым тылом прямо в интернеты.

Сейчас коварный WannaCry пожрёт её!

Сейчас!

Сейчас.

Сейчас...


Короче, три часа спустя мне надоело и я решил попробовать поймать WannaCry на другого живца.

Итак, ставим W2K8 R2 server, отключаем брандмауэр, пробрасываем порты и ждём.

Ждём. Ждём-ждём-ждём. Ждём.

Ловим WannaCry на живца

прошло четыре часа. Пока не отключаю.


Как думаете, коллеги, на что лучше подманивать WannaCry? На мотыля или на бормаша?

Похоже, непроверенная инфа, что он заражает, а потом срабатывает сразу массово по таймеру, имеет под собой основания.


Кстати, кто-нибудь нарвался на эту пакость? Или знает того, кто нарвался?

Я пока из первых рук только неофициально от сотрудников Мегафона слышал, что у них проблемы были.

Показать полностью 1
[моё] Wannacry Админ
60
67

Как проверить сеть на уязвимость WannaCry

Наконец-то появился чекер.

Реализован в виде PowerShell-скрипта, проверяет по диапазону IP.


Подробности от разработчиков по ссылке:

https://rvision.pro/blog-posts/wannacry-vuln-tool/


Коллеги, рекомендую всем всё-таки провериться.


P.S. Заранее отрубил SMB1, перевёл все шары в рид-онли и всё равно тревожно как-то.

Wannacry Скрипт Системное администрирование Текст
37
Партнёрский материал

Press T to Pay

Чтобы пополнить баланс любимой игры, не надо танцевать с бубном и читать заклинания. Достаточно зайти в приложение или личный кабинет Т-Банка: пара кликов — и оплата прошла!

Оплачивайте игровые сервисы через Т-Банк: это быстро, просто и безопасно.

ПОПОЛНИТЬ ИГРОВОЙ БАЛАНС

Реклама АО «ТБанк», ИНН: 7710140679

Игры Оплата Текст
351

Администрирование #04. DHCP.

Предыдущая часть тут.

Прошу прощение за долгое отсутствие. Я поняла, что в моём man'е по DHCP написано прискорбно мало и решила полностью его переписать.

В данном посте я буду идти от сильного упрощению к менее сильному упрощению, и в конце приближусь к правде, мне кажется, это логичнее, чем сразу углубляться в протокол.


Для начала, что делает DHCP (Dynamic Host Configuration Protocol – протокол динамической настройки узла). С помощью этой штуки сетевые устройства могут получать IP-адрес и другие сетевые настройки автоматически. Работает этот протокол по клиент-серверной модели. В самом общем случае это выглядит так:


Клиент-всем: Дайте мне кто-нибудь настройки!

Сервер-клиенту: Держи, я тут сервер, вот настройки: «настройки». Тебе норм?

Клиент-серверу: Ага, «настройки» подходят, ништяк.

Сервер-клиенту: Пометил у себя, «настройки» записаны на твоё имя.

Клиент /сам с собой/  уф, применил «настройки», кажись пошел трафик.


Еще раз – это упрощение. На каждом этапе могут возникнуть свои нюансы и мы часть из них разберем. Пока о том, зачем это нужно: ведь есть статическое назначение адресов (и других настроек). На сегодняшний день, на мой взгляд, причина «во-первых» - это то, что для присвоения статических настроек надо хоть что-то знать о сетях, то есть – домохозяйка с роутером пролетает. Ну и причина «во-вторых», которая на самом деле наиболее важна – это автоматизация и централизация сетевой настройки. Круто, когда у вас 5 компов и в сети статика. Потом их станет 15 и появится файлик с адресами. Потом их становится 100… и в один непрекрасный момент срочно понадобится сменить DNS сервер или шлюз по умолчанию. И если на DHCP вы правите это в одном месте и настройки распространяются автоматом, то тут вы будете ходить и править сто компов руками (вас в процессе четвертуют скорее всего). К тому же, DHCP ведет за вас свой виртуальный «файлик» и не выдаст случайно одинаковые адреса разным хостам. В-третьих, это возможность выдавать адрес «на время», например, на неделю или на час. Вы же не будете каждому посетителю своего интернет-кафе прописывать адрес вручную и записывать в файлик. А так, адрес выдался автоматом, через час освободился и может быть выдан другому.


Для работы сервера выделяется некоторый пул (pool) – диапазон адресов, которые DHCP-сервер может раздавать клиентам.


Существует протокол, его описание и куча его реализаций на различных устройствах. Я не буду рассматривать каких-то конкретных реализаций – все они придерживаются единого формата.


Как видно из примера диалога выше, общение клиента и сервера разбито на несколько этапов-сообщений. В DHCP есть следующие типы сообщений: DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK, DHCPNAK, DHCPDECLINE, DHCPRELEASE, DHCPINFORM. Клиент и сервер общаются по протоколу UDP (у сервера порт 67, у клиента 68).


Эти сообщения выглядят в общем случае так: в шапке всякая важная мура из разряда кому, от кого, идентификаторы и всё такое, а в конце пачка опций. Вот эти опции и есть те настройки которые клиент запрашивает, а сервер выдаёт. Кому интересны подробности (а они правда интересны и важны), почитайте rfc2131.


На первом этапе клиент рассылает всем в локальной сети широковещательное сообщение на MAC-адрес FF:FF:FF:FF:FF:FF.

Отступление: Если у вас есть специальный сервер перенаправления запросов DHCP-relay, то сообщение может уйти и за пределы локальной сети.

Это сообщение DHCPDISCOVER. Тут возникает один нюанс: бывает так, что клиент «чистенький» - у него не было адреса, а бывает так, что у него был какой-то IP адрес и он говорит «неплохо бы повторить, если можно, бро». Во втором случае в список опций добавляется «requested IP address» с желаемым IP. Из важного в DHCPDISCOVER указывается ID транзакции (он будет одинаковым для всей цепочки обмена сообщениями) и идентификатор клиента (он должен быть уникальным в локальной сети, так что чаще всего это MAC).

В ответ все DHCP-серверы, до которых дошел запрос, присылают свои предложения DHCPOFFER тоже широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF. Это происходит в том случае, если желаемый IP НЕ указан (о том, что происходит, когда указан – будет ниже). Клиент из них выбирает наиболее приглянувшееся (чаще всего по принципу «кто раньше прислал – того и тапки»). Сервер же, прежде чем прислать адрес, проверяет (протокол не обязывает, но настоятельно рекомендует), что адрес ещё не занят. В этом сообщении указывается уже предлагаемый IP, предлагаемые параметры и известен адрес-идентификатор сервера.

Подробнее про то, как выглядят остальные сообщения DHCP в Wireshark можно посмотреть в посте из соседней лиги. Или запустить wireshark дома.


Клиент, когда выбрал предложение, посылает DHCPREQUEST тоже широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF, но с идентификатором сервера в соответствующем поле.


Сервер, если ничего криминально не случилось и адрес всё ещё свободен, посылает клиенту (всё так же широковещательно на MAC-адрес FF:FF:FF:FF:FF:FF) DHCPACK с настройками и помечает у себя адрес выданным. Уникальный идентификатор клиента и выданный IP-адрес однозначно идентифицируют DHCP-lease – так называемую аренду IP адреса. Если же адрес в процессе успел стать занятым, то клиенту посылается DHCPNACK с отказом и всё идёт заново.


Клиент получает сообщение DHCPACK с настройками, может сделать финальную проверку на занятость адреса и применяет эти параметры. С этого момента клиент сконфигурирован (и у вас пишется в винде «сеть1: подключено»).


Общая схема еще раз:

Когда клиент заканчивает работу, например, при выключении интерфейса, он посылает серверу сообщение DHCPRELEASE о том, что адрес свободен – можно пользоваться.


Вернёмся к DHCPDISCOVER и ситуации, когда мы просим выдать адрес, который у нас уже когда-то был. Rfc говорит нам, что в этом случае сервер сразу присылает DHCPACK (если адрес не помечен за кем-то другим) или DHCPNACK (если вы прошатались в отпуске месяц и адрес ушел к другому). Причем проверка на конфликты (пинг на всякий случай) ложится на клиента.

На самом деле, сколько ни ловила, так такую ситуацию и не поймала. У меня на DHCPDISCOVER с предпочитаемым IP в ответ приходил "Неправильный" DFCPOFFER на конкретный адрес. Подозреваю, что это ловился ipconfig /renew.


Если клиент обнаруживает, что с адресом что-то не в порядке, он посылает серверу DHCPDECLINE.

Немного о времени аренды IP-адреса. Это время в секундах, оно относительно, а потому не требует синхронизации времени между сервером и клиентом. То есть «забрать адрес через 3600 секунд» и без разницы, что у вас локаль Камчатки, а у сервера Москвы. Время аренды надо выбирать сообразно задачам – чтоб и адреса не кончались и слишком большой нагрузки на сервер не было. Интернет-кафе – час, дома – месяц, на работе – неделя, например. А еще есть время, через которое IP-адрес можно перезапросить, не отдавая его. Оно должно быть меньше времени аденды, тогда никто не захапает ваш адрес, пока ваш комп онлайн.

Теперь об опциях. Чаще всего, это DNS сервер, шлюз по умолчанию, ntp-сервер. А может быть куча всего – на это даже отдельный rfc2132 есть. У нас, например, такие.

Бывает еще такая вещь, как резервации (reservations). Это не когда индейцев ограничивают, а когда адрес добавляют к резервированию. Некоторые lease’ы запоминаются (админ указывает, какие именно). То есть, пара MAC-IP становится постоянной. Это позволяет получить статические адреса внутри пула, которые клиенты тем не менее получают по DHCP.

P.S.: Тема очень обширна, можно добавлять и добавлять. Но мне хотелось выдержать баланс между пересказом rfc и "DHCP для домохозяек".

Показать полностью 5
Системное администрирование Лекция Dhcp IT Длиннопост
34
Отличная работа, все прочитано!