Рубрика: безопасность
Нам провайдер не указ.
Автор: admin
В жизни бывает всякое, не менее разные ситуации случаются и в бизнесе. Но что делать, если на носу переезд, а на новом месте не то, чтобы нет возможности быстрого подключения интернет-доступа, но само это новое место может оказаться перевалочным пунктом в длинной череде? При этом, без сомнения, работать как-то нужно 😉
Разработанное решение более подходит к ситуации домашнего использования, но и для, скажем так, малого бизнеса я бы не стал однозначно его отвергать.
Для отвязывания от проводов на данный момент существует несколько решений: использование коммерческий сети WiFi или развивающийся сети WiMax. Но по простой причине того, что нет полной уверенности, каков же будет следующий «перевалочный пункт», нам необходимо было создать унифицированое решение, легкое для адаптации.
отзывы (0)Миграция с ISA 2006 на TMG 2010
Автор: admin
На днях выдалось немного времени на тестирование продукта, представляющего из себя эволюционное развитие ISA Server 2006. Теперь то, что мы ранее знали под именем ISA, будет называться Threat Management Gateway 2010.
Подробное описание всех функций продукта есть в руководстве пользователя. У меня же задача не переписывать оное, а лишь отметить самое интересное.
А самым интересным является миграция с ISA 2006 на новый продукт. Я понимаю, зачем было сделано выделение роли управления массивом серверов для Enterprise конфигурации. Но что же делать тем, у кого ISA используется в, скажем так, некомплексной конфигурации?
Шифрование не означает защиту
Автор: admin
Зачастую шифрование всего и вся внедряется не когда есть время на разработку стратегии, а когда поступает информация о скором визите незваных гостей. При этом шифрование применяется бездумно, как универсальная панацея против всех проблем, начиная от непосредственно защиты конфиденциальной информации и заканчивая наличием установленного нелицензионного программного обеспечения.
Где-то в середине 2004 года компанией Microsoft были выпущены обновления для всех актуальных на тот момент операционных систем собственного производства. Обновления предотвращали одну конкретную забавную ошибку логики поведения кэша ARP. Дело в том, что на уровне операционной системы не было различия в алгоритме обновления кэша между статической и динамической ARP записями. Значение обновлялось всегда, если из сети приходило уведомление о том, что у некого хоста теперь другой MAC адрес. Причем, это относилось как к случаю получения широковещательного пакета arp request, так и к простому icmp пакету, пришедшему с новым arp адресом в заголовке. Неплохой был простор для разнообразного творчества… Был… Был?..
Инспектирование SSL трафика
Автор: admin
Учитывая страстную любовь Web приложений от Microsoft к использованию исключительно «правильного и совместимого» браузера, все решение, изложенное в предыдущей статье, много более актуально несколько для иных целей. А именно для предотвращения лишних вопросов со стороны браузера, которому подсовывают, уж будем откровенны, поддельный сертификат, причем, ведь исключительно из соображений усиления безопасности.
Кроме шуток: представим, что наша компания только что приобрела и успешно внедрила комплексную систему контроля доступа к данным. Не суть важно, насколько все красиво было описано поставщиком данной системы. И даже не столь важно, насколько полно все было продумано на этапе внедрения. Любую систему все равно используют люди со всеми своими слабостями.
Расширение использования внутрикорпоративных сервисов, де-факто, являющихся Web приложениями, растет день ото дня. Это и порталы Sharepoint и Project server, и Exchange OWA. Не говоря уже о десятках самописных решений.
И каждый подобный сервис рано или поздно приходит к той точке развития, когда ценность данных начинает подразумевать полностью защищенный доступ даже изнутри сетевого периметра. То есть, использование SSL.
И все было бы хорошо, если каждая компаний являлась общепризнанным центром сертификации. Но, разумеется, это не так.
А это значит, что каждый браузер каждого пользователя каждой рабочей станции будет выводить уведомление о том, что сертификат узла, к которому обращается пользователь, не является выданным доверенным издателем.
Да, конечно же, будет странным предположить, что в крупной сети на клиентов не распространена доменная политика, указывающая правильный путь к светлому будущему 😉 Но, увы, браузеры альтернативные Internet Explorer, оказываются полностью бессильны и при обращении к внутренним ресурсам, вновь выдают ошибку доверия к предъявленному сервером сертификату.
Я настоятельно рекомендую использовать автоматическую настройку прокси-сервера в локальной сети. Потому как изменить один скрипт много проще, чем настройку всех браузеров на всех компьютерах. Не говоря уже о массе ПО, для которого попросту нет иных способов задания работы через прокси-сервер. Последней особенностью обладает, например, Google Picasa — ни единой настройки работы через прокси-сервер, но включив сниффер можно понять, почему настройки в интерфейсе приложения были бы совершенно излишни.
Безопасное сохранение конфигурации ISA 2006
Автор: admin
Настройка ISA сервера для большой сложной сети, использующей множество сервисов представляет из себя…если уж откровенно…относительно несложную задачу. Но очень уж долгую. Особенно, если время не ждет и каждая минута является минутой простоя компании.
По этой незамысловатой причине, ISA в плане наличия политики резервного копирования, ничем не должна отличаться от любого другого сервиса.
Тестирование шифрования на netbook Asus EEE1000
Автор: admin
После предыдущей статьи о тестировании Asus 1000H мне в почту посыпалась куча вопросов. Впрочем, оставшихся без ответа: если статья на блоге является добровольным литературным творчеством, то личное письмо в почту — уже запросом на техподдержку, что по моему мнению должно вознаграждаться.
Но на один самый распространенный вопрос я все же дам ответ. Ниже более-менее развернутое тестирование шифрования на базе TrueCrypt.
Анализ логов Exchange 2007
Автор: admin
Я несколько раз встречал вопрос, какое средство лучше использовать для составления отчетов по Exchage 2007. Да, собственно говоря, ничего более того, что предоставляет сам вендор.
Существует свободно распространяемый инструмент под названием LogParser, который можно скачать на сайте Microsoft. Но, правда, конечно, он требует некоторого приложения усилий для своего использования, пятью кликами мышкой здесь действительно не обойтись. Зато, должен заметить, не требуется ни дополнительных капиталовложений, ни нарушения лицензии на использования средств сторонних разработчиков. Всего лишь нужен не слишком ленивый системный администратор и четкое понимание, какой именно отчет необходимо сформировать.