2009年12月29日 星期二

網路壓力測試工具Iperf

最近公司代理了Firewall產品,產品有VPN與NAT功能,特別是結合在一起時,效能問題倍受疑慮。

還好我們客戶用了一個工具來檢視之後(雖然是震憾教育),但學到很多^^

這個工具就是Iperf,可以在這個地方下載:
http://www.noc.ucf.edu/Tools/Iperf/iperf.exe

有Linux版與Windows版,我們以Windows版本為例,簡單說明使用方式與參數。

使用方式:
這於這個工具是Server Client架構,所以需要在兩台電腦上測試,中間經過什麼東西,
就是想測試效能的設備,比如Firewall,VPN,SSL-VPN,Wireless AP...,所以先找兩台電腦,
一台當Server,一台當Client:
Step.1 下載: 到http://www.noc.ucf.edu/Tools/Iperf/iperf.exe 將程式下載,之後將程式copy到想存放的地方,比如說D:/之下。
Step.2 開啟dos視窗: 執行->cmd
Step.3 執行Server: 從comandline輸入 D:/iperf.exe -s (其它參數)
Step.4 執行Client: 從comandline輸入 D:/iperf.exe -c serverip (其它參數)

參數參考:
Client端/Server端 都可用的參數:
-f, --format [kmKM] 以什麼方式顯示: Kbits, Mbits, KBytes, MBytes
-i, --interval # 每隔多少秒顯更新頻寬資訊
-l, --len #[KM] 設定讀寫的緩衝區長度 (預設 8 KB)
-m, --print_mss 顯示TCP/IP標頭的MTU(最大segment)大小
-o, --output 將report或錯誤訊息輸出到這個檔案裡
-p, --port # 設定server與client的溝通port
-u, --udp 使用UDP代替TCP測試
-w, --window #[KM] TCP的window大小(socket buffer size)
-B, --bind bind某,結合某介面或multicast的位址用
-C, --compatibility 與舊版本比較用,不送任何封包
-M, --mss # 設定TCP最大segment大小 (MTU - 40 bytes)
-N, --nodelay 設定無TCP延遲,取消Nagle's演算法
-V, --IPv6Version 設定為IPv6格式

Server端參數:
-s, --server 執行Server模式
-D, --daemon 執行Server背景模式
-R, --remove 移除服務

Client 端參數:
-b, --bandwidth #[KM] UDP參數,以bits/sec傳送(預設 1 Mbit/sec, implies -u)
-c, --client 執行Client模式,並連線到Server的IP:
-d, --dualtest 同時執行雙向的模擬測試
-n, --num #[KM] 傳輸多少bytes封包 (取代-t)
-r, --tradeoff 單獨執行雙向的模擬測試
-t, --time # 每隔幾秒傳輸一次 (預設10 秒)
-F, --fileinput 選取某檔案傳輸測試
-I, --stdin 將鍵盤輸入的資料進行傳輸測試
-L, --listenport # 進行雙測試時,接收回應的port
-P, --parallel # 同時執行多少個Client連線
-T, --ttl # 進行Multicat的time-to-live(預設為 1)

其它參數:
-h, --help 顯示help 資訊
-v, --version 顯示版本

範例:
1. Server端:
iperf -s -u -i 1 -l 1024 -p 5001

設置Server只接收UDP封包,每隔1秒更新顯示一次,進行讀寫的緩衝區大小為1020k,進行監聽的port為5001

2.Client端:
iperf -c 192.168.4.88 -u -i 1 -l 1024 -p 5001 -t 200 -b 1m

設置Client端,連向ServerIP為192.168.4.88,以UDP傳送,每隔1秒更新顯示一次,進行寫的緩衝區大小為1020k,從5001port丟封包出去,每隔200秒丟一次1M的封包

2009年11月12日 星期四

Office 2007重新輸入序號

這陣子不小心去更新Office~使得需要重新驗證licence,
從網路上找到了重新輸入key的方法,就是把regeditkey改刪掉,
刪除路徑如下:

HKEY_LOCAL_MACHINE\Software\Microsoft\Office\12.0\Registration\{91120000-0011-0000-0000-0000000FF1CE}

刪除下面這兩個的值:
DigitalProductID
ProductID

再重新開啟任何一個office應用程式就ok了~
前提是你的key是合法的,不然還是不會過~~

2009年11月6日 星期五

六個步驟讓Web應用程式更安全

資料來源: OWASP

1. 建立溝通管道Build a community: Large enterprises like the Federal government are particularly prone to the silo effect; a simple intranet site that's well managed can work wonders to leverage the expertise throughout an entire Department.

2. 分享專業知識Spread the expertise: Right now the majority of what application security knowledge exists within security groups. This is a good start but ultimately the programs build and fix the applications; staff them with experts, too.

3. 在工具上思考Think beyond tools: While tools can automate certain assessment tasks, realize that they only assist with a portion of your assessments. Even then, assessments are just one portion of an assurance program.

4. 提供指引手冊Provide guidance: Developers want to build secure, compliant software; they just don't always know how. Make standards, requirements and reference models available to your programs.

5. 不斷檢測Don't wait to test: Late-cycle testing under release pressure is stressful on the program and testers alike. Start testing earlier in the cycles and involve your assessment team in the scheduling.

6. 持續觀察審視Zoom-in your continuous monitoring: A "minor" application change can fly through change control but create huge vulnerabilities. Scrutinize changes to applications carefully, particularly Internet-facing or other high-risk systems.

SSL 連線可以被當中間人

這對我們賣資安設備的人來說實在是很大的影響!!

因為我們幾乎所有的設備的管理都是透過遠端連線,如果HTTPS這種看到"金鎖頭"的連線

可以被用來Man-in-the-middle,哇~我很難很想像目前專做SSL-VPN的廠商如何因應這個消息的公佈!!?

下面是Networkword Security的文章:
http://www.networkworld.com/news/2009/110509-ssl-hole-cracks-open-secured.html

大意是說,PhoneFactor(提供手機雙因素認證的公司)的團員發現這個弱點,他們發現任何透過SSL加密的連線都存在這個弱點,目前還在進行Patche的開發中還未更新出來,這個弱點可以在已經加密的連線上輸入指令搶劫這個連線,讓駭客坐在中間,聽、看、編改兩端的通訊。

真的恐佈的漏洞呀~

2009年8月21日 星期五

在CentOS下設chkconfig

只有一沒設就會忘記~~以把apache為例:

設定Apache一開機就執行:
chkconfig --level 35 httpd on

檢示設定狀況:
chkconfig --list httpd

2009年8月10日 星期一

資訊收集網站(Information Gathering Webs)

1.歷史網站資料(ArchiveOrg):
http://www.archive.org/index.php
說明: 收集網站歷史資料的網站,真是很特別~可以用來收集網站的歷史資訊。

2.個人資訊收集(Yahoo):
http://people.yahoo.com/
說明: 輸入名字就可找相關資料。

3.個人資訊收集(Intelius)
http://www.intelius.com/
說明: 輸入名字就可找相關資料。

4.Google大神:
http://www.google.com
說明: 想找啥就打啥!

5.人力銀行:
1111
104
YES123
說明: 用來找公司相關資訊用

2009年8月9日 星期日

弱點更新網站(Vulnerability Research Website)

弱點更新網站,可以定期了解有哪些弱點可能會危害環境資安:

1.美國電腦緊急處理中心(US-CERT):
http://www.us-cert.gov
說明: 在首頁左邊有最近安全等級的圖示,可以了解現在的安全狀況,
也可以定期看他們的Report,做的都很不錯^^

2.常見弱點公佈網(CVE - Common Vulnerabilities and Exposures):
http://cve.mitre.org
說明: 不論做黑箱、灰箱、白箱的測試,基本上弱點說明都是參考到這邊的。

3.資安追查者(Securitytracker):
http://www.securitytracker.com
說明: 跟CVE很像的弱點列示網站。

4.微軟(Microsoft):
http://www.microsoft.com/security
說明: 電腦的老大哥,這應該不用說太多,去看就知道啦~

5.資安團隊(Securiteam):
http://www.securiteam.com
說明: 就是有人這麼熱心,自組的資安團隊,定期更新資安訊息。

7.封包風暴(PacketStormSecurity):
http://www.packetstormsecurity.com
說明: 更新最新的安全弱點、安全工具的非營利組織。

8.駭客風暴(HackerStorm):
http://www.hackerstorm.com
說明: 最屌的還是下載他們免費的OSVDB(Open Source Vulnerability Database),可以離線查尋CVE的弱點與說明。

9.駭客觀測網(Hackerwatch):
http://www.hackerwatch.org
說明: 利用McAfee的ClientFirwall了解全球目前主要危害Port的統計、及潛在目的與來源網址。

10.資安者(Secunia):
http://secunia.com/
說明: 每天數千條弱點資訊更新,還提供個人PC的線上掃描服務。

11.H區域(Zone-H):
http://www.zone-h.org/
說明: 這應該不用說了~全球的駭客駭到網站後都會把戰利品貼到這裡,所以這裡有最新的被駭網站資訊。

12.毫蟲(milworm):
http://www.milw0rm.com
說明: 入侵手法的資料庫網站,將弱點與入侵結合的網站。(請勿用於非法用途!!)

2009年7月25日 星期六

為什麼可以看的到HTTPS流量?

由於我們代理IronPort設備,客戶有這個需求,最近去了解~

在k手冊之前,我一直很懷疑,真的有東西可以看到所有Https的流量嗎?
中間不都是加密?是如何破解每一個加密連線,而進行內容過濾與判斷??太神奇了啦!!

看完手冊後我才發覺,原理簡單的讓人流口水~
它跟本沒有去進行所謂"解密"的動作,只是當過"中間人",啥咪是中間人??

比如說兩個人在講電話,這兩個人講話中間的連線經過處理,會將聲音進行唐老鴉聲音的轉話,
所以如果你從中間的連線去聽的話,除非你是唐老鴉,否則聽不懂鴉話@@

而IronPort-S的原理就是,他不是去學習鴉話,而是當個中間人,流程如下:
A在打電話給B之前,會先打電話給我,我再將A的話轉給B,B要回話給A之前會先跟我說,
我再轉給A,也就是說我是個"傳話者",架構如下:
A---(我)---B

這就是為什麼IronPort-S不需要懂唐老鴉的語言…嗯~是不需要懂得每一個連線的解密原理。

這個解密原理可以運用在目前市面上所有可以解HTTPS的設備上,而目前這些設備都同樣有一個限制!
那就是使會者在連線到目的URL之前會看到一個憑證錯誤的畫面,使用者必需點選"繼續流覽"
才可看原本的網頁。

原理就是HTTPS在進行加密連線之前會先發一個憑證,來告訴你"沒錯!你連進來的就是我的網站,這是我的證明憑證"。
在一個A像B網站流灠時,(我們當個中間人),會假裝自已是A向B網站要馮證,然後再模訪B網站的憑證發給A,所以A所流覽的網站是"我",而不是B網站,這時就會出現"憑證錯誤",原因是A使用者要看B網站的馮證,但拿到的憑證卻是我模仿後發給A的,所以這證明~~~憑證真的很屌!!

要解決這個問題有一個辦法,那就是把目的網站的馮證匯入ironPort-S,比如你知道環境內的使用者就是只會看這1000個網站,那就是花時間去收集這一千個網站的馮證,然後匯進IronPort-S,那使用者看到的馮證就不再只是我們仿造後發的,而是真實該網站的憑證~~

只是~~收集這麼多網站的馮證應該不是我們的工作,而是原廠!!
所以啦!可以預見,未來HTTPS廠商的勝敗就在於誰能收集最多合法網站的馮證,且定期更新!!

2009年7月17日 星期五

讓小紅傘不再跑出廣告

由於沒錢買防毒,應該說…不覺得有必要花錢買防毒,於是就持續用還不錯用的免費防毒。

每次在更新時它都會跑出廣告畫面,這個功能要關閉要在付費版才有…但是~~

做資安怎麼就這麼妥協??

還有有同事(信凱)的協助,原來只要移掉一個.exe檔就可以了,路徑如下:

C(安裝槽):\Program files\Avira\AntiVir Desktop\avnotify.exe

2009年6月20日 星期六

CentOS的network-script

最近常在CentOS上做網路設定,又常跟SuSE搞混~貼上來備用^^

/etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:00:6c:2a:11:e3
NETMASK=255.255.0.0
IPADDR=10.3.0.11
GATEWAY=10.3.0.1
TYPE=Ethernet

感覺得全部在這隻Scirpt上設完,SuSE就要多改幾個檔案@@

2009年5月22日 星期五

你是哪種駭客?

最近在看IINS,裡面列出了駭客的分類,覺得很有趣,列出來讓大家自已對一下,你屬於哪種駭客?

一、白帽駭客(White Hat Hacker):
白帽駭客有能力入侵電腦系統、破壞系統。不過他利用他的技能來協助組織加強安全。
例如在資安公司進行滲透、弱掃的執行者,或負責資安的網管人員。

二、黑帽駭客(Black Hat Hacker):
黑帽駭客也被叫做Cracker,他們利用自已的技能來進行非道德行為。如攻擊、竊取資料…。

三、灰帽駭客(Gray Hat Hacker):
灰帽駭客可以看成是偶而會做出非道德事情的白帽駭客。例如在資安公司進行滲透測試的執行者,
於工作其間取得的資訊,做為已用,即為灰帽駭客。

四、通訊駭客(Phreaker):
可以拆成Phone and freaker或是看成freeker,從字面就可猜出,有辦法打免費電話的駭客,利用其通訊專業技術,而可打免費的電話。

五、毛頭駭客(Script Kiddy):
是駭客中最少技術技能的駭客,對於系統、網路、程式知識都很匱乏,只能下載一些駭客程式進行攻擊行為,沒有撰寫自已程式的能力,對於運作原理也不了解。

六、信念駭客(Hacktivist):
心中總抱持一股信念而進行駭客行為,可能是政治、宗教,也常於攻擊成功後留下如國家的資訊、宗教的資訊…,為了信念而戰。


七、電腦安全駭客(Computer Security Hacker):

擁有電腦與網路知識的駭客,這樣駭客懂得網路運作原理與其資安風險,比如在一個有IPS的網路環境,他知道如何避開IPS的偵測與阻擋進行攻擊。

八、學術駭客(Academic Hacker):
這類駭客往往有較高的教育水平,通常任職於學術環境或是學生,懂得自已撰寫程式、研究攻擊運作原理…,常利用學術資源撰寫出很"聰明"的程式。大部份在網路上會留下真名,著重在開放源始碼的系統。

九、興趣駭客(Hobby Hacker):
興趣駭客通常著重在家用電腦,比如破解在電腦上的軟體程式、讓iphone解鎖、超頻自已的電腦、把PC改成水冷、讓第四台解碼…

哈~~真的很有趣的分類~~你是哪一種呢??

2009年4月28日 星期二

滲透測試服務將在2009消失?

如標題,是從資安人看到讓我傻眼的標題文。
(這篇文章主要是源碼檢測-白箱測試的廠商所撰)

寫這篇文章原因有二,一個是很訝異有人有這樣的想法、一個是自已的工作就在進行相關的服務。

我想有必要寫一些概念性的東西,理清一些觀念與疑問:
。我已做過弱掃了,為什麼還需要做滲透測試?
。滲透測試做完了,為什麼還要做弱點掃描?
。源碼檢測都做過了,幹麻煩需要做滲透?
了解這些問題的根本可以讓業務人員更清楚如何Push服務,也可以讓客戶了解還需要做些什麼服務來持續地增加安全防護。

要了解這些問題的差異,首先要做的就是了解資安技術服務的分類。
資安技術服務可以概分為三的類"黑箱""灰箱""白箱",很好奇為什麼會分成黑?灰?白?
大概的觀念就是什麼都看不到就是"黑",看到一些又沒看到全部就是"灰",完全一覽無遺就是"白",簡單的說明如下:

(1)黑箱 - 滲透測試 -
在完全不了解客戶環境的狀況下,摸擬駭客從外部進行資訊安全檢測。整個網路環境就像一個黑色的箱子一樣什麼也看不到。

(2)灰箱 - 弱點掃描 -
將資安檢測的設備置於客戶的網路環境內,直接對欲檢測的設備進行弱點掃描。整個網路睘境在有點熟又不太熟的灰色地帶。

(3)白箱 - 源碼檢測 -
將網頁原始程式碼置入源碼檢測設備進行掃描。全部白淨的源始程式碼一覽無疑~~

了解了分類還是會有疑問,那我做了這項服務,為什麼還需要做那項???這要了解各項服務的工作內容與目的,介詔如下:

(1)黑箱 - 滲透測試 -
這是最費時、費工、花人力、需要極大的創意與經驗的測試服務。
這部份會看到的技術服務方式有:滲透測試、社交工程、Web檢測、無線網路健檢、密碼測試…。
這個服務有一些標準流程可至OSSIM (http://www.ossim.net/)了解更進一步的流程,大致的流程是測試者會先透過網路或電話、或郵件…盡量收集目標相關資訊、接著利用許多軟體進行掃描、再來從掃描結果的弱點配合經驗與創意進行手工的測試。
而這就是滲透測試的重點!!人工的手動測試!這部份是無法複製與衡量的!這也就是為什麼滲透測試服務的收費標準差異如此的!原因就在於人工這部份,可能是一個沒經驗的工程師、可能是一個很有經驗的Hacker、或是一整個Team!!

(2)灰箱 - 弱點掃描 -
這是對於組織來講需要日常且常做的工作。
這個服務常見的是將測試設備放置於主機段,對主機群進行掃描,由於不需透過Firewall,可以得到許多從外部得不到的資訊,可對整個系統做安全診斷。比如Windows某個更新未做、Firewall系統版本需更新、某主機帳密不夠強…。最主要在檢測環境的系統、設備是否有新的弱點可被利用?而需進行補強動作。

(3)白箱 - 源碼檢測 -
這個服務是最快速的技術服務了!原因是它完全自動化!!
將您所設計好的網頁直接丟到設備裡面去掃描,掃描完後會告訴您!網頁有哪些攻擊手法可以攻?問題是哪裡沒有寫好?該如何做修正?哪些較嚴重的要先修?
目前市場上看到的可以拿來做程式開發的檢測、開發外包的驗收、學校的教學、服務的提供…。
這個服務的目的在了解,我的程式哪裡沒寫好?該怎麼寫才安全?寫好後從根本去解決問題。

OK!!問題來了!!

。我做源碼檢測,程式也都修完了!為什麼還要做滲透測試?為什麼還要定期做弱掃?
原因是程式碼是寫的很安全沒錯!那…那如果您Web的主機是Windows,Windows發佈了新的漏洞可被駭客利用!那~~~那還是要透過弱點掃描來掃描程式才知道哪裡需要修補!
那滲透呢?好…要這麼追根究底…我們假設你的程式很安全!系統全都更新到最新了!那~~如果我用社交工程取得管理員帳密呢?我透過其它主機攻擊完美主機呢?我透過帳號猜解取得權限呢?我…好了~~方法有許多的創意!!

所以技術服務必需三個大分類(黑箱、灰箱、白箱)並行,而且持續不斷的驗證!必竟你永遠不知道哪一個面項會被駭客利用!隨著時間的變化~哪一個面向成為駭客的最愛也不定!所以資訊安全必需多方考慮,加強防護的!

結論是~大家不用擔心滲透服務的消失!而是多面向的服務我們是否都能提供與協助客戶環境達到更安全的境界^^

2009年3月31日 星期二

資訊安全設備簡介

一年前幫公司工程師進入狀況的文章^^

觀念:在網路上,主要的概念是: 該如何做才能讓封包流量更快、更穩。在資安上,主要的概念是: 如何掌握、比對、判斷、控制封包。
好吧~讓我們直接來看在一個網路環境裡,我們可以在哪些地方擺入資安設備:


(設備實際擺設位置會因為產品不同與客戶環境而有所變動)
是滴~任何網路設備、任何網路位置都可以看見資安設備的蹤影!為什麼呢?因為上面提過,資安的概念是如何掌握、比對、判斷、控制封包!做個有趣的比喻,你可以想像一個原始封包就像個光著身子的美女,隨著OSI模式各層的設計師幫她穿上合適的衣服之後才讓它出門,VPN只能看見包裹著白布的木乃衣、Firewall可以看見去掉白布後穿著厚衣服的美女容貌、IPS可以從外套推測美女內在的三圍、該死的VirusWall竟然有權可以對美女搜身、上網行為管理可以去掉白色的襯杉看美女身上的內衣褲是否是老闆希望的款式…好吧~我們聊的是Network Security,我必需就此打住!至少我們了解一件事,資安的Solution可以存在網路的任何地上
(SI知道一定很開心~生意做不完呀!)

資安設備簡介:
接下來是針對各設備做常識性地說明,讓大家對資安設備有一個全盤性的概念!(由於小弟碰的設備有限經驗也不足,僅對知道的一小部份說明,任何錯誤與不足,還望各前輩們指正)

。Router:


Router通常是Cisco的Router才能加上資安的解決方案,Cisco新一代Router都叫ISR(Integrated Service Router),可以整合IPS或Voice模組,在外部的Router通常我們希望它扮演好Router的角色即可,而內部買不動一台IPS設備時,會建議客戶從現有的Router上加上IPS模組。

。Switch:


Switch一般也要到Core等級才可加入IPS模組,就如同Router一樣,主要就是加上入侵偵測的功能,在客戶環境Switch效能ok,也不打算多買設備,可以加入模組方式來保護網路。

。VPN:


VPN即Virtual Private Network,顧名思義即是要達成一個虛擬的私人網路,讓在兩個網域的電腦之間可以像在同一個網域內溝通一樣。這代表的是必需做到外部網路是不能存取或看見我們之間的封包傳送,而這兩個網域之間是可以輕易的相互使用網路資源。要做到如此,VPN必需對流經封包進行加密,以讓對外傳輸過程不被外人有機看見傳輸內容,相對的傳過去的目的地需要一台解密的機器,可能也是一台VNP或是一個裝在notebook上的軟體。也因為傳輸過程加密之故,許多希望在傳輸上更安全的需求,也都會尋求VPN。
VPN的發展到現在,主要市場以SSL VPN的運作,因為可以利用現有的用戶端程式(如IE)即可完成加密、解密、驗證的程序,使用端不需一台VPN機器,或是client端程式,在導入一個環境最容易,使用上也最簡便。

。FireWall:


FireWall肯定是最古老的資安產品,但!也是最經典的產品,簡單的說,它就像Port的開關,如上圖firewall左邊的port可能1~65535都有,但封包想流進來~嘿!得先問問Firewall老大哥,這裡他只開放了25,80,443的流量進來,其它都別想!!
Firewall的第二個大功能就是可以區別網段,如上圖的DMZ也可以從Firewall切出來,如此可以確保網路封包的流向,當流量從外面進來觀顧時,只允許流到DMZ區,不可能流至內部區網內,避免外部網路與內部網路封包混雜。
第三個功能,也就是能區別從Router上設ACL的功能,SPI(Stateful Packet Inspection)封包狀態檢查,可快速地檢查封包的來源與目的位址、通訊協定、通訊port、封包狀態、或其它標頭資訊,以判斷允許或拒絕!

。IPS/IDS:


這仍然是很年輕的產品,一開始叫IDS(Intrusion Detection System)入侵偵測系統,顧名思義:在有人攻擊或入侵到我的土地內之後我會知道,是一個可以偵測出有沒有人入侵這個事件!後來人們體會到,壞人都跑進我家了我才知道,有沒有可能在偵測到的同時做出抵制的動作呢?於是IPS(Intrusion Prevention System)入侵防禦系統就誕生了,在IPS中寫入pattern,當流經的封包比對pattern後確定為攻擊行為,馬上對該封包丟棄或阻斷來源連線。
一般IPS系統都不只一個網段,如上圖,可以擺在Firewall前面更積極地阻擋對Firewall的攻擊,或是於Firewall之後,直接比對流經合法port後進來的流量是否為攻擊行為,也可分析流出封包(了解內部員工上網行為、情況)。在真實情況是否要將IPS擺在firewall之前要看硬體throughput,看哪一台的效能好就擺前面吧^^
通常IPS的測試期比較長,因為在環境內開啟IPS規則後會有”誤判”情形!實屬正常,除非開的規則太寬鬆,否則有正常的封包被擋是正常不過的,這時我們就需要對規則調校,所以測IPS是磨工程師的大好機會!運氣不好,要對每一個有問題的電腦、程式手動抓封包來k~~嘿~就當是練工吧^^

。Virus Wall:


VirusWall是較簡單的產品,概念就是將防毒引擎放在Gateway,讓所有流經的封包都能比對過引擎內的病毒特徵。說到這,大家應該知道評估ViruWall的重點了!。什麼防毒引擎。掃毒速度快或慢防毒永遠沒有人敢打包票可以100%防毒!純粹是機率問題,每家的防毒率都不一定,能補足的最簡單方法就是導入與原有環境不同的防毒引擎!如原有client端用的是norton,於是viruswall就找一家卡巴的^^或前方UTM用趨勢的,還可導入McAfee的viruswall
VirusWall對裝機工程師而言是很簡單的產品,只需留意客戶希望對哪些Port的流量進行掃毒,難的是背後更新病毒碼的RD們~我只能說,RD們辛苦了!!

。WebSecurity


WebSecurity單純地過濾Web流量中的封包,針對每個要求的URL比對資料庫是否為危險、或釣魚、惡意的目的URL,是的話就直接阻擋連線。如果連到了目的地之後,可能因為臨時被駭或資料庫內沒有該筆URL,回來的封包再經一次病毒引擎的掃描,由於是針對Web,所以病毒引擎要挑在惡意網站分析較強的引擎。簡單的說,怕user上網中毒、或釣魚網站被受騙,需要導入這個設備^^

。ApplicationFirewall


對於很重視網頁運作服務的公司,對於這項設備應該較有興趣。較簡單的例子是在做滲透測試時,總是會在客戶的Web網頁可輸入的地方try一下SQL語,當把這設備放在WebServer之前,你的語法會頓時失效,好吧~這時會再試一下XSS、cookie、session…呵~時常是沒有成效的試驗@@即使WebServer運行的IIS或Apache未更新,擁有眾所周知的漏洞,仍然阻擋住該漏洞的攻擊。當然!就如之前提過的,資安是機率問題,它可以降低被攻擊機率,但不可能無敵!

。Spam Wall:


電子郵件是一個很棒的廣告途徑,但隨著資訊愈來愈發達,越來越多的生意靠著e-mail來廣告,慢慢的,使用者感受到過多的e-mail造成的不便,於是擋垃圾信的設備就誕生啦~可以叫Anti-spam或Spam wall。一開始的spam單純地阻擋垃圾郵件,但許多駭客發現了這個管道,也利用mail,大量發送釣魚連結、附加病毒檔、惡意連結…的信件,於是anti-spam也開始重視對mail的掃毒。一台好的spam設備在選擇上要效能好(承受郵件攻擊),誤判率低、有黑、灰、白名單,使用簡單^^

。UTM/ASA:


大補帖UTM(Unified Threat Management)統一威脅管理設備,其功能包山包海,如上圖的紅色部份為一般UTM設備可能擁有的功能,會依廠牌所制定的功能而定。概念就是以FireWall為核心,加入各式資安功能!如Cisco的ASA就是以firewall為中心,可加入防毒模組或是IPS模組。一般是比較建議在300人以內的環境使用UTM,簡單又大碗!但,在環境較大的情況下,還是建議將各別功能由各別設備運作。原因很簡單,一樣的防毒引擎來說好了,UTM的特徵碼肯定沒有單純VirusWall的特徵碼來的多!縱使廠商聲稱一樣,實際測試便知高下^^

。SIM/MARS:


躲在右上角的設備名叫SIM(Security Information Management)資安訊息管理,或如Cisco較貼切的命名:MARS(Monitoring Analysis and Reporting System),雖然在網路的一小角,卻能掌控所有設備情況!
這是一台很了不起的設備!可能會有人覺得各個部份都已有設備進行相關阻擋了!我幹麻花大錢來做Report呢?
讓我們先了解它需做到什麼樣的功能,第一個就是收log的功能,它需要將各設備的訊息收進在一起,Switch,Router,IPS,Firewall,viruswall…,我們必需相信,不可能環境內所有設備都是同一家品牌,所以一定要支援各式阿狗阿貓的牌子!第二個功能是出Report,將所有設備的訊息資訊串連在一起,做出各式各個階層或部門看的Report。較進階的設備還可做到第三個功能,可以協同防禦!!判斷威脅在哪裡,直接可以對各網路設備、資安設備下達合適的防禦指令或政策。
這台設備通常價位相當高!原因是他需要大量的support(各家廠牌),除此之外,還需要精確的分析判斷、並組織各設備回報訊息什麼是誤判?什麼是威脅?並即時通知相關人員,且建議合適的作法。

。上網行為管理:



上網行為管理設備在配置上有兩種方式,Inline Mode(配置在GateWay)或是MirrorMode(配置在CoreSwitch),上圖是從CoreSwitch直接Mirror流量的方式,兩種方式各有優缺,從Gateway在進行阻擋時較快且直接!但設備掛掉時要考慮hardware bypass的功力!而Mirror好處是完全不改變原有架構導入很容易,但是在進行阻擋時,需同時送封包給遠方目的server與來源client連線,網路頻寬資源較吃!到底哪個好,還是依環境而定。
這個設備的主要功能就是要看內部使用者的上網情況,進而進行管理。比如結合內部AD Server之後,可以管制愛搞鬼的RD部門不能用P2P、苦悶的工程部不能上色情類網站、愛事非的會計部們不能開IM聊天…。也有公司應用AD身份驗證功能,沒有登入AD就沒有網路可用^^(真是厲害呀)


。側錄:



側錄的概念就像你家附近、或銀行內的監視系統,將看的見的事情一一記錄。這包括了你信箱內的內容、你的聊天記錄、你上過哪些網站、抓了哪些圖片、即使是FTP的檔案,全部都能一一還原,全部重現!!
也由於要對全部資料、流量、封包,對儲存系統是很大的負擔!錄的愈多,備份的時間就愈短。所以實務上會將側錄設備裝置如上圖,可能是從IPS過濾封包後,從IPS強力的封包比對能力後,挑選只想側錄的封包內容,如只錄Web流量、或只錄FTP流量。另一種方式是從上網行為管理設備上,得知某個ip或是某個使用者老是在看色情網,嘿~就來把它上的過程全錄下吧!!我們也常開玩笑,如果MIS知道公司內誰是股市好手,可以跟著下單!哈~
當然!這也牽涉到了隱私權的問題,導入時常需與公司政策搭配。

。NAC:


NAC(Network Access Control)網路存取控制設備,通常設置在Gateway與client的交界處,目的是讓所有從Client進來的設備,想存取其上方的網路時,都要經過它的允許(可能是結合AD的認證或是網頁驗證),這就是最原始NAC在做的事。
隨著市場的發展,通常還需外加新的功能,才能讓客戶接受。需擁有可以保護client端的能力,本身可以上一些patch讓client來更新,如Windows的更新patch、或是某些防毒軟體的patch,以保設End User的安全,進而保護整個網路。呵~我猜想未來可會看到類似的新名詞,叫CAP(Client Access Protect)。

。Wireless Control:


對於無線的管理可能是許多人的痛,這種設備的目的就是要掌控你領空的封包流量。
可能做法有許多種,我僅以我碰過的例子說明。在ServerGroup找一台Server安裝主控端軟體,再於想偵測的邊界點放置Sensor,比如在公司的樓的三個點擺了三個Sensor,再搭配goolge map抓下公司的衛星圖,再給予適當的比例尺寸後,可以在Server上看見,在地圖的什麼地方有什麼樣的無線訊號、訊號強弱、SSID…等相關資訊,要終止其與AP連線時,只需各送出一個reset封包即可,真是屌呀!(不過價位不低~呵~)


。IPAM:


對於一些環境較大,需要動態的讓user使用網路資源,或是…或是MIS太懶,使用DHCP環境時,要管理動態IP是哪一台電腦在用、或是哪一個人在用,這就是很棒的解決方法。
IPAM(IP Analysis Management) IP分析管理設備,提供DHCP環境內,Mac與IP存取的列表,當環境中有AD或是RADIUS時,可以看見的記錄將是:時間-Mac-IP-User資料表的關鏈可以讓管理者快速追縱誰在用這個IP,所以設備中也常將環境中的DNS Server、DHCP Server整合在一起,加強資訊的連貫性。

。Bandwidth Monitor:


你可以試著問MIS,我們環境平常的流量大概是多少?時常得到不知道怎麼測之類的答案。BandwidthMonitor這項設備的功能就是提供MIS所有網路環境的頻寬使用量。
由於專攻頻寬使用量的分析,可以細緻到如:總頻寬使用量、各軟體使用量、各ip使用量、單獨ip頻寬用量、單獨ip軟體使用量、protocol的流量、User名稱的使用量、群組的使用量、Domain的使用量。
對於MIS分析網路的頻寬都被誰佔據、或什麼軟體用掉,很有幫助。


。軟體:


使用軟體來進行資安設備管理,主要是因為一些封包到了應用層,還是要靠作業系統、與應用程式來分析,才有辦法進行管理與分析或保護;另一個原因是EndUser的使用狀況永遠無法掌握,透過如資產管理軟體。
一般常見的資安軟體如DRM,用來對環境內的特定文件進行加密,比如公司專門設計CAD的圖檔,每張圖都是公司的心血,這時需要的就是將這些圖檔全部加密以保護公司資訊外洩的可能。在佈屬上需一台Server,再利用如AD套用GPO將資料佈到登入網域的電腦上,未來只要user一開啟要加密的檔案格式就直接加密!!
另一個常見的軟體是資產管理軟體,常Agent佈屬在Client端電腦後,Agent會自動收集所有電腦上的軟、硬體資訊,再回傳給資產軟體Server端,這是最初的資產軟體所做的事,可以統整資料進行環境內的軟、硬體資產管理。喜愛掌控所有資訊的MIS提出了需求,能了解user端所有東西,有沒有可能對這些軟、硬體直接進行控制呢?是滴!產品往往因為需求而產生,所以現在的資產管理軟體不僅收集客戶端資料,還可直接限制User端的使用情況,比如只能讀取USB不能寫入、禁止上班時間打接龍,也可直接把你的電腦當自已的用。(專業一點的說法叫遠端叫修功能)所以啦~也可以直接對user端的桌面使用情形進行錄影!!真是MIS最愛呀!
以上的產品僅是小弟接觸過的一小部份,相信科技仍有許多的可能!任何不足與錯誤再請大家直接指正!謝謝^^

2009年3月2日 星期一

linux下的Serial port連線工具 - minicom

用Notebook去管理網路設備,需要的就是一條USB轉Console線來連接電腦與設備。

在Windows下需要的是一個USB轉Console的趨動程式,再用終端機介面來進行管理。

而在Linux下,可以用minicom,其實就像Windows下的超極終端機,而USB轉Console則不需趨動。

Step.1 下載minicom
http://linux.softpedia.com/get/Communications/Telephony/minicom-753.shtml

Step.2 把minicom裝起來

Step.3 設定minicom參數:
minicom -s

serial port setup -> 修改Serial device, Baund rate->儲存退出(save setup as df1)

Step.4 開啟minicom
minicom


比想像中的還簡單,重點是找出你使用的device ,以我的usb來說是:/dev/ttyUSB0,
可以到/dev/資料夾下找看看你連接serial的設備,再試看看^^

Linux下的遠端桌面連線工具-rdesktop

由於剛開始把自已的系統變成Linux,許多基本的多西都還在適應~
工作需求常需遠端桌面到server去看~發現了這個神奇的東西^^

Linux下的遠端桌面軟體 - rdesktop
讓你從linux terminal到windows上作業!

Step.1 安裝rdesktop

yast -i rdesktop

Step.2 開始遠端連線

rdesktop -u username -p password ip

如: rdesktop -u jordan -p 123456 192.168.1.11

速度上我是覺得比用Windows的遠端桌面快^^

2009年2月24日 星期二

openSuSE11.1用ADSL撥接上網

小弟家是用中華電信撥接上網@@
是滴~~
這個年代應該很少人用撥接了~有撥接的話再往下看吧^^

Step.1 利用yast設家adsl
yast dsl


Step.2 設定開機時自動撥接
新增->裝置啟用(開機時)->下一步

Step.3 選擇ISP提供者:
自訂提供者->新增->輸入ISP提供者->輸入帳號密碼->下一步

Step.4 設定連線參數:
不知道設啥用預設就可以了->下一步->完成

Step.5 確認ADSL設定是否成功:
1. /etc/sysconfig/network/ 是否有ifcfg-dsl0檔案?
2. /etc/sysconfig/network/providers/ 是否有providers0檔案?
都有的話才是ok的^^

Step.6 撥接上網囉!
ifup dsl0

再來就是把FireFox打開來試試吧^^
(我通常會打ifconfig看dsl0有沒有拿到ip)

參考資料:
http://www.suse.url.tw/sles10/lesson11.htm

2009年2月15日 星期日

openSuSE11.1安裝無蝦米

今天終於在SuSE上開始用我唯一會的輸入法~無蝦米^^

操作方式如下:

Step.1 移除scim
rpm -e `rpm -qa \ grep scim`


Step.2 下載gcin (抱歉啦SCIM!誰叫gcin內鍵就有無蝦米呢?)
gcin-1.4.4.0-5.2.i586.rpm
http://download.opensuse.org/repositories/home:/swyear/openSUSE_11.1/i586/

Step.3 安裝gcin
rpm -ivh gcin-1.4.4.0-5.2.i586.rpm
Step.4 下載noseeing
noseeing-6
http://edt1023.sayya.org/misc/noseeing-6.tar.gz

Step.5 解壓縮nossing並放到gcin下
tar xvfz noseeing-6.tar.gz
cp noseeing.gtab /usr/share/gcin/table

Step.6 重新啟動gcin並開始享用啦^^

Shell Script介詔

文章指導: robert

Shell Script指的就是運行於Shell 上的一段Script。

而什麼是Shell呢?什麼又是Script呢?請再看以下的說明。

什麼是Shell?
Shell是個命令解析器(command interpreter),可以將您輸入的指令解析成核心(Kernel)看的懂的語言,比如您輸入了

ls –l /

來顯示根目錄下的資訊,這時負責解析的shell可能將它變成

10001010101001

(上面數字無意義,只是方便舉例)
讓核心可以解讀與了解,並將您希望的結果進行輸出與顯示。

舉個現實生活的例子: 假設您開了一家工廠,需要許多耐操耐勞的外勞(Kernel)來工作,但是您不懂泰語、不懂印語、也不懂菲語,這時可以懂過翻譯專家Shell, 來進行翻譯,Shell懂您的語言、也懂得外勞(Kernel)的語言,幫您將您的工作內容解釋給外勞聽,外勞在知道了工作內容與方式之後,就開始努力的為您工作,進行產出。

所以您可以將Shell看成是您與Kernel之間的翻譯專家,架構如下:

內 <-----------------------> 外
kernel <-> shell <-> user command


不過在實際的運作上,Shell這位翻譯專家並不懂得我們的語言,反而是我們需要去懂得shell在說什麼?利用shell懂的話才能夠與核心溝通。
而shell又有不同的品種,如sh、bash、ash、ksh、zsh、csh、tcsh…,可以在/etc/shells看到許多說著不同語言的shell,為了跟核心溝通,您必需挑選一個習慣、喜歡的翻譯專家來溝通^^

什麼是Script?

如果Shell是一位翻譯專家,那我會稱Scirpt是一位記憶力很好的秘書。
您可以將許多想做的事情告訴您的秘書(Script),她會一項項完全不會漏掉的告訴翻譯專家(Shell),翻譯專家再與將每一項工作請外勞(Kernel)去執行並完成,您要做的事情只是告訴秘書”去做吧!!”,再來就看著所有事情一項項地被完成了。
當然,有時候運氣好,可能請到一位不錯的秘書,她可以幫您處理許多時常發生的小事,而不用來打擾您,當翻譯專家翻譯了外勞在抱怨便當沒得吃時,這位秘書會真接去多買些便當來給他們吃,而不用再讓你傷腦筋。
其實Script也是一種語言,它都延伸自某一種程式語言,如C,Java…,所以Script也有人稱為延伸語言(extension language)。它最主要的目的是用來控制應用程式(Application)或是Shell,所以也被稱為工作控制語言(Job Control Language)。
Script用在不同的地方或是延伸至不同的程式語言就會有不同的稱呼,如:當Script是用來控制Shell的工作時,就稱為Shell Script; 當用來控制網站伺服器,就稱為ASP(延伸至VB)、PHP(延伸自C),所以要學好Scirpt必需學會其原延伸語言與要控制的應用程式或Shell,如此才如完成Script。

學習Shell Script必學的事:
要學好Shell Script,就必需要學會兩件事:
1. Shell本身的操作
2. 原延伸語言的語法

大部份的shell都由C語言所撰寫,要跟C語言開發的Shell溝通,就是需要用C語言的流程控制、數傳傳遞才可以讓Shell Script更聰明的工作,也可讓您的Script更短小。

以SuSE預設的bash shell來說,需要的就是學習的兩件事:

1. C語言
2. bash操作

看完上面,您應該就了解,Shell Script真正在做的事情。
我們以SuSE預設的Bash shell來做個總結:
Shell Script就是利用延伸至C語言的控制與數值傳遞方式,結合bash shell上面操作的指令而成的一個語言。

Ps.內容不盡詳細與錯誤的地方再請各位不吝指教

2009年2月13日 星期五

解決lenovo X61吱吱叫的聲音!!

上星期將X61整台Format掉!實在受不了它不斷吱吱叫的聲音!

拿去給原廠修!

才過了一天就接到電話去把notebook搬回來,實在是太有效率啦^^

說幫我換了新風扇,而且將我的鍵盤、小紅觸頭全部換新!!真是棒的服務呀!!

很開心的拿回家,一開機~~哇咧~~~

還是不斷的吱吱叫!!馬上再搬回去!!

直接試給櫃台小姐看,她竟然說:"喔~這款筆電都會降,只要把晶片的power manager關掉就好!"

哇咧@@怎麼不早說?? 修正方法如下:

開機->按下藍色ThinkVantage->F1進入BIOS->Config->Power->CPU Power Management->Disable

如此就可解決吱吱叫的問題啦^^
預設作業系統都會自動管理此功能,只是x61預設就可用晶片來管理,當透過晶片管理時,時脈的震動與風扇構成完美的共鳴~~此時,美妙的吱吱聲就會出現來吵你的耳朵了!

希望對也是用x61的人有所幫助^^

2009年1月18日 星期日

恐佈的80Port被打開@@

上星期我們另一個工程師因為在試一套軟體,
可以看所有網路環境的流量與頻寬,結果竟發現~~

小弟電腦的80 Port被打開@@

(簡單說一下為啥80 port被打開會這麼嚇人~
80port為提供http服務,也就是網站服務的port,如果你的電腦打開了80port,
那就是告訴大家: "Hello 我的電腦有提供服務喔!歡迎來參觀!!"

一般個人電腦是不需要打開Port 80的,因為一般連線,如開一個yahoo的網頁,
會在本機開啟一個大於1024 port 與 yahoo的80port連線,並不會用到自已電腦的80port。
通常是中了木馬,才會自已開啟80port,讓駭客入門,這就是為什麼我在個人電腦看到自已80port被打開這麼驚訝!!)

檢查自已電腦開port的方法:
開始->執行->輸入cmd->netstat -an
netstat
看到如下的圖,如果有port80,就是中獎啦^^

不過~~問題是???究竟是啥咪東西提供80port的服務呢??
小弟將Skype關掉後,再查一次netstat -an

啥咪~~原來虛驚一場!!
原來是skype,我還以為中了木馬咧~~呵~~
提供給大家笑笑^^