По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Зачастую взлом инфраструктуры происходит не с помощью сверхсекретных разработок или специально созданных "организмов" ("вирусов", "червей", "пауков", "дятлов" - нужное подчеркнуть), а из-за стандартных ошибок в настройках и дизайне. Ликвидировать эти недочёты - проще простого, но с такой же простотой они и создают огромные возможности для хакерских атак. Как отмечают специалисты по безопасности, появления подобных упущений в системе встречается настолько часто, что создаётся впечатление, что для таких ошибок существуют спецкурсы. Поэтому задачей данной статьи не является рассказ о самых современных методах защиты - мы просто постараемся заставить читателей задаться вопросом: "А всё ли хорошо в нашей системе безопасности и всё ли мы предусмотрели для того, чтобы конкуренты не смогли воспользоваться нашими данными и разработками и как устранить неполадки в нашей системе?".
Локальная учётная запись? Забудьте об этом.
Уж сколько раз твердили миру... Слова дедушки Крылова как нельзя лучше характеризуют данную ситуацию - она постоянно возникает и о ней всё время напоминают. Не надо (совсем нельзя) создавать доменной групповой политикой локальные учетные записи на хостах в вашем домене. Говоря военными терминами - уровень опасности красный.
Причина самая банальная - данные по записи (в том числе и пароль) хранится в открытом доступе и по умолчанию доступен всем участникам группы. Если кому интересно, то он находится в файле groups.xml, в ресурсе sysvol контроллера домена, но при этом ключ один на всех. Таким образом, любой желающий может скачать файл и путём нехитрых телодвижений стать администратором группы. Думаю о последствиях говорить не надо.
Чтобы не получилось подобных конфузов надо просто добавлять только доменные учетные записи в локальные группы на хостах.
Права юзеров - на необходимый минимум.
Каждая учётная запись имеет свои права для работы в системе и создана для работы конкретной направленности. Поэтому необходимо минимизировать права каждого пользователя системы, так чтобы они подходили под зону его ответственности. Таким образом, снизится риск утраты контроля над записью, и каждый будет знать только свою, необходимую ему информацию.
UAC - на максимум!
Поставьте на максимум User Account Control (UAC). Его, конечно, можно обойти, но он создаст лишнюю нагрузку для атаки, а время в таких вопросах - играет Вам на руку.
Никакого доступа к учетным данным и хэшам
MIMIKATZ - это утилита, которая очищает память процесса, ответственного за проверку подлинности Windows (LSASS). Затем она и выдает пароли в виде открытого текста и хеш-коды NTLM, которые злоумышленник может использовать для перемещения по сети. Чтобы защититься от неё, надо соблюдать несколько простых правил:
Обновите ваш Active Directory как минимум до 2012 R2;
Следите за обновлениями Windows и постоянно их устанавливайте;
Помещайте важные учетные записи в группу защищенных пользователей и установите параметр реестра;
Не предоставляйте учетной записи больше прав администратора, чем им нужно;
Продолжим тему NTLM, поднятую в предыдущем пункте. Его нужно запретить - от слова совсем. Есть такая замечательная штука, как pass-the-hash. Она, как это можно понять из названия, передаёт хеш NTLM на абсолютно любой хостинг, где разрешён NTLM и атакующий всё про вас узнает. Более того, его также можно передавать вместо учетной записи и ее пароля при атаках.
Навешайте ярлыков на рабочий стол
В прямом смысле - поставьте ярлыки на рабочий стол, которые будут связывать с общими файловыми ресурсами. Тем самым Вы уйдёте от сетевых дисков, а malware почти никогда не воспримет их как сетевые ресурсы. Причина, как всегда, банальная - malware путём перебора букв ищет названия дисков. Конечно, данный совет подходит не всем компаниям, но если возможность подобного похода существует - попробуйте.
Отключите скрытые файловые ресурсы!
И вновь из-за банальной причины. Они - первоочередная цель действия malware и злоумышленников. Конечно, это не все инструменты защиты инфраструктуры, но каждый случай нужно рассматривать отдельно, как и индивидуальные настройки для каждой инфраструктуры.
Интерфейс управления Asterisk, или как его называют Asterisk Manager Interface (AMI) представляет собой интерфейс для управления вашей IP – АТС внешними приложениями, путем передачи команд или получения различных телефонных событий. Зачастую, данный интерфейс используется для интеграции 1С и asterisk, что позволяет принимать звонки в интерфейсе 1С, выполнять вызовы, подтягивать карточку клиента при входящем звонке и так далее.
Разберем настройку данного интерфейса и параметров подключения к нему на примере настройки через графический интерфейс администратора FreePBX 13 и через консоль сервера (CLI) в настройках CentOS
Настройка AMI в FreePBX
В верхнем меню навигации, выберите вкладку Settings и далее перейдите в раздел Asterisk Managers, как указано на скриншоте ниже:
Далее, для того, чтобы добавить нового пользователя, нажмите на кнопку Add Manager:
Откроется окно настройки нового пользователя. Разберем каждый пункт отдельно:
Manager Name - Имя пользователя AMI. Не должно содержать в себе пробелы.
Manager Secret - Пароль для пользователя AMI.
Deny - В данном поле вы можете указать IP – адрес и маску подсети, с которых необходимо запретить подключение к AMI по указанным данным. Если хотите указать несколько подсетей, то используйте символ &. Например, 192.168.1.0/255.255.255.0&192.168.2.0/255.255.255.0
Permit - Укажите IP – адрес и маску подсети, с которых разрешено подключение к AMI через этого пользователя. Синтаксис аналогичен как и в поле Deny.
Write Timeout - Укажите таймаут, который будет использовать Asterisk при записи данных через данную AMI учетную запись. По умолчанию, период равен 100 миллисекунд.
Следующим шагом будет настройка прав данного пользователя. Для этого, необходимо перейти во вкладку Rights
По окончанию настроек нажмите Submit
Настройка AMI в CLI
Сделаем тоже самое, но через консоль CentOS. Для этого, необходимо подключиться к серверу по SSH и выполнить следующие итерации:
Перед началом работ по изменению конфигурации, рекомендуем сделать резервную копию файла.
[root@localhost ~]# vim /etc/asterisk/manager.conf //подключаемся к конфигурационному файлу manager.conf
Делаем следующие настройки в секции [general]:
[general]
enabled = yes //включает AMI
port = 5038 //порт для подключения к AMI интерфейсу
bindaddr = 0.0.0.0 //откуда принимать подключения (по умолчанию, 0.0.0.0 – разрешено подключаться со всех адресов)
displayconnects=no ; //отображать ли подключения к Asterisk в командной строке
Переходим к настройке самого пользователя. Для этого, под секцией [general] необходимо создать нового пользователя. Дадим ему имя – test с паролем P@ssw0rd :
[test] //аналогично полю Manager Name в FreePBX
secret = P@ssw0rd //аналогично полю Manager Secret
deny=0.0.0.0/0.0.0.0 //аналогично полю Deny
permit=127.0.0.1/255.255.255.0 //аналогично полю Permit
read = system,call,log,verbose,command,agent,user,config,command,dtmf,reporting,cdr,dialplan,originate,message
write = system,call,log,verbose,command,agent,user,config,command,dtmf,reporting,cdr,dialplan,originate,message
writetimeout = 5000 //аналогично полю Write Timeout
По окончанию настроек, нажмите комбинацию клавиш :x! для сохранения файла. После этого, введите команду:
[root@localhost ~]# asterisk -rx "core restart now"
Проверяем подключения к AMI
Теперь, после настроек, проверим подключение к AMI через созданного пользователя. Для этого, через консоль сервера сделаем подключение по протоколу telnet на порт 5038, который указан в секции [general] в параметре Port, конфигурационного файла manager.conf :
[root@localhost ~]# telnet localhost 5038
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Asterisk Call Manager/2.8.0
Action: login
Username: test
Secret: P@ssw0rd
Response: Success
Message: Authentication accepted
Готово. Ответом на подключения является сообщение Success. Это означает, что интерфейс настроен и готов к работе.
pfSense это маршрутизатор и межсетевой экран с открытым исходным кодом на основе FreeBSD. PfSense подходит для малых и средних компаний и предоставляет недорогое специализированное решение межсетевого экрана и маршрутизатора для физических и виртуальных компьютерных сетей.
/p>
Программа, которую можно установить, как на физическую, так и на виртуальную машину, предоставляет широкий спектр функций, которые почти схожи с платными решениями. ПО так же поддерживает решения сторонних разработчиков такие, как Squid, Snort и другие, благодаря которым функционал еще больше расширяется. Плюсы использования межсетевого экрана pfSense:
Не требует высокого уровня технических знаний;
Имеет графический интерфейс, который облегчает конфигурирование, обновление и добавление плагинов;
Низкая цена;
Не привязана к конкретному вендору;
Несколько вариантов развертывания включая физические сервера, компьютеры или виртуальные хосты.
Стандартный набор функционала следующий:
Межсетевой экран;
Беспроводная точка доступа;
Маршрутизатор;
Точка доступа VPN;
DHCP/DNS сервер;
Балансировка нагрузки;
Ограничение трафика (traffic shaping);
Фильтрация веб контента.
Установка pfSense
pfSense сама по себе является операционной системой, и его нельзя установить поверх другой ОС. Нужно либо резервировать целиком физический компьютер, либо развертывать его как виртуальную машину в физической системе, такой как сервер. Виртуальное развертывание устраняет необходимость в дополнительном компьютере в сети.
В этой статье мы покажем вам, как установить программное обеспечение pfSense на виртуальной машине на Ubuntu или CentOS. Для этого нужна машина, поддерживающая виртуализацию.
Сначала мы создадим виртуальную машину, на которой потом установим pfSense. Можно использовать Virtual Box, Virtual Ware, KVM или любое другое совместимое ПО виртуализации. В этом руководстве мы будем работать с Virtual Box.
Так как ПО устанавливается на Virtual Box, процесс установки pfSense одинаковый независимо от операционной системы хоста. Это означает, что вы будете выполнять те же действия на Ubuntu, CentOS и других дистрибутивах Linux, macOS или Windows.
Установка pfSense on Ubuntu and CentOS через VirtualBox
Предварительные требования:
Физическая или виртуальная машина с установленной Ubuntu или CentOS;
Пользователь с правом sudo;
Программа виртуализации: Virtual Box, VM Ware, KVM, Virtuozzo, Xen и т.д.
Две сетевые карты;
Шаг 1: Скачиваем образ pfSense
При создании и настройке виртуальной машины потребуется ISO образ pfSense, который рекомендуется загрузить с официального веб-сайта перед началом настройки виртуальной машины.
Страница загрузки предлагает различные опции, и конкретный файл зависит от аппаратного обеспечения компьютера и процесса установки.
Выберите архитектуру, тип файла установщика и соответствующее зеркало для загрузки;
В нашем случае мы выберем архитектуру AMD64 (64 бит), установщик CD-образа (ISO) и зеркало в Нью-Йорке, США;
Щелкните на Download и обратите внимание на расположение файла.
Обычно файл бывает в формате gzip (gz), и его нужно будет разархивировать. Обратите внимание на путь к файлу, так как этот путь понадобится после настройки виртуального компьютера.
Шаг 2: Создание и настройка виртуальной машины под pfSense
На хостовой машине запустите Virtual Box (или любой другой гипервизор) и нажмите на New:
Введите название ВМ, выберите тип ОС и версию. В этом руководстве выбрали следующие настройки:
Название: pfsvm;
Тип ОС: BSD;
Версия: FreeBSD (64-бит);
Нажимаем кнопку Next
Далее нужно выбрать объем оперативной памяти. Чтобы выбрать рекомендуемый объем просто нажмите Next. Мы выбрали рекомендуемые 1Гб от доступных 4 Гб.
Следующий шаг создание виртуального жесткого диска. Рекомендуется 16Гб, но это значение можно менять в зависимости от доступных ресурсов.
Выбираем Create a virtual disk now, нажимаем Create. Тип файла виртуально диска выбираем VMDK и нажимаем Next.
Выбираем Dynamically allocated storage и нажимаем Next. Задаем название виртуальному диску и размер. В нашем случае мы оставляем предлагаемое название и рекомендуемый размер и нажимаем Create.
Далее программа создаст виртуальную машину и вернет нас на начальный экран гипервизора.
Далее покажем, как настроить сеть, сетевые карты и выбор загрузочного диска. Для начала нужно создать виртуальную сеть.
Шаг 3: Создание и настройка сети в VirtualBox
В Virtual Box выбираем меню File пункт Preferences:
Если уже имеется виртуальная сеть, как на скриншоте ниже, то можно использовать ее, в противном случае нужно создать новую сеть:
Добавляем новую NAT сеть. Проверяем активна ли созданная сеть. Кнопка с шестерёнкой позволяет менять конфигурацию сети. Мы все оставим по умолчанию и нажимаем OK.
Далее нужно создать внутреннюю сеть для виртуальной среды. Для этого в меню File выбираем Host Network Manager.
Тут надо нажать на Create, а затем Properties чтобы задать IP адреса для внутренней локальной сети vboxnet0.
Убедитесь, что DHCP включен и правильно настроен:
Итак, мы создали нужные сети, теперь нужно настроить сетевые карты виртуальной машины. WAN адаптер будет подключен через NAT, LAN подключим к ранее созданному vboxnet0.
Шаг 4: Настройка сетевых интерфейсов pfSense
Откройте настройки виртуальной машины выбрав ее, а затем кликнув на шестеренку (Settings). Затем перейдите на Network.
Убедитесь, что Adapter1 включен и из выпадающего списка Attached to: выберите NatNetwork. Так как у нас всего одна сеть, она установлена по умолчанию, но, если у вас таких сетей много, нужно выбрать ту, которую планировали использовать для pfSense. Adapter1 у нас будет интерфейсом, смотрящим в интернет.
Затем настроим внутреннюю сеть. Для этого выбираем Adapter2, включаем его. Из выпадающего списка выбираем Host-only adapter и указываем название созданной сети: vboxnet0. Можно выбирать и другие опции в зависимости от ваших требований.
Шаг 5: Настройка VM для загрузки с образа диска
Для этого в Настройках виртуальной машины выбираем Storage. Щелкаем на иконке Empty CD. Кликнув на иконку диска со стрелочкой выбираем Choose Virtual Optical Disk File:
Указываем путь к скачанному ранее образу pfSense и нажимаем OK:
Шаг 6: Установка pfSense на виртуальную машину
Выбираем созданную виртуальную машину и запускаем ее:
Машина запуститься с образа диска. В этом руководстве все значения оставим по умолчанию их можно будет менять после установки.
Принимаем условия лицензионного соглашения (как правило, не читая)
Нажимаем OK для продолжения установки со значениями по умолчанию
Выбираем раскладку клавиатуры. Нажимаем Enter для выбора значения по умолчанию (US)
Выбираем метод разбиения диска. Оставляем рекомендуемое авто разбиение:
Дождитесь конца установки:
После завершения установки предложат изменить некоторые конфигурации вручную. Выбираем No:
Установка завершена и для продолжения нужно перезагрузить систему. Но перед этим нужно извлечь диск. Для этого в меню Devices выбираем Remove disk from virtual drive.
Щелкните Force Unmount:
Затем, смело можно перезагружать машину.
Шаг 7: Вход и настройка pfSense
Если установка прошла успешно - после перезагрузки вы должны увидеть экран, как на скриншоте:
Если так, уже можно приступать к настройке брандмауэра. Система дает три способа конфигурации:
Через командную строку, выбирая номера пунктов настроек;
Зайдя на веб-интерфейс с другого компьютера в той же сети;
Зайдя на веб-интерфейс через интернет по WAN IP.
Шаг 8: Вход на веб-интерфейс pfSense
Настройка через графический веб-интерфейс обеспечивает наиболее простой способ. Для доступа к pfSense через веб-браузер необходим компьютер в той же сети. Откройте веб-браузер и введите IP-адрес, указанный при настройке локальной сети виртуальной среды. В нашем случае это 192.168.1.1
Введите имя пользователя admin и пароль pfSense и нажмите Sign in. Вы перейдете к мастеру, который поможет вам выполнить начальные настройки.
Следуйте инструкциям и при необходимости измените их. Начальные настройки включают изменение пароля учетной записи администратора и конфигурации интерфейса LAN.
После завершения нажмите кнопку Finish.
После нажатия кнопки Finish необходимо принять соглашение некоммерческом использовании, после чего появится панель мониторинга состояния pfSense. После завершения начальной настройки можно получить доступ к меню и изменить почти все параметры, включая настройку интерфейсов, брандмауэр, VPN и другие функций.