Исследуем аутентификацию в IIS

Posted on 03.09.2017 | Оставьте комментарий

Протокол аутентификации Kerberos уже затрагивался в этом блоге ранее. В этом посте пойдет речь про аутентификацию Kerberos, NTLM и Negotiate в веб-сервере IIS. Будет проверено на практике какой протокол аутентификации используется в том или ином случае. Для этого будет проведен несколько тестов в каждом из которых будет сделан вывод. Все выводы можно прочитать в конце поста.

Kerberos

Начнем с общего описания аутентификации Kerberos. Пользователь заходит на рабочую станцию (клиент) в домене. Для аутентификации клиент связывается с центром выдачи ключей (key distribution center, KDC), для Windows это контроллер домена. Контроллер домена проверяет, что логин и хеш пароля, введенные пользователем, совпадают с хранящимися в базе KDC. Если учетные данные корректны, центр выдает удостоверение (ticket-granting ticket, TGT), подписанное особенным доменным пользователем krbtgt. TGT используется для подтверждения, что пользователь прошел аутентификацию. После этого пользователь подключается к какому-либо ресурсу в домене, например, общей папке на файловом сервере. Клиент обращается к KDC, прилагая TGT, за выдачей удостоверения запрашиваемого сервиса (service ticket, TGS). Контроллер домена проверяет, что такой сервис совпадает с хранящимся в базе KDC и выдает клиенту TGS. После этого клиент обращается к файловому серверу, прилагая TGS. Файловый сервер видит, что TGS выдан контроллером домена и принимает подключение пользователя.

Процесс показан на рисунке

Подключившись доменным пользователем можно вывести как TGT:

klist tgt

Так и TGS:

klist

Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено ,

Два изменения в безопасности Windows

Posted on 20.08.2017 | Оставьте комментарий

Если программа находится в процессе разработки, то помимо нового функционала в ней может меняться и самые базовые вещи. Операционные системы не исключение. В данном посте будет рассказано про два изменения в Windows, которые изменили работу самого базового механизма: групповых политик и удаленного подключения.

Групповая политика (GPO) после MS16-072/KB3163622

В июне 2016 года Microsoft выпустила бюллетень безопасности MS16-072, который включал в себя обновления для Windows 10 и Windows Server 2016 (а также более старых версий). Обновление изменило процесс применения групповой политики.

Групповая политика состоит из двух разделов: компьютера и пользователя. Если раньше раздел пользователя применялся под учетной записью пользователя, унаследовавшего политику, то после обновления user group policy применяется под учетной записью компьютера, на который зашел пользователь.

Прямое следствие этого изменения: если групповую политику вы отфильтровываете только для пользователей, то такая групповая политика перестанет работать. Теперь вне зависимости от того используете ли вы раздел пользователя или компьютера в групповой политике, в фильтре должен быть разрешен компьютер с которого заходит пользователь.

В настройках по умолчанию фильтр включает группу Authenticated Users, которая включает учетные записи пользователей и компьютеров в домене. Если настройка фильтра по умолчанию вам не подходит, то можно создать доменную группу в которую включить нужные компьютеры (или использовать группу Domain Computers) и выдать ей права на чтение в фильтре.

Пример фильтра групповой политики.

Настройка доступа групповой политики Test GPO, чтобы она распространялась на пользователя test.user на какой бы доменный компьютер он не зашел:


Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено

Filezilla ENETUNREACH или как антивирусы сканируют трафик

Posted on 26.06.2017 | Оставьте комментарий

По запросу «Filezilla ошибка ENETUNREACH» поисковая система выдает, что проблема в антивирусе (Касперский) и для ее решения необходимо добавить filezilla.exe в исключения (доверенные приложения). На форуме этого FTP клиента описывается механизм как антивирус анализурует трафик приложения. Дальше будет приведен перевод:

 Касперский перенаправляет весь сетевой трафик через свой процесс avp.exe по адресу 127.0.0.1 порт 1110.

Как просходит нормальное FTP подключение без сетевого сканирования:

  1. Filezilla создает управляющее TCP-соединение до адреса 93.184.216.23
  2. Операционная система назначает адрес источника IP пакета как адрес исходящего интерфейса допустим 10.0.0.123
  3. После установления соединения для передачи команд Filezilla создает соединение для передачи данных
  4. Адреса источника и получателя IP пакета используются те же, что и в управляющем соединении Т.е. у соеденения для передачи данных адрес источника будет 10.0.0.123, а получателя — 93.184.216.23.

Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено ,

Мировой трампизм

Posted on 18.04.2017 | Оставьте комментарий

Перевод отрывка из статьи Foreign Affairs.В нем рассказывается про краткую экономическую историю Запада после Второй мировой войны.

В конце Второй мировой войны Соединенные Штаты и их союзники решили, что устойчивая массовая безработица представляет собой экзистенциальную угрозу для капитализма и ее необходимо избегать любой ценой. Для этого их правительства повсеместно стремились к полному трудоустройству и в качестве главной переменной политики выбрали поддержку безработицы на низком уровне, составляющем примерно четыре процента. Проблема заключается в том, что концентрация на любой переменной со временем подрывает значение самой переменной — явление, известное как закон Гудхарта.

Задолго до Гудхарта, экономист по имени Михал Калецки, уже предсказал такой результат. Еще в 1943 году он утверждал, после того, как вы начинаете поддерживать полную занятость, частая смена работы для работников становиться с течением времени распространенным явлением. Заработная плата в таком мире должна постоянно повышаться, чтобы удержать сотрудников на рабочем месте, и единственным способом, которым бизнес может компенсировать высокие зарплаты, является повышение цен. Это механизм ценовой инфляции, когда заработная плата и цены провоцируют рост друг друга, появился в 1970-х годах и совпал с окончанием Бреттон-Вудской системы и последующими нефтяными потрясениями, вызвавшими высокую инфляцию в богатых странах Запада в 1970-х годах. Короче говоря, система подорвала себя, как предсказывали Гудхарт и Калецки. По мере того как страны все сильнее и сильнее стремились к достижению полной занятости, инфляция разгонялась все быстрее, а прибыль уменьшалась. 1970-е годы стали своего рода «раем должника». По мере роста инфляции долги падали в реальном выражении, а доля трудовых ресурсов в национальном доходе росла до рекордно высокого уровня, тогда как корпоративные прибыли оставались низкими и страдали от инфляции. Профсоюзы были мощными, и неравенство резко упало.

Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено

Коллектор sFlow на Logstash

Posted on 24.01.2017 | Оставьте комментарий

В данном посте будет описана процедура установки коллектора sFlow на базе ELK на CentOS 7 для сбора трафика со свитча Juniper.

Компоненты:

  • Logstash — система принимающая данные, фильтрующая их и передающая их в Elasticsearch.
  • Elasticsearch — база данных, которая хранит информацию и осуществляет по ней поиск.
  • Kibana — служит для визуального представления данных, хранящихся в Elasticsearch.

Взаимодействие компонентов выглядит так:

10.10.10.10 — адрес сервера CentOS, где установлен ELK

Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено ,

«Мы находимся в критической точке развития капитализма» — Лорд Тернер

Posted on 01.12.2016 | Оставьте комментарий

Перевод статьи Business Insider

Бывший вице-президент Merrill Lynch Europe и бывший глава финансового надзора Великобритании, лорд Адэир Тернер, обеспокоен тем, что развитие технологий подрывает капитализм и тормозит восстановление мировой экономики после кризиса.

В своем интервью Business Insider, Тернер заявляет: «В текущей экономической ситуации капитализм перестал покрывать нужды большинства, что подрывает его легитимность. Равноправие граждан может быть под угрозой из-за развития технологий. Развитие капитализма будет зависеть от развития технологий.»

Тернер возглавлял Конфедерацию Британской Промышленности (CBI) в середине 90-ых, затем был вице-председателем Merrill Lynch Europe c 2000 по 2006. Когда произошел мировой финансовой кризис, он работал в финансовом надзоре Соединенного Королевства (FSA).

Сейчас Тернер возглавляет Институт нового экономического мышления, организованный Джорджем Соросом и издал книгу «Между долгом и дьяволом» про мировой финансовый кризис.

Он рассказал Business Insider о том, как компании Facebook, Uber и Airbnb используя современные технологии получают сверх прибыли. В то же время им требуется меньше рабочих мест, чем компаниям предыдущего технологического цикла. Это подрывает основу капитализма, при которой развитие технологий и расширение экономики подразумевает выгоду для каждого.

Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено

Juniper SRX IPsec Site-to-Site VPN и Split-DNS

Posted on 28.06.2016 | 1 комментарий

В данной статье будет рассматриваться настройка VPN между офисами (site-to-site) и особенности, если трафик возникает на самом SRX на примере Split-DNS.

В Juniper SRX существуют два варианта организации site-to-site VPN: на основе политик (policy based) и на основе маршрутов (route based). Они отличаются способом, по которому трафик попадает в туннель. Здесь будет рассматриваться route based VPN при котором на основании маршрутов в таблице маршрутизации SRX будет принимать решение об включении трафика в туннель. Эти маршруты могут быть получены автоматически (за счет протоколов динамической маршрутизации), но здесь будет показан самый простой ручной вариант, на основе статических маршрутов.

Когда филиал соединен с центральным офисом, или, когда все серверы расположены в центре обработки данных, до которого организован site-to-site VPN, один из вопросов сетевой доступности является DNS сервер компании. В данном случае речь идет про ситуацию, когда одни и те же доменные сетевые имена для внутрисетевых клиентов и для внешних клиентов разрешаются по-разному. Этот процесс называется split-DNS, когда домен компании обслуживают два DNS сервера: один для клиентов изнутри, второй для клиентов снаружи.

Клиенты в филиале как правило получают сетевые настройки от DHCP сервера. В филиале SRX может выполнять роль DHCP сервера. В этом случае опция 6 — «DNS сервер» может содержать адрес как внутреннего DNS сервера компании, так и самого SRX. Для чего это может понадобиться? Если в VPN туннель вы направляете только трафик до внутренних серверов и сервисов, то логично, что запросы на внутренний сервер DNS отправлялись только для доменных имен внутренних ресурсов. Именно поэтому выдавать клиентам филиала адрес SRX как DNS сервера позволит регулировать на самом SRX на какой DNS сервер отправлять запрос. Это функция называется Proxy DNS.

Читать далее

1 комментарий

Рубрика: Cтатьи

Отмечено ,

VPN сервер на основе StrongSwan на CentOS

Posted on 07.04.2016 | Оставьте комментарий

В последних версиях мобильной и настольной ОС компании Apple появилась полноценная поддержка VPN подключений по IKEv2. В системах компании Microsoft она была реализована еще с Windows 7. Таким образом можно предположить, что IKEv2 станет мультиплатформенным стандартом для виртуальных сетей, заменив устаревший и небезопасный PPTP.

В данной статье будет описана настройка StrongSwan как сервера IKEv2 VPN, а также проверено подключение к нему с Windows и MacOS.

VPN сервер и клиенты IKEv2 могут аутентифицировать себя как по ключам, так и по сертификатам. Причем для каждой стороны можно задать свой выбор. Для уменьшения требований, предъявляемых к клиентам, было выбрано чтобы сервер StrongSwan аутентифицировал клиентов по логину и паролю, а VPN клиенты аутентифицировали сервер по сертификату, выданному доверенным центром сертификации.

Последовательность действий:

  1. Получение сертификата для сервера StrongSwan
  2. Установка и настройка сервера StrongSwan
  3. Проверка подключения к серверу с Windows и MacOS

Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено ,

Два сетевых механизма связанных с NAT

Posted on 25.03.2016 | Оставьте комментарий

В данном посте пойдет речь про два не связанных напрямую между собой сетевых механизма: Hairpin NAT и Proxy ARP. Стоит заметить, что их использование необходимо только в определенных случаях NAT, далее будет описано подробнее.

Hairpin NAT


Сценарий: веб сервер и клиент находятся за общим NAT. Веб сервер опубликован на внешнем адресе 80.80.80.80 на порту 80. Внутренние IP адреса у клиента и сервера из одной подсети 10.10.10.0/24.

Клиент не может подключиться к веб серверу по внешнему адресу. При этом от других клиентов (с мобильного телефона, из дома и пр.) доступ работает.

Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено

Удаление нерабочего контроллера домена

Posted on 18.02.2016 | Оставьте комментарий

Ниже будет приведена краткая инструкция о том, как, используя утилиту ntdsutil, удалить контроллер домена Active Directory, находящийся не в сети.

Первым делом стоит подтвердить, что все FSMO роли принадлежат рабочему контроллеру домена. Для этого понадобится членство в группах: Domain Admins, Enterprise Admins, Schema Admins.

FSMO роли являются критическими функциями без которых работа домена будет испытывать трудности. Они разделяются на два уровня:

  1. Уровень леса (forest level):
    • Schema master
    • Domain naming master
  2. Уровень домена (domain level):
    • RID master
    • PDC
    • Infrastructure master

В зависимости от того, какая у вас иерархия Active Directory, вам может понадобиться переместить лишь три роли уровня домена (если нерабочий контроллер не является коренным в лесу) или же все пять.

Далее будут прописаны последовательности команд, которые нужно вводить в консоли рабочего контроллера домена.

Читать далее

Оставьте комментарий

Рубрика: Cтатьи

Отмечено ,